Как использовать AWS IAM

Управляйте пользователями и их уровнем доступа к вашим ресурсам

Требования

• Аккаунт Amazon

Amazon Identity Access Management (IAM) позволяет вам управлять пользователями и их уровнем доступа к вашим ресурсам. Он дает вам возможность контролировать ряд вещей, в том числе:

• Многофакторная аутентификация
• Контроль ротации паролей
• Возможность контролировать разрешения пользователей

Разбивка ключевых слов IAM

Пользователи

Это люди, которые будут взаимодействовать с вашими ресурсами. Другими словами, любой, кому вы хотите иметь возможность входить в консоль AWS.

Группы

Группы - это совокупность пользователей. Например, вы можете объединить своих пользователей, входящих в группу развития бизнеса, в группу с именем BisDev. Группируя всех пользователей в группу, вы можете назначать групповые разрешения и, следовательно, разрешать доступ только к тем ресурсам, которые необходимы группе.

Роли

Роль IAM определяет набор разрешений, которые могут быть присвоены пользователям, группам или службам, таким как EC2.

Политики

Политика - это документ, определяющий одно или несколько разрешений.

Шаг 1. Перейдите к IAM

Перейдите в раскрывающееся меню Services и найдите IAM.

Щелкните IAM. Вы должны перейти к панели мониторинга IAM.

Теперь рассмотрим действия в разделе «Статус безопасности».

Обратите внимание, что «Удалить ваш корневой ключ доступа» сделано за вас. Если это не сделано, рекомендуется удалить ключ (и) корневого доступа. Использование ключей корневого доступа для доступа к вашим ресурсам - плохая практика.

Шаг 2. Активируйте многофакторную аутентификацию

Разверните «Активировать MFA в корневой учетной записи».

Мы будем использовать «виртуальное устройство MFA». Я буду использовать аутентификатор Google, но у вас есть несколько вариантов. Вы можете щелкнуть «список совместимых приложений», чтобы выбрать то, которое вам нравится.

Отсканируйте QR-код с помощью приложения по вашему выбору. Затем введите коды MFA один за другим.

Вернитесь к панели мониторинга IAM. Теперь вы должны увидеть зеленую галочку рядом с вкладкой MFA.

Шаг 3. Создайте пользователя IAM

Разверните «Создать отдельных пользователей IAM».

Нажмите «Добавить пользователя».

Введите имя пользователя. В данном случае имя пользователя - «том».

Мы предоставим этому пользователю программный доступ, что означает, что он сможет получать доступ к ресурсам через AWS SDK или CLI, используя идентификатор ключа доступа и секретный ключ (они будут созданы и сохранены, когда создание пользователя будет завершено на более поздних этапах).

Мы также предоставим пользователям доступ к Консоли управления AWS, чтобы они могли войти в Консоль AWS, используя свое имя пользователя и пароль.

Установите флажок «Требовать сброса пароля», чтобы пользователи могли сбрасывать свой пароль при входе в систему.

Мы также создадим группу, в которую добавим пользователя. Том является частью команды по развитию бизнеса, поэтому мы создадим группу под названием BisDev с ограниченными разрешениями. Давайте дадим группе возможность читать только файлы S3. Найдите политики, относящиеся к S3, затем выберите политику под названием «AmazonS3ReadOnly».

Теперь загрузите учетные данные пользователя и сохраните их. Вам потребуются ключ доступа и секретный ключ доступа для программного подключения к вашим ресурсам AWS. Если вы потеряете секретный ключ доступа, вам придется создать другой.

Теперь вернитесь к панели мониторинга IAM. Рядом с вами должна появиться зеленая галочка, чтобы создать пользователя. Поскольку мы создали группу в процессе, рядом с «Использовать группы для назначения разрешений» должна появиться еще одна галочка.

Шаг 4. Примените политику паролей IAM

Разверните «Применить политику паролей IAM».

Здесь вы можете выбрать набор требований к паролям пользователя.

Вернитесь к панели мониторинга IAM. Теперь должны присутствовать все галочки.

Шаг 5. Получите пароль для нового пользователя

Перейдите на вкладку Пользователи и щелкните своего нового пользователя.

Перейдите на вкладку «Учетные данные безопасности» и нажмите «Управление» рядом с «Паролем консоли».

Установите флажки «Автоматически сгенерированный пароль» и «Требовать сброса пароля». Это позволит пользователю изменить свой пароль при первом входе в систему.

Скопируйте / загрузите автоматически сгенерированный пароль и отправьте его новому пользователю.

Направьте пользователя на ссылку для входа в консоль AWS, расположенную на панели мониторинга IAM.

Теперь они смогут войти в систему, используя свое имя пользователя и пароль.

Поздравляем, теперь вы можете продолжить и изучить потенциал AWS IAM.

Удачи в пути!