- En IAM-bruger er en enhed oprettet i AWS, der giver en måde at interagere med AWS-ressourcer på.
- Hovedformålet med IAM-brugere er, at de kan logge ind på AWS Management Console og kan fremsætte anmodninger til AWS-tjenesterne.
- Den nyoprettede IAM-brugere har ingen adgangskode og ingen adgangsnøgle. Hvis en bruger ønsker at bruge AWS-ressourcerne ved hjælp af AWS Management Console, skal du oprette brugeradgangskoden. Hvis en bruger ønsker at interagere ved hjælp af AWS programmatisk (ved hjælp af CLI (Command Line Interface)), skal du oprette adgangsnøglen til den pågældende bruger. De legitimationsoplysninger, der er oprettet til IAM-bruger, er det, der præcist identificerer sig selv for AWS.
- Sikkerheden af brugerens legitimationsoplysninger kan forbedres ved at bruge funktionen, dvs. Multi-Factor Authentication.
- De nyoprettede IAM-brugere har ikke tilladelser, dvs. de er ikke autoriseret til at få adgang til AWS-ressourcerne.
- En fordel ved at bruge individuelle IAM-brugere er, at du kan tildele tilladelserne individuelt. Du kan endda tildele de administrative tilladelser, som kan administrere dine AWS-ressourcer og også administrere andre IAM-brugere.
- Hovedsageligt er brugerens tilladelser indstillet til AWS-opgaver og -ressourcer, dvs. det job, der er tildelt IAM-brugeren. For eksempel opretter du en IAM-bruger, hvis navn er Advita, du opretter en adgangskode til brugeren og indstiller de tilladelser, der lader hende starte Amazon EC2-instanser og læse dataene fra Amazon RDS-databasen.
- Hver IAM-bruger er tilknyttet én og kun én AWS-konto.
- Brugere er defineret på din konto, så brugerne behøver ikke at betale. Enhver AWS-aktivitet udført af en bruger faktureres din konto.
IAM-brugere er ikke nødvendigvis mennesker
En IAM-bruger repræsenterer ikke nødvendigvis et folk. En IAM-bruger er blot en identitet med tilhørende tilladelse. Du kan også oprette en IAM-bruger til at repræsentere en applikation, der skal have legitimationsoplysninger for at få adgang til AWS-tjenesterne.
Oprettelse af en IAM-bruger (AWS Management Console)
Sådan opretter du en bruger ved hjælp af AWS Management Console:
- Log ind på AWS Management Console.
- Åbn IAM-konsollen på https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Skærmbilledet vises nedenfor:
- Klik på Brugere i navigationsruden. Efter at have klikket på Brugere, vises skærmen, som er vist nedenfor:
- Klik på Tilføj bruger for at tilføje nye brugere til din konto. Efter at have klikket på Tilføj bruger, vises skærmen, som er vist nedenfor:
- Indtast brugernavnet for den bruger, du vil oprette. Du kan oprette fem brugere ad gangen.
- Vælg AWS-adgangstypen. Enten ønsker du, at en bruger skal have programmatisk adgang, adgang til AWS Management Console eller begge dele.
- Du kan også give brugeren tilladelse til at administrere hans eller hendes sikkerhedsoplysninger.
Oprettelse af en IAM-bruger (CLI eller API)
- Opret en bruger
CLI command: aws iam create-user API command: CreateUser
- Du kan tildele sikkerhedsoplysninger såsom en adgangskode til brugeren, som er påkrævet, hvis du ønsker, at en bruger skal bruge AWS Management Console.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Opret en adgangsnøgle til brugeren, som er påkrævet, hvis brugeren skal have adgang til AWS-ressourcer programmatisk.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Vedhæft en politik til brugeren, der definerer tilladelserne.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- En bruger kan tilføjes til en eller flere grupper.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Sådan logger IAM-brugere på din AWS-konto
- Åbn linket https://us-east-1.signin.aws.amazon.com/ for at logge ind på din AWS-konto.
- En IAM-bruger indtaster det brugernavn og den adgangskode, du har tildelt for at logge ind på IAM-konsollen.
Liste over IAM-brugere (AWS Management Console)
- Log ind på AWS Management Console ved at indtaste din e-mailadresse og adgangskode.
- Åbn IAM-konsollen.
- I navigationsruden skal du klikke på Brugere, hvorefter skærmbilledet vises nedenfor:
Ovenstående skærm viser, at der kun er allerede en bruger eksisterer, hvis navn er MyUser.
Liste over alle brugere i en gruppe (AWS Management Console)
- Log ind på AWS Management Console ved at indtaste din e-mailadresse og adgangskode.
- Åbn IAM-konsollen.
- I navigationsruden skal du klikke på gruppen, hvorefter skærmbilledet vises nedenfor:
Ovenstående skærm viser, at der ikke eksisterer nogen gruppe
Liste over alle brugere (CLI og API)
- Liste over alle brugere på en konto.
CLI command : aws iam list-users API command : ListUsers
- Angiv brugerne i en bestemt gruppe.
CLI command : aws iam get-group API command : GetGroup
- Liste over alle de grupper, hvori en bestemt bruger findes.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Slet en IAM-bruger (AWS Management Console)
- Log ind på AWS Management Console.
- Åbn IAM-konsollen.
- Klik på Brugere i navigationsruden.
- Marker afkrydsningsfeltet vises ud for brugernavnet.
- Fra listen Brugerhandlinger øverst på siden skal du vælge Slet bruger.
- Klik på Ja, Slet.
Slet en IAM-bruger (AWS CLI)
- Slet brugerens nøgler og certifikater som sikrer at brugeren ikke kan få adgang til dine AWS-konti.
aws iam delete-access-key aws iam delete-signing-certificate
- Slet brugerens adgangskode, hvis brugeren indeholder en adgangskode.
aws iam delete-login-profile
- Deaktiver brugerens MFA-enhed, hvis brugeren har en.
aws iam deactivate-mfa-device
- Vi kan også frakoble de politikker, der er knyttet til brugeren.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Hent listen over de grupper, som brugeren var i, og fjern derefter brugerne fra gruppen.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Slet brugeren
aws iam delete-user