- משתמש IAM הוא ישות שנוצרה ב-AWS המספקת דרך ליצור אינטראקציה עם משאבי AWS.
- המטרה העיקרית של משתמשי IAM היא שהם יכולים להיכנס למסוף הניהול של AWS ויכולים להגיש בקשות לשירותי AWS.
- החדש שנוצר משתמשי IAM אין סיסמה ואין מפתח גישה. אם משתמש רוצה להשתמש במשאבי AWS באמצעות מסוף הניהול של AWS, עליך ליצור את סיסמת המשתמש. אם משתמש רוצה ליצור אינטראקציה באמצעות ה-AWS באופן תכנותי (באמצעות ה-CLI (ממשק שורת הפקודה)), עליך ליצור את מפתח הגישה עבור אותו משתמש. האישורים שנוצרו עבור IAM User הם אלו שמזהים את עצמם באופן ייחודי ל-AWS.
- ניתן לשפר את האבטחה של אישורי המשתמש על ידי שימוש בתכונה, כלומר, אימות רב-גורמי.
- למשתמשי IAM החדשים שנוצרו אין הרשאות, כלומר, הם אינם מורשים לגשת למשאבי AWS.
- היתרון בשימוש במשתמשי IAM בודדים הוא שאתה יכול להקצות את ההרשאות בנפרד. אתה יכול אפילו להקצות את ההרשאות הניהוליות, מי יכול לנהל את משאבי ה-AWS שלך וגם לנהל משתמשי IAM אחרים.
- בעיקר, ההרשאות של המשתמש מוגדרות למשימות ומשאבים של AWS, כלומר, העבודה שהוקצתה למשתמש IAM. לדוגמה, אתה יוצר משתמש IAM ששמו Advita, אתה יוצר למשתמש סיסמה ומגדיר את ההרשאות שיאפשרו לה להפעיל מופעים של Amazon EC2 ולקרוא את הנתונים ממסד הנתונים של Amazon RDS.
- כל משתמש IAM משויך לחשבון AWS אחד ויחיד.
- משתמשים מוגדרים בחשבונך, כך שהמשתמשים אינם צריכים לשלם. כל פעילות AWS שמתבצעת על ידי משתמש תחויב בחשבונך.
משתמשי IAM אינם בהכרח אנשים
משתמש IAM לא בהכרח מייצג עם. משתמש IAM הוא רק זהות עם הרשאה משויכת. אתה יכול גם ליצור משתמש IAM כדי לייצג אפליקציה שצריכה להיות בעלת אישורים כדי לגשת לשירותי AWS.
יצירת משתמש IAM (מסוף ניהול AWS)
כדי ליצור משתמש באמצעות מסוף הניהול של AWS:
- היכנס למסוף הניהול של AWS.
- פתח את מסוף IAM בכתובת https://console.aws.amazon.com/iam/home?region=us-east-2#/home. מופיע המסך המוצג להלן:
- בחלונית הניווט, לחץ על המשתמשים. לאחר לחיצה על המשתמשים, מופיע המסך שמוצג להלן:
- לחץ על הוסף משתמש כדי להוסיף משתמשים חדשים לחשבון שלך. לאחר לחיצה על הוסף משתמש, מופיע המסך שמוצג להלן:
- הזן את שם המשתמש עבור המשתמש שברצונך ליצור. אתה יכול ליצור חמישה משתמשים בכל פעם.
- בחר את סוג הגישה של AWS. או שאתה רוצה שלמשתמש תהיה גישה פרוגרמטית, גישת AWS Management Console או שניהם.
- אתה יכול גם לתת הרשאה למשתמש לנהל את אישורי האבטחה שלו.
יצירת משתמש IAM (CLI או API)
- צור משתמש
CLI command: aws iam create-user API command: CreateUser
- אתה יכול להקצות אישורי אבטחה כגון סיסמה למשתמש הנדרשת אם אתה רוצה שמשתמש ישתמש במסוף הניהול של AWS.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- צור מפתח גישה עבור המשתמש שנדרש אם המשתמש צריך לגשת למשאבי AWS באופן תוכנתי.
CLI command: aws iam create-access-key API command: CreateAccessKey
- צרף למשתמש מדיניות המגדירה את ההרשאות.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- ניתן להוסיף משתמש לקבוצה אחת או יותר.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
כיצד משתמשי IAM נכנסים לחשבון AWS שלך
- פתח את הקישור https://us-east-1.signin.aws.amazon.com/ כדי להיכנס לחשבון AWS שלך.
- משתמש IAM מזין את שם המשתמש והסיסמה שהוקצו על ידך כדי להיכנס ל-IAM Console.
רישום משתמשי IAM ( AWS Management Console )
- היכנס ל-AWS Management Console על ידי הזנת כתובת הדוא'ל והסיסמה שלך.
- פתח את מסוף IAM.
- בחלונית הניווט, לחץ על המשתמשים ואז מופיע המסך שמוצג להלן:
המסך שלמעלה מראה שיש רק כבר משתמש קיים ששמו הוא MyUser.
פירוט כל המשתמשים בקבוצה (AWS Management Console)
- היכנס ל-AWS Management Console על ידי הזנת כתובת הדוא'ל והסיסמה שלך.
- פתח את מסוף IAM.
- בחלונית הניווט, לחץ על הקבוצה, ואז מופיע המסך שמוצג להלן:
המסך שלמעלה מראה שלא קיימת קבוצה
פירוט כל המשתמשים (CLI ו-API)
- רשום את כל המשתמשים בחשבון.
CLI command : aws iam list-users API command : ListUsers
- רשום את המשתמשים בקבוצה מסוימת.
CLI command : aws iam get-group API command : GetGroup
- רשום את כל הקבוצות שבהן קיים משתמש ספציפי.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
מחק משתמש IAM (מסוף ניהול AWS)
- היכנס למסוף הניהול של AWS.
- פתח את מסוף IAM.
- בחלונית הניווט, לחץ על משתמשים.
- בחר תיבת הסימון מופיעה ליד שם המשתמש.
- מרשימת פעולות המשתמש בראש הדף, בחר מחק משתמש.
- לחץ על כן, מחק.
מחק משתמש IAM (AWS CLI)
- מחק את המפתחות והאישורים של המשתמש מה שמבטיח שהמשתמש לא יכול לגשת לחשבונות ה-AWS שלך.
aws iam delete-access-key aws iam delete-signing-certificate
- מחק את סיסמת המשתמש, אם המשתמש מכיל סיסמה.
aws iam delete-login-profile
- השבת את מכשיר ה-MFA של המשתמש, אם יש למשתמש כזה.
aws iam deactivate-mfa-device
- אנו יכולים גם לנתק את המדיניות המצורפת למשתמש.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- קבל את רשימת הקבוצות בהן היה המשתמש ולאחר מכן הסר את המשתמשים מהקבוצה.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- מחק את המשתמש
aws iam delete-user