Поиск по сайту:

Что такое IAM и как IAM работает в AWS?

На этой странице

  1. Предварительные требования
  2. Что мы будем делать
  3. Войти в AWS
  4. Создание пользователя IAM
  5. Создание роли IAM
  6. Создание IAM-группы
  7. Создание IAM-политики
  8. Вывод:

IAM (управление идентификацией и доступом) подпадает под службу «Безопасность, идентификация и соответствие» в AWS (Amazon Web Services). Она позволяет нам безопасно управлять доступом к сервисам и ресурсам AWS. С помощью IAM мы можем создавать и управлять пользователями AWS, группами , роли и использовать разрешения, чтобы разрешить или запретить им доступ к ресурсам AWS.

IAM предоставляется «без дополнительной оплаты», и мы платим только за другие используемые нами сервисы AWS.

AWS IAM помогает нам:

  • Управление пользователями и их доступом.
    Мы можем создавать пользователей в IAM и назначать им индивидуальные учетные данные безопасности. Мы можем управлять разрешениями, чтобы контролировать, какие операции пользователь может выполнять, а какие нет.
  • Управление ролями и их разрешениями. 
    Мы можем создавать роли в IAM и управлять разрешениями, чтобы контролировать, какие операции может выполнять сущность или сервис AWS, принимающий роль.
  • Управление федеративными пользователями и их разрешениями. 
    Мы можем включить федерацию удостоверений, чтобы разрешить существующим пользователям, группам и ролям на нашем предприятии доступ к AWS Management.

Чтобы узнать больше о сервисе IAM, см. официальную документацию AWS.

В этой статье мы увидим, как создать пользователя IAM, группу, роль IAM, назначить разрешение и создать пользовательскую политику.

Примечание. IAM не относится к определенному региону и распространяется на весь аккаунт AWS.

Предпосылки

  1. Аккаунт AWS (создайте, если у вас его нет).

Что мы будем делать

  1. Войдите в AWS.
  2. Создайте пользователя IAM.
  3. Создайте группу IAM и добавьте в нее пользователя.
  4. Создайте роль IAM.
  5. Создайте политику IAM.

Войти в АВС

  1. Нажмите здесь, чтобы перейти на страницу входа в AWS.

Когда мы перейдем по приведенной выше ссылке, мы увидим следующую веб-страницу, где нам необходимо войти в систему, используя наши данные для входа.

После успешного входа в AWS мы увидим главную консоль со всеми перечисленными ниже службами.

Создать пользователя IAM

Пользователь (IAM) — это объект, который мы создаем в AWS для представления человека или приложения, которое использует его для взаимодействия с AWS. Пользователь в AWS состоит из имени и учетных данных.

Нажмите «Службы» в верхнем левом углу, и вы увидите экран со всеми службами. Найдите «IAM» в разделе «Безопасность, идентификация и соответствие» и нажмите «IAM».

Вы увидите панель инструментов. Это домашняя страница IAM. Нажмите «Пользователи» на левой панели.

Нажмите «Добавить пользователя», чтобы создать нового пользователя.

Здесь дайте имя пользователю, которого нужно создать. Мы можем создать пользователя с двумя разными типами доступа.

  1. Программный доступ:
    Мы можем выполнять операции с аккаунтом AWS из AWS API, CLI, SDK и других инструментов разработки, используя этот тип доступа.
  2. Доступ к Консоли управления AWS:
    Этот тип доступа позволяет пользователю войти в Консоль управления AWS.

В этой статье мы создадим пользователя, имеющего «доступ к консоли управления AWS».

После того, как вы нажмете «Доступ к консоли управления AWS», вы получите поле для назначения пароля для пользователя.

У нас может быть «Автоматически сгенерированный пароль» или «Пользовательский пароль». Здесь мы выберем «Пользовательский пароль» и назначим пароль пользователю. В зависимости от требований мы можем заставить пользователя изменить пароль при следующем входе в систему. Здесь оставьте его как есть. Нажмите «Далее»: Разрешение», чтобы продолжить и назначить разрешения.

На следующем экране нажмите «Прикрепить существующие политики напрямую», найдите «доступ только для чтения» и установите флажок, как показано на следующем экране. Предоставив «ReadOnlyAccess», пользователь не сможет создавать какие-либо ресурсы AWS. Вы можете просмотреть список разрешений, чтобы понять их. Нажмите «Далее: тег», чтобы продолжить.

Назначение тегов не является обязательным, но помогает организовать, отслеживать или контролировать доступ для этого пользователя. Нажмите «Далее: Обзор», чтобы продолжить и создать пользователя.

Просмотрите конфигурацию и нажмите «Создать пользователя», чтобы создать пользователя.

Нажмите «Загрузить .csv», который содержит «Ссылку для входа в консоль». В случае создания пользователя с «Программным доступом» этот файл очень важен, поскольку он будет содержать «Идентификатор ключа доступа» и «Секретный ключ доступа», необходимые для получения доступа. Теперь вы можете нажать «Закрыть», как мы создали нашего первого пользователя.

Создать IAM-роль

Роль IAM — это идентификатор IAM, который мы можем создать в нашей учетной записи AWS с определенными разрешениями. Это похоже на пользователя IAM с политиками разрешений, которые определяют, что удостоверение может и что не может делать в AWS. Роль IAM позволяет сервисам AWS выполнять действия от нашего имени.

На главной странице IAM нажмите «Роли» на левой панели. Нажмите «Создать роль».

В этой статье мы создадим роль для службы Lambda. Нажмите «Лямбда» и нажмите «Далее: Разрешения».

В поле поиска найдите \ec2readonlyaccess и установите флажок для политики \AmazonEC2ReadyOnlyAccess. Это даст доступ «только для чтения» к функции Lambda в сервисе EC2. Нажмите «Далее: теги».

Добавлять теги необязательно, но их можно использовать для организации, отслеживания или контроля доступа для этой роли. Нажмите «Далее: Обзор», чтобы продолжить.

Дайте имя роли, добавьте описание и нажмите «Создать роль». Это создаст роль, которая позволит функциям Lambda вызывать службы AWS от вашего имени с помощью «ReadOnlyAccess» в службе «EC2».

Создать IAM-группу

Группа IAM — это набор пользователей IAM. Мы можем указать разрешения для нескольких пользователей с помощью роли, что может упростить управление разрешениями для этих пользователей.

На главной странице IAM нажмите «Группы» на левой панели. Нажмите «Создать новую группу».

Укажите имя и нажмите «Следующий шаг».

Найдите «доступ только для чтения», прокрутите вниз и установите флажок. Нажмите «Следующий шаг».

Просмотрите конфигурацию и нажмите «Создать группу».

Теперь у нас есть группа с «ReadOnlyAccess», что означает, что пользователи, принадлежащие к этой группе, будут иметь доступ только «только для чтения» к ресурсам/сервисам AWS.

Вернитесь на домашнюю страницу IAM и выберите группу, которую мы только что создали. Нажмите «Добавить пользователей в группу», чтобы добавить нашего пользователя в эту группу.

Выберите пользователя, которого мы создали на предыдущем шаге, и нажмите «Добавить пользователей». Это добавит нашего пользователя в группу, которую мы создали с \ReadOnlyAccess.

Создать IAM-политику

Политика IAM — это сущность, которая прикрепляется к удостоверению или ресурсу для определения их разрешений.

На домашней странице IAM нажмите «Политики» на левой панели. Нажмите «Создать политику».

Нажмите «Служба», чтобы выбрать службу, для которой необходимо создать политику. Найдите службу в поле поиска и выберите службу.

Вы получите список разрешений, которые могут быть назначены, здесь выберите «Список». Нажмите «Просмотреть политику».

Дайте имя политике и нажмите «Создать политику». Теперь эту политику можно прикрепить к пользователю, чтобы предоставить только разрешения «Список» в службе EC2. Мы можем выполнить те же действия, что и для присоединения политики при создании пользователя для присоединения этой политики.

Заключение:

В этой статье мы создали пользователя, роль и привязали к ним политику, создали группу и добавили в нее пользователя, создали кастомную политику, которую можно добавить к пользователю.