Hvordan lage IAM -brukere og brukergrupper på AWS

Flere brukere kan konfigureres på en enkelt AWS -konto når du har flere medlemmer i teamet eller organisasjonen din. Disse brukerne kalles IAM (Identity and Access Management) brukere. Hver bruker vil få sin unike bruker -ID og påloggingsinformasjon for sikkerhet og personvern. Alle disse brukerne vil bruke ressursene fra samme rotkonto, så det vil ikke være noen fakturering på IAM -brukerne, og bare rotkontoen vil bli belastet for den samlede bruken av tjenestene og ressursene. Som standard har rotkontoen vår i AWS alle tillatelser og tilgang til alt som er grunnen til at fra et sikkerhetsperspektiv er dette ikke en god idé å bruke din rotbruker til rutinemessige oppgaver, i stedet kan du opprette IAM -brukere og tilordne dem tillatelsene som brukere trenger å administrere systemet.

Hver bruker må tildeles tillatelser for å få tilgang til de nødvendige ressursene i henhold til hans roller og krav. Disse tillatelsene kan tillates ved direkte å legge ved en tillatelsespolicy med en IAM -bruker, men dette er ikke en god tilnærming fra et ledelsessynspunkt. Så en bedre tilnærming er å opprette en brukergruppe og tildele tillatelser til den gruppen, og alle IAM -brukere i brukergruppen vil arve tillatelsene som er tildelt brukergruppen, og du trenger ikke å administrere tillatelsene individuelt for hver IAM -bruker.

I denne bloggen skal vi se hvordan vi kan opprette en IAM -bruker- og brukergruppe i AWS ved hjelp av AWS Management Console og AWS Command Line -grensesnitt.

Opprette en IAM -bruker

For å opprette en IAM -bruker på AWS, kan du bruke enten rotkontoen eller hvilken som helst IAM -brukerkonto som har tillatelse og tilgang til å administrere IAM -brukerne. Det er følgende metoder for å lage en IAM -bruker i AWS.

• Bruke AWS Management Console
• Bruke AWS CLI (kommandolinjegrensesnitt)

Opprette IAM -bruker fra AWS Management Console

Logg på AWS -kontoen din og i den øverste søkefeltet, skriv IAM.

Velg IAM -alternativet nedover søkemenyen. Dette tar deg til IAM -dashbordet ditt.

Fra venstre sidepanel, klikk på Brukere Tab der du finner Legg til brukere alternativ.

For å opprette en ny bruker, må du konfigurere flere innstillinger. Først må du gi et brukernavn for en IAM -bruker og velge din påloggingsinformasjonstype. For å logge på brukerkontoen din ved hjelp av AWS Management Console, må du opprette et passord (du kan enten automatisk generere et passord eller bruke et tilpasset), eller hvis du vil få tilgang til brukerkontoen din fra CLI eller SDK, vil du trenger å sette opp en tilgangsnøkkel som vil gi deg tilgangsnøkkel -ID og en hemmelig tilgangsnøkkel.

I neste avsnitt må du administrere tillatelsene som er tilordnet hver IAM -bruker på en AWS -konto. Den bedre tilnærmingen for å gi tillatelser er å opprette en brukergruppe som vi vil se i neste avsnitt, men hvis du vil, kan du legge ved en tillatelsespolicy direkte til en IAM -bruker.

Det siste trinnet du finner er å legge til tagger som er enkle nøkkelord med beskrivelse for å spore alle ressurser på kontoen din relatert til det nøkkelordet. Tagger er valgfrie, og du kan hoppe over dem etter ditt valg.

Til slutt, bare gjennomgå detaljene du nettopp har gitt om den brukeren, og du er god til å lage en IAM -bruker.

Når du klikker på Opprett bruker, vises en ny skjerm der du kan laste ned brukeropplysningene dine i tilfelle du har aktivert tilgangstasten. Dette er nødvendig for å laste ned denne filen, da dette er den eneste gangen du kan få dem, ellers må du opprette nye legitimasjon.

For å logge deg på IAM -brukerkontoen din ved hjelp av administrasjonskonsollen, trenger du bare å oppgi konto -ID, brukernavn og passord.

Opprette IAM -bruker ved hjelp av CLI (Command Line Interface)

IAM -brukere kan opprettes ved hjelp av Command Line -grensesnittet, og dette er den vanligste metoden fra utviklerens synspunkt som foretrekker å bruke CLI over styringskonsoll. For AWS kan du sette opp CLI enten på Windows, Mac, Linux, eller bare du kan bruke AWS Cloudshell. Først, Logg inn på AWS -brukerkonto ved hjelp av legitimasjon og for å opprette en ny bruker Skriv inn følgende kommando.

$ AWS IAM Create-User-Brukernavn

IAM -brukeren er opprettet. Nå må du administrere sikkerhetsopplysning for kontoen din. For bare å sette opp et brukerpassord, kjør kommandoen:

$ AWS IAM Create-Login-Profile-Brukernavn-Passord

Til slutt må du administrere tillatelsene til din nyopprettede IAM -bruker. Du kan enten legge til brukeren i en gruppe, og brukeren vil få alle tillatelsene til den gruppen. For dette trenger du følgende kommando. Det vil ikke være noen produksjon å få.

$ aws iam add-user-to-group--group-name --Brukernavn

Hvis du direkte vil gi tillatelser til din IAM-bruker, kan du legge ved en policy til brukeren, dette kalles in-line policy. Bare i stedet for gruppenavn, må du gi ARN av policyen du vil legge ved.

$ aws iam vedlegg-bruker-policy-brukernavn >-Policy-Arn

Så dette er den komplette guiden for å opprette en IAM -bruker i AWS -kontoen din. Det kan bli lagt merke til at vi på intet tidspunkt har administrert AWS -regionen eller tilgjengelighetssonen, dette er fordi IAM -bruker er en global tjeneste uavhengig av regioner.

Opprette brukergrupper

Brukergrupper hjelper når du vil ha mer enn en bruker med lignende tillatelser, som om du har fire utviklere i teamet ditt, og du vil at alle skal ha lik tilgang. Det gir også enkelt vedlikehold av kontoen din, da du ikke trenger å se på hver brukertillatelser individuelt, og du kan bare se brukergruppen deres. Dessuten kan en bruker i AWS tilhøre flere brukergrupper eller til og med ingen brukergruppe.

Her skal vi se på å lage en brukergruppe med to metoder.

• Bruke AWS Management Console
• Bruke AWS CLI (kommandolinjegrensesnitt)

Opprette brukergrupper fra AWS Management Console

For å opprette en brukergruppe logger du bare på AWS -kontoen din og i den øverste søkefeltetypen IAM.

Velg IAM -alternativet nedover søkemenyen, dette tar deg til IAM -dashbordet ditt.

Velg Brukergrupper Tab. Dette tar deg til vinduet Brukergruppeadministrasjon. Klikk på Lag gruppe og følgende er trinnene for å opprette en brukergruppe.

Skriv inn navnet på brukergruppen.

Fra listen nedenfor kan du velge de eksisterende brukerne du vil legge til i denne gruppen. Dette trinnet er ikke obligatorisk, da du også kan legge til brukere i gruppen senere.

Det siste og viktigste trinnet i å opprette en brukergruppe er å knytte retningslinjer som gir tillatelser til den gruppen. Velg de du vil knytte til gruppen fra retningslinjene for policyer, og klikk bare på Create Group nederst til høyre hjørne.

Opprette brukergrupper som bruker CLI (Command Line Interface)

Logg deg på AWS -kommandolinjegrensesnittet ditt ved å bruke enten Windows, Mac, Linux eller Cloudshell. Her må du kjøre følgende kommando for å opprette en ny brukergruppe

$ AWS IAM CREATE-GROUP-GROUP-NAME

For å legge til brukere i gruppen din, bare kjør følgende kommando på terminalen.

$ aws iam add-user-to-group--group-name < --Brukernavn

Nå, endelig trenger vi bare å knytte en policy til vår brukergruppe. For dette kjørte følgende kommando:

$ aws iam vedleggsgruppe-policy--gruppe-navn --Policy-Arn

Så til slutt har du opprettet en ny brukergruppe, vedlagt tillatelsespolicy til den og har lagt til en bruker i den. I AWS er ​​brukergrupper globale, så du trenger ikke å administrere noen region for dette.

Konklusjon

Brukere og brukergrupper er en viktig del av AWS -infrastrukturen. Opprette flere brukere lar organisasjoner bruke enkeltskyinfrastruktur blant mange avdelinger og medlemmer. På den annen side hjelper brukergrupper oss med å administrere brukerne våre effektivt på AWS -kontoen vår ved å gi hver bruker de tillatelsene han ønsker å utføre oppgavene sine.