Управление пользователями IAM и их правами доступа. С IAM можно создавать пользователей, назначать им индивидуальные данные для безопасного доступа (такие как ключи доступа, пароли и устройства многофакторной аутентификации) или запрашивать временные данные для доступа пользователей к сервисам и ресурсам AWS. С помощью разрешений можно управлять возможностью пользователя выполнять определенные действия. Пользователями IAM могут быть следующие сущности.

  1. Привилегированные администраторы, которым необходим консольный доступ для управления ресурсами AWS.
  2. Конечные пользователи, которым необходим доступ к контенту в AWS.
  3. Системы, которым необходимы привилегии для программного доступа к данным в AWS.


Общие примеры использования по созданию пользователей IAM

  • В целях обеспечения безопасности рекомендуется не использовать аккаунт root, поскольку аккаунт root предоставляет доступ ко всем службам и ресурсам. Предоставляйте пользователям минимальное количество необходимых полномочий по принципу минимальных привилегий.
  • У вас в группе есть другие пользователи, у которых используются разные разрешения для доступа и авторизации. Когда используются пользователи IAM, легче назначать политики конкретным пользователям, которые обращаются к конкретным сервисам и связанным с ними ресурсам.
  • Пользователь IAM может использовать интерфейс командной строки AWS.
  • Пользователь IAM может использовать роль.


На следующей диаграмме показан канонический пример использования для создания пользователя IAM.

Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Уровень бесплатного пользования AWS включает 750 часов использования узла микрокэша Amazon ElastiCache.

Сведения об уровне бесплатного пользования AWS »

Читайте @AWSIdentity в Twitter
Create_User

 

Использование групп для простоты администрирования

Группа – это набор пользователей IAM. Группы позволяют назначать разрешения для набора пользователей, что упрощает управление разрешениями для этих пользователей. Например, можно создать группу с названием Admins и предоставить этой группе те типы разрешений, которые обычно необходимы администраторам. Любой пользователь из группы автоматически получает разрешения, предоставленные этой группе. Если новый сотрудник принят на работу в вашу организацию и должен иметь права администратора, вы можете предоставить ему соответствующие разрешения, добавив его в эту группу. Аналогичным образом, если сотрудник переходит на другую должность в организации, вместо редактирования разрешений для этого пользователя вы можете удалить его из старой группы и добавить в новую группу.