Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Получите доступ к уровню бесплатного пользования AWS на год, включая возможности базовой поддержки AWS Basic Support: круглосуточное обслуживание клиентов (без праздников и выходных), форумы и многое другое.


Вопрос: Что такое AWS Identity and Access Management (IAM)?
IAM AWS можно использовать для обеспечения безопасного индивидуального и группового доступа к ресурсам AWS. Вы можете создавать удостоверения пользователей («пользователей IAM»), управлять ими и предоставлять этим пользователям IAM разрешения на доступ к ресурсам. Можно также предоставлять разрешения пользователям, не зарегистрированным в AWS («федеративным пользователям»).

Вопрос: Как начать использовать IAM?
Чтобы начать использовать IAM, необходимо подписаться хотя бы на один сервис AWS, который интегрирован с IAM. После этого можно создавать пользователей, группы и разрешения, а также управлять ими с помощью API IAM, интерфейса командной строки AWS или консоли IAM, предоставляющей интерактивный веб-интерфейс. Для создания политик можно также использовать визуальный редактор.

Вопрос: Какие задачи решает IAM?
IAM упрощает предоставление безопасного доступа множества пользователей к вашим ресурсам AWS. IAM предоставляет приведенные ниже возможности.

  • Управление пользователями IAM и их правами доступа. Можно создавать пользователей в системе управления удостоверениями AWS, назначать им индивидуальные данные для доступа (такие как ключи доступа, пароли, устройства многофакторной аутентификации) или запрашивать временные данные для доступа пользователей к сервисам и ресурсам AWS. Можно предоставлять разрешения для контроля за операциями, выполняемыми пользователями.
  • Управление доступом для федеративных пользователей. Для пользователей, которыми вы управляете в корпоративном каталоге, можно запрашивать данные, подтверждающие права доступа и имеющие ограниченный срок действия. Это позволит предоставлять сотрудникам и приложениям безопасный доступ к вашему аккаунту AWS без создания для них отдельных аккаунтов пользователей IAM. Для таких данных можно назначать разрешения для контроля за операциями, выполняемыми пользователями.

Вопрос: Кто может использовать IAM?
Любой клиент AWS может использовать IAM. Дополнительная плата за пользование этим сервисом не взимается. Плата взимается только за использование других сервисов AWS вашими пользователями.

Вопрос: Кто или что понимается под пользователем?
Пользователю присваивается уникальное удостоверение, распознаваемое сервисами и приложениями AWS. Как и в операционных системах типа Windows или UNIX, пользователь имеет уникальное имя и может идентифицироваться с помощью привычных данных, подтверждающих права доступа, таких как пароль или ключ доступа. В роли пользователя может выступать частное лицо, система или приложение, которым требуется доступ к сервисам AWS. IAM поддерживает пользователей (далее «пользователи IAM»), контролируемых через систему управления удостоверениями AWS. С помощью IAM вы также можете предоставлять доступ к ресурсам AWS тем пользователям, управление которыми в корпоративном каталоге осуществляется не системой AWS (далее «федеративные пользователи»).

Вопрос: Какие действия может выполнять пользователь?
Пользователь может отправлять запросы в веб-сервисы, такие как Amazon S3 и Amazon EC2. Возможность доступа пользователя к API веб-сервисов находится под контролем и в зоне ответственности аккаунта AWS, в рамках которого определен пользователь. Можно разрешить пользователю доступ к некоторым или всем сервисам AWS, которые интегрированы с IAM и на которые подписан аккаунт AWS. При наличии соответствующего разрешения пользователь получает доступ ко всем ресурсам в рамках аккаунта AWS. Кроме того, если аккаунт AWS имеет доступ к ресурсам другого аккаунта AWS, то связанные с ним пользователи могут получить доступ к данным обоих аккаунтов AWS. Любые ресурсы в AWS, создаваемые пользователем, находятся под контролем соответствующего аккаунта AWS и оплачиваются со счета этого аккаунта. Пользователь не может отдельно подписаться на сервисы AWS либо управлять ресурсами.

Вопрос: Как пользователи могут вызывать сервисы AWS?
Пользователи могут выполнять запросы к сервисам AWS, используя данные, подтверждающие права доступа. Возможность обращения пользователей к сервисам AWS регулируется с помощью явных разрешений. По умолчанию пользователи не могут вызывать API сервисов от имени аккаунта.

Вопрос: Как начать использовать IAM?
Чтобы начать использовать IAM, необходимо подписаться хотя бы на один сервис AWS, который интегрирован с IAM. Затем вы можете создавать пользователей, группы и разрешения, а также управлять ими с помощью API IAM, интерфейса командной строки AWS или консоли IAM, предоставляющей интерактивный веб-интерфейс. Для создания политик также можно воспользоваться AWS Policy Generator.


Вопрос: Как осуществляется управление пользователями IAM?
Перечисленные ниже действия можно выполнять в IAM различными способами.

  • Создание пользователей IAM и управление ими.
  • Создание групп IAM и управление ими.
  • Управление данными для доступа пользователей.
  • Создание политик для предоставления доступа к сервисам и ресурсам AWS и управление ими.

Можно создавать пользователей, группы и политики и управлять ими с помощью API IAM, интерфейса командной строки или консоли IAM. Для создания и тестирования политик также можно использовать визуальный редактор и симулятор политик IAM.

Вопрос: Что такое группа?
Группа – это коллекция пользователей IAM. Управление членством в группе осуществляется с помощью простого списка.

  • Пользователей можно добавлять в группу или удалять из нее.
  • Один пользователь может принадлежать к нескольким группам.
  • Группы не могут принадлежать к другим группам.
  • Группам могут выдаваться разрешения на основании политик управления доступом. Управлять разрешениями для коллекций пользователей удобнее, чем для каждого пользователя по отдельности.
  • Группы не обладают данными, подтверждающими права доступа, и не могут получать доступ к веб-сервисам напрямую; они существуют исключительно для того, чтобы упростить управление разрешениями для пользователей. Дополнительные сведения см. в разделе Working with Groups and Users.

Вопрос: Какими данными, подтверждающими права доступа, могут обладать пользователи IAM?
Пользователи IAM могут обладать данными для доступа в любой комбинации, поддерживаемой AWS. К таким данным относятся, например, ключ доступа AWS, сертификат X.509, ключ SSH, пароль для входа в интернет-приложение или устройство MFA. Это позволяет пользователям взаимодействовать с AWS удобным для них способом. Сотрудник может иметь как ключ доступа AWS, так и пароль; система программного обеспечения может обладать только ключом доступа AWS, позволяющим совершать программные вызовы; пользователи IAM могут иметь частный ключ SSH для доступа к репозиториям AWS CodeCommit; сторонний подрядчик может иметь только сертификат X.509, позволяющий использовать интерфейс командной строки EC2. Дополнительные сведения см. в разделе «Безопасные временные данные для доступа» документации IAM.

Вопрос: Какие сервисы AWS поддерживают пользователей IAM?
Полный список сервисов AWS с поддержкой пользователей IAM см. в разделе «Сервисы AWS, работающие с IAM» документации IAM. В AWS в будущем планируется внедрение поддержки других сервисов.

Вопрос: Можно ли активировать и деактивировать пользователей?
Да. Ключи доступа пользователей IAM можно активировать и деактивировать через API IAM, интерфейс командной строки AWS или консоль IAM. Деактивация ключей доступа означает, что пользователь не сможет получить программный доступ к сервисам AWS.

Вопрос: Кто может управлять пользователями в аккаунте AWS?
Владелец аккаунта AWS может управлять пользователями, группами, данными, подтверждающими права доступа, и разрешениями. Кроме того, отдельным пользователям можно разрешить работать с API IAM для управления другими пользователями. Например, для управления корпоративными пользователями рекомендуется создать пользователя-администратора. Пользователь, получивший такое разрешение, может управлять другими пользователями с помощью API IAM, интерфейса командной строки AWS или консоли IAM.

Вопрос: Можно ли упорядочить коллекцию пользователей в виде определенной иерархии, например LDAP?
Да. Пользователей и группы можно организовывать в отдельные ветви, аналогично ветвям объектов в Amazon S3, например /mycompany/division/project/joe.

Вопрос: Можно ли разделять пользователей по регионам?
На начальном этапе такая возможность отсутствует. На сегодняшний день пользователи являются глобальными сущностями, как, например, аккаунт AWS. При определении разрешений пользователя указание региона не требуется. Пользователи могут работать с сервисами AWS в любом географическом регионе.

Вопрос: Как конфигурируются устройства MFA для пользователей IAM?
Владелец аккаунта AWS может заказать множество устройств MFA. Эти устройства можно назначить отдельным пользователям IAM с помощью API IAM, интерфейса командной строки AWS или консоли IAM.

Вопрос: Какой вид ротации ключей поддерживается для пользователей IAM?
Ротация пользовательских ключей доступа и сертификатов X.509 выполняется точно так же, как для идентификаторов доступа аккаунта AWS с правами root. Программное управление пользовательскими ключами доступа и сертификатами X.509, а также их ротация реализуются через API IAM, интерфейс командной строки AWS или консоль IAM.

Вопрос: Могут ли пользователи IAM иметь персональные SSH-ключи EC2?
В первоначальной версии такая возможность отсутствует. IAM не касается SSH-ключей EC2 или сертификатов Windows RDP. Это означает, что хотя у каждого пользователя есть данные для доступа к API веб-сервиса, у них также должны быть SSH-ключи, общие для пользователей аккаунта AWS, к которому они относятся.

Вопрос: Где можно использовать ключи SSH?

В настоящее время пользователи IAM могут использовать свои ключи SSH только при работе с AWS CodeCommit для доступа к своим репозиториям.

Вопрос: Должны ли использоваться адреса электронной почты в качестве имен пользователей IAM?
Не обязательно, но могут. Имена пользователей представляют собой просто строки ASCII, уникальные для определенного аккаунта AWS. При назначении имен пользователей вы можете руководствоваться любыми принципами присваивания имен пользователей, используя в том числе и адреса электронной почты.

Вопрос: Какую кодировку необходимо использовать для имен пользователей IAM?
Сущности IAM поддерживают только кодировку ASCII.

Вопрос: Поддерживаются ли другие атрибуты пользователя, кроме имени?
В настоящий момент такая возможность отсутствует.

Вопрос: Как устанавливать пользовательские пароли?
Первоначально пароль для пользователя IAM можно установить с помощью консоли IAM, интерфейса командной строки AWS или API IAM. После первичной инициализации пароли более никогда не отображаются в виде незашифрованного текста, а также не отображаются и не возвращаются при вызове через API. Пользователи IAM могут управлять собственными паролями на странице My Password в Консоли IAM. Чтобы перейти на эту страницу, необходимо выбрать параметр «Security Credentials» в раскрывающемся меню Консоли управления AWS, расположенном в правом верхнем углу экрана.

Вопрос: Можно ли определить политику паролей для пользователей?
Да, можно принудительно обеспечить создание сложных паролей, например установить минимальную длину пароля или требовать присутствия в нем хотя бы одной цифры. Можно также задать автоматическое истечение срока действия пароля, запретить повторное использование старых паролей и запрашивать сброс пароля при следующем входе в AWS. Дополнительные сведения см. в разделе Setting an Account Policy Password for IAM Users.

Вопрос: Можно ли устанавливать квоты на использование для пользователей IAM?
Нет. Все ограничения накладываются на аккаунт AWS в целом. Например, если аккаунт AWS имеет лимит в 20 инстансов Amazon EC2, пользователи IAM с разрешениями на использование EC2 могут запускать инстансы вплоть до этого ограничения. Невозможно ограничить действия отдельного пользователя.


Вопрос: Что такое роль в IAM?
Роль – это сущность IAM, которая определяет набор разрешений для выполнения запросов к сервисам AWS. Роли IAM не связываются с конкретным пользователем или группой. Вместо этого роли присваиваются доверенным сущностям, например пользователям IAM, приложениям или сервисам AWS, таким как EC2.

Вопрос: Какие задачи решают роли в IAM?
Роли в IAM позволяют делегировать доступ с определенными разрешениями доверенным сущностям без необходимости делиться ключами доступа длительного действия. Роли IAM можно использовать для делегирования доступа пользователям IAM, управляемым вашим аккаунтом, пользователям IAM, связанным с другим аккаунтом AWS, или сервису AWS, например EC2.

Вопрос: Как начать использовать роли в IAM?
Процесс создания роли аналогичен процессу создания пользователя – необходимо дать роли имя и прикрепить к ней политику. Дополнительные сведения см. в разделе Creating IAM Roles.

Вопрос: Как присвоить себе роль в IAM?
Роль в IAM можно присвоить путем вызова API AssumeRole сервиса AWS Security Token Service (STS) (другими словами, AssumeRole, AssumeRoleWithWebIdentity и AssumeRoleWithSAML). Эти API возвращают пакет временных данных, подтверждающих права доступа. Приложения могут затем использовать эти данные для подписи запросов к API сервисов AWS.

Вопрос: Сколько ролей в IAM разрешается себе присвоить?
Какое-либо ограничение по количеству присваиваемых ролей в IAM отсутствует. Однако при создании запросов к сервисам AWS можно единовременно использовать только одну роль.

Вопрос: Кто может использовать роли в IAM?
Любой клиент AWS может использовать роли IAM.

Вопрос: Сколько стоят роли в IAM?
Роли в IAM бесплатны. Вы продолжите платить за ресурсы, которые использует роль в вашем аккаунте AWS.

Вопрос: Как управлять ролями в IAM?
Роли в IAM можно создавать и управлять ими с помощью API IAM, интерфейса командной строки AWS или Консоли IAM, предоставляющей интерактивный веб-интерфейс.

Вопрос: В чем разница между ролью в IAM и пользователем IAM?
Пользователь IAM имеет постоянные данные, подтверждающие права доступа, с длительным сроком действия и используется для взаимодействия с сервисами AWS напрямую. Роль в IAM не имеет каких-либо данных, подтверждающих права доступа, и не может выполнять запросы к сервисам AWS напрямую. Роли IAM предназначены для присвоения сущностям, имеющим соответствующие права, таким как пользователи IAM, приложения или сервисы AWS, например EC2.

Вопрос: Когда следует использовать пользователя IAM, а когда – группу или роль IAM?

Пользователь IAM имеет постоянные данные, подтверждающие права доступа, с длительным сроком действия и используется для взаимодействия с сервисами AWS напрямую. Группа в IAM предназначена прежде всего для удобства управления, позволяя управлять одинаковыми наборами разрешений для наборов пользователей IAM. Роль в IAM – это сущность в AWS Identity and Access Management (IAM) с разрешениями на выполнение запросов к сервисам AWS. Роли IAM не могут выполнять запросы к сервисам AWS напрямую; роли присваиваются сущностям, имеющим соответствующие права, таким как пользователи IAM, приложения или сервисы AWS, например EC2. Роли IAM используются для делегирования доступа внутри аккаунта AWS или между аккаунтами.

Вопрос: Можно ли добавить роль IAM группе IAM?
В настоящий момент такая возможность отсутствует.

Вопрос: Сколько политик можно прикрепить к роли IAM?

Для встроенных политик: вы можете добавлять столько встроенных политик для пользователя, роли или группы, сколько хотите, но общий совокупный размер политик (суммарный размер всех встроенных политик), приходящихся на сущность, не может превышать приведенных ниже лимитов.

  • Размер политики для пользователей не может превышать 2048 символов.
  • Размер политики ролей не может превышать 10 240 символов.
  • Размер групповой политики не может превышать 5120 символов.

Для управляемых политик: для пользователя, роли или группы можно добавлять до 10 управляемых политик. Размер каждой управляемой политики не может превышать 6144 символов.

Вопрос: Сколько ролей IAM разрешается создавать?
В рамках одного аккаунта AWS можно создавать не более 1000 ролей IAM. Если требуется больше ролей, следует отправить запрос на увеличение лимита IAM с помощью данной формы и описать свой пример использования. Запрос будет рассмотрен.

Вопрос: К каким сервисам мое приложение может отправлять запросы?
Ваше приложение может выполнять запросы к любым сервисам AWS, которые поддерживают ролевые сеансы.

Вопрос: Что представляют собой роли в IAM для инстансов EC2?
Роли в IAM для инстансов EC2 позволяют приложениям, запущенным в EC2, выполнять запросы к таким сервисам AWS, как Amazon S3, Amazon SQS и Amazon SNS, без необходимости копирования ключей доступа AWS для каждого инстанса. Подробнее см. в разделе Роли IAM для Amazon EC2

Вопрос: Каковы возможности ролей в IAM для инстансов EC2?

Роли в IAM предоставляют приведенные ниже возможности для инстансов EC2.

  • Временные данные, подтверждающие права доступа к AWS, для использования при создании запросов от запущенных инстансов EC2 к сервисам AWS.
  • Автоматическая ротация временных данных, подтверждающих права доступа к AWS.
  • Детальные разрешения сервисов AWS для приложений, запущенных в инстансах EC2.

Вопрос: Какую задачу решают роли в IAM для инстансов EC2?
Роли в IAM для инстансов EC2 упрощают развертывание ключей доступа AWS для инстансов EC2 и управление ими. Используя данную возможность, можно связать роль в IAM с инстансом. Затем ваш инстанс EC2 предоставит приложениям, запущенным в инстансе, временные данные для доступа. Приложения смогут использовать эти данные для безопасного выполнения запросов к ресурсам сервиса AWS, определенным в роли.

Вопрос: Как начать использовать роли IAM для инстансов EC2?
Чтобы понять, как роли работают с инстансами EC2, нужно создать роль, используя консоль IAM, запустить инстанс EC2, использующий эту роль, и затем изучить запущенный инстанс. Проанализировав метаданные инстанса, можно понять, как данные для доступа конкретной роли становятся доступными для инстанса. Можно также увидеть, как приложение, запущенное в инстансе, может использовать данную роль. Подробнее см. в вопросе Как начать использовать IAM?

Вопрос: Можно ли использовать одну и ту же роль в IAM для нескольких инстансов EC2?
Да.

Вопрос: Можно ли изменить роль в IAM для запущенного инстанса EC2?
Да. Обычно роль инстанса EC2 назначается при запуске, но можно назначить роль и для уже работающего инстанса EC2. Узнать, как назначить роль для работающего инстанса, можно в разделе Роли IAM для Amazon EC2. Можно также изменить разрешения для роли IAM, связанной с работающим инстансом. Обновленные разрешения вступят в действие практически немедленно.

Вопрос: Можно ли связать роль IAM с уже работающим инстансом EC2?
Да. Для уже работающего инстанса EC2 можно назначить новую роль. Узнать, как назначить роль для уже работающего инстанса, можно в разделе Роли IAM для Amazon EC2.

Вопрос: Можно ли связать роль в IAM с группой Auto Scaling?

Да. Роль в IAM можно добавить в качестве дополнительного параметра в конфигурацию запуска Auto Scaling, а затем создать группу Auto Scaling с этой конфигурацией запуска. Для всех инстансов EC2, запущенных в группе Auto Scaling, которая связана с ролью IAM, эта роль будет передана при запуске как входной параметр. Подробнее см. в разделе Что такое Auto Scaling? Руководства для разработчиков по Auto Scaling.

Вопрос: Можно ли связать более одной роли с инстансом EC2?
Нет. В настоящее время с инстансом EC2 можно связать только одну роль. Лимит в одну роль для инстанса увеличить невозможно.

Вопрос: Что будет, если удалить роль IAM, назначенную для работающего инстанса EC2?
Доступ будет немедленно запрещен любому приложению, запущенному в инстансе, который использует эту роль.

Вопрос: Можно ли контролировать то, какие роли в IAM пользователь IAM может связывать с инстансом EC2?
Да. Подробнее см. в разделе Разрешения, необходимые для использования ролей при работе с Amazon EC2.

Вопрос: Какие разрешения требуются для запуска инстансов EC2 с ролью IAM?
Для успешного запуска инстансов EC2 с ролями пользователь IAM должен обладать двумя различными разрешениями:

  • разрешением на запуск инстансов EC2;
  • разрешением на связь ролей в IAM с инстансами EC2.

Подробнее см. в разделе Разрешения, необходимые для использования ролей при работе с Amazon EC2.

Вопрос: Кто может получать доступ к ключам доступа в инстансе EC2?
Любой локальный пользователь инстанса может получить доступ к ключам доступа, связанным с ролью в IAM.

Вопрос: Как использовать роль в IAM для приложения в инстансе EC2?
Если приложение разрабатывается с использованием SDK AWS, то SDK AWS автоматически использует ключи доступа AWS, ставшие доступными на инстансе EC2. Если SDK AWS не используется, то запросить ключи доступа можно в EC2 Instance Metadata Service. Подробнее см. в разделе Использование роли IAM для предоставления разрешений приложениям, работающим в инстансах Amazon EC2.

Вопрос: Как обеспечить ротацию временных данных, подтверждающих права доступа к инстансу EC2?
Для временных данных, связанных с ролью в IAM и подтверждающих права доступа к AWS, ротация происходит автоматически несколько раз в день. Новые временные данные, подтверждающие права доступа, становятся доступными не позднее чем за пять минут до конца срока действия существующих временных данных.

Вопрос: Роли IAM для инстансов EC2 можно использовать с любыми типами инстансов или AMI?
Да. Роли в IAM для инстансов EC2 также работают в Amazon Virtual Private Cloud (VPC), со спотовыми и зарезервированными инстансами.

Вопрос: Что такое связанная с сервисом роль?
Связанная с сервисом роль – это тип роли, которая связывается с сервисом AWS (также известным как связанный сервис), при этом только этот связанный сервис может принимать на себя данную роль. С помощью таких ролей можно делегировать разрешения сервисам AWS для создания ресурсов AWS и управления ими от имени пользователя.

Вопрос: Можно ли брать на себя связанную с сервисом роль?
Нет. Связанную с сервисом роль может брать на себя только конкретный связанный сервис. Именно по этой причине для связанной с сервисом роли нельзя изменить политику доверия.

Вопрос: Можно ли удалить связанную с сервисом роль?
Да. Если больше не требуется, чтобы сервис AWS выполнял действия от вашего имени, можно удалить связанную с сервисом роль. Перед удалением роли необходимо удалить все ресурсы AWS, связанные с этой ролью. Этот шаг защищает от случайного удаления роли, необходимой для правильной работы ресурсов AWS.

Вопрос: Как можно удалить связанную с сервисом роль?
Связанную с сервисом роль можно удалить из консоли IAM. Выберите Roles в навигационной панели, выберите связанную с сервисом роль, которую вы хотите удалить, и нажмите Delete role. (Примечание: при работе с Amazon Lex для удаления связанной с сервисом роли нужно использовать консоль Amazon Lex).


Вопрос: Как работают разрешения?

Политики управления доступом назначаются пользователям, группам и ролям и используются для определения разрешений на использование ресурсов AWS. По умолчанию пользователи, группы и роли IAM не имеют разрешений. Чтобы предоставить их, пользователи с достаточными разрешениями должны использовать политики.

Вопрос: Как назначить разрешения с помощью политики?

Для назначения разрешений можно создать и назначить политики с помощью Консоли управления AWS, API IAM или интерфейса командной строки AWS. Пользователи, которым были предоставлены необходимые разрешения, могут создавать политики и назначать их пользователям, группам и ролям IAM.

Вопрос: Что такое управляемые политики?

Управляемые политики – это ресурсы IAM, устанавливающие разрешения с помощью языка политик IAM. Они могут создаваться, редактироваться и управляться отдельно от пользователей, групп и ролей IAM, с которыми они связаны. Управляемую политику можно связать с несколькими пользователями, группами или ролями IAM. После этого ее можно обновлять централизованно, и разрешения будут автоматически применены ко всем сущностям, с которыми связана эта политика. Управляемые политики управляются вами (политики, управляемые клиентом) или AWS (политики, управляемые AWS). Дополнительные сведения об управляемых политиках см. в разделе Managed Policies and Inline Policies.

Вопрос: Как создать политику, управляемую клиентом?

Можно воспользоваться визуальным редактором или редактором JSON в консоли IAM. Визуальный редактор представляет собой интерактивный редактор, управляемый мышью, который проводит пользователя через процесс создания политики предоставления разрешений, не требуя написания политики в формате JSON. Можно создавать политики и в формате JSON с помощью интерфейса командной строки и SDK.

Вопрос: Как назначить общеупотребительные разрешения?

Сервис AWS предоставляет набор общеупотребительных разрешений, которые можно закрепить за пользователями, группами и ролям IAM в аккаунте. Эти разрешения называются политиками, управляемыми AWS. В качестве примера можно привести доступ только для чтения к Amazon S3. Когда AWS обновляет эти политики, разрешения автоматически применяются к пользователям, группам и ролям, за которыми политика закреплена. Политики, управляемые AWS, автоматически отображаются в разделе Policies консоли IAM. При назначении разрешения можно использовать политику, управляемую AWS, или создать управляемую пользовательскую политику. Создайте новую политику на основе существующей политики, управляемой AWS, или определите свою собственную политику.

Вопрос: Как работают разрешения на основе групп?

Используйте группы IAM для назначения одного и того же набора разрешений нескольким пользователям IAM. Пользователям также могут быть назначены индивидуальные разрешения. Эти два способа назначения разрешений работают совместно и создают общий набор разрешений пользователя.

Вопрос: В чем отличие между назначением разрешений с помощью групп IAM и назначением разрешений с помощью управляемых политик?

Группы IAM используются для объединения пользователей IAM и определения общих разрешений для этих пользователей. Управляемые политики используются для совместного использования разрешений пользователями, группами и ролями IAM. К примеру, если вы желаете, чтобы группа пользователей могла запускать инстанс Amazon EC2, а также чтобы роль в этом инстансе имела одинаковые с пользователями в группе разрешения, то вы можете создать управляемую политику и назначить ее группе пользователей и роли в этом инстансе Amazon EC2.

Вопрос: Как анализируются политики IAM в сочетании с политиками Amazon S3, Amazon SQS, Amazon SNS и AWS KMS на основе ресурсов?

Политики IAM анализируются вместе с политиками сервиса, основанными на ресурсах. Когда политика любого типа предоставляет доступ (без явного отказа), действие разрешается. Подробнее о логике анализа политик см. в разделе IAM Policy Evaluation Logic

Вопрос: Можно ли использовать управляемую политику как политику на основе ресурсов?

Управляемые политики могут быть назначены только пользователям, группам или ролям IAM. Их нельзя использовать как политики на основе ресурсов.

Вопрос: Как назначить детализированные разрешения, используя политики?

Используя политики, можно указать несколько уровней детализации разрешений. Во-первых, можно определить конкретные сервисные операции AWS, доступ к которым вы хотите разрешить или явным образом запретить. Во-вторых, в зависимости от операции, можно определить конкретные ресурсы AWS, на которых будут выполняться эти операции. В-третьих, можно определить условия, в зависимости от которых политика будет иметь силу (например, включена MFA или нет).

Вопрос: Как проще всего удалить ненужные разрешения?

Чтобы было легче определить, какие разрешения нужны, консоль IAM в настоящее время отображает данные о последнем доступе к сервису, показывающие время последнего доступа сущности IAM (пользователя, группы или роли) к сервису AWS. Информация о том, когда сущность IAM в последний раз использовала разрешение, и использовала ли вообще, может помочь удалить ненужные разрешения и ужесточить политики IAM с наименьшими трудозатратами.

Вопрос: Могу ли я предоставлять разрешения на доступ к сведениям уровня аккаунта или на их изменение (например, средство оплаты, контактный адрес электронной почты и журнал оплаты)?

Да. Вы можете делегировать возможность просмотра данных об оплате AWS и изменения сведений аккаунта AWS пользователю IAM или федеративному пользователю. Подробнее об управлении доступом к сведениям об оплате см. в разделе Управление доступом.

Вопрос: Кто может создавать ключи доступа к аккаунту AWS и управлять ими?

Только владелец аккаунта AWS может управлять ключами доступа для аккаунта root. Владелец аккаунта и пользователи или роли IAM, которым были предоставлены необходимые разрешения, могут управлять ключами доступа для пользователей IAM.

Вопрос: Могу ли я предоставить разрешение на доступ к ресурсам AWS, принадлежащим другому аккаунту AWS?
Да. С помощью ролей IAM пользователи IAM и федеративные пользователи могут получать доступ к ресурсам в другом аккаунте AWS через Консоль управления AWS, интерфейс командной строки AWS или API AWS. Дополнительные сведения см. в разделе Управление ролями IAM.

Вопрос: Как выглядит политика?

Приведенная ниже политика предоставляет доступ к операциям добавления, изменения и удаления объектов из конкретной папки с именем example_folder, в конкретной корзине с именем example_bucket.

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect": "Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

Вопрос: Что такое сводная информация о политике?

Если в консоли IAM выбрать политику, то вы увидите сводную информацию о политике. В сводной информации о политике перечислены уровень доступа, ресурсы и условия для каждого сервиса, определенного в политике (см. пример на приведенных ниже снимках экрана). Уровень доступа (просмотр, чтение, запись или управление разрешениями) определяется по действиям, разрешенным политикой для каждого сервиса. Политику можно просматривать в формате JSON, воспользовавшись кнопкой JSON.

Снимок экрана сводной информации о политике

Вопрос: Что такое симулятор политик IAM?
Симулятор политики IAM – это инструмент, позволяющий понять, проверить и оценить эффективность политик управления доступом.

Вопрос: Для чего можно использовать симулятор политик?
Симулятор политик можно использовать несколькими способами. Можно проверять изменения политик перед тем, как передать их в работу, чтобы убедиться, что они работают так, как нужно. Можно проводить оценку существующих политик, назначенных пользователям, группам и ролям, чтобы проверить разрешения и решить связанные с ними проблемы. Можно также использовать симулятор политик для того, чтобы разобраться, как политики IAM и политики на основании ресурсов работают совместно и предоставляют или отклоняют доступ к ресурсам AWS.

Вопрос: Кто может использовать симулятор политик?
Симулятор политик доступен для всех клиентов AWS.

Вопрос: Сколько стоит симулятор политик?
Симулятор политик предоставляется без дополнительной оплаты.

Вопрос: Как начать работу с симулятором политик?
Перейдите на страницу https://policysim.aws.amazon.com или нажмите ссылку в консоли IAM в разделе «Additional Information». Определите новую политику или выберите существующий набор политик, назначенный пользователю, группе или роли, для оценки. Затем выберите набор действий в списке сервисов AWS, введите всю информацию, требуемую для имитации запроса доступа, запустите имитационное моделирование и определите, разрешает или запрещает политика доступ к выбранным действиям и ресурсам. Чтобы узнать больше о симуляторе политик IAM, просмотрите видео по началу работы или ознакомьтесь с документацией.

Вопрос: Какие виды политик поддерживает симулятор политик IAM?
Симулятор политик поддерживает проверку новых и существующих политик, закрепленных за пользователями, группами или ролями. Кроме того, вы можете проверять предоставление политиками уровня ресурсов доступа к определенному ресурсу для корзин Amazon S3, хранилищ Amazon Glacier, тем Amazon SNS и очередей Amazon SQS. Эта проверка включена в моделирование с указанием имени ресурса Amazon (ARN) в поле «Resource» в параметрах симуляции сервиса, который поддерживает политики ресурсов.

Вопрос: Если внести изменения в политику в симуляторе, будут ли они применены к политике, развернутой в производственной среде?
Нет. Чтобы применить изменения в производственной среде, скопируйте политику, которую вы изменили в симуляторе, и закрепите ее за необходимым пользователем, группой или ролью IAM.

Вопрос: Можно ли использовать симулятор программным способом?
Да. Симулятор политик можно использовать не только в консоли, но и с помощью AWS SDK или интерфейса командной строки AWS. Используйте вызов API iam:SimulatePrincipalPolicy, чтобы проверить существующие политики IAM программным способом. Чтобы проверить работу новых или обновленных политик, еще не назначенных пользователям, группам или ролям, используйте вызов API iam:SimulateCustomPolicy.


Вопрос: Как пользователю IAM войти в систему?

Для входа в консоль управления AWS в качестве пользователя IAM, помимо своего имени пользователя и пароля, необходимо предоставить ID или псевдоним аккаунта. При создании аккаунта пользователя IAM в консоли администратор должен предоставить вам ваше зарегистрированное имя пользователя и ссылку на страницу аутентификации. Данная ссылка включает в себя ID или псевдоним вашего аккаунта.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Можно также войти, используя следующий адрес, дописав к нему ID или псевдоним вашего аккаунта вручную:

https://console.aws.amazon.com/

Для удобства пользователей страница аутентификации AWS использует cookie-файлы браузера, чтобы запомнить имя пользователя IAM и данные его аккаунта. При следующем переходе пользователя на любую страницу Консоли управления AWS Консоль использует сохраненные данные cookie-файла, чтобы перенаправить пользователя на страницу аутентификации.

Примечание. Пользователи IAM по-прежнему могут использовать для входа в Консоль управления AWS ссылку, предоставленную им администратором.

Вопрос: Что такое псевдоним аккаунта AWS?

Псевдоним аккаунта – это имя, которое вы определяете, чтобы сделать его более удобным для идентификации аккаунта. Псевдоним можно создать с помощью API IAM, инструментов командной строки или консоли IAM. У вас может быть один псевдоним на каждый аккаунт AWS.

Вопрос: К каким сайтам AWS могут получать доступ пользователи IAM?

Пользователи IAM могут выполнять вход на перечисленные ниже сайты AWS.

Вопрос: Могут ли пользователи IAM выполнять вход на другие ресурсы Amazon.com с помощью своих данных для доступа?
Нет. Пользователи, созданные с помощью IAM, распознаются только сервисами и приложениями AWS.

Вопрос: Существует ли API аутентификации, предназначенный для проверки данных пользователей IAM, используемых для входа?
Нет. Программного способа проверки данных, используемых пользователями для входа, не существует.

Вопрос: Могут ли пользователи получать SSH-доступ к инстансам EC2, используя свое имя пользователя и пароль в AWS?
Нет. Созданные с помощью IAM данные, подтверждающие права доступа пользователей, не поддерживаются для непосредственной аутентификации в клиентских инстансах EC2. Управление SSH-данными, подтверждающими права доступа в EC2, должно осуществляться клиентом в Консоли EC2.


Вопрос: Что представляют собой временные данные, подтверждающие права доступа?
Временные данные для доступа включают идентификатор ключа доступа AWS, секретный ключ доступа и токен безопасности. Временные данные, подтверждающие права доступа, действуют в течение определенного периода времени и для определенного набора разрешений. Временные данные, подтверждающие права доступа, иногда просто называются токенами. Вы можете отправить запрос на токены для пользователей IAM или федеративных пользователей, которыми управляете в своем корпоративном каталоге. Подробнее см. в разделе Распространенные сценарии для временных данных для доступа.

Вопрос: Каковы преимущества временных данных, подтверждающих права доступа?
Временные данные, подтверждающие права доступа, позволяют выполнять перечисленные ниже задачи.

  • Расширять каталоги внутренних пользователей для обеспечения федерации с AWS, позволяющей сотрудникам и приложениям получать безопасный доступ к API сервиса AWS без создания удостоверения AWS.
  • Отправлять запросы на временные данные, подтверждающие права доступа, для неограниченного количества федеративных пользователей.
  • Настраивать период времени, после которого истекает срок действия временных данных, подтверждающих права доступа, для повышения безопасности при получении доступа к API сервиса AWS с мобильных устройств, когда существует риск потери устройства.

Вопрос: Как отправить запрос на временные данные, подтверждающие права доступа, для федеративных пользователей?
Можно сделать это с помощью вызовов API GetFederationToken, AssumeRole, AssumeRoleWithSAML или AssumeRoleWithWebIdentityсервиса STS.

Вопрос: Как пользователи IAM могут отправить запрос на временные данные, подтверждающие права доступа, для личного пользования?
Пользователи IAM могут отправить запрос на временные данные, подтверждающие права доступа, для личного пользования, вызвав API GetSessionToken сервиса AWS STS. По умолчанию срок действия этих временных данных для доступа составляет 12 часов. Минимальный срок действия – 15 минут, максимальный – 36 часов.

Временные данные для доступа можно также использовать с защищенным с помощью многофакторной аутентификации (MFA) доступом к API.

Вопрос: Как использовать временные данные для доступа для вызова API сервиса AWS?
Если вы делаете прямые запросы API к AWS по протоколу HTTPS, их можно подписывать с помощью временных данных для доступа, которые вы получили от AWS Security Token Service (AWS STS) Для этого выполните следующие действия.

  • Используйте для подписи запроса идентификатор ключа доступа и секретный ключ доступа, предоставляемые вместе с временными данными для доступа, точно так же, как вы бы использовали долгосрочные данные для доступа. Подробнее о подписи запросов API по HTTPS см. в разделе Подпись запросов API к AWS в общих справочных материалах по AWS.
  • Используйте токен сеанса, предоставляемый вместе с временными данными для доступа. Включите токен сеанса в заголовок «x-amz-security-token». См. образец запроса ниже.
    • Для сервиса Amazon S3: с помощью заголовка HTTP «x-amz- security-token». 
    • Для других сервисов AWS: с помощью параметра SecurityToken.

Вопрос: Какие сервисы AWS принимают временные данные для доступа?
Список поддерживаемых сервисов см. на странице Сервисы AWS, работающие с IAM.

Вопрос: Каков максимальный размер политики доступа, который можно указать при отправке запроса на временные данные для доступа (GetFederationToken или AssumeRole)?
Незашифрованный текст политики должен быть длиной не более 2048 байт. Однако после конвертации во внутренний упакованный двоичный формат предельный размер будет другим.

Вопрос: Можно ли отозвать временные данные, подтверждающие права доступа, до истечения срока их действия?
Нет. При отправке запроса на временные данные для доступа мы рекомендуем выполнить перечисленные ниже действия.

  • Во время создания временных данных, подтверждающих права доступа, установите срок действия, подходящий для вашего приложения.
  • Поскольку невозможно ограничить разрешения аккаунта root, для создания временных данных, подтверждающих права доступа, используйте пользователя IAM, а не корневой root. Вы можете отозвать разрешения пользователя IAM, который издал исходный вызов для отправки запроса на временные данные. Это действие приведет к почти мгновенному отзыву прав для всех временных данных для доступа, изданных этим пользователем IAM.

Вопрос: Можно ли повторно активировать временные данные для доступа или продлить срок их действия?
Нет. Рекомендуется регулярно проверять срок действия данных, подтверждающих права доступа, и отправлять запрос на новые данные до истечения срока действия старых. Этот процесс ротации управляется автоматически, когда временные данные, подтверждающие права доступа, используются в ролях для инстансов EC2.

Вопрос: Во всех ли регионах поддерживаются временные данные, подтверждающие права доступа?
Клиенты могут отправлять запросы на токены в конечные точки AWS STS во всех регионах, включая регионы AWS GovCloud (США) и Китай (Пекин). Временные данные, подтверждающие права доступа, из AWS GovCloud (США) и Китая (Пекин) можно использовать только в регионе происхождения. Временные данные для доступа, запросы на которые были отправлены из другого региона, например из регионов Восток США (Северная Вирджиния) или ЕС (Ирландия), могут использоваться во всех регионах, кроме AWS GovCloud (США) и Китая (Пекин).

Вопрос: Можно ли ограничить использование временных данных, подтверждающих права доступа, одним регионом или некоторыми регионами?

Нет. Вы не можете ограничить использование временных данных, подтверждающих права доступа, определенным регионом или подмножеством регионов, кроме временных данных, подтверждающих права доступа, из регионов AWS GovCloud (США) и Китая (Пекин), которые могут использоваться только в соответствующих регионах происхождения.

Вопрос: Что необходимо сделать, чтобы начать использовать конечную точку AWS STS?

Адреса серверов AWS STS во всех регионах активны по умолчанию, ими можно начать пользоваться без всяких предварительных действий.

Вопрос: Что произойдет, если начать использовать региональный адрес сервера AWS STS, который был деактивирован для моего аккаунта AWS?

При попытке использования регионального адреса сервера AWS STS, который был деактивирован для вашего аккаунта AWS, сервис AWS STS отобразит исключение «AccessDenied» со следующим сообщением: «AWS STS is not activated in this region for account: ID аккаунта». Ваш администратор аккаунтов может активировать сервис AWS STS в этом регионе с помощью Консоли IAM».

Вопрос: Какие требуются разрешения, чтобы активировать или деактивировать регионы AWS STS на странице настроек аккаунта?

Только пользователи, имеющие разрешения уровня не ниже iam:*, могут активировать или деактивировать регионы AWS STS на странице настроек аккаунта консоли IAM. Обратите внимание, что конечные точки AWS STS в таких регионах, как Восток США (Северная Вирджиния), AWS GovCloud (США) и Китай (Пекин), всегда активны и их нельзя деактивировать.

Вопрос: Можно ли использовать API или CLI, чтобы активировать или деактивировать регионы AWS STS?

Нет. В настоящее время отсутствует поддержка API или CLI, чтобы активировать или деактивировать регионы AWS STS. Мы планируем обеспечить поддержку API и CLI в следующем выпуске.


Вопрос: Что такое федерация удостоверений?
AWS Identity and Access Management поддерживает федерацию удостоверений для делегированного доступа к Консоли управления AWS или API AWS. При использовании федерации удостоверений внешним удостоверениям предоставляется безопасный доступ к ресурсам вашего аккаунта AWS без необходимости создавать пользователей IAM. Эти внешние удостоверения могут поступать от вашего поставщика корпоративных удостоверений (например, от Microsoft Active Directory или AWS Directory Service) или от поставщика сетевых удостоверений (например, Amazon Cognito, Login with Amazon, Facebook, Google или любого поставщика, совместимого с OpenID Connect).

Вопрос: Кто такие «федеративные пользователи»?
Федеративные пользователи (пользователи с внешними удостоверениями) – это пользователи, управление которыми осуществляется за пределами AWS в вашем корпоративном каталоге и которым предоставлен доступ к вашему аккаунту AWS с помощью временных данных для доступа. Они отличаются от пользователей IAM, которых можно создать и управлять ими в вашем аккаунте AWS.

Вопрос: Предоставляется ли поддержка SAML?
Да. Сервис AWS поддерживает SAML (Security Assertion Markup Language) 2.0.

Вопрос: Какие профили SAML поддерживает сервис AWS?
Конечная точка единого входа (SSO) AWS поддерживает профиль WebSSO SAML с использованием запроса HTTP-POST, инициированного поставщиком удостоверений. Это позволяет федеративному пользователю выполнять вход в Консоль управления AWS с помощью утверждения SAML. Утверждение SAML можно также использовать для отправки запроса на временные данные для доступа с помощью API AssumeRoleWithSAML. Подробнее см. в разделе Федерации на основе SAML 2.0.

Вопрос: Могут ли федеративные пользователи получать доступ к API сервиса AWS?
Да. Вы можете программно отправить запрос на временные данные, подтверждающие права доступа, для своих федеративных пользователей, чтобы предоставить им безопасный и прямой доступ к API сервиса AWS. Мы предлагаем образец приложения, демонстрирующий, как можно обеспечить федерацию удостоверений. При этом пользователям, управляемым с помощью Microsoft Active Directory, предоставляется доступ к API сервиса AWS. Дополнительные сведения см. в разделе Использование безопасных данных доступа для запроса доступа к ресурсам AWS.

Вопрос: Могут ли федеративные пользователи получать доступ к Консоли управления AWS?
Да. Для этого существует несколько способов. Один из них – программно отправить запрос на получение временных данных для доступа (например, с помощью команды GetFederationToken или AssumeRole), для своих федеративных пользователей и включить эти данные в запрос на вход в Консоль управления AWS. После аутентификации пользователя и предоставления ему временных данных, подтверждающих права доступа, вы создаете токен входа для однократной идентификации (SSO) AWS. Действия пользователя в консоли ограничены политикой управления доступом, которая связана с временными данными, подтверждающими права доступа. Подробнее см. в материале Создание URL-адреса, позволяющего федеративным пользователям получить доступ к Консоли управления AWS (собственное средство управления федерацией).

Можно также опубликовать утверждение SAML непосредственно на странице входа в сервис AWS (https://signin.aws.amazon.com/saml). Действия пользователя в Консоли будут ограничены политикой управления доступом, которая связана с ролью IAM, предполагаемой при использовании утверждения SAML. Подробнее см. в разделе Предоставление федеративным пользователям SAML 2.0 доступа к Консоли управления AWS.

Любой из подходов обеспечит федеративному пользователю доступ к Консоли без необходимости выполнения входа с помощью имени пользователя и пароля. Мы предлагаем образец приложения, чтобы демонстрировать, как можно обеспечить федерацию удостоверений, предоставив доступ к Консоли управления AWS пользователям, управляемым с помощью Microsoft Active Directory.

Вопрос: Как управлять разрешенными действиями для федеративного пользователя после входа в Консоль?
При отправке запроса для федеративного пользователя на временные данные для доступа вы можете включить политику доступа с помощью API AssumeRole. Права федеративного пользователя определены разрешениями, предоставленными в рамках политики доступа, переданной с запросом, и политики доступа, закрепленной за предполагаемой ролью IAM. Политика доступа, переданная с запросом, не может повысить права, связанные с предполагаемой ролью IAM. При отправке запроса на временные данные, подтверждающие права доступа, для федеративного пользователя с помощью API GetFederationToken вы должны включить в запрос политику доступа. Права федеративного пользователя определены разрешениями, предоставленными в рамках политики доступа, переданной с запросом, и политики доступа, закрепленной за пользователем IAM, который использовался для отправки запроса. Политика доступа, переданная с запросом, не может повысить права, связанные с пользователем IAM, который использовался для отправки запроса. Эти разрешения федеративного пользователя применяются как к доступу к API, так и к действиям в Консоли управления AWS.

Вопрос: Какие разрешения необходимы федеративному пользователю, чтобы использовать Консоль?
Пользователю требуются разрешения для API сервиса AWS, вызываемых Консолью управления AWS. Общие разрешения, требуемые для доступа к сервисам AWS, описаны в руководстве Использование безопасных временных данных доступа для запроса доступа к ресурсам AWS.

Вопрос: Как управлять временем доступа федеративного пользователя к Консоли управления AWS?
В зависимости от API, используемого для создания временных данных для доступа, можно указать максимальную продолжительность сеанса от 15 минут до 36 часов (для GetFederationToken и GetSessionToken) и от 15 минут до 12 часов (для API AssumeRole*); федеративный пользователь будет иметь доступ к Консоли в течение указанного времени. По истечении сеанса федеративному пользователю нужно отправить запрос на новый сеанс. Для этого он должен вернуться к своему поставщику удостоверений, и там ему может быть снова предоставлен доступ. Подробнее о настойке продолжительности сеанса.

Вопрос: Что происходит, когда истекает срок действия сеанса Консоли для федерации удостоверений?
Пользователь увидит сообщение о том, что срок действия сеанса Консоли истек и необходимо отправить запрос на новый сеанс. Вы можете указать URL-адрес, чтобы перенаправлять пользователей на веб-страницу вашей локальной сети, на которой они могут отправить запрос на новый сеанс. Этот URL-адрес добавляется в запрос на вход при указании параметра «Издатель». Подробнее см. в разделе Предоставление федеративным пользователям SAML 2.0 доступа к Консоли управления AWS.

Вопрос: Скольким федеративным пользователям можно предоставить доступ к Консоли управления AWS?
Ограничений относительно количества федеративных пользователей, которым может быть предоставлен доступ к Консоли, не предусмотрено.

Вопрос: Что такое федерация сетевых удостоверений?

Федерация сетевых удостоверений позволяет создавать приложения для мобильных устройств с поддержкой AWS, в которых для аутентификации используются поставщики публичных удостоверений (например, Amazon Cognito, Login with Amazon, Facebook, Google или любой другой поставщик, совместимый с OpenID Connect). С помощью федерации сетевых удостоверений можно легко войти в приложения, используя учетные записи поставщиков публичных удостоверений (IdPs). Нет необходимости разрабатывать серверную часть приложения или распространять с ним долгосрочные данные AWS для безопасного доступа.

Дополнительные сведения о федерации сетевых удостоверений и начале работы см. в разделе Федерация сетевых удостоверений.

 

Вопрос: Как включить федерацию сетевых удостоверений при работе с аккаунтами от поставщиков публичных удостоверений?

Почти для всех сценариев использования федерации сетевых удостоверений лучше всего использовать в качестве средства управления удостоверениями сервис Amazon Cognito. Amazon Cognito прост в использовании и предоставляет дополнительные возможности, такие как анонимный (без аутентификации) доступ и синхронизация данных пользователя по всем устройствам и провайдерам. Тем не менее, если вы уже создали приложение, использующее федерацию сетевых удостоверений посредством ручного вызова AssumeRoleWithWebIdentity API, вы можете продолжать его использование, оно будет работать.

Рассмотрим основные шаги по включению федерации удостоверений с использованием одного из поддерживаемых поставщиков сетевых публичных удостоверений.

  1. Зарегистрируйтесь у поставщика удостоверений как разработчик, получите у него уникальный ID для своего приложения и выполните настройку приложения.
  2. Если вы используете поставщика удостоверений, совместимого с OpenID Connect, создайте для него сущность поставщика удостоверений в IAM.
  3. Создайте одну или более ролей IAM в AWS. 
  4. Реализуйте в своем приложении аутентификацию пользователей с помощью поставщика публичных удостоверений.
  5. Создайте в приложении неподписанный вызов API AssumeRoleWithWebidentity для запроса временных данных для доступа. 
  6. С помощью временных данных, подтверждающих права доступа, которые вы получили в ответе AssumeRoleWithWebidentity, ваше приложение отправляет подписанные запросы в API сервиса AWS.
  7. Приложение кэширует временные данные, подтверждающие права доступа, чтобы не нужно было получать новые данные каждый раз, когда приложению будет необходимо отправить запрос в сервис AWS.

Подробное описание см. в разделе Использование вызовов API федерации сетевых удостоверений для мобильных приложений.

Вопрос: Чем федерация удостоверений с помощью сервиса каталогов AWS отличается от использования стороннего решения для управления удостоверениями?

Если необходимо, чтобы федеративные пользователи имели только доступ к Консоли управления AWS, использование сервиса AWS Directory Service обеспечивает такие же возможности, как и при использовании стороннего решения для управления удостоверениями. Конечные пользователи смогут входить с помощью своих корпоративных данных для доступа и получать доступ к Консоли управления AWS. Поскольку сервис каталогов AWS – это автоматизированный сервис, клиентам не требуется настраивать инфраструктуру федерации или управлять ею. Им достаточно создать каталог AD Connector для интеграции с локальным каталогом. Если вы желаете предоставлять федеративным пользователям доступ к API AWS, потребуется использовать предложение стороннего поставщика или развернуть собственный прокси-сервер.


Вопрос: Предоставляет ли сервис AWS Billing общий счет за использование и калькуляцию на каждого пользователя?
Нет. В настоящее время эта возможность не поддерживается.

Вопрос: Требуется ли оплата за использование сервиса IAM?
Нет. Это возможность вашего аккаунта AWS, которая предоставляется без дополнительной оплаты.

Вопрос: Кто возмещает расходы за использование пользователями аккаунта AWS?
Владелец аккаунта AWS контролирует все виды использования, данные и ресурсы аккаунта и несет ответственность за них.

Вопрос: Ведется ли учет активности пользователя в данных использования сервиса AWS?
В настоящее время не ведется. Планируется в будущем выпуске.

Вопрос: Насколько сопоставимы возможности IAM и Consolidated Billing?
IAM и Consolidated Billing – взаимосвязанные возможности. Консолидированная оплата позволяет объединять платежи по нескольким аккаунтам AWS в рамках компании путем назначения одного аккаунта плательщика. Область действия IAM не связана с Consolidated Billing. Пользователь существует в рамках аккаунта AWS и не имеет разрешений в связанных аккаунтах. Подробнее см. в разделе Оплата счетов нескольких аккаунтов с помощью консолидированной оплаты.

Вопрос: Может ли пользователь получать доступ к информации об оплате аккаунтов AWS?
Да, но только если вы это разрешите. Чтобы пользователи IAM получали доступ к информации об оплате, вы должны сначала предоставить доступ к элементам Account Activity и (или) Usage Reports. См. раздел Управление доступом.


Вопрос: Что произойдет, если пользователь попытается получить доступ к сервису, который еще не интегрирован в IAM?
Сервис вернет ошибку «Отказано в доступе».

Вопрос: Ведется ли запись действий AWS IAM для целей аудита?
Да. Можно вести журнал действий IAM, действий STS и входов в Консоль управления AWS, активировав AWS CloudTrail. Дополнительные сведения о ведении журналов в AWS см. на странице AWS CloudTrail.

Вопрос: Существует ли какое-то различие между людьми и программными агентами как сущностями AWS?
Нет, обе эти сущности рассматриваются как пользователи с данными, подтверждающими права доступа, и разрешениями. Тем не менее только люди могут использовать пароль в Консоли управления AWS.

Вопрос: Работают ли пользователи с сервисами AWS Support Center и Trusted Advisor?
Да, пользователи IAM имеют возможность создавать и изменять сценарии поддержки, а также использовать Trusted Advisor.

Вопрос: Существуют ли какие-то предельные значения по умолчанию для квот, связанных с IAM?
Да, по умолчанию ваш аккаунт AWS имеет начальные квоты, заданные для всех сущностей, связанных с IAM. Дополнительные сведения см. в разделе Ограничения, применимые к сущностям и объектам IAM.

Эти квоты могут изменяться. Если вам необходимо увеличить квоту, можно использовать форму увеличения сервисных лимитов на странице «Свяжитесь с нами», выбрав значение «Группы и пользователи IAM» в раскрывающемся списке «Тип ограничения».


Вопрос: Что такое AWS MFA?
Многофакторная аутентификация AWS (AWS MFA) обеспечивает дополнительный уровень безопасности, который можно использовать в вашей среде AWS. Можно активировать AWS MFA для вашего аккаунта AWS, а также для отдельных пользователей AWS Identity and Access Management (IAM), которых вы создаете под своим аккаунтом.

Вопрос: Как работает AWS MFA?
AWS MFA использует устройство аутентификации, которое непрерывно генерирует случайные шестизначные одноразовые коды аутентификации. Есть два основных способа выполнить аутентификацию с помощью устройства AWS MFA.

  • Пользователи Консоли управления AWS. При включенной MFA пользователю, входящему на сайт AWS, предлагается указать имя пользователя и пароль (первый фактор – знание), после чего запрашивается код аутентификации с устройства AWS MFA (второй фактор – владение). Все сайты AWS, где требуется вход, например Консоль управления AWS, полностью поддерживают AWS MFA. Можно также использовать AWS MFA совместно с функцией S3 Secure Delete для дополнительной защиты ваших хранимых версий Amazon S3.
  • Пользователи API AWS. Можно обеспечить принудительное выполнение MFA-аутентификации путем добавления связанных с MFA ограничений в политики IAM. Для получения доступа к защищенным таким образом API и ресурсам разработчики могут запрашивать временные данные для доступа и передавать дополнительные параметры MFA в свои запросы API AWS Security Token Service (STS) (сервис, создающий временные данные для доступа). Проверенные с помощью MFA временные данные, подтверждающие права доступа, можно использовать для вызова защищенных MFA API и ресурсов.

Вопрос: Как можно защитить ресурсы AWS с помощью MFA?
Необходимо выполнить два простых действия.

1. Получить устройство аутентификации. Существует два варианта:

  • Приобрести аппаратное устройство у стороннего поставщика Gemalto.
  • Установить виртуальное MFA-совместимое приложение на устройство, например на смартфон.

Посетите страницу MFA AWS, чтобы узнать, как приобрести аппаратное или виртуальное устройство MFA.

2. После приобретения устройства аутентификации его необходимо активировать в консоли IAM. Чтобы активировать устройство для пользователя IAM, можно также использовать интерфейс командной строки IAM.

Вопрос: Взимается ли плата за использование AWS MFA?
AWS не взимает дополнительной платы за использование AWS MFA с вашим аккаунтом AWS. Тем не менее, если вы хотите использовать физическое устройство аутентификации, необходимо будет приобрести совместимое с AWS MFA устройство аутентификации от стороннего поставщика Gemalto. Для получения дополнительных сведений посетите веб-сайт Gemalto.

Вопрос: Можно ли иметь несколько активных устройств аутентификации для моего аккаунта AWS?
Да. Каждый пользователь IAM может иметь отдельное устройство аутентификации. При этом каждое идентификационное удостоверение (пользователь IAM или аккаунт root) может быть связано лишь с одним устройством аутентификации.

Вопрос: Можно ли использовать мое устройство аутентификации с несколькими аккаунтами AWS?
Нет. Устройство аутентификации или номер мобильного телефона связывается лишь с одним идентификационным удостоверением (пользователем IAM или аккаунтом root). Если на вашем смартфоне установлено TOTP-совместимое приложение, на одном смартфоне можно создать несколько виртуальных устройств MFA. Как и аппаратные устройства, каждое из виртуальных устройств MFA связывается лишь с одним идентификационным удостоверением. Если вы разъедините (деактивируете) устройство аутентификации, его можно будет повторно использовать с другим идентификационным удостоверением AWS. В каждый момент времени устройство аутентификации может быть связано только с одним идентификационным удостоверением.

Вопрос: У меня уже имеется аппаратное устройство аутентификации с места работы или от другого сервиса, которым я пользуюсь. Могу ли я повторно использовать это устройство с AWS MFA?
Нет. Чтобы поддерживать использование вашего устройства аутентификации, AWS MFA необходимо знать связанный с ним уникальный секрет. Поскольку ограничения для обеспечения безопасности требуют, чтобы такие секреты никогда не становились достоянием нескольких сторон, AWS MFA не может поддерживать использование вашего существующего аппаратного устройства аутентификации. С AWS MFA можно использовать только совместимое аппаратное устройство аутентификации, приобретенное у компании Gemalto.

Вопрос: У меня возникла проблема с заказом устройства аутентификации на сайте стороннего поставщика Gemalto. Где я могу получить помощь?
Обратитесь в службу поддержки пользователей компании Gemalto.

Вопрос: Я получил дефектное или поврежденное устройство аутентификации от стороннего поставщика Gemalto. Где я могу получить помощь?
Обратитесь в службу поддержки пользователей компании Gemalto.

Вопрос: Я только что получил устройство аутентификации от стороннего поставщика Gemalto. Что мне делать?
Чтобы включить AWS MFA для своего аккаунта AWS, нужно просто активировать устройство аутентификации.См. консоль IAM для выполнения этой задачи.

Вопрос: Что такое виртуальное устройство MFA?
Виртуальное устройство MFA – это запись, созданная в TOTP-совместимом программном приложении, которое может генерировать шестизначные коды аутентификации. Это программное приложение можно запускать на любом совместимом вычислительном устройстве, например на смартфоне.

Вопрос: В чем различие между аппаратным и виртуальным устройствами MFA?
Виртуальные устройства MFA могут использовать те же протоколы, что и физические устройства MFA. Виртуальные устройства MFA – это программные устройства, которые можно запустить на ваших физических устройствах, например на смартфонах. Кроме того, большинство виртуальных приложений MFA позволяют включать несколько виртуальных устройств MFA, что делает их более удобными по сравнению с физическими устройствами MFA.

Вопрос: Какие виртуальные приложения MFA поддерживаются в AWS MFA?
С AWS MFA можно использовать приложения, которые генерируют TOTP-совместимые коды аутентификации, например приложение Google Authenticator. Поддерживается инициализация виртуальных устройств MFA путем автоматического сканирования QR-кода с помощью камеры устройства или ввода начального числа вручную в виртуальном приложении MFA.

Посетите страницу MFA, на которой приведен список поддерживаемых виртуальных приложений MFA.

Вопрос: Что такое QR-код?
QR-код представляет собой двумерный штрихкод, который можно прочитать с помощью специализированных устройств для чтения QR-кодов и большинства смартфонов. Этот код состоит из черных квадратов, образующих квадрат большего размера на белом фоне. QR-код содержит информацию о настройках безопасности, необходимую для инициализации виртуального устройства MFA в вашем виртуальном MFA-приложении.

Вопрос: Как инициализировать новое виртуальное устройство MFA?
В консоли IAM можно настроить новое виртуальное устройство MFA для ваших пользователей IAM, а также для вашего аккаунта root в AWS. Кроме того, инициализировать новые виртуальные устройства MFA для вашего аккаунта можно с помощью команды aws iam create-virtual-mfa-device в интерфейсе командной строки AWS или API CreateVirtualMFADevice. Команда aws iam create-virtual-mfa-device и API CreateVirtualMFADevice возвращают необходимую информацию о настройке, называемую начальным числом, для настройки виртуального устройства MFA в вашем приложении, совместимом с AWS MFA. Можно либо разрешить пользователям IAM вызывать этот API напрямую, либо выполнять для них первоначальную инициализацию.

 

Вопрос: Как следует обращаться с материалом начальных чисел для виртуальных устройств MFA и распределять его?
Следует обращаться с материалом начальных чисел, как с любым другим секретом (например, с секретными ключами и паролями AWS).

Вопрос: Как предоставить пользователю IAM возможность управлять виртуальными устройствами MFA под моим аккаунтом?
Предоставьте пользователю IAM разрешение вызывать API CreateVirtualMFADevice. Этот API можно использовать для инициализации новых виртуальных устройств MFA.

Вопрос: Можно ли еще получить ознакомительный доступ к SMS MFA?

Мы больше не регистрируем новых участников на режим ознакомления с SMS MFA. Мы рекомендуем использовать MFA в аккаунтах AWS с аппаратным или виртуальным устройством MFA.

Вопрос: Как начать использование аутентификации с помощью SMS в ознакомительном режиме?

Существующие участники ознакомления с SMS MFA могут перейти в консоль IAM и активировать MFA с помощью SMS для пользователя IAM. В процессе потребуется указать номер телефона для каждого пользователя IAM. После этого при входе в Консоль управления AWS пользователь будет получать код безопасности из шести цифр в виде стандартного текстового сообщения (SMS) и должен будет вводить его для входа.

Вопрос: Где можно включить AWS MFA?
AWS MFA для аккаунта AWS и ваших пользователей IAM можно включить в консоли IAM, в интерфейсе командной строки AWS или с помощью вызова API.

Вопрос: Какая информация потребуется для активации аппаратного или виртуального устройства аутентификации?
Если вы активируете устройство MFA с помощью консоли IAM, вам потребуется только само устройство. Если вы используете интерфейс командной строки AWS или API IAM, вам потребуются следующие сведения:

1. Серийный номер устройства аутентификации. Формат серийного номера зависит от того, какой тип устройства вы используете, аппаратное или виртуальное.

– У аппаратных устройств MFA серийный номер указан на этикетке со штрихкодом на задней поверхности устройства.
– У виртуальных устройств MFA серийным номером является значение параметра Amazon Resource Name (ARN), возвращенное после выполнения команды iam-virtualmfadevicecreate в интерфейсе командной строки AWS или в результате вызова API CreateVirtualMFADevice.

2. Два кода аутентификации, последовательно отображаемых устройством аутентификации.

Вопрос: Мое устройство аутентификации, кажется, работает нормально, но я не могу активировать его. Что мне делать?
Для получения помощи свяжитесь с нами.

Вопрос: Если я включу AWS MFA для своего аккаунта с правами root в AWS или пользователей IAM, нужно ли им будет всегда использовать код аутентификации для входа в Консоль управления AWS?
Да. Пользователь AWS с правами root и пользователи IAM должны иметь с собой устройство MFA всякий раз, когда они будут входить на какой-либо веб-сайт AWS.

Если устройство потеряно, повреждено, украдено или не работает, можно войти с помощью альтернативных факторов аутентификации, деактивировать устройство MFA и активировать новое устройство MFA. С точки зрения безопасности рекомендуется также изменить пароль аккаунта с правами root.

При использовании виртуальной или аппаратной MFA, если пользователи IAM потеряют или повредят устройство аутентификации, если оно будет похищено или перестанет работать, вы сможете отключить AWS MFA, используя консоль IAM или интерфейс командной строки AWS.

Вопрос: Если я включу AWS MFA для своего аккаунта root в AWS или для моих пользователей IAM, нужно ли им будет всегда вводить код MFA для вызова API AWS напрямую?
Нет, это не обязательно. Тем не менее вам нужно будет вводить код MFA, если вы планируете вызывать API, доступ к которым защищен с помощью MFA.

Если вы вызываете API AWS, используя ключи доступа своего аккаунта root в AWS или пользователей IAM, вводить код MFA не потребуется. По соображениям безопасности мы рекомендуем удалить из аккаунта root в AWS все ключи доступа и использовать для вызова API AWS только ключи доступа пользователей IAM с разрешениями соответствующего уровня.

Вопрос: Как выполнить вход на портал AWS и в Консоль управления AWS, используя мое устройство аутентификации?
Вход выполняется в два этапа, как описано ниже.

Если для входа вы используете root-аккаунт AWS, действуйте, как вы обычно действуете при введении ваших имени пользователя и пароля при появлении запроса. Чтобы войти в качестве пользователя IAM, используйте URL-адрес вашего аккаунта и введите ваши имя пользователя и пароль при появлении запроса.

На открывшейся странице введите шестизначный код аутентификации, который отобразится в вашем устройстве аутентификации.

Вопрос: Влияет ли AWS MFA на то, каким образом я получаю доступ к API AWS Service?
AWS MFA изменяет способ доступа пользователей IAM к API AWS Service только в том случае, если администраторы аккаунта решат включить доступ к API, защищенный с помощью MFA. Администраторы могут активировать эту возможность, чтобы добавить дополнительный уровень безопасности для доступа к конфиденциальным API, требуя от вызывающих их выполнять аутентификацию с помощью устройства AWS MFA. Дополнительную информацию см. в документации по доступу к API, защищенным с помощью MFA.

К другим исключениям относятся API управления версиями S3 PUT Bucket, API управления версиями GET Bucket и API DELETE Object. Это позволяет требовать, чтобы для удаления или изменения состояния управления версиями вашей корзины использовалась многофакторная аутентификация. Дополнительную информацию см. в документации по S3, где более подробно обсуждается настройка корзины с помощью MFA Delete.

Во всех остальных случаях AWS MFA в настоящее время не изменяет способ доступа к API сервисов AWS.

Вопрос: Можно или использовать полученный код аутентификации более одного раза?
Нет. По соображениям безопасности каждый код аутентификации можно использовать только один раз.

Вопрос: Меня недавно попросили повторно синхронизировать мое устройство аутентификации, поскольку мои коды аутентификации были отклонены. Должен ли я беспокоиться по этому поводу?
Нет, такое может происходить время от времени. AWS MFA необходимо, чтобы часы вашего устройства аутентификации были синхронизированы с часами на наших серверах. Иногда показания часов расходятся. Если это происходит, когда вы используете устройство аутентификации для выполнения входа на защищенные страницы веб-сайта AWS или в Консоль управления AWS, AWS автоматически пытается повторно синхронизировать устройство аутентификации, попросив вас предоставить два последовательных кода аутентификации (аналогично тому, как это происходило в процессе активации).

Вопрос: Мое устройство аутентификации, кажется, работает нормально, но мне не удается использовать его для входа в Консоль управления AWS. Что мне следует делать?
Рекомендуется повторно синхронизировать устройства MFA с учетными данными пользователя IAM. Если вы уже пытались выполнить повторную синхронизацию и по-прежнему сталкиваетесь с проблемами при входе в систему, можно войти с использованием альтернативных факторов аутентификации и выполнить сброс устройства MFA. Если проблемы решить не удалось, обратитесь к нам за помощью.

Вопрос: Мое устройство аутентификации потеряно, повреждено, украдено или не работает, и теперь я не могу выполнить вход в Консоль управления AWS. Что можно сделать?
Если устройство аутентификации связано с аккаунтом root AWS, можно сделать следующее.

Вопрос: Как отключить AWS MFA?

Чтобы отключить AWS MFA для вашего аккаунта AWS, можно деактивировать ваше устройство аутентификации, используя страницу Security Credentials. Чтобы отключить AWS MFA для ваших пользователей IAM, можно использовать консоль IAM или интерфейс командной строки AWS.

Вопрос: Можно ли использовать AWS MFA в GovCloud?
Да, аппаратные и виртуальные устройства AWS MFA можно использовать в GovCloud.

Вопрос: Что такое доступ к API, защищенный с помощью MFA?
Доступ к API, защищенный с помощью MFA, – это дополнительные функциональные возможности, позволяющие администраторам аккаунтов обеспечивать принудительную дополнительную аутентификацию для определенных API, требуя от пользователей указывать второй фактор идентификации в дополнение к паролю. В частности, это позволяет администраторам включать в свои политики IAM условия, которые проверяют и запрашивают MFA-аутентификацию для доступа к отдельным API. Пользователи, выполняющие вызов этих API, должны сначала получить временные данные для доступа, которые подтверждают, что пользователь ввел действительный код MFA.

Вопрос: Какую проблему решает доступ к API, защищенный с помощью MFA?
Раньше клиенты могли потребовать MFA для доступа к Консоли управления AWS, но не могли обеспечить принудительное выполнение требований MFA со стороны разработчиков и приложений, непосредственно взаимодействующих с API сервисов AWS. Доступ к API, защищенный с помощью MFA, обеспечивает повсеместное принудительное соблюдение политик IAM независимо от пути доступа. В результате теперь вы можете разработать собственное приложение, которое использует AWS и предлагает пользователям выполнить MFA-аутентификацию перед вызовом API, обладающих широкими возможностями, или получением доступа к конфиденциальным ресурсам.

Вопрос: Как начать использовать доступ к API, защищенный с помощью MFA?
Вы можете начать использовать его, выполнив два простых действия.

  1. Назначьте устройство MFA вашим пользователям IAM. Вы можете приобрести аппаратный брелок или загрузить бесплатное TOTP-совместимое приложение для смартфона, планшета или компьютера. Дополнительные сведения об устройствах AWS MFA см. на странице сведений о MFA.
  2. Включите доступ к API, защищенный с помощью MFA, создав политики разрешений для пользователей и (или) групп IAM, для которых MFA-аутентификация должна быть обязательной. Дополнительные сведения о синтаксисе языка политики доступа см. в документации по языку политики доступа.

Вопрос: Как разработчики и пользователи получают доступ к API и ресурсам, защищенным с помощью MFA?
Разработчики и пользователи могут использовать доступ к API, защищенным с помощью MFA, в Консоли управления AWS и в самих API.

Чтобы выполнить вход в Консоль управления AWS, любой пользователь IAM с включенной MFA должен выполнить аутентификацию с помощью своего устройства. Пользователи без включенной MFA не могут получить доступ к API и ресурсам, защищенным с помощью MFA.

На уровне API разработчики могут интегрировать AWS MFA в свои приложения, чтобы пользователи получали запрос на аутентификацию с помощью назначенных им MFA-устройств перед вызовом мощных API или получением доступа к конфиденциальным ресурсам. Разработчики включают эти функциональные возможности путем добавления дополнительных параметров MFA (серийного номера и кода MFA) в запросы на получение временных данных, подтверждающих права доступа (такие запросы называются также «запросами на сеанс»). Если параметры действительны, возвращаются временные данные для доступа, которые указывают состояние MFA. Дополнительную информацию см. в документации по временным данным, подтверждающим права доступа.

Вопрос: Кто может использовать доступ к API, защищенный с помощью MFA?
Доступ к API, защищенный с помощью MFA, могут бесплатно использовать все клиенты AWS.

Вопрос: С какими сервисами работает доступ к API, защищенный с помощью MFA?
Доступ к API, защищенный с помощью MFA, поддерживается всеми сервисами AWS, которые поддерживают временные данные для доступа. Полный список поддерживаемых сервисов см. на странице Сервисы AWS, работающие с IAM (ориентируйтесь на столбец, где обозначена поддержка временных данных для доступа).

Вопрос: Что произойдет, если при запросе временных данных для доступа пользователь предоставит некорректную информацию с устройства MFA?
Запрос на предоставление временных данных для доступа будет отклонен. Запросы на предоставление временных данных для доступа, в которых указываются параметры MFA, должны содержать корректный серийный номер устройства, связанного с пользователем IAM, а также действительный код MFA.

Вопрос: Управляет ли доступ к API, защищенный с помощью MFA, доступом для аккаунтов root в AWS?
Нет, доступ к API, защищенный с помощью MFA, управляет только доступом для пользователей IAM. Аккаунты root не привязаны к политикам IAM, поэтому мы рекомендуем для взаимодействия с API сервисов AWS создавать пользователей IAM, а не данные доступа для аккаунтов root в AWS.

Вопрос: Должны ли пользователи иметь назначенные им устройства MFA, чтобы использовать доступ к API, защищенный с помощью MFA?
Да, пользователю сначала должно быть назначено уникальное аппаратное или виртуальное устройство MFA.

Вопрос: Совместим ли доступ к API, защищенный с помощью MFA, с объектами S3, очередями SQS и темами SNS?
Да.

Вопрос: Как доступ к API, защищенный с помощью MFA, взаимодействует с существующими сценариями использования MFA, например S3 MFA Delete?
Доступ к API, защищенный с помощью MFA, и S3 MFA Delete не взаимодействуют друг с другом. В настоящее время S3 MFA Delete не поддерживает временные данные, подтверждающие права доступа. Вместо этого вызовы API S3 MFA Delete должны совершаться с помощью долговременных ключей доступа.

Вопрос: Работает ли доступ к API, защищенный с помощью MFA, в GovCloud?
Да.

Вопрос: Работает ли доступ к API, защищенный с помощью MFA, для федеративных пользователей?
Клиенты не могут использовать доступ к API, защищенным с помощью MFA, для управления доступом федеративных пользователей. API GetFederatedSession не принимает параметры MFA. Поскольку федеративные пользователи не могут выполнять аутентификацию с помощью устройств AWS MFA, они не могут получать доступ к ресурсам, для которых назначен доступ к API, защищенный с помощью MFA.

Вопрос: Как оплачивается использование AWS IAM?

IAM – это возможность аккаунта AWS, которая предоставляется бесплатно. Плата взимается только за использование созданными пользователями других сервисов AWS.