Genel

S: AWS Identity and Access Management (IAM) nedir?
AWS kaynaklarınıza bireysel erişimi ve grup erişimini güvenli şekilde denetlemek için AWS IAM'yi kullanabilirsiniz. Kullanıcı kimlikleri ("IAM kullanıcıları") oluşturup yönetebilir ve IAM kullanıcılarının kaynaklarınıza erişmesi için izinler verebilirsiniz. AWS dışındaki kullanıcılar ( federe kullanıcılar) için de çeşitli izinler verebilirsiniz.

S: IAM'yi kullanmaya nasıl başlayabilirim?
IAM'yi kullanmaya başlamak için, IAM ile entegre olan AWS hizmetlerinden en az birine abone olmanız gerekir. Daha sonra IAM API'leri, AWS CLI veya IAM konsolu aracılığıyla kullanıcılar, gruplar ve izinler oluşturup bunları yönetebilir ve seçeneklerin üzerine gelip tıklayarak kullanabileceğiniz web tabanlı bir arabirim elde edebilirsiniz. Politikalar oluşturmak için görsel düzenleyiciyi de kullanabilirsiniz.

S: IAM hangi sorunları çözer?
IAM, birden çok kullanıcının AWS kaynaklarınıza güvenli erişim sağlamasını kolaylaştırır. IAM şunları yapmanızı sağlar:
  • IAM kullanıcılarını ve bunların erişimini yönetme: AWS'nin kimlik yönetimi sisteminde kullanıcılar oluşturabilir, kullanıcılara bireysel güvenlik kimlik bilgileri (ör. erişim anahtarları, parolalar, multi-factor authentication cihazları) atayabilir veya kullanıcıların AWS hizmetlerine ve kaynaklarına erişmesini sağlamak için güvenlikle ilgili geçici kimlik bilgileri isteyebilirsiniz. Bir kullanıcının hangi işlemleri gerçekleştirebileceğini denetlemek için izinleri belirtebilirsiniz.
  • Federe kullanıcılar için erişimi yönetme: Kurumsal dizininizde yönettiğiniz kullanıcılar için yapılandırılabilir sona erme tarihleri ile güvenlik kimlik bilgileri isteyerek çalışanlarınızın ve uygulamalarınızın kendileri için bir IAM kullanıcı hesabı oluşturmadan AWS hesabınızdaki kaynaklara güvenli şekilde erişmesini sağlayabilirsiniz. Bir kullanıcının hangi işlemleri gerçekleştirebileceğini denetlemek için bu güvenlik kimlik bilgilerine yönelik izinleri belirtirsiniz.

S: IAM'yi kimler kullanabilir?
Tüm AWS müşterileri IAM'yi kullanabilir. Bu hizmet ek bir ücret olmadan sunulur. Yalnızca kullanıcılarınızın diğer AWS hizmetlerini kullanması karşılığında ücretlendirilirsiniz.

S: Kullanıcı nedir?
Kullanıcı, AWS hizmetleri ve uygulamaları tarafından tanınan benzersiz bir kimliktir. Windows veya UNIX gibi bir işletim sisteminde oturum açma kullanıcısına benzer şekilde bir kullanıcının benzersiz bir adı vardır ve parola ya da erişim anahtarı gibi güvenlikle ilgili tanıdık kimlik bilgilerini kullanarak kendisini tanımlayabilir. Kullanıcı, AWS hizmetlerine erişmesi gereken bir birey, sistem veya uygulama olabilir. IAM, AWS'nin kimlik yönetimi sisteminde yönetilen kullanıcıları ("IAM kullanıcıları" olarak ifade edilir) destekler ve kurumsal dizininizdeki AWS dışında yönetilen kullanıcılar ("federe kullanıcılar" olarak ifade edilir) için AWS kaynaklarına erişim izni vermenizi de sağlar.
 
S: Bir kullanıcı neler yapabilir?
Kullanıcı, Amazon S3 ve Amazon EC2 gibi web hizmetlerine istekte bulunabilir. Kullanıcının web hizmeti API'lerine erişme yeteneği, tanımlandığı AWS hesabının denetimi ve sorumluluğu altındadır. Bir kullanıcıya, IAM ile entegre olan ve AWS hesabının abone olduğu AWS hizmetlerinin herhangi birine veya tümüne erişme izni verebilirsiniz. İzin verilirse, bir kullanıcının AWS hesabı kapsamındaki tüm kaynaklara erişim izni olur. Ayrıca AWS hesabının farklı bir AWS hesabındaki kaynaklara erişim izni varsa, bu hesabın kullanıcıları bu AWS hesapları kapsamındaki verilere erişebilir. Bir kullanıcı tarafından oluşturulan tüm AWS kaynakları, kendisine ait AWS hesabının denetimi altında olup bu hesap tarafından ödemesi yapılır. Bir kullanıcı, bağımsız olarak AWS hizmetlerine abone olamaz veya kaynakları denetleyemez.
 
S: Kullanıcılar, AWS hizmetlerine nasıl çağrı yapar?
Kullanıcılar, güvenlik kimlik bilgilerini kullanarak AWS hizmetlerine istekte bulunabilir. Bir kullanıcının AWS hizmetlerine çağrı yapıp yapamayacağı açık izinlere göre belirlenir. Varsayılan olarak kullanıcılar, hesap adına hizmet API'lerini çağıramaz.

IAM kullanıcı yönetimi

S: IAM kullanıcıları nasıl yönetilir?
IAM aşağıdaki işlemleri yapmak için birden çok yöntemi destekler:

  • IAM kullanıcılarını oluşturma ve yönetme.
  • IAM gruplarını oluşturma ve yönetme.
  • Kullanıcıların güvenlik kimlik bilgilerini yönetme.
  • AWS hizmetlerine ve kaynaklarına erişim izni vermek için politikaları oluşturma ve yönetme.

IAM API'lerini, AWS CLI'yi veya IAM konsolunu kullanarak kullanıcılar, gruplar ve izinler oluşturup bunları yönetebilirsiniz. Politikaları oluşturmak ve test etmek için görsel düzenleyiciyi ve IAM politikası simülatörünü de kullanabilirsiniz.

S: Grup nedir?
Grup, IAM kullanıcılarından oluşan bir topluluktur. Grup üyeliğini basit bir liste olarak yönetin:

  • Gruba kullanıcı ekleyin veya gruptan kullanıcı kaldırın.
  • Bir kullanıcı birden çok gruba ait olabilir.
  • Gruplar başka gruplara ait olamaz.
  • Erişim denetimi politikaları kullanılarak gruplara izinler verilebilir. Böylece, her bir kullanıcıya yönelik izinleri yönetmek zorunda kalmadan bir kullanıcı topluluğu için izinlerin yönetilmesi kolaylaşır.
  • Gruplar güvenlik kimlik bilgilerine sahip değildir ve web hizmetlerine doğrudan erişemez; yalnızca kullanıcı izinlerinin yönetimini kolaylaştırmak için mevcuttur. Ayrıntılar için bkz. Gruplar ve Kullanıcılar ile Çalışma.

S: IAM kullanıcıları ne tür güvenlik kimlik bilgilerine sahip olabilir?
IAM kullanıcıları; AWS erişim anahtarı, X.509 sertifikası, SSH anahtarı, web uygulaması oturum açma adları için parola veya MFA cihazı gibi, AWS'nin desteklediği herhangi bir kimlik bilgisi birleşimine sahip olabilir. Böylece kullanıcıların kendileri için mantıklı olacak şekilde AWS ile etkileşim kurmasına olanak sağlanır. Bir çalışanın hem bir AWS erişim anahtarı hem de bir parolası olabilir; bir yazılım sisteminin programlama çağrıları yapmak için yalnızca bir AWS erişim anahtarı olabilir; IAM kullanıcılarının AWS CodeCommit depolarına erişmek için özel bir SSH anahtarı olabilir ve bir dış yüklenicinin EC2 komut satırı arabirimini kullanmak için yalnızca bir X.509 sertifikası olabilir. Ayrıntılar için, IAM belgelerinde Güvenlikle İlgili Geçici Kimlik Bilgileri bölümüne bakın.

S: IAM kullanıcılarını hangi AWS hizmetleri destekler?
IAM kullanıcılarını destekleyen AWS hizmetlerinin tam listesini IAM belgelerinin IAM ile Çalışan AWS Hizmetleri bölümünde bulabilirsiniz. AWS, zaman içinde başka hizmetler için destek eklemeyi planlamaktadır.

S: Kullanıcı erişimini etkinleştirebilir ve devre dışı bırakabilir miyim?
Evet. IAM API'leri, AWS CLI veya IAM konsolu aracılığıyla IAM kullanıcısının erişim anahtarlarını etkinleştirebilir ve devre dışı bırakabilirsiniz. Erişim anahtarlarını devre dışı bırakırsanız kullanıcı, AWS hizmetlerine programlama yoluyla erişemez.

S: AWS hesabı için kullanıcıları kimler yönetebilir?
AWS hesabının sahibi, kullanıcıları, grupları, güvenlik kimlik bilgilerini ve izinleri yönetebilir. Ayrıca tek tek kullanıcılara, diğer kullanıcıları yönetmek için IAM API'lerine çağrı yapma izni de verebilirsiniz. Örneğin, bir kuruma yönelik kullanıcıları yönetmek için bir yönetici kullanıcı oluşturulabilir (bu önerilen bir uygulamadır). Bir kullanıcıya başka kullanıcıları yönetme izni verdiğinizde söz konusu kullanıcı, IAM API'leri, AWS CLI veya IAM konsolu aracılığıyla bunu yapabilir.

S: LDAP'de olduğu gibi, bir kullanıcı topluluğunu hiyerarşik şekilde yapılandırabilir miyim?
Evet. Amazon S3'teki nesne yollarına benzer şekilde, kullanıcıları ve grupları yollar altında düzenleyebilirsiniz; örneğin, /mycompany/division/project/joe.

S: Bölgesel olarak kullanıcıları tanımlayabilir miyim?
Başlangıçta olmaz. Şu anki AWS hesapları gibi kullanıcılar da genel varlıklardır. Kullanıcı izinlerini tanımlarken bir bölgeyi belirtmeniz gerekmez. Kullanıcılar herhangi bir coğrafi bölgede AWS hizmetlerini kullanabilir.

S: IAM kullanıcıları için MFA cihazları nasıl yapılandırılır?
Siz (AWS hesap sahibi) birden fazla MFA cihazı sipariş edebilirsiniz. Daha sonra IAM API'leri, AWS CLI veya IAM konsolu aracılığıyla tek tek IAM kullanıcılarına bu cihazları atayabilirsiniz.

S: IAM kullanıcıları için ne tür anahtar dönüşü desteklenir?
Kullanıcı erişim anahtarları ve X.509 sertifikaları, AWS hesabının kök erişim tanıtıcıları için olduğu gibi döndürülebilir. IAM API'leri, AWS CLI veya IAM konsolu aracılığıyla bir kullanıcının erişim anahtarlarını ve X.509 sertifikalarını programlama yoluyla yönetebilir ve döndürebilirsiniz.

S: IAM kullanıcılarının bireysel EC2 SSH anahtarları olabilir mi?
İlk sürümde olmaz. IAM, EC2 SSH anahtarlarını veya Windows RDP sertifikalarını etkilemez. Başka bir deyişle, her bir kullanıcının web hizmeti API'lerine erişmek için ayrı kimlik bilgileri olsa da, kullanıcıların tanımlanmış olduğu AWS hesabı genelinde ortak olan SSH anahtarlarını paylaşması gerekir.

S: SSH anahtarlarımı nerede kullanabilirim?
Şu anda IAM kullanıcıları, depolarına erişmek için yalnızca AWS CodeCommit ile SSH anahtarlarını kullanabilir.

S: IAM kullanıcı adları, e-posta adresi olmak zorunda mıdır?
Hayır, ancak olmasında bir sakınca yoktur. Kullanıcı adları, belirli bir AWS hesabında benzersiz olan ASCII dizeleridir. E-posta adresleri de dahil olmak üzere, seçtiğiniz herhangi bir adlandırma kuralını kullanarak ad atayabilirsiniz.

S: IAM kullanıcı adları için hangi karakter kümelerini kullanabilirim?
IAM varlıkları için yalnızca ASCII karakterlerini kullanabilirsiniz.

S: Kullanıcı adı dışında kullanıcı öznitelikleri desteklenir mi?
Şu anda desteklenmez.

S: Kullanıcı parolaları nasıl ayarlanır?
IAM konsolu, AWS CLI veya IAM API'leri aracılığıyla bir IAM kullanıcısı için ilk parolayı ayarlayabilirsiniz. Kullanıcı parolaları hiçbir zaman ilk tedarikten sonra açık metin olarak görüntülenmez ve bir API çağrısı aracılığıyla görüntülenmez veya döndürülmez. IAM kullanıcıları, IAM konsolundaki Parolam sayfası aracılığıyla parolalarını yönetebilir. Kullanıcılar, AWS Management Console'un sağ üst köşesindeki açılır listeden Güvenlik Kimlik Bilgileri seçeneğini belirleyerek bu sayfaya erişebilir.

S: Kullanıcımın parolaları için bir parola politikası tanımlayabilir miyim?
Evet, minimum uzunluk veya en az bir rakam gerektirerek güçlü parolalar kullanılmasını zorunlu tutabilirsiniz. Ayrıca, otomatik parola sona erme tarihini de zorunlu tutabilir, eski parolaların yeniden kullanılmasını engelleyebilir ve sonraki AWS oturum açılışında parola sıfırlamayı gerektirebilirsiniz. Ayrıntılar için bkz. IAM Kullanıcıları için Hesap Politikası Parolası Ayarlama.

S: IAM kullanıcılarına yönelik kullanım kotaları ayarlayabilir miyim?
Hayır. Tüm sınırlar bir bütün olarak AWS hesabına yöneliktir. Örneğin, AWS hesabınızın 20 Amazon EC2 bulut sunucusu sınırı varsa, EC2 izinlerine sahip IAM kullanıcıları söz konusu sınır dahilinde bulut sunucuları başlatabilir. Bireysel bir kullanıcının yapabileceklerini sınırlayamazsınız.

IAM rol yönetimi

S: IAM rolü nedir?
IAM rolü, AWS hizmet isteklerinde bulunmak için bir dizi izni tanımlayan bir IAM varlığıdır. IAM rolleri belirli bir kullanıcı veya grup ile ilişkili değildir. Bunun yerine güvenilir varlıklar, EC2 gibi AWS hizmetleri veya IAM kullanıcıları ve uygulamalar gibi rolleri üstlenir.

S: IAM rolleri hangi sorunları çözer?
IAM rolleri, uzun vadeli erişim anahtarlarını paylaşmak zorunda kalmadan güvenilir varlıklara yönelik tanımlı izinlerle erişim yetkisini devretmenize olanak sağlar. Hesabınızda yönetilen IAM kullanıcılarına, farklı bir AWS hesabı kapsamındaki IAM kullanıcılarına veya EC2 gibi bir AWS hizmetine erişim yetkisini devretmek için IAM rollerini kullanabilirsiniz.

S: IAM rollerini kullanmaya nasıl başlarım?
Kullanıcı oluşturmaya benzer şekilde bir rol oluşturur, rolü adlandırır ve role bir politika eklersiniz. Ayrıntılar için bkz. IAM Rolleri Oluşturma.

S: Bir IAM rolünü nasıl üstlenirim?
AWS Security Token Service (STS) AssumeRole API'leri (başka bir deyişle, AssumeRole, AssumeRoleWithWebIdentity ve AssumeRoleWithSAML) çağırarak bir IAM rolünü üstlenirsiniz. Bu API'ler, uygulamaların daha sonra AWS hizmeti API'lerine yönelik istekleri imzalamak için kullanabileceği bir dizi geçici güvenlik kimlik bilgisi döndürür.

S: Kaç tane IAM rolünü üstlenebilirim?
Üstlenebileceğiniz IAM rolü sayısında bir sınır yoktur, ancak AWS hizmetlerine istekte bulunurken yalnızca bir IAM rolü olarak hareket edebilirsiniz.

S: IAM rollerini kimler kullanabilir?
Tüm AWS müşterileri IAM rollerini kullanabilir.

S: IAM rollerinin maliyeti ne kadardır?
IAM rolleri ücretsizdir. AWS hesabınızda bir rolün tükettiği kaynaklar için ödeme yapmaya devam edersiniz.

S: IAM rolleri nasıl yönetilir?
IAM rollerini IAM API'leri, AWS CLI veya IAM konsolu aracılığıyla yönetebilir ve seçeneklerin üzerine gelip tıklayarak kullanabileceğiniz web tabanlı bir arabirim elde edebilirsiniz.

S: IAM rolü ile IAM kullanıcısı arasındaki fark nedir?
IAM kullanıcısı, kalıcı uzun vadeli kimlik bilgilerine sahiptir ve doğrudan AWS hizmetleriyle etkileşim kurmak için kullanılır. IAM rolü herhangi bir kimlik bilgisine sahip değildir ve AWS hizmetlerinde doğrudan istekte bulunamaz. IAM rolleri; EC2 gibi bir AWS hizmeti veya IAM kullanıcıları ve uygulamaları gibi yetkili varlıklar tarafından üstlenilir.

S: Hangi durumlarda bir IAM kullanıcısı, IAM grubu veya IAM rolü kullanmalıyım?
IAM kullanıcısı, kalıcı uzun vadeli kimlik bilgilerine sahiptir ve doğrudan AWS hizmetleriyle etkileşim kurmak için kullanılır. IAM grubu birincil olarak bir dizi IAM kullanıcısı için aynı izin kümesinin yönetilmesini sağlayan bir yönetim kolaylığıdır. IAM rolü, AWS hizmetleri için istekte bulunma izinlerine sahip bir AWS Identity and Access Management (IAM) varlığıdır. IAM rolleri; AWS hizmetlerinde doğrudan istekte bulunamaz; EC2 gibi AWS hizmetleri veya IAM kullanıcıları ve uygulamaları gibi yetkili varlıklar tarafından üstlenilir. AWS hesapları içinde veya arasında erişim yetkisini devretmek için IAM kurallarını kullanın.

S: Bir IAM grubuna IAM rolü ekleyebilir miyim?
Şu anda desteklenmez.

S: Bir IAM rolüne kaç tane politika ekleyebilirim?
Yerleşik politikalar için: Bir kullanıcıya, role veya gruba istediğiniz kadar yerleşik politika ekleyebilirsiniz, ancak varlık başına toplam politika boyutu (tüm yerleşik politikaların toplam boyutu) aşağıdaki sınırları aşamaz:
  • Kullanıcı politikası boyutu 2.048 karakteri aşamaz.
  • Rol politikası boyutu 10.240 karakteri aşamaz.
  • Grup politikası boyutu 5.120 karakteri aşamaz.

Yönetilen politikalar için: Bir kullanıcıya, role veya gruba en fazla 10 yönetilen politika ekleyebilirsiniz. Her bir yönetilen politikanın boyutu 6.144 karakteri aşamaz.

S: Kaç tane IAM rolü oluşturabilirim?
AWS hesabınız kapsamında en fazla 1.000 IAM rolü oluşturabilirsiniz. Daha fazla role ihtiyaç duyarsanız, kullanım örneğinizle birlikte IAM sınır artışı istek formunu gönderdiğinizde isteğinizi değerlendiririz.

S: Uygulamam hangi hizmetlere istekte bulunabilir?
Uygulamanız, rol oturumlarını destekleyen tüm AWS hizmetlerine istekte bulunabilir.

S: EC2 bulut sunucuları için IAM rolleri nedir?
EC2 bulut sunucuları için IAM rolleri, EC2 üzerinde çalıştırılan uygulamalarınızın, her bulut sunucusuna AWS erişim anahtarlarını kopyalamanıza gerek kalmadan Amazon S3, Amazon SQS ve Amazon SNS gibi AWS hizmetlerine istekte bulunmasını sağlar. Ayrıntılar için bkz. Amazon EC2 için IAM Rolleri.

S: EC2 bulut sunucuları için IAM rollerinin özellikleri nelerdir?
EC2 bulut sunucuları için IAM rolleri aşağıdaki özellikleri sağlar:

  • Çalıştırılan EC2 bulut sunucularından AWS hizmetlerine istekte bulunulurken kullanılacak AWS geçici güvenlik kimlik bilgileri.
  • AWS geçici güvenlik kimlik bilgilerinin otomatik döndürülmesi.
  • EC2 bulut sunucularında çalıştırılan uygulamalar için ayrıntılı AWS hizmeti izinleri.

S: EC2 bulut sunucuları için IAM rolleri hangi sorunu çözer?
EC2 bulut sunucuları için IAM rolleri, AWS erişim anahtarlarının EC2 bulut sunucularına dağıtımını ve yönetimini kolaylaştırır. Bu özelliği kullanarak, IAM rolünü bir bulut sunucusuyla ilişkilendirirsiniz. Daha sonra EC2 bulut sunucunuz, bulut sunucusu üzerinde çalıştırılan uygulamalara güvenlikle ilgili geçici kimlik bilgileri sağlar ve uygulamalar, rolde tanımlanan AWS hizmet kaynaklarına güvenli şekilde istekte bulunmak için bu kimlik bilgilerini kullanabilir.

S: EC2 bulut sunucuları için IAM rollerini kullanmaya nasıl başlarım?
Rollerin EC2 bulut sunucularıyla nasıl çalıştığını anlamak için IAM konsolunu kullanarak bir rol oluşturmanız, o rolü kullanan bir EC2 bulut sunucusu başlatmanız ve sonra çalıştırılan bulut sunucusunu incelemeniz gerekir. Rol kimlik bilgilerinin bir bulut sunucusunun kullanımına nasıl sunulduğunu görmek için bulut sunucusu meta verilerini inceleyebilirsiniz. Ayrıca bir bulut sunucusunda çalıştırılan uygulamanın o rolü nasıl kullanabileceğini de görebilirsiniz. Daha fazla ayrıntı için bkz. Kullanmaya Nasıl Başlarım?

S: Birden fazla EC2 bulut sunucusunda aynı IAM rolünü kullanabilir miyim?
Evet.

S: Çalıştırılmakta olan bir EC2 bulut sunucusundaki IAM rolünü değiştirebilir miyim?
Evet. Bir EC2 bulut sunucusuna genellikle bulut sunucusu başlatılırken bir rol atansa da çalıştırılmakta olan bir EC2 bulut sunucusuna da rol atanabilir. Çalıştırılmakta olan bir bulut sunucusuna nasıl rol atanacağı hakkında bilgi edinmek için bkz. Amazon EC2 için IAM Rolleri. Çalıştırılmakta olan bir bulut sunucusuyla ilişkili IAM rolündeki izinleri de değiştirebilirsiniz; güncellenen izinler neredeyse hemen geçerli olur.

S: Bir IAM rolünü, çalışmakta olan bir EC2 bulut sunucusuyla ilişkilendirebilir miyim?
Evet. Çalışmakta olan bir EC2 bulut sunucusuna rol atayabilirsiniz. Çalışmakta olan bir bulut sunucusuna nasıl rol atanacağı hakkında bilgi edinmek için bkz. Amazon EC2 için IAM Rolleri.

S: IAM rolünü bir Otomatik Ölçeklendirme grubuyla ilişkilendirebilir miyim?
Evet. Bir Auto Scaling başlatma yapılandırmasına ek parametre olarak bir IAM rolünü ekleyebilir ve bu başlatma yapılandırmasıyla bir Otomatik Ölçeklendirme grubu oluşturabilirsiniz. IAM rolüyle ilişkili bir Otomatik Ölçeklendirme grubunda başlatılan tüm EC2 bulut sunucuları, giriş parametresi olarak bu rol ile başlatılır. Daha ayrıntılı bilgi edinmek için Auto Scaling Geliştirici Kılavuzu’nun Auto Scaling nedir? bölümüne bakın.
 
S: Bir EC2 bulut sunucusu ile birden fazla IAM rolünü ilişkilendirebilir miyim?
Hayır. Bir EC2 bulut sunucusuyla aynı anda yalnızca bir IAM rolünü ilişkilendirebilirsiniz. Bu bulut sunucusu başına bir rol sınırı artırılamaz.

S: Çalışmakta olan EC2 bulut sunucusuyla ilişkili bir IAM rolünü silersem ne olur?
Rolü kullanmakta olan bulut sunucusunda çalıştırılan tüm uygulamaların erişim izni hemen reddedilir.

S: Bir IAM kullanıcısının bir EC2 bulut sunucusuyla hangi IAM rollerini ilişkilendirebileceğini denetleyebilir miyim?
Evet. Ayrıntılar için bkz. Amazon EC2 ile Rolleri Kullanmak için Gerekli İzinler.

S: Bir IAM rolüyle EC2 bulut sunucuları başlatmak için hangi izinler gereklidir?
Roller ile EC2 bulut sunucularını başarıyla başlatabilmeniz için bir IAM kullanıcısına iki ayrı izin vermeniz gerekir:

  • EC2 bulut sunucularını başlatma izni.
  • IAM rolünü EC2 bulut sunucularıyla ilişkilendirme izni.

Ayrıntılar için bkz. Amazon EC2 ile Rolleri Kullanmak için Gerekli İzinler.

S: EC2 bulut sunucusundaki erişim anahtarlarına kim erişebilir?
Bulut sunucusundaki tüm yerel kullanıcılar, IAM rolüyle ilişkili erişim anahtarlarına erişebilir.

S: EC2 bulut sunucusunda uygulamam ile IAM rolünü nasıl kullanırım?
Uygulamanızı AWS SDK ile geliştirirseniz AWS SDK otomatik olarak EC2 bulut sunucusunda erişilebilir duruma getirilen AWS erişim anahtarlarını kullanır. AWS SDK kullanmıyorsanız, EC2 bulut sunucusu meta veri hizmetinden erişim anahtarlarını alabilirsiniz. Ayrıntılar için bkz. Amazon EC2 Bulut Sunucularında Çalıştırılmakta Olan Uygulamalara İzin Vermek için Bir IAM Rolü Kullanma.

S: EC2 bulut sunucusunda güvenlikle ilgili geçici kimlik bilgilerini nasıl döndürürüm?
Bir IAM rolüyle ilişkili AWS geçici güvenlik kimlik bilgileri otomatik olarak günde birden çok defa döndürülür. Yeni güvenlikle ilgili geçici kimlik bilgileri, mevcut güvenlik kimlik bilgilerinin süresi dolmadan en fazla beş dakika önce erişilebilir duruma getirilir.

S: IAM rollerini herhangi bir bulut sunucusu tipindeki EC2 bulut sunucuları veya Amazon Machine Image için kullanabilir miyim?
Evet. EC2 bulut sunucuları için IAM rolleri, spot ve rezerve edilmiş bulut sunucularıyla Amazon Virtual Private Cloud (VPC) içinde de çalışır.

S: Hizmetle bağlantılı rol nedir?
Hizmetle bağlantılı rol, yalnızca bağlantılı hizmet söz konusu rolü üstlenebilecek şekilde bir AWS hizmeti (bağlantılı hizmet olarak da bilinir) ile bağlantılandırılan bir rol türüdür. Bu rolleri kullanarak, sizin adınıza AWS kaynakları oluşturup yönetmesi için AWS hizmetlerine izinleri devredebilirsiniz.

S: Hizmetle bağlantılı bir rolü üstlenebilir miyim?
Hayır. Hizmetle bağlantılı rol yalnızca bağlantılı hizmet tarafından üstlenilebilir. Hizmetle bağlantılı rolün güven politikasının değiştirilememesinin nedeni budur.

S: Hizmetle bağlantılı rolü silebilir miyim?
Evet. Bir AWS hizmetinin artık sizin adınıza işlem gerçekleştirmesini istemiyorsanız, hizmetin hizmetle bağlantılı rolünü silebilirsiniz. Rolü silmeden önce, ilgili role bağlı olan tüm AWS kaynaklarını silmeniz gerekir. Bu adım, AWS kaynaklarınızın düzgün çalışması için gerekli bir rolü yanlışlıkla silmemenizi sağlar.

S: Hizmetle bağlantılı rolü nasıl silerim?
Hizmetle bağlantılı rolü IAM konsolundan silebilirsiniz. Gezinti bölmesinde Roles (Roller) seçeneğini belirleyip silmek istediğiniz hizmetle bağlantılı rolü seçin ve Delete role (Rolü sil) seçeneğini belirleyin. (Not: Amazon Lex’te hizmet bağlantılı rolü silmek için Amazon Lex konsolunu kullanmanız gerekir.)

İzinler

S: İzinler nasıl çalışır?
AWS kaynaklarına izin atamak için kullanıcılara, gruplara ve rollere erişim denetimi politikaları eklenir. Varsayılan olarak IAM kullanıcılarının, gruplarının ve rollerinin izinleri yoktur; yeterli izinlere sahip olan kullanıcılar, istenen izinleri vermek için bir politika kullanmalıdır.
 
S: İzinleri politika kullanarak nasıl atayabilirim?
İzinleri ayarlamak için AWS Management Console, IAM API veya AWS CLI'yi kullanarak politikalar oluşturabilir ve ekleyebilirsiniz. Gerekli izinlerin verildiği kullanıcılar, politikalar oluşturabilir ve IAM kullanıcılarına, gruplarına ve rollerine bu politikaları atayabilir.
 
S: Yönetilen politikalar nedir?
Yönetilen politikalar, IAM politika dilini kullanarak izinleri ifade eden IAM kaynaklarıdır. Bunları eklendikleri IAM kullanıcılarından, gruplarından ve rollerinden ayrı olarak oluşturabilir, düzenleyebilir ve yönetebilirsiniz. Birden fazla IAM kullanıcısına, grubuna veya rolüne bir yönetilen politika eklerseniz, bu politikayı tek bir yerde güncelleyebilirsiniz ve izinler otomatik olarak tüm eklenen varlıklara genişletilir. Yönetilen politikalar sizin tarafınızdan yönetilir (bunlara müşteri tarafından yönetilen politikalar adı verilir) veya AWS tarafından yönetilir (bunlara AWS tarafından yönetilen politikalar adı verilir). Yönetilen politikalar hakkında daha fazla bilgi edinmek için bkz. Yönetilen Politikalar ve Yerleşik Politikalar.
 
S: Müşteri tarafından yönetilen bir politikayı nasıl oluşturabilirim?
IAM konsolunda görsel düzenleyiciyi veya JSON düzenleyicisini kullanabilirsiniz. Görsel düzenleyici, politikayı JSON'da yazmanız gerekmeden bir politikada izin verme işlemi boyunca size yol gösteren, seçeneklerin üzerine gelip tıklayarak kullanabileceğiniz bir düzenleyicidir. JSON'da CLI ve SDK'yı kullanarak politikalar oluşturabilirsiniz.
 
S: Genel olarak kullanılan izinleri nasıl atayabilirim?
AWS, hesabınızdaki IAM kullanıcılarına, gruplarına ve rollerine ekleyebileceğiniz, yaygın olarak kullanılan bir dizi izin sağlar. Bunlara AWS tarafından yönetilen politikalar adı verilir. Örnek olarak, Amazon S3 için salt okunur erişim verilebilir. AWS bu politikaları güncellediğinde, izinler politikanın eklendiği kullanıcılara, gruplara ve rollere otomatik olarak uygulanır. AWS tarafından yönetilen politikalar otomatik olarak IAM konsolunun Politikalar bölümünde görüntülenir. İzinleri atarken AWS tarafından yönetilen bir politikayı kullanabilir veya kendi müşteri tarafından yönetilen politikanızı oluşturabilirsiniz. Mevcut AWS tarafından yönetilen bir politikayı temel alan yeni bir politika oluşturun veya kendi politikanızı tanımlayın.
 
S: Gruba dayalı izinler nasıl çalışır?
Birden fazla IAM kullanıcısına aynı izin kümesini atamak için IAM gruplarını kullanın. Bir kullanıcıya bireysel izinler de atanmış olabilir. Kullanıcılara izin eklenmesinin iki yolu, genel izinlerin ayarlanması için birlikte çalışır.
 
S: IAM gruplarını kullanarak izin atama ile yönetilen politikaları kullanarak izin atama arasındaki fark nedir?
IAM kullanıcılarını toplamak ve bu kullanıcılara yönelik ortak izinleri tanımlamak için IAM gruplarını kullanın. İzinleri IAM kullanıcıları, grupları ve rolleri arasında ortak olarak kullanmak için yönetilen politikaları kullanın. Örneğin, bir grup kullanıcının bir Amazon EC2 bulut sunucusunu başlatabilmesini istiyorsanız ve aynı zamanda o bulut sunucusundaki rolün, gruptaki kullanıcılarla aynı izinlere sahip olmasını istiyorsanız bir yönetilen politika oluşturup bu politikayı Amazon EC2 bulut sunucusundaki role ve kullanıcı grubuna atayabilirsiniz.
 
S: IAM politikaları, Amazon S3, Amazon SQS, Amazon SNS ve AWS KMS kaynağına dayalı politikalarla birlikte nasıl değerlendirilir?
IAM politikaları, hizmetin kaynağa dayalı politikalarıyla birlikte değerlendirilir. Herhangi türde bir politika erişim izni verdiğinde (açık olarak erişimi reddetmeden) işleme izin verilir. Politika değerlendirme mantığı hakkında daha fazla bilgi edinmek için bkz. IAM Politika Değerlendirme Mantığı.
 
S: Yönetilen bir politikayı kaynak tabanlı bir politika olarak kullanabilir miyim?
Yönetilen politikalar yalnızca IAM kullanıcılarına, gruplarına veya rollerine eklenebilir. Bunları kaynak tabanlı politikalar olarak kullanamazsınız.
 
S: Politikaları kullanarak nasıl ayrıntılı izinler ayarlayabilirim?
Politikaları kullanarak izinler için birkaç ayrıntı katmanı belirtebilirsiniz. İlk olarak, erişimine izin vermek veya erişimini açık şekilde reddetmek istediğiniz belirli AWS hizmet işlemlerini tanımlayabilirsiniz. İkinci olarak, işleme göre işlemlerin gerçekleştirilebileceği belirli AWS kaynaklarını tanımlayabilirsiniz. Üçüncü olarak, politikanın ne zaman (örneğin, MFA etkinleştirildiğinde veya etkinleştirilmediğinde) geçerli olduğunu belirtmek için koşullar tanımlayabilirsiniz.
 
S: Gereksiz izinleri nasıl kolayca kaldırabilirim?
Hangi izinlerin gerekli olduğunu belirlemenize yardımcı olması için IAM konsolu artık bir IAM varlığının (bir kullanıcı, grup veya rol) bir AWS hizmetine en son ne zaman eriştiğini gösteren hizmete son erişim verilerini görüntülüyor. Bir IAM varlığının bir izni kullanıp kullanmadığını ve en son ne zaman kullandığını bilmeniz, gereksiz izinleri kaldırmanıza ve daha az çabayla IAM politikalarınızı daha katı hale getirmenize yardımcı olabilir.
 
S: Hesap düzeyinde bilgilere (örneğin, ödeme aracı, ilgili kişi e-posta adresi ve faturalama geçmişi) erişme veya bu bilgileri değiştirme izni verebilir miyim?
Evet, bir IAM kullanıcısı veya federe kullanıcının AWS faturalama verilerini görüntüleyebilme ve AWS hesap bilgilerini değiştirebilme yeteneğini devredebilirsiniz. Faturalama bilgilerinize erişimi denetleme hakkında daha fazla bilgi edinmek için bkz. Erişimi Denetleme.
 
S: AWS hesabında kimler erişim anahtarları oluşturup yönetebilir?
Kök hesabın erişim anahtarlarını yalnızca AWS hesabının sahibi yönetebilir. Gerekli izinlerin verildiği hesap sahibi ve IAM kullanıcıları veya rolleri, IAM kullanıcıları için erişim anahtarlarını yönetebilir.
 
S: Başka bir AWS hesabına ait AWS kaynaklarına erişme izni verebilir miyim?
Evet. IAM kullanıcıları ve federe kullanıcılar, IAM rollerini kullanarak AWS Management Console, AWS CLI veya API'ler aracılığıyla başka bir AWS hesabındaki kaynaklara erişebilir. Daha fazla bilgi edinmek için bkz. IAM Rollerini Yönetme.
 
S: Politika nasıl görünür?
Aşağıdaki politika, belirli bir klasördeki (example_bucket) belirli bir dosya klasöründen (example_folder) nesneler ekleme, güncelleme ve silme erişimi verir.
{
  "Version":"2012-10-17",
  "Statement":[
   {
     "Effect":"Allow",
     "Action":[
       "s3:PutObject",
       "s3:GetObject",
       "s3:GetObjectVersion",
       "s3:DeleteObject",
       "s3:DeleteObjectVersion"
     ],
 
     "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
    }
  ]
}
 
S: Politika özeti nedir?
IAM konsolunu kullanıyorsanız ve bir politika seçerseniz bir politika özeti görürsünüz. Politika özeti, bir politikada tanımlanan her bir hizmet için erişim düzeyini, kaynakları ve koşulları listeler (örnek için aşağıdaki ekran görüntüsüne bakın). Erişim düzeyi (Görüntüleme, Okuma, Yazma veya İzin yönetimi), politikada her bir hizmet için izin verilen işlemlere göre tanımlanır. JSON düğmesini seçerek politikayı JSON'da görüntüleyebilirsiniz.
 
JC1final-UPDATED031017-a

Politika simülatörü

S: IAM politika simülatörü nedir?
IAM politika simülatörü, erişim denetimi ilkelerinizin etkilerini anlamanıza, test etmenize ve doğrulamanıza yardımcı olacak bir araçtır.

S: Politika simülatörü ne için kullanılabilir?
Politika simülatörünü birçok şekilde kullanabilirsiniz. Üretime aktarmadan önce istediğiniz etkiye sahip olduğundan emin olmak için politika değişikliklerini test edebilirsiniz. İzinleri doğrulamak ve izinlerin sorunlarını gidermek için kullanıcılara, gruplara ve rollere eklenen mevcut politikaları doğrulayabilirsiniz. IAM politikalarının ve kaynağa dayalı politikaların AWS kaynaklarına erişim izni vermek veya bu kaynaklara erişimi reddetmek için nasıl birlikte çalıştığını anlamak için de politika simülatörünü kullanabilirsiniz.

S: Politika simülatörünü kim kullanabilir?
Politika simülatörü tüm AWS müşterileri tarafından kullanılabilir.

S: Politika simülatörünün maliyeti ne kadardır?
Politika simülatörü ek bir ücret olmadan kullanılabilir.

S: Kullanmaya nasıl başlayabilirim?
https://policysim.aws.amazon.com adresine gidin veya IAM konsolunda “Ek Bilgiler” bölümündeki bağlantıya tıklayın. Yeni bir politika belirtin veya değerlendirmek istediğiniz bir kullanıcı, grup ya da rolden mevcut bir politika kümesini seçin. Daha sonra AWS hizmetleri listesinden işlem kümesini seçin, erişim isteğini simüle etmek için gerekli bilgileri sağlayın ve politikanın seçilen işlemlere ve kaynaklara yönelik izin mi vereceğini yoksa bu izinleri ret mi edeceğini belirlemek için simülasyonu çalıştırın. IAM politika simülatörü hakkında daha fazla bilgi edinmek için Kullanmaya Başlama videomuzu izleyin veya belgelerimize bakın.

S: IAM politika simülatörü hangi tür politikaları destekler?
Politika simülatörü, yeni girilen politikaların ve kullanıcılara, gruplara veya rollere eklenen mevcut politikaların test edilmesini destekler. Ayrıca, kaynak düzeyinde politikaların Amazon S3 klasörleri, Amazon Glacier kasaları, Amazon SNS konuları ve Amazon SQS kuyrukları için belirli bir kaynağa erişim izni verip vermeyeceğini simüle edebilirsiniz. Kaynak politikalarını destekleyen bir hizmet için Simulation Settings (Simülasyon Ayarları) bölümündeki Source (Kaynak) alanında bir Amazon Resource Name (ARN) belirtildiğinde bunlar simülasyona dahil edilir.

S: Politika simülatöründe bir politikayı değiştirirsem bu değişiklikler üretimde kalıcı olur mu?
Hayır. Değişiklikleri üretime uygulamak için, politika simülatöründe değiştirdiğiniz politikayı kopyalayın ve bunu istediğiniz IAM kullanıcısına, grubuna veya rolüne ekleyin.

S: Politika simülatörünü programlama yoluyla kullanabilir miyim?
Evet. Politika simülatörü konsoluna ek olarak, AWS SDK'larını veya AWS CLI'yi kullanarak politika simülatörünü kullanabilirsiniz. Mevcut IAM politikalarınızı programlama yoluyla test etmek için iam:SimulatePrincipalPolicy API'sini kullanın. Henüz bir kullanıcıya, gruba veya role eklenmemiş olan yeni ya da güncellenmiş politikaların etkilerini test etmek için iam:SimulateCustomPolicy API'sini çağırın.  

Oturum Açma

S: IAM kullanıcıları nasıl oturum açar?
AWS Management Console'da IAM kullanıcısı olarak oturum açmak için, kullanıcı adı ve parolanıza ek olarak hesap kimliğinizi veya hesap diğer adınızı sağlamanız gerekir. Yöneticiniz konsolda IAM kullanıcınızı oluşturduğunda size kullanıcı adınızı ve hesap oturum açma sayfanızın URL'sini sağlamış olmalıdır. Bu URL, hesap kimliğinizi ve hesap diğer adınızı içerir.
 
https://AWS_Hesap_Kimliğim.signin.aws.amazon.com/console/
 
Aşağıdaki genel oturum açma uç noktasında oturum açabilir ve hesap kimliğinizi veya hesap diğer adınızı kendiniz yazabilirsiniz:
 
https://console.aws.amazon.com/
 
Kolaylık sağlaması için AWS oturum açma sayfası, IAM kullanıcı adını ve hesap bilgilerini hatırlamak için bir tarayıcı tanımlama bilgilerini kullanır. Kullanıcı, AWS Management Console'da herhangi bir sayfaya bir sonraki gidişinde konsol, kullanıcıyı hesap oturum açma sayfasına yeniden yönlendirmek için tanımlama bilgisini kullanır.
 
Not: IAM kullanıcıları, AWS Management Console'da oturum açmak için yöneticileri tarafından kendilerine sağlanan URL bağlantısını yine kullanabilir.
 
S: AWS hesap diğer adı nedir?
Hesap diğer adı, hesabınızın tanımlanmasını kolaylaştırmak için tanımladığınız bir addır. IAM API'lerini, AWS Komut Satırı Araçlarını veya IAM konsolunu kullanarak bir diğer ad oluşturabilirsiniz. Her AWS hesabı için bir diğer adınız olabilir.
 
S: IAM kullanıcıları hangi AWS sitelerine erişebilir?
IAM kullanıcıları aşağıdaki AWS sitelerinde oturum açabilir:
S: IAM kullanıcıları, kimlik bilgileriyle diğer Amazon.com ürünlerinde oturum açabilir mi?
Hayır. IAM ile oluşturulan kullanıcılar yalnızca AWS hizmetleri ve uygulamaları tarafından tanınır.
 
S: IAM kullanıcı oturum açma adlarını doğrulamak için bir kimlik doğrulama API'si var mıdır?
Hayır. Kullanıcı oturum açma adlarını programlama yoluyla doğrulamak mümkün değildir.
 
S: Kullanıcılar, AWS kullanıcı adı ve parolasını kullanarak EC2 bulut sunucularında SSH ile oturum açabilir mi?
Hayır. IAM ile oluşturulan kullanıcı güvenliğiyle ilgili kimlik bilgileri, müşterinin EC2 bulut sunucularında doğrudan kimlik doğrulaması için desteklenmez. EC2 SSH kimlik bilgilerinin yönetimi, EC2 konsolunda müşterinin sorumluluğundadır.

Güvenlikle ilgili geçici kimlik bilgileri

S: Güvenlikle ilgili geçici kimlik bilgileri nedir?
Güvenlikle ilgili geçici kimlik bilgileri; AWS erişim anahtarı kimliği, gizli erişim anahtarı ve güvenlik belirtecinden oluşur. Güvenlikle ilgili geçici kimlik bilgileri, belirtilen bir süre boyunca ve belirli bir izin kümesi için geçerlidir. Güvenlikle ilgili geçici kimlik bilgileri bazen belirteçler olarak ifade edilir. Kendi kurumsal dizininizde yönettiğiniz federe kullanıcılar veya IAM kullanıcıları için belirteçler istenebilir. Daha fazla bilgi için bkz. Geçici Kimlik Bilgileri için Yaygın Senaryolar.
 
S: Güvenlikle ilgili geçici kimlik bilgilerinin avantajları nelerdir?
Güvenlikle ilgili geçici kimlik bilgileri aşağıdakileri yapmanıza olanak sağlar:
  • AWS ile birleştirmeyi etkinleştirmek için iç kullanıcı dizinlerinizi genişleterek çalışanlarınızın ve uygulamalarınızın AWS hizmeti API'leri için bir AWS kimliği oluşturmak zorunda kalmadan bu API'lere güvenli şekilde erişmesini sağlayın.
  • Sınırsız sayıda federe kullanıcı için güvenlikle ilgili geçici kimlik bilgileri isteyin.
  • Güvenlikle ilgili geçici kimlik bilgilerinin süresi sona ermeden önce geçecek süreyi yapılandırarak, cihazı kaybetme riski olan mobil cihazlar aracılığıyla AWS hizmeti API'lerine erişirken gelişmiş güvenlik sunun.
 
S: Federe kullanıcılar için nasıl güvenlikle ilgili geçici kimlik bilgileri isteyebilirim?
You can call the GetFederationToken, AssumeRole, AssumeRoleWithSAML veya AssumeRoleWithWebIdentity STS API'lerini çağırabilirsiniz.
 
S: IAM kullanıcıları kendi kullanımları için güvenlikle ilgili geçici kimlik bilgilerini nasıl isteyebilir?
IAM kullanıcıları, AWS STS GetSessionToken API'sini çağırarak kendi kullanımları için güvenlikle ilgili geçici kimlik bilgileri isteyebilir. Bu geçici kimlik bilgileri için varsayılan sona erme süresi 12 saattir; minimum değer 15 dakika ve maksimum değer de 36 saattir.
Multi-Factor Authentication (MFA) Korumalı API Erişimi ile de geçici kimlik bilgilerini kullanabilirsiniz.
 
S: AWS hizmeti API'lerini çağırmak için güvenlikle ilgili geçici kimlik bilgilerini nasıl kullanabilirim?
AWS'ye doğrudan HTTPS API isteklerinde bulunuyorsanız, AWS Security Token Service (AWS STS) uygulamasından aldığınız güvenlikle ilgili geçici kimlik bilgileriyle bu istekleri imzalayabilirsiniz. Bunun için aşağıdakileri yapın:
  • Bir isteği imzalamak için uzun vadeli kimlik bilgilerini kullandığınız şekilde, güvenlikle ilgili geçici kimlik bilgileriyle sağlanan erişim anahtarı kimliğini ve gizli erişim anahtarını kullanın. HTTPS API isteklerini imzalama hakkında daha fazla bilgi için AWS Genel Başvurusu'nda AWS API İsteklerini İmzalama bölümüne bakın.
  • Güvenlikle ilgili geçici kimlik bilgileriyle sağlanan oturum belirtecini kullanın. "x-amz-security-token" üst bilgisine oturum belirtecini dahil edin. Aşağıdaki örnek isteğe bakın.
    • Amazon S3 için, "x-amz- security-token" HTTP üst bilgisi aracılığıyla.
    • Diğer AWS hizmetleri için, SecurityToken parametresi aracılığıyla.
 
S: Hangi AWS hizmetleri, güvenlikle ilgili geçici kimlik bilgilerini kabul eder?
Desteklenen hizmetlerin listesi için bkz. IAM ile Çalışan AWS Hizmetleri.
 
S: Güvenlikle ilgili geçici kimlik bilgileri (GetFederationToken veya AssumeRole) isterken belirtebileceğim erişim politikasının maksimum boyutu nedir?
Politika düz metni 2048 bayt veya daha kısa olmalıdır. Ancak iç dönüştürme bunu ayrı bir sınırla paketlenmiş bir ikili dosya biçimde sıkıştırır.
 
S: Güvenlikle ilgili geçici kimlik bilgileri süresi sona ermeden önce iptal edilebilir mi?
Hayır. Geçici kimlik bilgileri isterken aşağıdakilerin yapılmasını öneririz:
  • Güvenlikle ilgili geçici kimlik bilgileri oluştururken, sona erme süresini uygulamanız için uygun bir değere ayarlayın.
  • Kök hesap izinleri kısıtlanamadığından, güvenlikle ilgili geçici kimlik bilgileri oluşturmak için kök hesabı değil, bir IAM kullanıcısı kullanın. İstekte bulunmak için özgün çağrıyı düzenleyen IAM kullanıcısının izinlerini iptal edebilirsiniz. Bu işlem, söz konusu IAM kullanıcısı tarafından düzenlenen güvenlikle ilgili geçici kimlik bilgilerinin tümü için ayrıcalıkları neredeyse hemen iptal eder
 
S: Güvenlikle ilgili geçici kimlik bilgilerinin sona erme süresini yeniden etkinleştirebilir veya uzatabilir miyim?
Hayır. Güvenlikle ilgili eski kimlik bilgilerinin süresi sona ermeden önce sona erme süresinin etkin olarak denetlenmesi ve güvenlikle ilgili yeni bir geçici kimlik bilgisi istenmesi iyi bir uygulamadır. Güvenlikle ilgili geçici kimlik bilgileri, EC2 bulut sunucuları için rollerde kullanıldığında bu döndürme işlemi sizin yerinize otomatik olarak yönetilir.
 
S: Güvenlikle ilgili geçici kimlik bilgileri tüm bölgelerde desteklenir mi?
Müşteriler, AWS GovCloud (ABD) ve Çin (Pekin) bölgeleri de dahil olmak üzere tüm bölgelerde AWS STS uç noktalarından belirteç isteyebilir. AWS GovCloud (ABD) ve Çin (Pekin) bölgelerindeki geçici kimlik bilgileri yalnızca geldikleri bölgede kullanılabilir. ABD Doğu (K. Virginia) veya AB (İrlanda) gibi başka bölgelerden istenen geçici kimlik bilgileri, AWS GovCloud (ABD) ve Çin (Pekin) dışında tüm bölgelerde kullanılabilir.
 
S: Güvenlikle ilgili geçici kimlik bilgilerinin kullanımını bir bölge veya bölge alt kümesi ile kısıtlayabilir miyim?
Hayır. AWS GovCloud (ABD) ve Çin (Pekin) bölgesinden gelen ve yalnızca verildikleri bölgede kullanılabilen güvenlikle ilgili geçici kimlik bilgileri dışında, güvenlikle ilgili geçici kimlik bilgilerini belirli bir bölge veya bölge alt kümesiyle sınırlayamazsınız.
 
S: Bir AWS STS uç noktasını kullanmaya başlayabilmem için önce ne yapmam gerekir?
AWS STS uç noktaları varsayılan olarak tüm bölgelerde etkindir ve ek bir işlem gerekmeden bunları kullanmaya başlayabilirsiniz.
 
S: AWS hesabım için devre dışı bırakılmış olan bölgesel bir AWS STS uç noktası kullanmaya çalışırsam ne olur?
AWS hesabınız için devre dışı bırakılmış bölgesel bir AWS STS uç noktasını kullanmaya çalışırsanız, AWS STS'den şu iletiyle bir AccessDenied istisnası görürsünüz: AccountID hesabı için bu bölgede AWS STS etkinleştirilmedi. Hesap yöneticiniz, IAM konsolunu kullanarak bu bölgede AWS STS'yi etkinleştirebilir.”
 
S: Hesap Ayarları sayfasından AWS STS bölgelerini etkinleştirmek veya devre dışı bırakmak için hangi izinler gerekir?
Yalnızca en azından iam:* izinlerine sahip olan kullanıcılar, IAM konsolundaki Hesap Ayarları sayfasından AWS STS bölgelerini etkinleştirebilir veya devre dışı bırakabilir. ABD Doğu (K. Virginia), AWS GovCloud (ABD) ve Çin (Pekin) bölgelerindeki AWS STS uç noktalarının her zaman etkin olduğunu ve devre dışı bırakılamayacağını unutmayın.
 
S: AWS STS bölgelerini etkinleştirmek veya devre dışı bırakmak için API ya da CLI'yi kullanabilir miyim?
Hayır. Şu anda AWS STS bölgelerini etkinleştirmek veya devre dışı bırakmak için bir API ya da CLI desteği yoktur. Gelecek bir sürümde API ve CLI desteği sağlamayı planlamaktayız.

Kimlik federasyonu

S: Kimlik federasyonu nedir?
AWS Identity and Access Management (IAM), AWS Management Console'a veya AWS API'lerine yetkisi devredilen erişim için kimlik federasyonunu destekler. Kimlik federasyonu sayesinde dış kimliklere, IAM kullanıcıları oluşturmak zorunda kalmadan AWS hesabınızdaki kaynaklara güvenli erişim izni verilir. Bu dış kimlikler, kurumsal kimlik sağlayıcınızdan (ör. Microsoft Active Directory'den veya AWS Directory Service'ten) ya da bir web kimlik sağlayıcısından (ör. Amazon Cognito, Login with Amazon, Facebook, Google veya OpenID Connect ile uyumlu herhangi bir sağlayıcı) gelebilir.
 
S: Federe kullanıcılar nedir?
Federe kullanıcılar (dış kimlikler), kurumsal dizininizde AWS dışında yönettiğiniz, ancak güvenlikle ilgili geçici kimlik bilgilerini kullanarak AWS hesabınıza erişim izni verdiğiniz kullanıcılardır. Bunlar, AWS hesabınızda oluşturulup korunan IAM kullanıcılarından farklıdır.
 
S: SAML’yi destekliyor musunuz?
Evet. AWS, Security Assertion Markup Language (SAML) 2.0'ı destekler.
 
S: AWS hangi SAML profillerini destekler?
AWS Single Sign-On (SSO) uç noktası, IdP tarafından başlatılan HTTP-POST bağlama WebSSO SAML Profilini destekler. Bu, federe kullanıcının bir SAML onayı kullanarak AWS Management Console'da oturum açmasını sağlar. SAML onayı, AssumeRoleWithSAML API'si kullanılarak güvenlikle ilgili geçici kimlik bilgileri istemek için de kullanılabilir. Daha fazla bilgi edinmek için bkz. SAML 2.0 Tabanlı Federasyon Hakkında.
 
S: Federe kullanıcılar AWS API'lerine erişebilir mi?
Evet. Federe kullanıcılarınızın AWS API'lerine güvenli bir şekilde ve doğrudan erişmesini sağlamak için bu kullanıcıların güvenlikle ilgili geçici kimlik bilgilerini programlama yoluyla isteyebilirsiniz. Microsoft Active Directory tarafından korunan kullanıcıların AWS hizmeti API'lerine erişimini sağlayarak kimlik federasyonunu nasıl etkinleştirebileceğinizi gösteren örnek bir uygulama sunduk. Daha fazla bilgi için bkz. AWS Kaynaklarına Erişim İstemek için Güvenlikle İlgili Geçici Kimlik Bilgilerini Kullanma.
 
S: Federe kullanıcılar AWS Management Console'a erişebilir mi?
Evet. Bunun birkaç yolu vardır. Birinci yol, federe kullanıcılarınız için programlama yoluyla güvenlikle ilgili geçici kimlik bilgileri (ör. GetFederationToken veya AssumeRole) istemek ve bu kimlik bilgilerini, AWS Management Console'a yönelik oturum açma isteğine dahil etmektir. Bir kullanıcının kimliğini doğrulayıp kendisine güvenlikle ilgili geçici kimlik bilgileri verdikten sonra, AWS Single Sign-On (SSO) uç noktası tarafından kullanılan bir oturum açma belirteci oluşturursunuz. Kullanıcının konsoldaki işlemleri, güvenlikle ilgili geçici kimlik bilgileriyle ilişkili erişim denetim politikası ile sınırlıdır.  Daha fazla ayrıntı için bkz. Federe Kullanıcıların AWS Management Console'a Erişmesini Sağlayan Bir URL oluşturma (Özel Federasyon Aracısı).
Alternatif olarak, doğrudan AWS oturum açma sistemine ( https://signin.aws.amazon.com/saml) bir SAML onayı gönderebilirsiniz. Kullanıcının konsoldaki işlemleri, SAML onayını kullandığı varsayılan IAM rolüyle ilişkili erişim denetim politikası ile sınırlıdır. Daha fazla ayrıntı için bkz. SAML 2.0 Federe Kullanıcılarının AWS Management Console'a Erişmesini Sağlama.
Bu yaklaşımlardan herhangi biri kullanıldığında, federe kullanıcının bir kullanıcı adı ve parola ile oturum açmak zorunda kalmadan konsola erişmesi sağlanır. Microsoft Active Directory tarafından korunan kullanıcıların AWS Management Console'a erişimini sağlayarak kimlik federasyonunu nasıl etkinleştirebileceğinizi gösteren örnek bir uygulama sunduk. 
 
S: Federe kullanıcının konsolda oturum açtığında neleri yapmasına izin verildiğini nasıl denetlerim?
AssumeRole API'sini kullanarak federe kullanıcınız için güvenlikle ilgili geçici kimlik bilgileri istediğinizde isteğe bağlı olarak isteğe bir erişim politikası dahil edebilirsiniz. Federe kullanıcının ayrıcalıkları, istekle birlikte iletilen erişim politikası ve üstlenilen IAM rolüne eklenen erişim politikası tarafından verilen izinlerin kesişimidir. İstekle birlikte iletilen erişim politikası, üstlenilen IAM rolüyle ilişkili ayrıcalıkları yükseltemez. GetFederationToken API'sini kullanarak federe kullanıcınız için güvenlikle ilgili geçici kimlik bilgileri istediğinizde isteğe bir erişim denetim politikası sağlamanız gerekir. Federe kullanıcının ayrıcalıkları, istekle birlikte iletilen erişim politikası ve istekte bulunmak için kullanılan IAM kullanıcısına eklenen erişim politikası tarafından verilen izinlerin kesişimidir. İstekle birlikte iletilen erişim politikası, istekte bulunmak için kullanılan IAM kullanıcısıyla ilişkili ayrıcalıkları yükseltemez. Bu federe kullanıcı izinleri hem AWS Management Console içinde uygulanan işlemler için, hem de API erişimi için geçerlidir.
 
S: Federe kullanıcının konsolu kullanmak için hangi izinlere ihtiyacı vardır?
Kullanıcı için, AWS Management Console tarafından çağrılan AWS hizmeti API'lerine yönelik izinler gerekir. AWS hizmetlerine erişmek için gereken genel izinler, AWS Kaynaklarına Erişim İstemek için Güvenlikle İlgili Geçici Kimlik Bilgilerini Kullanma bölümünde belirtilmektedir.
 
S: Federe kullanıcının AWS Management Console'a ne kadar süre boyunca erişim izni olacağını nasıl denetlerim?
Güvenlikle ilgili geçici kimlik bilgileri oluşturmak için kullanılan API'ye bağlı olarak, federe kullanıcının konsola erişebileceği süreyi ifade etmek üzere 15 dakika ile 36 saat arasında (GetFederationToken ve GetSessionToken için) ve 15 dakika ile 12 saat arasında (AssumeRole* API'leri için) bir oturum sınırı belirtebilirsiniz. Oturumun süresi dolduğunda federe kullanıcı, kimlik sağlayıcınıza geri dönerek yeni bir oturum istemelidir. Siz de bu kullanıcıya yeniden erişim izni verebilirsiniz. Oturum süresini ayarlama hakkında daha fazla bilgi edinin. 
 
S: Kimlik federasyonu konsolu oturumu zaman aşımına uğradığında ne olur?
Kullanıcıya, konsol oturumunun zaman aşımına uğradığını ve yeni bir oturum istemesi gerektiğini bildiren bir ileti sunulur. Kullanıcıları yeni bir oturum isteyebilecekleri yerel intranet web sayfanıza yönlendirmek için bir URL belirtebilirsiniz. Oturum açma isteğinizde bir Düzenleyici parametresi belirttiğinizde bu URL'yi eklersiniz. Daha fazla bilgi için bkz. SAML 2.0 Federe Kullanıcılarının AWS Management Console'a Erişmesini Sağlama.
 
S: Kaç tane federe kullanıcıya AWS Management Console'a erişme izni verebilirim?
Konsola erişme izni verilebilecek federe kullanıcı sayısı konusunda bir sınır yoktur.
 
S: Web kimliği federasyonu nedir?
Web kimliği federasyonu, kimlik doğrulaması için genel kimlik sağlayıcılarını (ör. Amazon Cognito, Login with Amazon, Facebook, Google veya OpenID Connect ile uyumlu herhangi bir sağlayıcı) kullanan AWS destekli mobil uygulamalar oluşturmanıza olanak sağlar. Web kimliği federasyonu sayesinde, sunucu tarafı bir kod yazmak zorunda kalmadan ve uygulama ile uzun vadeli AWS güvenliğiyle ilgili kimlik bilgileri dağıtmadan genel kimlik sağlayıcılardan (IdP'ler) oturum açmayı uygulamalarınızla entegre etmenin kolay bir yolunu elde edersiniz.
Web kimliği federasyonu hakkında daha fazla bilgi edinmek ve bu özelliği kullanmaya başlamak için bkz. Web Kimliği Federasyonu Hakkında.
 
S: Genel IdP'lerdeki hesaplarla web kimliği federasyonunu nasıl etkinleştirebilirim?
En iyi sonuçları elde etmek istiyorsanız neredeyse tüm web kimliği federasyonu senaryoları için kimlik aracınız olarak Amazon Cognito'yu kullanın. Kullanımı kolay olan Amazon Cognito, anonim (kimliği doğrulanmamış) erişim ve cihazlar ile sağlayıcılar arasında kullanıcı verilerini eşitleme gibi ek özellikler sağlar. Ancak önceden AssumeRoleWithWebIdentity API'sini kendiniz çağırarak web kimliği federasyonunu kullanan bir uygulama oluşturduysanız bunu kullanmaya devam edebilirsiniz ve uygulamalarınız da çalışmaya devam eder.
Aşağıda, desteklenen web IdP'lerinden birini kullanarak kimlik federasyonunu etkinleştirmeye yönelik temel adımlar verilmiştir:
IdP’ye geliştirici olarak kaydolun ve uygulamanızı, uygulamanız için size benzersiz bir kimlik veren IdP ile yapılandırın.
OIDC ile uyumlu bir IdP kullanıyorsanız, IAM'de bunun için bir kimlik sağlayıcı varlığı oluşturun.
AWS'de bir veya daha fazla IAM rolü oluşturun.
Uygulamanızda, genel IdP ile kullanıcılarınızın kimliğini doğrulayın.
Uygulamanızda, güvenlikle ilgili geçici kimlik bilgileri istemek için AssumeRoleWithWebidentity API'sine imzalanmamış bir çağrı yapın.
Uygulamanız, AssumeRoleWithWebidentity yanıtında aldığınız güvenlikle ilgili geçici kimlik bilgilerini kullanarak AWS API'lerine imzalanmış isteklerde bulunur.
Uygulamanın AWS'ye her istekte bulunması gerektiğinde güvenlikle ilgili yeni geçici kimlik bilgileri almak zorunda kalmamanız için uygulama, güvenlikle ilgili geçici kimlik bilgilerini önbelleğe alır.
Daha ayrıntılı adımlar için bkz. Mobil Uygulamalar için Web Kimliği Federasyonu API'lerini Kullanma.
 
S: AWS Directory Service kullanan kimlik federasyonunun, üçüncü taraf kimlik yönetimi çözümü kullanandan farkı nedir?
Federe kullanıcılarınızın yalnızca AWS Management Console'a erişebilmesini istiyorsanız AWS Directory Service kullanılması, üçüncü taraf bir kimlik yönetimi çözümü kullanılmasına benzer özellikler sağlar. Son kullanıcılar, mevcut kurumsal kimlik bilgilerini kullanarak oturum açabilir ve AWS Management Console'a erişebilir. AWS Directory Service yönetilen bir hizmet olduğundan, müşterilerin federasyon altyapısını ayarlaması veya yönetmesi gerekmez; bunun yerine, şirket içi dizinleriyle entegre edilecek bir AD Connector dizini oluşturmaları gerekir. Federe kullanıcılarınıza AWS API'lerine erişim izni sağlamayı planlıyorsanız, üçüncü taraf bir teklif kullanın veya kendi proxy sunucunuzu dağıtın.

Faturalandırma

S: AWS Faturalama, kullanıcıya göre toplu kullanım ve maliyet dökümleri sağlar mı?
Hayır, bu özellik şu anda desteklenmemektedir.
 
S: IAM hizmetinin herhangi bir ücreti var mıdır?
Hayır, AWS hesabınızın ek ücret olmaksızın sunulan bir özelliğidir.
 
S: AWS Hesabı kapsamında kullanıcıların kullanım ücretini kim öder?
AWS hesap sahibi, hesap kapsamındaki tüm kullanım, veri ve kaynakları denetler ve bunlardan sorumludur.
 
S: Faturalanabilir kullanıcı etkinliği, AWS kullanım verilerinde günlüğe kaydedilir mi?
Şu anda bu mümkün değildir. Gelecek bir sürümde planlanmaktadır.
 
S: IAM ve Birleştirilmiş Faturalama kıyaslaması nasıldır?
IAM ve Birleştirilmiş Faturalama, tamamlayıcı özelliklerdir. Birleştirilmiş Faturalama, tek bir ödeme hesabı atayarak şirketiniz içindeki birden çok AWS hesabı için ödemeyi birleştirmenize olanak sağlar. IAM kapsamı, Birleştirilmiş Faturalama ile ilgili değildir. AWS hesabı sınırları içinde bir kullanıcı mevcuttur ve bu kullanıcının bağlantılı hesaplar genelinde izni yoktur. Daha fazla ayrıntı için bkz. Birleştirilmiş Faturalama Kullanarak Birden Çok Hesap için Fatura Ödeme.
 
S: Kullanıcı, AWS hesaplarının faturalama bilgilerine erişebilir mi?
Evet, ancak siz izin verirseniz. IAM kullanıcılarının faturalama bilgilerine erişmesi için önce Hesap Etkinliği veya Kullanım Raporlarına erişmeleri için izin vermeniz gerekir. Bkz. Erişimi Denetleme.

Ek Sorular

S: Bir kullanıcı henüz IAM ile entegre edilmemiş bir hizmete erişmeye çalışırsa ne olur?
Hizmet, "Erişim reddedildi" hatası döndürür.
 
S: IAM işlemleri, denetleme amacıyla günlüğe kaydedilir mi?
Evet. AWS CloudTrail'i etkinleştirerek IAM işlemlerini, STS işlemlerini ve AWS Management Console oturum açma işlemlerini günlüğe kaydedebilirsiniz. AWS günlük kaydı hakkında daha fazla bilgi edinmek için bkz.  AWS CloudTrail.
 
S: AWS varlıkları olarak kişiler ve yazılım aracıları arasında bir fark var mıdır?
Hayır, bu varlıkların her ikisi de güvenlikle ilgili kimlik bilgilerine ve izinlere sahip kullanıcılar gibi değerlendirilir. Ancak AWS Management Console'da yalnızca kişiler tarafından parola kullanabilir.
 
S: Kullanıcılar, AWS Destek Merkezi ve Trusted Advisor ile çalışır mı?
Evet, IAM kullanıcıları, destek vakalarını oluşturabilir, değiştirebilir ve Trusted Advisor'ı kullanabilir.
 
S: IAM ile ilişkili varsayılan bir kota sınırı var mıdır?
Evet, varsayılan olarak AWS hesabınızın, tüm IAM ile ilgili varlıklar için ayarlanmış başlangıç kotaları vardır. Ayrıntılar için bkz. IAM Varlıkları ve Nesneleri için Sınırlamalar.
 
Bu kotalar değiştirilebilir. Artış gerekiyorsa, Bize Ulaşın sayfasından Hizmet Sınırını Artırma formuna erişebilir ve Sınır Türü açılır listesinden IAM Grupları ve Kullanıcıları'nı seçebilirsiniz.

Multi-factor authentication

S: AWS MFA nedir?
AWS Multi-Factor Authentication (AWS MFA), AWS ortamınıza uygulayabileceğiniz ek bir güvenlik düzeyi sağlar. AWS MFA'yı AWS hesabınız ve hesabınız altında oluşturduğunuz tek tek AWS Identity and Access Management (IAM) kullanıcıları için etkinleştirebilirsiniz.

S: AWS MFA nasıl çalışır?
AWS MFA cihazını kullanarak kimlik doğrulamanın iki ana yöntemi vardır:

  • AWS Management Console kullanıcıları: MFA özelliği etkin bir kullanıcı, AWS web sitesinde oturum açarken kullanıcı adı ve parolasına (ilk faktör – kullanıcının bildiği şeyler) ek olarak AWS MFA cihazından bir kimlik doğrulama yanıtı (ikinci faktör – kullanıcının sahip olduğu bir şey) istenir. AWS Management Console gibi oturum açma gerektiren tüm AWS web siteleri, AWS MFA'yı tamamen destekler. S3’te depolanan sürümlerinize yönelik ek koruma için Amazon S3 güvenli silme işlemiyle birlikte AWS MFA'yı da kullanabilirsiniz.
  • AWS API kullanıcıları: IAM politikalarınıza MFA kısıtlamaları ekleyerek MFA kimlik doğrulamasını zorunlu tutabilirsiniz. Bu şekilde korunan API'lere ve kaynaklara erişmek için geliştiriciler güvenlikle ilgili geçici kimlik bilgileri isteyebilir ve AWS Security Token Service (STS) API isteklerinde (güvenlikle ilgili geçici kimlik bilgileri düzenleyen hizmet) isteğe bağlı MFA parametrelerini iletebilir. MFA tarafından doğrulanan güvenlikle ilgili geçici kimlik bilgileri, MFA korumalı API'leri ve kaynakları çağırmak için kullanılabilir. Not: AWS STS ve MFA korumalı API’ler şu an MFA olarak U2F güvenlik anahtarını desteklememektedir.

S: MFA ile AWS kaynaklarımın korunmasına nasıl yardımcı olabilirim?
İki kolay adımı izleyin:

1. Bir MFA cihazı edinin. Üç seçeneğiniz vardır:

  • Üçüncü taraf bir sağlayıcı olan Yubico’dan donanım tabanlı bir YubiKey güvenlik anahtarı satın alın.
  • Üçüncü taraf bir sağlayıcı olan Gemalto'dan bir donanım cihazı satın alın.
  • Akıllı telefonunuz gibi bir cihaza sanal bir MFA uyumlu uygulama yükleyin.
Donanım veya sanal MFA cihazının nasıl edinileceğiyle ilgili ayrıntılar için AWS MFA sayfasını ziyaret edin.

2. Bir MFA cihazı edindikten sonra bu cihazı IAM konsolunda etkinleştirmeniz gerekir. Bir kullanıcının sanal MFA’sını ve donanım tabanlı MFA’sını (Gemalto cihazı) etkinleştirmek için AWS CLI’yı da kullanabilirsiniz. Not: AWS CLI şu anda U2F güvenlik anahtarlarının etkinleştirilmesini desteklememektedir.

S: AWS MFA kullanımıyla ilişkili bir ücret var mıdır?
AWS, AWS hesabınızla AWS MFA kullanımı için ek bir ücret uygulamaz. Bununla birlikte, fiziksel bir MFA cihazı kullanmak istiyorsanız, üçüncü taraf sağlayıcılar olan Gemalto'dan veya Yubico’dan AWS MFA ile uyumlu MFA cihazını satın almanız gerekir. Daha fazla bilgi edinmek için lütfen Yubico’nun veya Gemalto'nun web sitesini ziyaret edin.

S: AWS hesabım için birden çok MFA cihazı etkin olabilir mi?
Evet. Her IAM kullanıcısının kendi MFA cihazı olabilir. Ancak her bir kimlik (IAM kullanıcısı veya kök hesap) yalnızca bir MFA cihazıyla ilişkilendirilebilir.

S: U2F güvenlik anahtarımı birden çok AWS hesabıyla kullanabilir miyim?

Evet. AWS, aynı U2F güvenlik anahtarını çeşitli kök ve IAM kullanıcıları ile birden çok hesapta kullanmanıza imkan tanır.

S: Sanal donanımı veya SMS MFA’yı birden çok AWS hesabıyla kullanabilir miyim?
Hayır. Sanal, donanım tabanlı veya SMS MFA ile ilişkili MFA cihazı veya cep telefonu numarası, tek bir AWS kimliğine (IAM kullanıcısı veya kök hesabı) bağlıdır. Akıllı telefonunuzda TOTP uyumlu bir uygulama yüklüyse, aynı akıllı telefonda birden fazla sanal MFA cihazı oluşturabilirsiniz. Sanal MFA cihazlarının her biri, tıpkı donanım tabanlı MFA (Gemalto) cihazı gibi, tek bir kimliğe bağlıdır. MFA cihazının ilişkilendirmesini kaldırırsanız (devre dışı bırakırsanız), farklı bir AWS kimliği ile bunu yeniden kullanabilirsiniz. Donanım tabanlı MFA ile ilişkilendirilmiş MFA cihazı aynı anda birden fazla kimlikle kullanılamamaktadır.

S: İş yerimden veya kullandığım başka bir hizmetten zaten bir donanım tabanlı MFA cihazım var, bu cihazı AWS MFA ile yeniden kullanabilir miyim?
Hayır. AWS MFA, donanım tabanlı MFA (Gemalto) cihazınızın kullanımını desteklemek için bu cihazla ilişkili benzersiz bir gizli diziyi bilmenizi gerektirir. Bu tür gizli dizilerin hiçbir zaman birden fazla taraf arasında paylaşılmamasını zorunlu tutan güvenlik kısıtlamaları nedeniyle AWS MFA, mevcut Gemalto cihazınızın kullanımını destekleyemez. AWS MFA ile yalnızca Gemalto'dan satın alınan uyumlu bir donanım tabanlı MFA cihazı kullanılabilir. U2F güvenlik anahtarları herhangi bir gizli diziyi birden çok taraf arasında paylaşmadığı için mevcut bir U2F güvenlik anahtarını AWS MFA ile yeniden kullanabilirsiniz.

MFA Cihazı satın alma

S: Üçüncü taraf sağlayıcının web sitesini kullanarak verdiğim MFA cihazı siparişiyle ilgili bir sorun yaşıyorum. Nereden yardım alabilirim?
Yubico veya Gemalto’nun müşteri hizmetleri size yardımcı olabilir.

S: Üçüncü taraf sağlayıcıdan kusurlu veya hasarlı bir MFA cihazı aldım. Nereden yardım alabilirim?
Yubico veya Gemalto’nun müşteri hizmetleri size yardımcı olabilir.

S: Üçüncü taraf sağlayıcıdan bir MFA cihazı aldım. Ne yapmalıyım?
Tek yapmanız gereken, AWS hesabınız için AWS MFA'yı etkinleştirmek amacıyla MFA cihazını etkinleştirmektir. Bu görevi gerçekleştirmek için IAM konsoluna bakın.

Sanal MFA Cihazı Tedarik Etme

S: Sanal MFA cihazı nedir?
Sanal MFA cihazı, altı basamaklı kimlik doğrulaması kodları oluşturabilen, TOTP uyumlu bir yazılımda oluşturulan giriştir. Yazılım uygulaması, akıllı telefon gibi herhangi bir uyumlu bilgi işlem cihazında çalıştırılabilir.

S: Sanal MFA cihazı ile fiziksel MFA cihazları arasındaki farklar nelerdir?
Sanal MFA cihazları, fiziksel MFA cihazlarıyla aynı protokolleri kullanır. Sanal MFA cihazları yazılım tabanlı olup akıllı telefon gibi mevcut cihazlarınızda çalıştırılabilir. Çoğu sanal MFA uygulaması, birden fazla sanal MFA cihazını etkinleştirmenize olanak sağladığından fiziksel MFA cihazlarından daha kullanışlıdır.

S: AWS MFA ile hangi sanal MFA uygulamalarını kullanabilirim?
AWS MFA ile, Google Authenticator uygulaması gibi TOTP uyumlu kimlik doğrulaması kodları oluşturan uygulamaları kullanabilirsiniz. Bir QR kodunu cihazın kamerasıyla tarayarak otomatik şekilde veya sanal MFA uygulamasında el ile çekirdek değer girişiyle sanal MFA cihazlarını tedarik edebilirsiniz.

Desteklenen sanal MFA uygulamalarının listesi için MFA sayfasını ziyaret edin.

S: QR kodu nedir?
QR kodu, tahsis edilmiş QR barkod okuyucuları ve çoğu akıllı telefon tarafından okunabilen iki boyutlu bir barkoddur. Kod, beyaz bir arka plan üzerinde büyük kare deseni biçiminde yerleştirilmiş siyah küçük karelerden oluşur. QR kodu, sanal MFA uygulamanızda sanal bir MFA cihazını tedarik etmek için gerekli güvenlik yapılandırması bilgilerini içerir.

S: Nasıl yeni bir sanal MFA cihazı tedarik edebilirim?
AWS kök hesabınız ve IAM kullanıcılarınız için IAM konsolunda yeni bir sanal MFA cihazı yapılandırabilirsiniz. Ayrıca hesabınız kapsamında yeni sanal MFA cihazlarını tedarik etmek için AWS CLI'de veya CreateVirtualMFADevice API'sinde aws iam create-virtual-mfa-device komutunu da kullanabilirsiniz. aws iam create-virtual-mfa-device ve CreateVirtualMFADevice API'si, AWS MFA ile uyumlu uygulamanızda sanal MFA cihazını yapılandırmak için çekirdek değer adı verilen gerekli yapılandırma bilgilerini döndürür. IAM kullanıcılarınıza bu API'yi doğrudan çağırma veya bunlar için başlangıç tedariğini gerçekleştirme izni verebilirsiniz.

S: Sanal MFA cihazları için çekirdek değer malzemesini nasıl ele almalı ve dağıtmalıyım?

Çekirdek değer malzemesini tıpkı diğer gizli diziler (örneğin, AWS gizli anahtarları ve parolaları) gibi değerlendirmelisiniz.

S: Bir IAM kullanıcısının hesabım kapsamındaki sanal MFA cihazlarını yönetmesini nasıl sağlayabilirim?
IAM kullanıcısına, CreateVirtualMFADevice API'sini çağırma izni verin. Yeni sanal MFA cihazları tedarik etmek için bu API'yi kullanabilirsiniz.

SMS MFA

S: Yine de SMS MFA'ya önizleme erişimi isteğinde bulunabilir miyim?

SMS MFA önizlemesi için artık yeni katılımcı kabul etmiyoruz. AWS hesabınızda bir U2F güvenlik anahtarı, donanım cihazı veya sanal (yazılım tabanlı) MFA cihazı ile MFA kullanmanızı öneririz.

S: SMS MFA önizlemesi ne zaman sonra erecek?

1 Şubat 2019'dan itibaren, bir IAM kullanıcısı için “Bir SMS MFA cihazı” kurulumu yapılmışsa AWS bu IAM kullanıcısının altı haneli MFA kodunu girmesini gerektirmeyecek. Bu kullanıcılar oturum açarken bunlara bir SMS kodu da gönderilmeyecek. Bir U2F güvenlik anahtarı, donanım cihazı veya sanal (yazılım tabanlı) MFA cihazı aracılığıyla MFA kullanmanızı öneririz. Bu özelliği 31 Ocak 2019'a kadar kullanmaya devam edebilirsiniz.

AWS MFA Cihazlarını Etkinleştirme

S: AWS MFA'yı nereden etkinleştirebilirim?
AWS MFA'yı IAM konsolundan, AWS CLI ile veya AWS API'sini çağırarak bir AWS hesabı için ve IAM kullanıcılarınız için etkinleştirebilirsiniz. Not: AWS CLI ve AWS API şu an U2F güvenlik anahtarının etkinleştirilmesini desteklememektedir.

S: Donanım tabanlı veya sanal bir MFA cihazını etkinleştirmek için hangi bilgilere ihtiyacım vardır?
MFA cihazını IAM konsoluyla etkinleştiriyorsanız, yalnızca cihaza ihtiyacınız vardır. AWS CLI veya IAM API'sini kullanıyorsanız aşağıdakiler gerekir:

1. MFA cihazının seri numarası. Seri numarasının biçimi, donanım cihazı mı yoksa sanal cihaz mı kullandığınıza bağlıdır:

  • Donanım tabanlı MFA cihazı: Seri numarası, cihazın arkasındaki barkodlu etiketin üzerinde yer alır.
  • Sanal MFA cihazı: Seri numarası, AWS CLI'de iam-virtualmfadevicecreate komutunu çalıştırdığınızda veya CreateVirtualMFADevice API'sini çağırdığınızda döndürülen Amazon Resource Name (ARN) değeridir.

2. MFA cihazı tarafından iki ardışık MFA kodu görüntülenir.

S: MFA cihazım normal çalışıyor gibi göründüğü halde cihazı etkinleştiremiyorum. Ne yapmalıyım?
Lütfen yardım için bize ulaşın.

AWS MFA'yı Kullanma

S: AWS kök hesabım veya IAM kullanıcılarım için AWS MFA'yı etkinleştirirsem, kullanıcılarımın AWS Management Console'da oturum açmak için her zaman MFA kullanmaları gerekir mi?
Evet. AWS kök kimlik bilgileri kullanıcısının ve IAM kullanıcılarının herhangi bir AWS web sitesinde her oturum açmaları gerektiğinde MFA cihazını yanında bulundurmaları gerekir.

MFA cihazınız kaybolduysa, zarar gördüyse, çalındıysa veya çalışmıyorsa, alternatif kimlik doğrulaması faktörlerini kullanarak oturum açabilir, MFA cihazını devre dışı bırakabilir ve yeni bir cihazı etkinleştirebilirsiniz. En iyi güvenlik uygulaması olarak, kök hesabınızın parolasını değiştirmenizi öneririz.

IAM kullanıcılarınızın MFA cihazının kaybolması, zarar görmesi, çalınması veya çalışmayı durdurması durumunda IAM konsolunu ya da AWS CLI'yi kullanarak AWS MFA'yı kendiniz devre dışı bırakabilirsiniz.

S: A WS kök hesabım veya IAM kullanıcılarım için AWS MFA'yı etkinleştirirsem, AWS API'lerini doğrudan çağırmak için her zaman bir MFA doğrulamasından geçmeleri gerekir mi?
Hayır, bu isteğe bağlıdır. Ancak MFA korumalı API erişimi ile güvenliği sağlanan API'leri çağırmayı planlıyorsanız bir MFA doğrulamasını tamamlamanız gerekir.

AWS kök hesabınız veya IAM kullanıcınız için erişim anahtarları kullanarak AWS API'lerini çağırıyorsanız, bir MFA kodu girmeniz gerekmez. Güvenlik nedeniyle, AWS kök hesabınızdan tüm erişim anahtarlarını kaldırmanızı ve bunun yerine gerekli izinlere sahip bir IAM kullanıcısının erişim anahtarları ile AWS API'lerini çağırmanızı öneririz.

Not: U2F güvenlik anahtarları şu an MFA korumalı API’lerle çalışmamakta ve AWS API’leri için MFA olarak kullanılamamaktadır.

S: MFA cihazımı kullanarak AWS Portalında ve AWS Management Console'da nasıl oturum açabilirim?
Şu iki adımı izleyin:

  1. AWS kök hesabı olarak oturum açıyorsanız, istendiğinde kullanıcı adınız ve parolanızla normal şekilde oturum açın. IAM kullanıcısı olarak oturum açmak için, hesaba özgü URL'yi kullanın ve istendiğinde kullanıcı adınızı ve parolanızı sağlayın.
  2. Sanal, donanım tabanlı veya SMS MFA’yı etkinleştirdiyseniz MFA cihazınızda görünen altı haneli MFA kodunu girin. U2F güvenlik anahtarını etkinleştirdiyseniz, anahtarı bilgisayarınızın USB bağlantı noktasına takın, anahtarın yanıp sönmeye başlamasını bekleyin ve anahtarınızdaki düğmeye ya da altın diske dokunun.

S: AWS MFA, AWS Hizmet API'lerine erişme şeklimi etkiler mi?
AWS MFA, yalnızca hesap yöneticileri MFA korumalı API erişimini etkinleştirmeyi seçtiyse IAM kullanıcılarının AWS Hizmeti API'lerine erişme şeklini değiştirir. Yöneticiler, çağıranların bir AWS MFA cihazıyla kimlik doğrulaması yapmasını zorunlu tutarak hassas API'lere erişim konusunda ek bir güvenlik katmanı eklemek için bu özelliği etkinleştirebilir. Daha fazla bilgi için MFA korumalı API erişimi belgelerini daha ayrıntılı şekilde inceleyin.

Diğer istisnalar arasında S3 PUT klasör sürümü oluşturma, GET klasör sürümü oluşturma ve DELETE nesne API'leri yer alır ve bunlar, klasörünüzün sürüm oluşturma durumunu silmek veya değiştirmek için MFA kimlik doğrulamasını zorunlu tutmanızı sağlar. Daha fazla bilgi için, MFA Delete ile Bir Klasörü Yapılandırma konusunu daha ayrıntılı şekilde ele alan S3 belgelerine bakın.

Diğer tüm durumlar için AWS MFA şu anda AWS hizmeti API'lerine erişme şeklinizi değiştirmez.

Not: U2F güvenlik anahtarları şu an MFA korumalı API’lerle çalışmamakta ve AWS API’leri için MFA olarak kullanılamamaktadır.

S: Sanal ve donanım tabanlı MFA için belirli bir MFA kodunu birden çok kez kullanabilir miyim?
Hayır. Güvenlik nedeniyle, sanal ve donanım tabanlı MFA cihazınız tarafından sağlanan her MFA kodunu yalnızca bir kez kullanabilirsiniz.

S: Yakın zamanda MFA kodlarım reddedildiği için MFA cihazımı yeniden eşitlemem istendi. Bundan endişelenmeli miyim?
Hayır, bu ara sıra olabilir. Sanal ve donanım tabanlı MFA, MFA cihazınızdaki saatin, sunucularımızdaki saatle eşitlenmiş olmasına dayanır. Bazen bu saatlerde birbirinden sapma olabilir. Bu durumda, AWS web sitesinde veya AWS Management Console'da güvenli sayfalara erişmek amacıyla oturum açmak için MFA cihazını kullandığınızda AWS, ardışık iki MFA kodu sağlamanızı (etkinleştirme sırasında olduğu gibi) isteyerek MFA cihazını otomatik olarak yeniden eşitlemeyi dener.

U2F güvenlik anahtarları hep eşitlenmiş halde kalır ve bunların yeniden eşitlenmesi gerekmez.

S: MFA doğrulaması cihazım normal şekilde çalışıyor gibi göründüğü halde AWS Management Console'da oturum açmak için bu cihazı kullanamıyorum. Ne yapmalıyım?
Sanal veya donanım tabanlı MFA’yı kullanıyorsanız IAM kullanıcınızın kimlik bilgileri için MFA cihazlarını yeniden eşitlemenizi öneririz. Yeniden eşitlemeyi denediğiniz halde oturum açarken sorun yaşamaya devam ediyorsanız, alternatif kimlik doğrulama faktörlerini kullanarak oturum açabilir ve MFA cihazınızı sıfırlayabilirsiniz.

U2F güvenlik anahtarları kullanıyorsanız alternatif kimlik doğrulama faktörlerini kullanarak oturum açıp MFA cihazınızı sıfırlayabilirsiniz.

Yine de sorunlarla karşılaşıyorsanız yardım için bize ulaşın.

S: MFA cihazım kayboldu, zarar gördü, çalındı veya çalışmıyor ve şimdi AWS Management Console'da oturum açamıyorum. Ne yapmalıyım?
MFA cihazınız bir AWS kök hesabıyla ilişkilendirilmişse:

İlk olarak parolanızla oturum açıp daha sonra kök hesabınızla ilişkili e-posta adresini ve telefon numarasını doğrulayarak AWS Management Console'da MFA cihazınızı sıfırlayabilirsiniz.

MFA cihazınız kaybolduysa, zarar gördüyse, çalındıysa veya çalışmıyorsa, alternatif kimlik doğrulaması faktörlerini kullanarak oturum açabilir, MFA cihazını devre dışı bırakabilir ve yeni bir MFA cihazını etkinleştirebilirsiniz. En iyi güvenlik uygulaması olarak, kök hesabınızın parolasını değiştirmenizi öneririz.

Yeni bir MFA cihazına ihtiyacınız olursa, üçüncü taraf sağlayıcı olan Yubico veya Gemalto'dan yeni bir MFA cihazı satın alabilir veya IAM konsolunu kullanarak hesabınız kapsamında yeni bir sanal MFA cihazı tedarik edebilirsiniz.

Önceki yaklaşımları denediğiniz halde oturum açarken sorun yaşamaya devam ediyorsanız AWS Support ile görüşün.

S: AWS MFA'yı nasıl devre dışı bırakabilirim?

AWS hesabınız için AWS MFA'yı devre dışı bırakmak amacıyla, Güvenlikle İlgili Kimlik Bilgileri sayfasını kullanarak MFA cihazınızı devre dışı bırakabilirsiniz. IAM kullanıcılarınız için AWS MFA'yı devre dışı bırakmak amacıyla IAM konsolunu veya AWS CLI'yi kullanmanız gerekir.

S: GovCloud'da AWS MFA kullanabilir miyim?
Evet, GovCloud'da AWS sanal MFA ve donanım MFA cihazlarını kullanabilirsiniz.

MFA korumalı API erişimi

S: MFA korumalı API erişimi nedir?
MFA korumalı API erişimi, hesap yöneticilerinin, kullanıcıların bir parolaya ek olarak ikinci bir kimlik doğrulaması faktörü sağlamasını gerektirerek müşteri tarafından belirtilen API'ler için ek kimlik doğrulamasını zorunlu tutmasına olanak sağlayan isteğe bağlı bir işlevdir. Özellikle yöneticilerin, seçilen API'lere erişim için MFA kimlik doğrulamasını denetleyen ve gerektiren koşulları IAM politikalarına dahil etmesini sağlar. Bu API'lere çağrı yapan kullanıcıların önce kullanıcının geçerli bir MFA kodu girdiğini belirten geçici kimlik bilgileri alması gerekir.

S: U2F güvenlik anahtarımı MFA korumalı API’lerle kullanabilir miyim?

Hayır. MFA korumalı API’ler şu an U2F güvenlik anahtarlarını desteklememektedir.

S: MFA korumalı API erişimi hangi sorunu çözer?
Önceden müşteriler, AWS Management Console'a erişim için MFA gerektirebiliyor, ancak doğrudan AWS hizmeti API'leri ile etkileşim kuran uygulamalar ve geliştiriciler üzerinde MFA gereksinimlerini zorunlu tutamıyordu. MFA korumalı API erişimi, erişim yoluna bakılmaksızın IAM politikalarının evrensel olarak zorunlu tutulmasını sağlar. Sonuç olarak artık AWS kullanan ve güçlü API'leri çağırmadan veya hassas kaynaklara erişmeden önce kullanıcıdan MFA kimlik doğrulaması isteyen kendi uygulamanızı geliştirebilirsiniz.

S: MFA korumalı API erişimini kullanmaya nasıl başlayabilirim?
İki basit adımla kullanmaya başlayabilirsiniz:

  1. IAM kullanıcılarınıza bir MFA cihazı atayın. Akıllı telefonunuz, tabletiniz veya bilgisayarınız için ücretsiz bir TOTP uyumlu uygulama indirebilir ya da bir donanım anahtarı satın alabilirsiniz. AWS MFA cihazları hakkında daha fazla bilgi edinmek için MFA ayrıntısı sayfasına bakın.
  2. MFA kimlik doğrulamasını zorunlu tutmak istediğiniz IAM kullanıcıları ve/veya IAM grupları için izin politikaları oluşturarak MFA korumalı API erişimini etkinleştirin. Erişim politikası dili sözdizimi hakkında daha fazla bilgi edinmek için erişim politikası dili belgelerine bakın.

S: Geliştiriciler ve kullanıcılar, MFA korumalı API erişimi ile güvenliği sağlanan API'lere ve kaynaklara nasıl erişir?
Geliştiriciler ve kullanıcılar hem AWS Management Console'da hem de API'lerde MFA korumalı API erişimi ile etkileşim kurar.

AWS Management Console'da, MFA özelliği etkin olan tüm IAM kullanıcıları oturum açmak için cihazlarında kimlik doğrulaması yapmalıdır. MFA'sı olmayan kullanıcılar, MFA korumalı API'lere ve kaynaklara erişim izni elde etmez.

API düzeyinde, geliştiriciler, kullanıcılardan güçlü API'leri çağırmadan veya hassas kaynaklara erişmeden önce atanan MFA cihazlarını kullanarak kimlik doğrulaması yapmalarını istemek için uygulamalarında AWS MFA'yı entegre edebilir. Geliştiriciler, güvenlikle ilgili geçici kimlik bilgilerini alma isteklerine (bu tür istekler, "oturum istekleri" olarak da adlandırılır) isteğe bağlı MFA parametreleri (seri numarası ve MFA kodu) ekleyerek bu işlevi etkinleştirir. Parametreler geçerliyse, MFA durumunu belirten güvenlikle ilgili geçici kimlik bilgileri döndürülür. Daha fazla bilgi edinmek için güvenlikle ilgili geçici kimlik bilgileri belgelerine bakın.

S: MFA korumalı API erişimini kimler kullanabilir?
MFA korumalı API erişimi, tüm AWS müşterileri tarafından ücretsiz olarak kullanılabilir.

S: MFA korumalı API erişimi hangi hizmetlerle birlikte çalışır?
MFA korumalı API erişimi, güvenlikle ilgili geçici kimlik bilgilerini destekleyen tüm AWS hizmetleri tarafından desteklenir. Desteklenen hizmetlerin listesi için IAM ile Çalışan AWS Hizmetleri bölümüne bakın ve Güvenlikle ilgili geçici kimlik bilgilerini destekler etiketli sütunu gözden geçirin.

S: Bir kullanıcı güvenlikle ilgili geçici kimlik bilgileri isterken yanlış MFA cihazı bilgileri sağlarsa ne olur?
Güvenlikle ilgili geçici kimlik bilgileri düzenleme isteği başarısız olur. MFA parametrelerini belirten güvenlikle ilgili geçici kimlik bilgileri istekleri, IAM kullanıcısıyla bağlantılı cihazın doğru seri numarasını ve geçerli bir MFA kodunu sağlamalıdır.

S: MFA korumalı API erişimi, AWS kök hesapları için API erişimini denetler mi?
Hayır, MFA korumalı API erişimi yalnızca IAM kullanıcıları için erişimi denetler. Kök hesaplar, IAM politikalarına bağlı değildir; bu nedenle, AWS kök hesabı kimlik bilgilerini kullanmak yerine AWS hizmeti API'leri ile etkileşim kuracak IAM kullanıcıları oluşturmanızı öneririz.

S: Kullanıcıların MFA korumalı API erişimini kullanması için kendilerine bir MFA cihazı atanması gerekir mi?
Evet, önce bir kullanıcıya benzersiz bir donanım veya sanal MFA cihazı atanması gerekir.

S: MFA korumalı API erişimi; S3 nesneleri, SQS kuyrukları ve SNS konularıyla uyumlu mudur?
Evet.

S: MFA korumalı API erişimi, S3 MFA Delete gibi mevcut MFA kullanım örnekleriyle nasıl etkileşim kurar?
MFA korumalı API erişimi ve S3 MFA Delete birbiriyle etkileşim kurmaz. S3 MFA Delete şu anda güvenlikle ilgili geçici kimlik bilgilerini desteklememektedir. Bunun yerine uzun vadeli erişim anahtarları kullanılarak S3 MFA Delete API'sine çağrılar yapılmalıdır.

S: MFA korumalı API erişimi, GovCloud (ABD) bölgesinde çalışır mı?
Evet.

S: MFA korumalı API erişimi, federe kullanıcılar için uygulanır mı?
Müşteriler, federe kullanıcılara yönelik erişimi denetlemek için MFA korumalı API erişimini kullanamaz. GetFederatedSession API'si, MFA parametrelerini kabul etmez. Federe kullanıcılar, AWS MFA cihazlarında kimlik doğrulaması yapamadığından, MFA korumalı API erişimini kullanarak atanan kaynaklara erişemez.

Fiyatlandırma

S: AWS IAM kullanımı için ne kadar ücret öderim?

IAM, AWS hesabınızın ek ücret olmaksızın sunulan bir özelliğidir. Yalnızca kullanıcılarınızın diğer AWS hizmetlerini kullanması karşılığında ücretlendirilirsiniz.

AWS IAM hizmetini nasıl kullanmaya başlayacağınızı keşfedin

Kullanmaya başlama sayfasını ziyaret edin
Oluşturmaya hazır mısınız?
AWS IAM'yi kullanmaya başlayın
Başka sorunuz mu var?
Bize ulaşın