- Um usuário IAM é uma entidade criada na AWS que fornece uma maneira de interagir com os recursos da AWS.
- O principal objetivo dos usuários IAM é que eles possam fazer login no Console de gerenciamento da AWS e fazer solicitações aos serviços da AWS.
- O recém-criado Usuários IAM não tem senha nem chave de acesso. Se um usuário quiser usar os recursos da AWS usando o AWS Management Console, será necessário criar a senha do usuário. Se um usuário quiser interagir usando o AWS programaticamente (usando a CLI (Command Line Interface)), você precisará criar a chave de acesso para esse usuário. As credenciais criadas para o usuário IAM são exatamente o que as identifica de maneira exclusiva para a AWS.
- A segurança das credenciais do usuário pode ser aprimorada usando o recurso, ou seja, autenticação multifator.
- Os usuários IAM recém-criados não possuem permissões, ou seja, não estão autorizados a acessar os recursos da AWS.
- Uma vantagem de usar usuários individuais do IAM é que você pode atribuir as permissões individualmente. Você pode até atribuir permissões administrativas, que podem administrar seus recursos AWS e também administrar outros usuários IAM.
- Principalmente, as permissões do usuário são definidas para tarefas e recursos da AWS, ou seja, o trabalho atribuído ao usuário IAM. Por exemplo, você cria um usuário IAM cujo nome é Advita, cria uma senha para o usuário e define as permissões que permitem que ele inicie instâncias do Amazon EC2 e leia os dados do banco de dados Amazon RDS.
- Cada usuário IAM está associado a uma e apenas uma conta AWS.
- Os usuários são definidos em sua conta, portanto, os usuários não precisam fazer pagamentos. Qualquer atividade da AWS realizada por um usuário é cobrada em sua conta.
Os usuários do IAM não são necessariamente pessoas
Um usuário IAM não representa necessariamente um povo. Um usuário IAM é apenas uma identidade com permissão associada. Você também pode criar um usuário IAM para representar um aplicativo que precisa ter credenciais para acessar os serviços da AWS.
Criando um usuário IAM (AWS Management Console)
Para criar um usuário usando o AWS Management Console:
Tipo de bolha
- Faça login no Console de gerenciamento da AWS.
- Abra o console IAM em https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Aparece a tela mostrada abaixo:
- No painel de navegação, clique em Usuários. Após clicar em Usuários, aparecerá a tela mostrada abaixo:
- Clique em Adicionar usuário para adicionar novos usuários à sua conta. Após clicar em Adicionar usuário, aparecerá a tela mostrada abaixo:
- Insira o nome de usuário do usuário que você deseja criar. Você pode criar cinco usuários por vez.
- Selecione o tipo de acesso AWS. Você deseja que um usuário tenha acesso programático, acesso ao AWS Management Console ou ambos.
- Você também pode dar permissão ao usuário para gerenciar suas credenciais de segurança.
Criando um usuário IAM (CLI ou API)
- Crie um usuário
CLI command: aws iam create-user API command: CreateUser
- Você pode atribuir credenciais de segurança, como uma senha, ao usuário, o que será necessário se você quiser que um usuário use o AWS Management Console.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Crie uma chave de acesso para o usuário que será necessária se o usuário precisar acessar os recursos da AWS de forma programática.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Anexe uma política ao usuário que defina as permissões.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Um usuário pode ser adicionado a um ou mais grupos.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Como os usuários do IAM fazem login na sua conta da AWS
- Abra o link https://us-east-1.signin.aws.amazon.com/ para fazer login em sua conta AWS.
- Um usuário do IAM insere o nome de usuário e a senha atribuídos por você para fazer login no console do IAM.
Listando usuários IAM (AWS Management Console)
- Faça login no AWS Management Console inserindo seu endereço de e-mail e senha.
- Abra o console IAM.
- No painel de navegação, clique em Usuários e aparecerá a tela mostrada abaixo:
A tela acima mostra que existe apenas já é um usuário existe cujo nome é MyUser.
Listando todos os usuários em um grupo (AWS Management Console)
- Faça login no AWS Management Console inserindo seu endereço de e-mail e senha.
- Abra o console IAM.
- No painel de navegação, clique no Grupo e aparecerá a tela mostrada abaixo:
A tela acima mostra que não existe nenhum grupo
Listando todos os usuários (CLI e API)
- Liste todos os usuários em uma conta.
CLI command : aws iam list-users API command : ListUsers
- Liste os usuários em um grupo específico.
CLI command : aws iam get-group API command : GetGroup
- Liste todos os grupos nos quais existe um usuário específico.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Excluir um usuário IAM (AWS Management Console)
- Faça login no Console de gerenciamento da AWS.
- Abra o console IAM.
- No painel de navegação, clique em Usuários.
- Marque a caixa de seleção exibida ao lado do nome de usuário.
- Na lista Ações do usuário na parte superior da página, selecione Excluir usuário.
- Clique em sim, excluir.
Excluir um usuário IAM (AWS CLI)
- Exclua as chaves e os certificados do usuário, o que garante que o usuário não possa acessar suas contas da AWS.
aws iam delete-access-key aws iam delete-signing-certificate
- Exclua a senha do usuário, se o usuário contiver uma senha.
aws iam delete-login-profile
- Desative o dispositivo MFA do usuário, se o usuário tiver um.
aws iam deactivate-mfa-device
- Também podemos separar as políticas que estão anexadas ao usuário.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Obtenha a lista dos grupos em que o usuário estava e remova os usuários do grupo.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Exclua o usuário
aws iam delete-user