- Un utente IAM è un'entità creata in AWS che fornisce un modo per interagire con le risorse AWS.
- Lo scopo principale degli utenti IAM è poter accedere alla Console di gestione AWS ed effettuare richieste ai servizi AWS.
- Il appena creato Utenti IAM non hanno password e nessuna chiave di accesso. Se un utente desidera utilizzare le risorse AWS utilizzando la Console di gestione AWS, è necessario creare la password utente. Se un utente desidera interagire utilizzando AWS in modo programmatico (utilizzando la CLI (Command Line Interface)), è necessario creare la chiave di accesso per quell'utente. Le credenziali create per l'utente IAM sono ciò che identifica esattamente se stesso in modo univoco in AWS.
- La sicurezza delle credenziali dell'utente può essere migliorata utilizzando la funzionalità, ad esempio l'autenticazione a più fattori.
- Gli utenti IAM appena creati non dispongono di autorizzazioni, ovvero non sono autorizzati ad accedere alle risorse AWS.
- Un vantaggio dell'utilizzo di singoli utenti IAM è che puoi assegnare le autorizzazioni individualmente. Puoi anche assegnare le autorizzazioni amministrative, chi può amministrare le tue risorse AWS e anche amministrare altri utenti IAM.
- Principalmente, le autorizzazioni dell'utente sono impostate su attività e risorse AWS, ovvero il lavoro assegnato all'utente IAM. Ad esempio, crei un utente IAM il cui nome è Advita, crei una password per l'utente e imposti le autorizzazioni che gli consentono di avviare istanze Amazon EC2 e leggere i dati dal database Amazon RDS.
- Ciascun utente IAM è associato a uno e un solo account AWS.
- Gli utenti sono definiti all'interno del tuo account, quindi gli utenti non devono effettuare il pagamento. Qualsiasi attività AWS eseguita da un utente viene fatturata sul tuo account.
Gli utenti IAM non sono necessariamente persone
Un utente IAM non rappresenta necessariamente un popolo. Un utente IAM è semplicemente un'identità con autorizzazione associata. Puoi anche creare un utente IAM per rappresentare un'applicazione che deve disporre di credenziali per accedere ai servizi AWS.
Creazione di un utente IAM (Console di gestione AWS)
Per creare un utente utilizzando la Console di gestione AWS:
- Accedi alla Console di gestione AWS.
- Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Appare la schermata che riportiamo di seguito:
- Nel riquadro di navigazione, fare clic su Utenti. Dopo aver cliccato su Utenti, appare la schermata mostrata di seguito:
- Fai clic su Aggiungi utente per aggiungere nuovi utenti al tuo account. Dopo aver cliccato su Aggiungi utente, viene visualizzata la schermata mostrata di seguito:
- Inserisci il Nome utente per l'utente che desideri creare. Puoi creare cinque utenti alla volta.
- Seleziona il tipo di accesso AWS. Vuoi che un utente abbia accesso programmatico, accesso alla Console di gestione AWS o entrambi.
- È inoltre possibile concedere all'utente l'autorizzazione a gestire le proprie credenziali di sicurezza.
Creazione di un utente IAM (CLI o API)
- Crea un utente
CLI command: aws iam create-user API command: CreateUser
- Puoi assegnare credenziali di sicurezza come una password all'utente, necessaria se desideri che un utente utilizzi la Console di gestione AWS.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Crea una chiave di accesso per l'utente necessaria se l'utente deve accedere alle risorse AWS in modo programmatico.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Allega una policy all'utente che definisce le autorizzazioni.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Un Utente può essere aggiunto a uno o più gruppi.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
Come gli utenti IAM accedono al tuo account AWS
- Apri il collegamento https://us-east-1.signin.aws.amazon.com/ per accedere al tuo account AWS.
- Un utente IAM immette il nome utente e la password assegnati dall'utente per accedere alla console IAM.
Elenco degli utenti IAM (Console di gestione AWS)
- Accedi alla Console di gestione AWS inserendo il tuo indirizzo e-mail e la password.
- Apri la console IAM.
- Nel riquadro di navigazione, fare clic su Utenti, quindi verrà visualizzata la schermata mostrata di seguito:
La schermata sopra mostra che c'è solo già utente esiste il cui nome è MyUser.
Elenco di tutti gli utenti in un gruppo (Console di gestione AWS)
- Accedi alla Console di gestione AWS inserendo il tuo indirizzo e-mail e la password.
- Apri la console IAM.
- Nel riquadro di navigazione, fare clic sul Gruppo, quindi verrà visualizzata la schermata mostrata di seguito:
La schermata sopra mostra che non esiste alcun gruppo
Elenco di tutti gli utenti (CLI e API)
- Elenca tutti gli utenti in un account.
CLI command : aws iam list-users API command : ListUsers
- Elenca gli utenti in un gruppo specifico.
CLI command : aws iam get-group API command : GetGroup
- Elenca tutti i gruppi in cui esiste un utente specifico.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Elimina un utente IAM (Console di gestione AWS)
- Accedi alla Console di gestione AWS.
- Apri la console IAM.
- Nel riquadro di navigazione, fare clic su Utenti.
- Selezionare la casella di controllo visualizzata accanto al nome utente.
- Dall'elenco Azioni utente nella parte superiore della pagina, seleziona Elimina utente.
- Fare clic su Sì, Elimina.
Elimina un utente IAM (AWS CLI)
- Elimina le chiavi e i certificati dell'utente per garantire che l'utente non possa accedere ai tuoi account AWS.
aws iam delete-access-key aws iam delete-signing-certificate
- Elimina la password dell'utente, se l'utente contiene una password.
aws iam delete-login-profile
- Disattiva il dispositivo MFA dell'utente, se l'utente ne ha uno.
aws iam deactivate-mfa-device
- Possiamo anche staccare le policy allegate all'utente.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Ottieni l'elenco dei gruppi a cui appartiene l'utente, quindi rimuovi gli utenti dal gruppo.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Elimina l'utente
aws iam delete-user