Что такое IAM и как он работает в AWS?

IAM (Управление удостоверениями и доступом) относится к службе “Безопасность, удостоверения и соответствие” в AWS (Amazon Web Services). Он позволяет нам безопасно управлять доступом к службам и ресурсам AWS. С помощью IAM мы можем создавать и управлять пользователями AWS, группами, ролями и использовать разрешения для предоставления или отказа в доступе к ресурсам AWS.

IAM предоставляется “без дополнительной платы“, и мы платим только за другие службы AWS, которые мы используем.

AWS IAM помогает нам:

• Управлять пользователями и их доступом:
  Мы можем создавать пользователей в IAM, назначать им индивидуальные учетные данные безопасности. Мы можем управлять разрешениями, чтобы контролировать, какие операции может выполнять пользователь, а какие нет.
• Управлять ролями и их разрешениями:
  Мы можем создавать роли в IAM и управлять разрешениями, чтобы контролировать, какие операции могут выполняться сущностью или службой AWS, которая принимает на себя роль.
• Управлять федеративными пользователями и их разрешениями:
  Мы можем включить федерацию удостоверений, чтобы позволить существующим пользователям, группам и ролям в нашей организации получать доступ к AWS Management

Чтобы более подробно понять службу IAM, вы можете обратиться к официальной документации AWS.

В этой статье мы рассмотрим, как создать пользователя IAM, группу, роль IAM, назначить разрешение и создать пользовательскую политику.

Примечание: IAM не принадлежит к определенному региону и охватывает весь аккаунт AWS.

Предварительные требования

1. Аккаунт AWS (Создайте, если у вас его нет).

Что мы будем делать

1. Войти в AWS.
2. Создать пользователя IAM.
3. Создать группу IAM и добавить в нее пользователя.
4. Создать роль IAM.
5. Создать политику IAM.

Вход в AWS

1. Нажмите здесь, чтобы перейти на страницу входа в AWS.

Когда мы перейдем по вышеуказанной ссылке, мы увидим веб-страницу, где нам нужно будет войти, используя наши учетные данные.

После успешного входа в AWS мы увидим главную консоль со всеми перечисленными службами.

Создание пользователя IAM

Пользователь (IAM) — это сущность, которую мы создаем в AWS, чтобы представить человека или приложение, которое использует его для взаимодействия с AWS. Пользователь в AWS состоит из имени и учетных данных.

Нажмите на “Службы” в верхнем левом углу, и вы увидите экран со всеми службами. Найдите “IAM” в разделе “Безопасность, удостоверения и соответствие” и нажмите на “IAM”

Вы увидите панель управления. Это главная страница для IAM. Нажмите на “Пользователи” в левой панели.

Нажмите на “Добавить пользователя”, чтобы создать нового пользователя.

Здесь дайте имя создаваемому пользователю. Мы можем создать пользователя с двумя различными типами доступа.

1. Программный доступ:
   Мы можем выполнять операции с аккаунтом AWS через API AWS, CLI, SDK и другие инструменты разработки, используя этот тип доступа.
2. Доступ к консоли управления AWS:
   Этот тип доступа позволяет пользователю войти в консоль управления AWS.

В этой статье мы создадим пользователя с “доступом к консоли управления AWS”.

После нажатия на “доступ к консоли управления AWS” вы получите поле для назначения пароля для пользователя.

Мы можем выбрать “Автосгенерированный пароль” или “Пользовательский пароль”. Здесь мы выберем “Пользовательский пароль” и назначим пароль пользователю. В зависимости от требований мы можем заставить пользователя изменить пароль при следующем входе. Здесь оставим как есть. Нажмите на “Далее: Разрешения”, чтобы продолжить и назначить разрешения.

На следующем экране нажмите на “Присоединить существующие политики напрямую” и найдите “readonlyaccess”, и выберите флажок, как показано на следующем экране. Предоставив “ReadOnlyAccess”, пользователь не сможет создавать никакие ресурсы AWS. Вы можете просмотреть список разрешений, чтобы понять их. Нажмите на “Далее: Теги”, чтобы продолжить.

Назначение тегов является необязательным, но помогает организовать, отслеживать или контролировать доступ для этого пользователя. Нажмите на “Далее: Обзор”, чтобы продолжить и создать пользователя.

Просмотрите конфигурацию и нажмите на “Создать пользователя”, чтобы создать пользователя.

Нажмите на “Скачать .csv”, который содержит “Ссылку для входа в консоль”. В случае создания пользователя с “Программным доступом” этот файл очень важен, так как он будет содержать “Идентификатор ключа доступа” и “Секретный ключ доступа”, необходимые для получения доступа. Теперь вы можете нажать на “Закрыть”, так как мы создали нашего первого пользователя.

Создание роли IAM

Роль IAM — это удостоверение IAM, которое мы можем создать в нашем аккаунте AWS и которое имеет определенные разрешения. Это похоже на пользователя IAM с политиками разрешений, которые определяют, что удостоверение может и не может делать в AWS. Роль IAM позволяет службам AWS выполнять действия от нашего имени.

На главной странице IAM нажмите на “Роли” в левой панели. Нажмите на “Создать роль”.

В этой статье мы создадим роль для службы Lambda. Нажмите на “Lambda” и нажмите на “Далее: Разрешения”.

В строке поиска найдите “ec2readonlyaccess” и отметьте флажок для политики “AmazonEC2ReadyOnlyAccess”. Это даст “только для чтения” доступ к функции Lambda на службе EC2. Нажмите на “Далее: Теги”.

Добавление тегов является необязательным, но может быть использовано для организации, отслеживания или контроля доступа для этой роли. Нажмите на “Далее: Обзор”, чтобы продолжить.

Дайте имя роли, добавьте описание и нажмите на “Создать роль”. Это создаст роль, которая позволит функциям Lambda вызывать службы AWS от вашего имени с “ReadOnlyAccess” на службе “EC2”.

Создание группы IAM

Группа IAM — это коллекция пользователей IAM. Мы можем указать разрешения для нескольких пользователей, используя роль, что может облегчить управление разрешениями для этих пользователей.

На главной странице IAM нажмите на “Группы” в левой панели. Нажмите на “Создать новую группу”.

Укажите имя и нажмите на “Следующий шаг”.

Найдите “readonlyaccess”, прокрутите вниз и отметьте флажок. Нажмите на “Следующий шаг”.

Просмотрите конфигурацию и нажмите на “Создать группу”.

Теперь у нас есть группа с “ReadOnlyAccess”, что означает, что пользователи, принадлежащие к этой группе, будут иметь только “доступ только для чтения” к ресурсам/услугам AWS.

Вернитесь на главную страницу IAM и выберите группу, которую мы только что создали. Нажмите на “Добавить пользователей в группу”, чтобы добавить нашего пользователя в эту группу.

Выберите пользователя, которого мы создали на предыдущем шаге, и нажмите на “Добавить пользователей”. Это добавит нашего пользователя в группу, которую мы создали, имеющую “ReadOnlyAccess”.

Создание политики IAM

Политика IAM — это сущность, которая прикрепляется к удостоверению или ресурсу, чтобы определить их разрешения.

На главной странице IAM нажмите на “Политики” в левой панели. Нажмите на “Создать политику”.

Нажмите на “Служба”, чтобы выбрать службу, для которой нужно создать политику. Найдите службу в строке поиска и выберите службу.

Вы получите список разрешений, которые можно назначить, здесь выберите “Список”. Нажмите на “Обзор политики”.

Дайте имя политике и нажмите на “Создать политику”. Эта политика теперь может быть прикреплена к пользователю, чтобы предоставить только “Список” разрешений на службу EC2. Мы можем следовать тем же шагам, которые мы следовали для прикрепления политики при создании пользователя, чтобы прикрепить эту политику.

Заключение:

В этой статье мы создали пользователя, роль и прикрепили к ним политику, создали группу и добавили в нее пользователя, создали пользовательскую политику, которую можно добавить к пользователю.