IAMpengguna - AWS Identity and Access Management
Bagaimana AWS mengidentifikasi pengguna IAMIAMpengguna dan kredensialnyaIAMpengguna dan izinIAMpengguna dan akunIAMpengguna sebagai akun layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMpengguna

penting

IAMPraktik terbaik merekomendasikan bahwa Anda meminta pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan IAM pengguna dengan kredensi jangka panjang. Kami menyarankan Anda hanya menggunakan IAM pengguna untuk kasus penggunaan tertentu yang tidak didukung oleh pengguna federasi.

Pengguna AWS Identity and Access Management (IAM) adalah entitas yang Anda buat AWS. IAMPengguna mewakili pengguna manusia atau beban kerja yang menggunakan IAM pengguna untuk berinteraksi AWS. Seorang pengguna di AWS terdiri dari nama dan kredensional.

Seorang IAM pengguna dengan izin administrator tidak sama dengan. Pengguna root akun AWS Untuk informasi lebih lanjut tentang pengguna akar, lihat Pengguna root akun AWS.

Bagaimana AWS mengidentifikasi pengguna IAM

Saat Anda membuat IAM pengguna, IAM buat cara-cara berikut untuk mengidentifikasi pengguna tersebut:

  • Sebuah “nama ramah” untuk IAM pengguna, yang merupakan nama yang Anda tentukan ketika Anda membuat IAM pengguna, seperti Richard atauAnaya. Ini adalah nama yang Anda lihat di AWS Management Console.

  • Nama Sumber Daya Amazon (ARN) untuk IAM pengguna. Anda menggunakan ARN ketika Anda perlu mengidentifikasi IAM pengguna secara unik di semua. AWS Misalnya, Anda dapat menggunakan ARN untuk menentukan IAM pengguna sebagai Principal dalam IAM kebijakan untuk bucket Amazon S3. ARNUntuk IAM pengguna mungkin terlihat seperti berikut:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Pengenal unik untuk IAM pengguna. ID ini dikembalikan hanya ketika Anda menggunakanAPI, Alat untuk Windows PowerShell, atau AWS CLI untuk membuat IAM pengguna; Anda tidak melihat ID ini di konsol.

Untuk informasi selengkapnya tentang pengidentifikasi ini, lihat Pengidentifikasi IAM.

IAMpengguna dan kredensialnya

Anda dapat mengakses dengan berbagai AWS cara tergantung pada kredensi IAM pengguna:

  • Kata sandi konsol: Kata sandi yang dapat diketik IAM pengguna untuk masuk ke sesi interaktif seperti AWS Management Console. Menonaktifkan kata sandi (akses konsol) untuk IAM pengguna mencegah mereka masuk ke AWS Management Console menggunakan kredenal masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan.

  • Kunci akses: Digunakan untuk melakukan panggilan terprogram ke AWS. Namun, ada alternatif yang lebih aman untuk dipertimbangkan sebelum Anda membuat kunci akses untuk IAM pengguna. Untuk informasi selengkapnya, lihat Pertimbangan dan alternatif untuk kunci akses jangka panjang di. Referensi Umum AWS Jika IAM pengguna memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows PowerShell AWS API, atau AWS Console Mobile Application.

  • SSHkunci untuk digunakan dengan CodeCommit: Kunci SSH publik dalam SSH format Terbuka yang dapat digunakan untuk mengautentikasi dengan CodeCommit.

  • Sertifikat server:SSL/TLSsertifikat yang dapat Anda gunakan untuk mengautentikasi dengan beberapa AWS layanan. Kami menyarankan Anda menggunakan AWS Certificate Manager (ACM) untuk menyediakan, mengelola, dan menyebarkan sertifikat server Anda. Gunakan IAM hanya ketika Anda harus mendukung HTTPS koneksi di wilayah yang tidak didukung olehACM. Untuk mempelajari wilayah mana yang mendukungACM, lihat AWS Certificate Manager titik akhir dan kuota di. Referensi Umum AWS

Anda dapat memilih kredensi yang tepat untuk pengguna AndaIAM. Ketika Anda menggunakan AWS Management Console untuk membuat IAM pengguna, Anda harus memilih untuk setidaknya menyertakan kata sandi konsol atau kunci akses. Secara default, IAM pengguna baru yang dibuat menggunakan AWS CLI atau tidak AWS API memiliki kredensi apa pun. Anda harus membuat jenis kredensi untuk IAM pengguna berdasarkan kasus penggunaan Anda.

Anda memiliki opsi berikut untuk mengelola kata sandi, kunci akses, dan perangkat otentikasi multi-faktor ()MFA:

  • Kelola kata sandi untuk IAM pengguna Anda. Buat dan ubah kata sandi yang mengizinkan akses ke AWS Management Console. Atur kebijakan kata sandi untuk menerapkan kerumitan kata sandi minimum. Izinkan pengguna untuk mengubah kata sandi mereka sendiri.

  • Kelola kunci akses untuk IAM pengguna Anda. Buat dan perbarui access key untuk akses terprogram ke sumber daya di akun Anda.

  • Aktifkan otentikasi multi-faktor (MFA) untuk pengguna. IAM Sebagai praktik terbaik, kami menyarankan Anda memerlukan otentikasi multi-faktor untuk semua IAM pengguna di akun Anda. DenganMFA, pengguna harus memberikan dua bentuk identifikasi: Pertama, mereka memberikan kredensi yang merupakan bagian dari identitas pengguna mereka (kata sandi atau kunci akses). Selain itu, mereka menyediakan kode numerik sementara yang dihasilkan pada perangkat keras atau oleh aplikasi pada smartphone atau tablet.

  • Temukan kata sandi dan kunci akses yang tidak digunakan. Siapa pun yang memiliki kata sandi atau kunci akses untuk akun Anda atau IAM pengguna di akun Anda memiliki akses ke AWS sumber daya Anda. Praktik terbaik keamanan adalah untuk menghapus kata sandi dan access key saat pengguna tidak lagi membutuhkannya.

  • Unduh laporan kredenal untuk akun Anda. Anda dapat membuat dan mengunduh laporan kredensi yang mencantumkan semua IAM pengguna di akun Anda dan status berbagai kredensialnya, termasuk kata sandi, kunci akses, dan perangkat. MFA Untuk kata sandi dan access key, laporan kredensial menunjukkan bagaimana kata sandi atau access key telah digunakan baru-baru ini.

IAMpengguna dan izin

Secara default, IAM pengguna baru tidak memiliki izin untuk melakukan apa pun. Mereka tidak berwenang untuk melakukan AWS operasi apa pun atau mengakses AWS sumber daya apa pun. Keuntungan memiliki IAM pengguna individu adalah Anda dapat menetapkan izin satu per satu untuk setiap pengguna. Anda dapat menetapkan izin administratif untuk beberapa pengguna, yang kemudian dapat mengelola AWS sumber daya Anda dan bahkan dapat membuat dan mengelola pengguna lain. IAM Namun, dalam kebanyakan kasus, Anda ingin membatasi izin pengguna hanya pada tugas (AWS tindakan atau operasi) dan sumber daya yang diperlukan untuk pekerjaan itu.

Bayangkan seorang pengguna bernama Diego. Saat Anda membuat IAM penggunaDiego, Anda membuat kata sandi untuknya dan melampirkan izin yang memungkinkannya meluncurkan EC2 instance Amazon tertentu dan membaca (GET) informasi dari tabel di RDS database Amazon. Untuk prosedur tentang cara membuat pengguna dan memberi mereka kredensial dan izin awal, lihat Buat IAM pengguna di Akun AWS. Untuk prosedur tentang cara mengubah izin untuk pengguna yang sudah ada, lihat Mengubah izin untuk pengguna IAM. Untuk prosedur tentang cara mengubah kata sandi atau access key pengguna, lihat Kelola kata sandi pengguna di AWS dan Mengelola kunci akses untuk IAM pengguna.

Anda juga dapat menambahkan batas izin ke pengguna Anda. IAM Batas izin adalah fitur lanjutan yang memungkinkan Anda menggunakan kebijakan AWS terkelola untuk membatasi izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada pengguna atau peran. IAM Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat Kebijakan dan izin di AWS Identity and Access Management.

IAMpengguna dan akun

Setiap IAM pengguna dikaitkan dengan satu dan hanya satu Akun AWS. Karena IAM pengguna didefinisikan di dalam Anda Akun AWS, mereka tidak perlu memiliki metode pembayaran pada file dengan AWS. Setiap AWS aktivitas yang dilakukan oleh IAM pengguna di akun Anda akan ditagih ke akun Anda.

Jumlah dan ukuran IAM sumber daya dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat IAMdan AWS STS kuota.

IAMpengguna sebagai akun layanan

IAMPengguna adalah sumber daya IAM yang memiliki kredensi dan izin terkait. IAMPengguna dapat mewakili seseorang atau aplikasi yang menggunakan kredensialnya untuk membuat AWS permintaan. Ini biasanya disebut sebagai akun layanan. Jika Anda memilih untuk menggunakan kredensi jangka panjang IAM pengguna dalam aplikasi Anda, jangan menanamkan kunci akses langsung ke kode aplikasi Anda. Itu AWS SDKs dan AWS Command Line Interface memungkinkan Anda untuk meletakkan kunci akses di lokasi yang diketahui sehingga Anda tidak harus menyimpannya dalam kode. Untuk informasi selengkapnya, lihat Mengelola Kunci Akses IAM Pengguna dengan Benar di Referensi Umum AWS. Atau, dan sebagai praktik terbaik, Anda dapat menggunakan kredenal keamanan sementara (IAMperan) alih-alih kunci akses jangka panjang.