- Ein IAM-Benutzer ist eine in AWS erstellte Entität, die eine Möglichkeit zur Interaktion mit AWS-Ressourcen bietet.
- Der Hauptzweck von IAM-Benutzern besteht darin, dass sie sich bei der AWS-Managementkonsole anmelden und Anfragen an die AWS-Dienste stellen können.
- Das neu Geschaffene IAM-Benutzer kein Passwort und keinen Zugangsschlüssel haben. Wenn ein Benutzer die AWS-Ressourcen über die AWS-Managementkonsole nutzen möchte, müssen Sie das Benutzerkennwort erstellen. Wenn ein Benutzer programmgesteuert mit AWS interagieren möchte (über die CLI (Befehlszeilenschnittstelle)), müssen Sie den Zugriffsschlüssel für diesen Benutzer erstellen. Die für den IAM-Benutzer erstellten Anmeldeinformationen sind es, die ihn gegenüber AWS eindeutig identifizieren.
- Die Sicherheit der Anmeldeinformationen des Benutzers kann durch die Verwendung der Funktion Multi-Faktor-Authentifizierung erhöht werden.
- Die neu erstellten IAM-Benutzer verfügen über keine Berechtigungen, d. h. sie sind nicht berechtigt, auf die AWS-Ressourcen zuzugreifen.
- Ein Vorteil der Verwendung einzelner IAM-Benutzer besteht darin, dass Sie die Berechtigungen individuell vergeben können. Sie können sogar Administratorrechte zuweisen, die Ihre AWS-Ressourcen und auch andere IAM-Benutzer verwalten können.
- Hauptsächlich werden die Berechtigungen des Benutzers auf AWS-Aufgaben und -Ressourcen festgelegt, d. h. auf den Job, der dem IAM-Benutzer zugewiesen ist. Sie erstellen beispielsweise einen IAM-Benutzer mit dem Namen Advita, erstellen ein Kennwort für den Benutzer und legen die Berechtigungen fest, die es ihm ermöglichen, Amazon EC2-Instances zu starten und die Daten aus der Amazon RDS-Datenbank zu lesen.
- Jeder IAM-Benutzer ist mit genau einem AWS-Konto verknüpft.
- Benutzer werden in Ihrem Konto definiert, sodass Benutzer keine Zahlung leisten müssen. Jede von einem Benutzer durchgeführte AWS-Aktivität wird Ihrem Konto in Rechnung gestellt.
IAM-Benutzer sind nicht unbedingt Menschen
Ein IAM-Benutzer repräsentiert nicht unbedingt ein Volk. Ein IAM-Benutzer ist lediglich eine Identität mit zugehöriger Berechtigung. Sie können auch einen IAM-Benutzer erstellen, um eine Anwendung darzustellen, die über Anmeldeinformationen verfügen muss, um auf die AWS-Dienste zugreifen zu können.
Erstellen eines IAM-Benutzers (AWS Management Console)
So erstellen Sie einen Benutzer mit der AWS Management Console:
- Melden Sie sich bei der AWS Management Console an.
- Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/home?region=us-east-2#/home. Es erscheint der unten abgebildete Bildschirm:
- Klicken Sie im Navigationsbereich auf „Benutzer“. Nachdem Sie auf „Benutzer“ geklickt haben, erscheint der unten abgebildete Bildschirm:
- Klicken Sie auf „Benutzer hinzufügen“, um neue Benutzer zu Ihrem Konto hinzuzufügen. Nachdem Sie auf „Benutzer hinzufügen“ geklickt haben, erscheint der folgende Bildschirm:
- Geben Sie den Benutzernamen für den Benutzer ein, den Sie erstellen möchten. Sie können jeweils fünf Benutzer erstellen.
- Wählen Sie den AWS-Zugriffstyp aus. Entweder möchten Sie, dass ein Benutzer programmgesteuerten Zugriff, Zugriff auf die AWS-Managementkonsole oder beides hat.
- Sie können dem Benutzer auch die Berechtigung erteilen, seine Sicherheitsanmeldeinformationen zu verwalten.
Erstellen eines IAM-Benutzers (CLI oder API)
- Erstellen Sie einen Benutzer
CLI command: aws iam create-user API command: CreateUser
- Sie können dem Benutzer Sicherheitsanmeldeinformationen wie ein Kennwort zuweisen, das erforderlich ist, wenn ein Benutzer die AWS-Managementkonsole verwenden soll.
CLI command: aws iam create-login-profile API command: CreateLoginProfile
- Erstellen Sie einen Zugriffsschlüssel für den Benutzer, der erforderlich ist, wenn der Benutzer programmgesteuert auf AWS-Ressourcen zugreifen muss.
CLI command: aws iam create-access-key API command: CreateAccessKey
- Fügen Sie dem Benutzer eine Richtlinie hinzu, die die Berechtigungen definiert.
CLI command: aws iam attach-user-policy API command: AttachUserPolicy
- Ein Benutzer kann einer oder mehreren Gruppen hinzugefügt werden.
CLI command: aws iam add-user-to-group API command: AddUserToGroup
So melden sich IAM-Benutzer bei Ihrem AWS-Konto an
- Öffnen Sie den Link https://us-east-1.signin.aws.amazon.com/, um sich bei Ihrem AWS-Konto anzumelden.
- Ein IAM-Benutzer gibt den von Ihnen zugewiesenen Benutzernamen und das Passwort ein, um sich bei der IAM-Konsole anzumelden.
Auflisten von IAM-Benutzern (AWS Management Console)
- Melden Sie sich bei der AWS Management Console an, indem Sie Ihre E-Mail-Adresse und Ihr Passwort eingeben.
- Öffnen Sie die IAM-Konsole.
- Klicken Sie im Navigationsbereich auf „Benutzer“, dann erscheint der unten abgebildete Bildschirm:
Der obige Bildschirm zeigt, dass es nur gibt bereits ein Benutzer existiert, dessen Name MyUser ist.
Auflisten aller Benutzer in einer Gruppe (AWS Management Console)
- Melden Sie sich bei der AWS Management Console an, indem Sie Ihre E-Mail-Adresse und Ihr Passwort eingeben.
- Öffnen Sie die IAM-Konsole.
- Klicken Sie im Navigationsbereich auf die Gruppe, dann erscheint der unten abgebildete Bildschirm:
Der obige Bildschirm zeigt, dass keine Gruppe vorhanden ist
Auflisten aller Benutzer (CLI und API)
- Listen Sie alle Benutzer in einem Konto auf.
CLI command : aws iam list-users API command : ListUsers
- Listen Sie die Benutzer in einer bestimmten Gruppe auf.
CLI command : aws iam get-group API command : GetGroup
- Listen Sie alle Gruppen auf, in denen ein bestimmter Benutzer existiert.
CLI command : aws iam list-groups-for-user API command : ListGroupsForUser
Löschen Sie einen IAM-Benutzer (AWS Management Console)
- Melden Sie sich bei der AWS Management Console an.
- Öffnen Sie die IAM-Konsole.
- Klicken Sie im Navigationsbereich auf Benutzer.
- Aktivieren Sie das Kontrollkästchen neben dem Benutzernamen.
- Wählen Sie in der Liste „Benutzeraktionen“ oben auf der Seite die Option „Benutzer löschen“ aus.
- Klicken Sie auf Ja, Löschen.
Löschen Sie einen IAM-Benutzer (AWS CLI)
- Löschen Sie die Schlüssel und Zertifikate des Benutzers, um sicherzustellen, dass der Benutzer nicht auf Ihre AWS-Konten zugreifen kann.
aws iam delete-access-key aws iam delete-signing-certificate
- Löschen Sie das Passwort des Benutzers, wenn der Benutzer ein Passwort enthält.
aws iam delete-login-profile
- Deaktivieren Sie das MFA-Gerät des Benutzers, falls der Benutzer eines hat.
aws iam deactivate-mfa-device
- Wir können auch die Richtlinien, die dem Benutzer zugeordnet sind, trennen.
aws iam list-attached-user-policies → list the policies that are attached to the user aws iam detach-user-policy → Detach the policies that are attached to the user
- Rufen Sie die Liste der Gruppen ab, in denen der Benutzer war, und entfernen Sie dann die Benutzer aus der Gruppe.
aws iam list-groups-for-user // list all the groups that the user was in. aws iam remove-user-from-group // Remove the users from a group.
- Löschen Sie den Benutzer
aws iam delete-user