A ogni utente deve essere assegnata le autorizzazioni per accedere alle risorse richieste in base ai suoi ruoli e ai suoi requisiti. Queste autorizzazioni possono essere consentite allenando direttamente una politica di autorizzazione con un utente IAM, ma questo non è un buon approccio dal punto di vista di gestione. Quindi, un approccio migliore è quello di creare un gruppo di utenti e assegnare le autorizzazioni a quel gruppo e tutti gli utenti IAM all'interno del gruppo di utenti erediteranno le autorizzazioni assegnate al gruppo di utenti e non dovrai gestire le autorizzazioni individualmente per ciascun utente IAM.
In questo blog, vedremo come possiamo creare un utente IAM e un gruppo di utenti in AWS utilizzando la console di gestione AWS e l'interfaccia della riga di comando AWS.
Creazione di un utente IAM
Per creare un utente IAM su AWS, è possibile utilizzare l'account root o qualsiasi account utente IAM che ha l'autorizzazione e l'accesso per gestire gli utenti IAM. Ci sono seguenti metodi per la creazione di un utente IAM in AWS.
Creazione dell'utente IAM dalla console di gestione AWS
Accedi al tuo account AWS e nella barra di ricerca in alto, digita IAM.
Seleziona l'opzione IAM sul menu di ricerca. Questo ti porterà al tuo iam dashboard.
Dal pannello laterale sinistro, fai clic su Utenti scheda dove troverai il Aggiungi utenti opzione.
Per creare un nuovo utente, è necessario configurare più impostazioni. Innanzitutto, devi fornire un nome utente per un utente IAM e scegliere il tipo di credenziali di accesso. Per l'accesso al tuo account utente utilizzando la console di gestione AWS, dovrai creare una password (puoi generare automaticamente una password o utilizzarne una personalizzata) o se si desidera accedere al tuo account utente da CLI o SDK, lo farai È necessario impostare una chiave di accesso che fornirà l'ID chiave di accesso e una chiave di accesso segreto.
Nella sezione successiva, dovrai gestire le autorizzazioni assegnate a ciascun utente IAM in un account AWS. L'approccio migliore per fornire le autorizzazioni è creare un gruppo di utenti che vedremo nella sezione successiva, ma se lo desideri, è possibile allegare una politica di autorizzazione direttamente a un utente IAM.
L'ultimo passaggio che troverai è aggiungere tag che sono parole chiave semplici con descrizione per tracciare tutte le risorse nel tuo account relative a quella parola chiave. I tag sono opzionali e puoi saltarli sulla tua scelta.
Infine, basta rivedere i dettagli che hai appena fornito su quell'utente e sei a posto per creare un utente IAM.
Quando si fa clic su Crea utente, verrà visualizzata una nuova schermata in cui sarai in grado di scaricare le credenziali dell'utente nel caso in cui tu abbia abilitato il tasto di accesso. Questo è necessario per scaricare questo file in quanto è l'unica volta che puoi ottenerli altrimenti dovrai creare nuove credenziali.
Per l'accesso al tuo account utente IAM utilizzando la console di gestione, devi solo inserire l'ID account, il nome utente e la password.
Creazione dell'utente IAM tramite CLI (Interfaccia della riga di comando)
Gli utenti IAM possono essere creati utilizzando l'interfaccia della riga di comando e questo è il metodo più comune dal punto di vista degli sviluppatori che preferiscono l'utilizzo della CLI Over Management Console. Per AWS puoi impostare CLI su Windows, Mac, Linux o semplicemente puoi usare AWS CloudShell. Innanzitutto, accedi all'account utente AWS utilizzando le tue credenziali e per creare un nuovo utente Immettere il comando seguente.
$ AWS iam Create-User-User-Name
L'utente IAM è creato. Ora, devi gestire le credenziali di sicurezza per il tuo account. Per impostare semplicemente una password utente, eseguire il comando:
$ aws iam create-login-profilo-user-name--password
Infine, è necessario gestire le autorizzazioni al tuo utente IAM appena creato. È possibile aggiungere l'utente in un gruppo e all'utente verranno concesse tutte le autorizzazioni di quel gruppo. Per questo, hai bisogno del seguente comando. Non ci sarà alcun output da ottenere.
$ aws iam add-uk-to-group-Group-Name--nome utente
Se si desidera concedere direttamente le autorizzazioni al proprio utente IAM, è possibile allegare una politica all'utente, questo viene chiamato politica in linea. Proprio invece del nome del gruppo, è necessario fornire ad un arn della politica che desideri allegare.
$ aws iam allegato-utente-policy-user-name>--Policy-Arn
Quindi, questa è la guida completa per creare un utente IAM nel tuo account AWS. Si può notare che in nessun momento abbiamo gestito la regione AWS o la zona di disponibilità, questo è perché l'utente IAM è un servizio globale indipendentemente dalle regioni.
Creazione di gruppi di utenti
I gruppi di utenti aiutano quando si desidera più di un utente con autorizzazioni simili, come se hai quattro sviluppatori nel tuo team e vuoi che tutti abbiano lo stesso accesso. Fornisce inoltre una facile manutenzione del tuo account in quanto non è necessario esaminare individualmente ogni autorizzazione dell'utente e puoi semplicemente vedere il proprio gruppo di utenti. Inoltre, in AWS un utente può appartenere a più gruppi di utenti o anche a nessun gruppo di utenti.
Qui, vedremo la creazione di un gruppo di utenti con due metodi.
Creazione di gruppi di utenti dalla console di gestione AWS
Per creare un gruppo di utenti basta accedere al tuo account AWS e nel tipo di barra di ricerca superiore iam.
Seleziona l'opzione IAM nel menu di ricerca, questo ti porterà al tuo dashboard IAM.
Dal pannello laterale sinistro, selezionare il Gruppi di utenti scheda. Questo ti porterà alla finestra di gestione del gruppo di utenti. Clicca su Creare un gruppo e di seguito sono i passaggi per creare un gruppo di utenti.
Digita il nome del gruppo di utenti.
Dall'elenco seguente, è possibile selezionare gli utenti esistenti che si desidera aggiungere a questo gruppo. Questo passaggio non è obbligatorio in quanto puoi anche aggiungere utenti nel gruppo in seguito.
L'ultimo e più importante passo nella creazione di un gruppo di utenti è quello di allegare politiche che concedono le autorizzazioni a quel gruppo. Dall'elenco delle politiche, selezionare quelli che si desidera collegare al gruppo e infine fare clic sul gruppo Crea nell'angolo in basso a destra.
Creazione di gruppi di utenti utilizzando CLI (Interfaccia della riga di comando)
Accedi all'interfaccia della riga di comando AWS utilizzando Windows, Mac, Linux o CloudShell. Qui, è necessario eseguire il comando seguente per creare un nuovo gruppo di utenti
$ AWS iam Create-Group-Group-Name
Per aggiungere utenti al tuo gruppo, eseguire semplicemente il seguente comando su Terminal.
$ aws iam add-uk-to-group-Group-Name <--nome utente
Ora, finalmente, dobbiamo solo allegare una politica al nostro gruppo di utenti. Per questo eseguire il seguente comando:
$ aws iam allegato-group-policy-Group-nome--politica-arn
Quindi, infine, hai creato un nuovo gruppo di utenti, allegato alla politica di autorizzazione e hai aggiunto un utente al suo interno. In AWS, i gruppi di utenti sono globali, quindi non è necessario gestire nessuna regione per questo.
Conclusione
Gli utenti e i gruppi di utenti sono una parte importante dell'infrastruttura AWS. La creazione di più utenti consente alle organizzazioni di utilizzare un'infrastruttura cloud singola tra molti dipartimenti e membri. D'altra parte, i gruppi di utenti ci aiutano a gestire i nostri utenti in modo efficiente nel nostro account AWS fornendo a ciascun utente le autorizzazioni che desidera svolgere le sue attività.