IAMpengguna - AWS Identity and Access Management
Bagaimana AWS mengidentifikasi pengguna IAMIAMpengguna dan kredensialnyaIAMpengguna dan izinIAMpengguna dan akunIAMpengguna sebagai akun layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMpengguna

penting

IAMPraktik terbaik merekomendasikan bahwa Anda meminta pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan IAM pengguna dengan kredensi jangka panjang. Kami menyarankan Anda hanya menggunakan IAM pengguna untuk kasus penggunaan tertentu yang tidak didukung oleh pengguna federasi.

IAMPengguna adalah entitas yang Anda buat di Akun AWS. IAMPengguna mewakili pengguna manusia atau beban kerja yang menggunakan IAM pengguna untuk berinteraksi dengan AWS sumber daya. IAMPengguna terdiri atas nama dan kredensialnya.

IAMPengguna dengan izin administrator tidak sama dengan. Pengguna root akun AWS Untuk informasi lebih lanjut tentang pengguna akar, lihat Pengguna root akun AWS.

Bagaimana AWS mengidentifikasi pengguna IAM

Saat Anda membuat IAM pengguna, IAM buat cara-cara ini untuk mengidentifikasi pengguna tersebut:

  • “Nama yang mudah diingat” untuk IAM pengguna, yang merupakan nama yang Anda tetapkan saat Anda membuat IAM pengguna, seperti Richard atauAnaya. Ini adalah nama yang Anda lihat di AWS Management Console.

  • Nama Sumber Daya Amazon (ARN) untuk IAM pengguna. Anda menggunakan ARN saat Anda perlu mengidentifikasi IAM pengguna secara unik di seluruh. AWS Misalnya, Anda dapat menggunakan ARN untuk menentukan IAM pengguna sebagai Principal dalam IAM kebijakan untuk bucket Amazon S3. ARNUntuk IAM pengguna dapat terlihat seperti berikut:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Pengidentifikasi unik untuk IAM pengguna. ID ini dikembalikan hanya jika Anda menggunakanAPI, Tools for Windows PowerShell, atau AWS CLI membuat IAM pengguna; Anda tidak melihat ID ini di konsol.

Untuk informasi selengkapnya tentang pengidentifikasi ini, lihat IAMpengidentifikasi.

IAMpengguna dan kredensialnya

Anda dapat mengakses dengan berbagai AWS cara, tergantung pada IAM kredensialnya:

  • Kata sandi konsol: Kata sandi yang dapat diketik IAM pengguna untuk masuk ke sesi interaktif seperti AWS Management Console. Menonaktifkan kata sandi (akses konsol) untuk IAM pengguna mencegah pengguna dari masuk ke AWS Management Console menggunakan kredensialnya. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan.

  • Kunci akses: Digunakan untuk melakukan panggilan terprogram ke AWS. Namun, ada alternatif yang lebih aman untuk dipertimbangkan sebelum Anda membuat kunci akses untuk IAM pengguna. Untuk informasi selengkapnya, lihat Pertimbangan dan alternatif untuk kunci akses jangka panjang di. Referensi Umum AWS Jika IAM pengguna memiliki access key aktif, pengguna akan terus berfungsi dan mengizinkan akses melalui AWS CLI, Tools for Windows PowerShell AWS API, atau AWS Console Mobile Application.

  • SSHkunci untuk digunakan dengan CodeCommit: Kunci SSH publik dalam SSH format Terbuka yang dapat digunakan untuk mengautentikasi dengan CodeCommit.

  • Sertifikat server:SSL/TLSsertifikat yang dapat Anda gunakan untuk mengautentikasi dengan beberapa AWS layanan. Sebaiknya gunakan AWS Certificate Manager (ACM) untuk menyediakan, mengelola, dan men-deploy sertifikat server Anda. Gunakan IAM hanya jika Anda harus mendukung HTTPS koneksi di wilayah yang tidak didukung olehACM. Untuk mempelajari wilayah mana yang mendukungACM, lihat AWS Certificate Manager titik akhir dan kuota di. Referensi Umum AWS

Anda dapat memilih kredensial yang tepat untuk pengguna AndaIAM. Ketika Anda menggunakan AWS Management Console untuk membuat IAM pengguna, Anda harus memilih untuk setidaknya menyertakan kata sandi atau access key konsol. Secara default, IAM pengguna baru dibuat menggunakan AWS CLI atau tidak AWS API memiliki kredensial apa pun. Anda harus membuat tipe kredensial untuk IAM pengguna berdasarkan kasus penggunaan Anda.

Anda memiliki opsi berikut untuk mengelola kata sandi, access key, dan perangkat multi-factor authentication ()MFA:

  • Kelola kata sandi untuk IAM pengguna Anda. Buat dan ubah kata sandi yang mengizinkan akses ke AWS Management Console. Atur kebijakan kata sandi untuk menerapkan kerumitan kata sandi minimum. Izinkan IAM pengguna untuk mengubah kata sandi mereka sendiri.

  • Kelola kunci akses untuk IAM pengguna Anda. Buat dan perbarui access key untuk akses terprogram ke sumber daya di akun Anda.

  • Aktifkan otentikasi multi-faktor (MFA) untuk pengguna. IAM Sebagai praktik terbaik, kami sarankan agar Anda memerlukan autentikasi multi-factor untuk semua IAM pengguna di akun Anda. DenganMFA, IAM pengguna harus menyediakan dua bentuk identifikasi: Pertama, mereka menyediakan kredensial yang merupakan bagian dari identitas pengguna mereka (kata sandi atau access key). Sebagai tambahan, mereka menyediakan kode numerik sementara yang dihasilkan di perangkat keras atau aplikasi di ponsel cerdas atau tablet.

  • Temukan kata sandi dan kunci akses yang tidak digunakan. Siapa pun yang memiliki kata sandi atau access key untuk akun Anda atau IAM pengguna di akun Anda memiliki akses ke AWS sumber daya Anda. Praktik terbaik keamanan adalah untuk menghapus kata sandi dan access key saat IAM pengguna tidak lagi membutuhkannya.

  • Unduh laporan kredenal untuk akun Anda. Anda dapat membuat dan mengunduh laporan kredensialnya yang mencantumkan semua IAM pengguna di akun Anda dan status berbagai kredensialnya, termasuk kata sandi, kunci akses, dan perangkat. MFA Untuk kata sandi dan access key, laporan kredensial menunjukkan bagaimana kata sandi atau access key telah digunakan baru-baru ini.

IAMpengguna dan izin

Secara default, IAM pengguna baru tidak memiliki izin untuk melakukan apa pun. Mereka tidak diizinkan untuk melakukan AWS operasi apa pun atau mengakses AWS sumber daya apa pun. Keuntungan memiliki IAM pengguna individual adalah Anda dapat menetapkan izin secara individu untuk setiap pengguna. Anda dapat menetapkan izin administratif untuk beberapa pengguna, yang kemudian dapat mengelola AWS sumber daya Anda dan bahkan membuat dan mengelola pengguna lain. IAM Namun, dalam sebagian besar kasus, Anda ingin membatasi izin pengguna untuk hanya tugas (AWS tindakan atau operasi) dan sumber daya yang diperlukan untuk pekerjaan.

Bayangkan seorang pengguna bernama Diego. Saat Anda membuat IAM penggunaDiego, Anda membuat kata sandi untuknya dan melampirkan izin yang memungkinkannya meluncurkan EC2 instans Amazon tertentu dan membaca informasi (GET) dari tabel di RDS basis data Amazon. Untuk prosedur tentang cara membuat IAM pengguna dan memberi mereka kredensial dan izin awal, lihat. Buat IAM pengguna di Akun AWS Untuk prosedur tentang cara mengubah izin untuk pengguna yang sudah ada, lihat Mengubah izin bagi pengguna IAM. Untuk prosedur tentang cara mengubah kata sandi atau access key pengguna, lihat Kata sandi pengguna di AWS dan Mengelola kunci akses untuk IAM pengguna.

Anda juga dapat menambahkan batas izin ke pengguna Anda. IAM Batas izin adalah fitur canggih yang memungkinkan Anda menggunakan kebijakan AWS terkelola untuk membatasi izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada pengguna atau peran. IAM Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat Kebijakan dan izin di AWS Identity and Access Management.

IAMpengguna dan akun

Setiap IAM pengguna dikaitkan dengan satu dan hanya satu Akun AWS. Karena IAM pengguna didefinisikan alam Anda Akun AWS, mereka tidak perlu memiliki metode pembayaran pada file dengan AWS. AWS Aktivitas apa pun yang dilakukan oleh IAM pengguna di akun Anda ditagih ke akun Anda.

Jumlah dan ukuran IAM sumber daya di AWS akun terbatas. Untuk informasi selengkapnya, lihat IAMdan AWS STS kuota.

IAMpengguna sebagai akun layanan

IAMPengguna adalah sumber daya IAM yang memiliki kredensial dan izin terkait. IAMPengguna dapat mewakili seseorang atau aplikasi yang menggunakan kredensialnya untuk membuat AWS permintaan. Ini biasanya disebut sebagai akun layanan. Jika Anda memilih untuk menggunakan kredensial jangka panjang seorang IAM pengguna di aplikasi Anda, jangan menyematkan kunci akses secara langsung ke kode aplikasi Anda. AWS SDKsDan AWS Command Line Interface memungkinkan Anda menempatkan access key di lokasi yang diketahui sehingga Anda tidak perlu menyimpannya dalam kode. Untuk informasi selengkapnya, lihat Mengelola Kunci Akses IAM Pengguna dengan Benar di Referensi Umum AWS. Atau, sebagai praktik terbaik, Anda dapat menggunakan kredensial keamanan sementara (IAMperan) alih-alih kunci akses jangka panjang.