Pengguna IAM - AWS Identity and Access Management

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengguna IAM

penting

Praktik terbaik IAM merekomendasikan agar Anda mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara alih-alih menggunakan pengguna IAM dengan kredensi jangka panjang. Kami menyarankan Anda hanya menggunakan pengguna IAM untuk kasus penggunaan tertentu yang tidak didukung oleh pengguna federasi.

Pengguna IAM adalah entitas yang Anda buat di. Akun AWS Pengguna IAM mewakili pengguna manusia atau beban kerja yang menggunakan pengguna IAM untuk berinteraksi dengan sumber daya. AWS Pengguna IAM terdiri dari nama dan kredensional.

Pengguna IAM dengan izin administrator tidak sama dengan. Pengguna root akun AWS Untuk informasi lebih lanjut tentang pengguna akar, lihat Pengguna root akun AWS.

Bagaimana AWS mengidentifikasi pengguna IAM

Saat Anda membuat pengguna IAM, IAM menciptakan cara-cara berikut untuk mengidentifikasi pengguna tersebut:

  • Sebuah “nama ramah” untuk pengguna IAM, yang merupakan nama yang Anda tentukan ketika Anda membuat pengguna IAM, seperti Richard atau. Anaya Ini adalah nama yang Anda lihat di AWS Management Console. Karena nama pengguna IAM muncul di Amazon Resource Names (ARNs), kami tidak menyarankan untuk menyertakan informasi identifikasi pribadi dalam nama IAM. Lihat persyaratan dan batasan untuk nama IAM. Persyaratan nama IAM

  • Nama Sumber Daya Amazon (ARN) untuk pengguna IAM. Anda menggunakan ARN ketika Anda perlu mengidentifikasi pengguna IAM secara unik di semua. AWS Misalnya, Anda dapat menggunakan ARN untuk menentukan pengguna IAM sebagai Principal kebijakan IAM untuk bucket Amazon S3. ARN untuk pengguna IAM mungkin terlihat seperti berikut ini:

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Pengenal unik untuk pengguna IAM. ID ini dikembalikan hanya ketika Anda menggunakan API, Alat untuk Windows PowerShell, atau AWS CLI untuk membuat pengguna IAM; Anda tidak melihat ID ini di konsol.

Untuk informasi selengkapnya tentang pengidentifikasi ini, lihat Pengidentifikasi IAM.

Pengguna dan kredensialnya IAM

Anda dapat mengakses dengan berbagai AWS cara tergantung pada kredensi pengguna IAM:

  • Kata sandi konsol: Kata sandi yang dapat diketik pengguna IAM untuk masuk ke sesi interaktif seperti. AWS Management Console Menonaktifkan kata sandi (akses konsol) untuk pengguna IAM mencegah mereka masuk ke AWS Management Console menggunakan kredenal masuk mereka. Hal ini tidak mengubah izin mereka atau mencegah mereka mengakses konsol menggunakan peran yang diasumsikan.

  • Kunci akses: Digunakan untuk melakukan panggilan terprogram ke AWS. Namun, ada alternatif yang lebih aman untuk dipertimbangkan sebelum Anda membuat kunci akses untuk pengguna IAM. Untuk informasi selengkapnya, lihat Pertimbangan dan alternatif untuk kunci akses jangka panjang di. Referensi Umum AWS Jika pengguna IAM memiliki kunci akses aktif, mereka terus berfungsi dan mengizinkan akses melalui AWS CLI, Alat untuk Windows, AWS API PowerShell, atau AWS Console Mobile Application.

  • Kunci SSH untuk digunakan dengan CodeCommit: Kunci publik SSH dalam format OpenSSH yang dapat digunakan untuk diautentikasi dengan CodeCommit.

  • Sertifikat server: SSL/TLS sertifikat yang dapat Anda gunakan untuk mengautentikasi dengan beberapa AWS layanan. Kami menyarankan Anda menggunakan AWS Certificate Manager (ACM) untuk menyediakan, mengelola, dan menyebarkan sertifikat server Anda. Gunakan IAM hanya ketika Anda harus mendukung koneksi HTTPS di wilayah yang tidak didukung oleh ACM. Untuk mempelajari wilayah mana yang mendukung ACM, lihat AWS Certificate Manager titik akhir dan kuota di. Referensi Umum AWS

Anda dapat memilih kredensial yang tepat untuk pengguna IAM Anda. Ketika Anda menggunakan AWS Management Console untuk membuat pengguna IAM, Anda harus memilih untuk setidaknya menyertakan kata sandi konsol atau kunci akses. Secara default, pengguna IAM baru yang dibuat menggunakan AWS API AWS CLI atau tidak memiliki kredensi apa pun. Anda harus membuat jenis kredensi untuk pengguna IAM berdasarkan kasus penggunaan Anda.

Anda memiliki opsi berikut untuk mengelola kata sandi, kunci akses, dan perangkat otentikasi multi-faktor (MFA):

  • Kelola kata sandi untuk pengguna IAM Anda. Buat dan ubah kata sandi yang mengizinkan akses ke AWS Management Console. Atur kebijakan kata sandi untuk menerapkan kerumitan kata sandi minimum. Izinkan pengguna IAM untuk mengubah kata sandi mereka sendiri.

  • Kelola kunci akses untuk pengguna IAM Anda. Buat dan perbarui kunci akses untuk akses terprogram ke sumber daya di akun Anda.

  • Aktifkan otentikasi multi-faktor (MFA) untuk pengguna IAM. Sebagai praktik terbaik, kami menyarankan Anda memerlukan otentikasi multi-faktor untuk semua pengguna IAM di akun Anda. Dengan MFA, pengguna IAM harus memberikan dua bentuk identifikasi: Pertama, mereka memberikan kredensi yang merupakan bagian dari identitas pengguna mereka (kata sandi atau kunci akses). Selain itu, mereka menyediakan kode numerik sementara yang dihasilkan pada perangkat keras atau oleh aplikasi pada smartphone atau tablet.

  • Temukan kata sandi dan kunci akses yang tidak digunakan. Siapa pun yang memiliki kata sandi atau kunci akses untuk akun Anda atau pengguna IAM di akun Anda memiliki akses ke AWS sumber daya Anda. Praktik keamanan terbaik adalah menghapus kata sandi dan kunci akses saat pengguna IAM tidak lagi membutuhkannya.

  • Unduh laporan kredenal untuk akun Anda. Anda dapat membuat dan mengunduh laporan kredensial yang mencantumkan semua pengguna IAM di akun Anda dan status berbagai kredensial mereka, termasuk kata sandi, kunci akses, dan perangkat MFA. Untuk kata sandi dan access key, laporan kredensial menunjukkan bagaimana kata sandi atau access key telah digunakan baru-baru ini.

Pengguna dan izin IAM

Secara default, pengguna IAM baru tidak memiliki izin untuk melakukan apa pun. Mereka tidak berwenang untuk melakukan AWS operasi apa pun atau mengakses AWS sumber daya apa pun. Keuntungan memiliki pengguna IAM individual adalah Anda dapat memberikan izin secara individu kepada setiap pengguna. Anda dapat menetapkan izin administratif untuk beberapa pengguna, yang kemudian dapat mengelola AWS sumber daya Anda dan bahkan dapat membuat dan mengelola pengguna IAM lainnya. Namun, dalam kebanyakan kasus, Anda ingin membatasi izin pengguna hanya pada tugas (AWS tindakan atau operasi) dan sumber daya yang diperlukan untuk pekerjaan itu.

Bayangkan seorang pengguna bernama Diego. Saat Anda membuat pengguna IAMDiego, Anda membuat kata sandi untuknya dan melampirkan izin yang memungkinkannya meluncurkan EC2 instance Amazon tertentu dan membaca (GET) informasi dari tabel di database Amazon RDS. Untuk prosedur tentang cara membuat pengguna IAM dan memberi mereka kredensional dan izin awal, lihat. Buat IAM pengguna di Akun AWS Untuk prosedur tentang cara mengubah izin untuk pengguna yang sudah ada, lihat Mengubah izin untuk pengguna IAM. Untuk prosedur tentang cara mengubah kata sandi atau access key pengguna, lihat Kata sandi pengguna di AWS dan Kelola access key untuk pengguna IAM.

Anda juga dapat menambahkan batas izin ke pengguna IAM Anda. Batas izin adalah fitur lanjutan yang memungkinkan Anda menggunakan kebijakan AWS terkelola untuk membatasi izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada pengguna atau peran IAM. Untuk informasi selengkapnya tentang tipe dan penggunaan kebijakan, lihat Kebijakan dan izin di AWS Identity and Access Management.

Pengguna dan akun IAM

Setiap pengguna IAM dikaitkan dengan satu dan hanya satu Akun AWS. Karena pengguna IAM didefinisikan di dalam Anda Akun AWS, mereka tidak perlu memiliki metode pembayaran yang tersimpan. AWS Setiap AWS aktivitas yang dilakukan oleh pengguna IAM di akun Anda akan ditagih ke akun Anda.

Jumlah dan ukuran sumber daya IAM dalam AWS akun terbatas. Untuk informasi selengkapnya, lihat IAM dan AWS STS kuota.

Pengguna IAM sebagai akun layanan

Pengguna IAM adalah sumber daya di IAM yang memiliki kredensial dan izin terkait. Pengguna IAM dapat mewakili seseorang atau aplikasi yang menggunakan kredensialnya untuk membuat permintaan. AWS Ini biasanya disebut sebagai akun layanan. Jika Anda memilih untuk menggunakan kredensial jangka panjang seorang pengguna IAM di aplikasi Anda, jangan menyematkan kunci akses secara langsung ke kode aplikasi Anda. Itu AWS SDKs dan AWS Command Line Interface memungkinkan Anda untuk meletakkan kunci akses di lokasi yang diketahui sehingga Anda tidak harus menyimpannya dalam kode. Untuk informasi selengkapnya, lihat Mengelola Kunci Akses Pengguna IAM dengan Benar di. Referensi Umum AWS Atau, sebagai praktik terbaik, Anda dapat menggunakan kredensial keamanan sementara (peran IAM) alih-alih kunci akses jangka panjang.