Como criar usuários do IAM e grupos de usuários na AWS

Como criar usuários do IAM e grupos de usuários na AWS
Vários usuários podem ser configurados em uma única conta da AWS quando você tem mais membros em sua equipe ou organização. Esses usuários são chamados de usuários IAM (Identity and Access Management). Cada usuário receberá seu ID de usuário exclusivo e credenciais de login para segurança e privacidade. Todos esses usuários utilizarão os recursos da mesma conta raiz, para que não haja cobrança nos usuários do IAM e apenas a conta raiz será cobrada pelo uso geral dos serviços e recursos. Por padrão, nossa conta raiz na AWS tem todas as permissões e acesso a tudo o que é por isso que, de uma perspectiva de segurança, não é uma ótima idéia usar seu usuário root para tarefas de rotina, em vez precisa gerenciar o sistema.

Todo usuário deve receber permissões para acessar os recursos necessários de acordo com suas funções e requisitos. Essas permissões podem ser permitidas anexando diretamente uma política de permissão a um usuário do IAM, mas essa não é uma boa abordagem do ponto de vista de gerenciamento. Portanto, uma abordagem melhor é criar um grupo de usuários e atribuir permissões a esse grupo e todos os usuários do IAM do grupo de usuários herdarão as permissões atribuídas ao grupo de usuários e você não precisará gerenciar as permissões individualmente para cada usuário do IAM.

Neste blog, vamos ver como podemos criar um usuário e um grupo de usuários do IAM na AWS usando o AWS Management Console e a AWS Command Line Interface.

Criando um usuário do IAM

Para criar um usuário do IAM na AWS, você pode usar a conta raiz ou qualquer conta de usuário do IAM que tenha permissão e acesso para gerenciar os usuários do IAM. Existem seguintes métodos para criar um usuário do IAM na AWS.

  • Usando o AWS Management Console
  • Usando a AWS CLI (interface da linha de comando)

Criando usuário do IAM no console de gerenciamento da AWS

Faça login na sua conta da AWS e na barra de pesquisa superior, digite IAM.

Selecione a opção IAM no menu de pesquisa. Isso o levará ao seu painel IAM.

No painel lateral esquerdo, clique em Usuários guia onde você encontrará o Adicione usuários opção.

Para criar um novo usuário, você precisa configurar várias configurações. Primeiro, você precisa dar um nome de usuário para um usuário do IAM e escolher seu tipo de credenciais de login. Para fazer login na sua conta de usuário usando o console de gerenciamento da AWS, você precisará criar uma senha (você pode gerar automaticamente uma senha ou usar uma personalizada) ou se deseja acessar sua conta de usuário da CLI ou SDK, você irá Precisa configurar uma chave de acesso que fornecerá o ID da chave de acesso e uma chave de acesso secreto.

Na próxima seção, você terá que gerenciar as permissões atribuídas a cada usuário do IAM em uma conta da AWS. A melhor abordagem para dar permissões é criar um grupo de usuários que veremos na próxima seção, mas se você quiser, você pode anexar uma política de permissão diretamente a um usuário do IAM.

A última etapa que você encontrará é adicionar tags que são palavras -chave simples com descrição para rastrear todos os recursos em sua conta relacionados a essa palavra -chave. As tags são opcionais e você pode ignorá -las em sua escolha.

Por fim, basta revisar os detalhes que você acabou de fornecer sobre esse usuário e está pronto para criar um usuário do IAM.

Ao clicar em Criar usuário, uma nova tela aparecerá onde você poderá fazer o download de suas credenciais de usuário, caso você tenha ativado a chave de acesso. É necessário fazer o download deste arquivo, pois é a única vez que você pode obtê -los, caso contrário, terá que criar novas credenciais.

Para fazer login na sua conta de usuário do IAM usando o console de gerenciamento, você só precisa inserir o ID da sua conta, nome de usuário e senha.

Criando o usuário do IAM usando CLI (interface da linha de comando)

Os usuários do IAM podem ser criados usando a interface da linha de comando, e este é o método mais comum do ponto de vista dos desenvolvedores que prefere usar o CLI sobre o console de gerenciamento. Para a AWS, você pode configurar CLI no Windows, Mac, Linux ou simplesmente você pode usar o AWS CloudShell. Primeiro, faça login na conta de usuário da AWS usando suas credenciais e para criar um novo usuário, insira o seguinte comando.

$ aws iam create-user-nome-name

O usuário do IAM é criado. Agora, você precisa gerenciar credenciais de segurança para sua conta. Para simplesmente configurar uma senha de usuário, execute o comando:

$ aws iam Create-Login-Profile-User-Name-Password

Finalmente, você precisa gerenciar as permissões para o seu Usuário IAM recém -criado. Você pode adicionar o usuário em um grupo e o usuário receberá todas as permissões desse grupo. Para isso, você precisa do seguinte comando. Não haverá saída para obter.

$ aws iam add-user-to-group --group-name --nome de usuário

Se você deseja conceder diretamente permissões ao seu usuário do IAM, pode anexar uma política ao usuário, isso é chamado de política em linha. Apenas em vez de nome do grupo, você precisa fornecer ARN da política que deseja anexar.

$ aws iam anexo-user-policy-user-name >-policy-arn

Então, este é o guia completo para criar um usuário do IAM em sua conta da AWS. Pode -se notar que, em nenhum momento, gerenciamos a região da AWS ou a zona de disponibilidade, isso ocorre porque o usuário do IAM é um serviço global, independentemente das regiões.

Criação de grupos de usuários

Os grupos de usuários ajudam quando você deseja mais de um usuário com permissões semelhantes, como se você tiver quatro desenvolvedores em sua equipe e deseja que todos tenham acesso igual. Ele também fornece fácil manutenção da sua conta, pois você não precisa examinar individualmente as permissões de cada usuário e você pode apenas ver o grupo de usuários deles. Além disso, na AWS, um usuário pode pertencer a vários grupos de usuários ou mesmo nenhum grupo de usuários.

Aqui, vamos procurar criar um grupo de usuários com dois métodos.

  • Usando o AWS Management Console
  • Usando a AWS CLI (interface da linha de comando)

Criando grupos de usuários do AWS Management Console

Para criar um grupo de usuários, basta fazer login na sua conta do AWS e no tipo de barra de pesquisa IAM.

Selecione a opção IAM no menu de pesquisa, isso o levará ao seu painel IAM.

No painel lateral esquerdo, selecione o Grupos de usuários aba. Isso o levará à sua janela de gerenciamento de grupo de usuários. Clique em Criar grupo e a seguir estão as etapas para criar um grupo de usuários.

Digite o nome do grupo de usuários.

Na lista abaixo, você pode selecionar os usuários existentes que deseja adicionar a este grupo. Esta etapa não é obrigatória, pois você também pode adicionar usuários no grupo mais tarde.

O último e mais importante passo na criação de um grupo de usuários é anexar políticas que concedem permissões a esse grupo. Na lista de políticas, selecione aqueles que você deseja anexar ao grupo e, finalmente, clique em Create Group no canto inferior direito.

Criando grupos de usuários usando CLI (interface da linha de comando)

Faça login na interface da linha de comando da AWS usando Windows, Mac, Linux ou CloudShell. Aqui, você precisa executar o seguinte comando para criar um novo grupo de usuários

$ aws iam create-group --group-name

Para adicionar usuários ao seu grupo, basta executar o seguinte comando no terminal.

$ aws iam add-user-to-group --group-name < --nome de usuário

Agora, finalmente precisamos anexar uma política ao nosso grupo de usuários. Para esta execução, o seguinte comando:

$ aws iam anex-group-policy --group-name --Política-Ana

Então, finalmente, você criou um novo grupo de usuários, anexou a política de permissão e adicionou um usuário nele. Na AWS, os grupos de usuários são globais, então você não precisa gerenciar nenhuma região para isso.

Conclusão

Usuários e grupos de usuários são uma parte importante da infraestrutura da AWS. Criar vários usuários permite que as organizações usem infraestrutura em nuvem única entre muitos departamentos e membros. Por outro lado, os grupos de usuários nos ajudam a gerenciar nossos usuários com eficiência em nossa conta da AWS, fornecendo a cada usuário as permissões que ele deseja executar suas tarefas.