Buat pengguna IAM untuk akses darurat - AWS Identity and Access Management
Untuk membuat pengguna IAM untuk akses darurat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat pengguna IAM untuk akses darurat

Pengguna IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi.

Memiliki pengguna IAM untuk akses darurat adalah salah satu alasan yang disarankan untuk membuat pengguna IAM sehingga Anda dapat mengakses Akun AWS jika penyedia identitas Anda tidak dapat diakses.

catatan

Sebagai praktik keamanan terbaik, kami menyarankan Anda menyediakan akses ke sumber daya Anda melalui federasi identitas alih-alih membuat pengguna IAM. Untuk informasi tentang situasi tertentu di mana pengguna IAM diperlukan, lihat Kapan membuat pengguna IAM (bukan peran).

Untuk membuat pengguna IAM untuk akses darurat

Izin minimum

Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya izin IAM berikut:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Tampilkan lebih banyakTampilkan lebih sedikit
IAM console

  1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik Cara masuk AWS di Panduan Pengguna AWS Masuk.

  2. Pada halaman Beranda Konsol, pilih layanan IAM.

  3. Di panel navigasi, pilih Pengguna dan kemudian pilih Buat pengguna.

    catatan

    Jika Anda mengaktifkan Pusat Identitas IAM, akan AWS Management Console menampilkan pengingat bahwa yang terbaik adalah mengelola akses pengguna di Pusat Identitas IAM. Dalam prosedur ini, pengguna IAM yang Anda buat khusus digunakan hanya jika penyedia identitas Anda tidak tersedia.

  4. Pada halaman Tentukan detail pengguna, di bawah Rincian pengguna, di Nama pengguna, masukkan nama untuk pengguna baru. Ini adalah nama masuk mereka untuk AWS. Untuk contoh ini, masukkanEmergencyAccess.

    catatan

    Nama pengguna dapat berupa kombinasi hingga 64 huruf, digit, dan karakter ini: plus (+), sama dengan (=), koma (,), titik (.), pada a keong (@), garis bawah (_), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua pengguna yang diberi nama TESTUSER dan testuser. Ketika nama pengguna digunakan dalam kebijakan atau sebagai bagian dari ARN, nama tersebut peka huruf besar/kecil. Ketika nama pengguna muncul ke pelanggan di konsol, seperti selama proses login, nama pengguna tidak peka huruf besar/kecil.

  5. Pilih kotak centang di sebelah Berikan akses pengguna ke AWS Management Console— opsional dan kemudian pilih Saya ingin membuat pengguna IAM.

  6. Di bawah Kata sandi konsol, pilih Kata sandi yang dibuat otomatis.

  7. Kosongkan kotak centang di sebelah Pengguna harus membuat kata sandi baru saat masuk berikutnya (disarankan). Karena pengguna IAM ini untuk akses darurat, administrator tepercaya mempertahankan kata sandi dan hanya menyediakannya saat diperlukan.

  8. Pada halaman Setel izin, di bawah opsi Izin, pilih Tambahkan pengguna ke grup. Kemudian, di bawah Grup pengguna, pilih Buat grup.

  9. Pada halaman Buat grup pengguna, di Nama grup pengguna, masukkanEmergencyAccessGroup. Kemudian, di bawah Kebijakan izin, pilih AdministratorAccess.

  10. Pilih Buat grup pengguna untuk kembali ke halaman Setel izin.

  11. Di bawah Grup pengguna, pilih nama yang EmergencyAccessGroup Anda buat sebelumnya.

  12. Pilih Berikutnya untuk melanjutkan ke halaman Ulasan dan membuat.

  13. Pada halaman Tinjau dan buat, tinjau daftar keanggotaan grup pengguna yang akan ditambahkan ke pengguna baru. Ketika Anda siap untuk melanjutkan, pilih Buat pengguna.

  14. Pada halaman Ambil kata sandi, pilih Unduh file.csv untuk menyimpan file.csv dengan informasi kredensi pengguna (URL koneksi, nama pengguna, dan kata sandi).

  15. Simpan file ini untuk digunakan jika Anda perlu masuk ke IAM dan tidak memiliki akses ke penyedia identitas Anda.

Pengguna IAM baru ditampilkan dalam daftar Pengguna. Pilih tautan Nama pengguna untuk melihat detail pengguna.

AWS CLI

  1. Buat pengguna bernamaEmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Opsional) Berikan akses pengguna ke AWS Management Console. Ini memerlukan kata sandi. Untuk membuat kata sandi untuk pengguna IAM, Anda dapat menggunakan --cli-input-json parameter untuk meneruskan file JSON yang berisi kata sandi. Anda juga harus memberi pengguna URL halaman masuk akun Anda.

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Buka create-login-profile.json file di editor teks dan masukkan kata sandi yang sesuai dengan kebijakan kata sandi Anda, lalu simpan file tersebut. Sebagai contoh: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Gunakan aws iam create-login-profile perintah lagi, meneruskan --cli-input-json parameter untuk menentukan file JSON Anda.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    catatan

    Jika kata sandi yang Anda berikan dalam file JSON melanggar kebijakan kata sandi akun Anda, Anda akan menerima kesalahan. PassworPolicyViolation Jika ini terjadi, tinjau kebijakan kata sandi untuk akun Anda dan perbarui kata sandi di file JSON untuk memenuhi persyaratan.

  3. BuatEmergencyAccessGroup, lampirkan kebijakan AWS terkelola AdministratorAccess ke grup, dan tambahkan EmergencyAccess pengguna ke grup.

    catatan

    Kebijakan terkelola AWS adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Setiap kebijakan memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, arn:aws:iam::aws:policy/IAMReadOnlyAccess adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentang ARNs, lihatIAM ARNs. Untuk mengetahui daftar kebijakan AWS terkelola Layanan AWS, lihat kebijakan AWS terkelola.

    • aws iam membuat grup 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Jalankan perintah aws iam get-group untuk mencantumkan EmergencyAccessGroup dan anggotanya.

      
aws iam get-group \
   --group-name EmergencyAccessGroup