Buat IAM pengguna untuk akses darurat - AWS Identity and Access Management
Untuk membuat IAM pengguna untuk akses darurat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat IAM pengguna untuk akses darurat

IAMPengguna adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus untuk satu orang atau aplikasi.

Memiliki IAM pengguna untuk akses darurat adalah salah satu alasan yang disarankan untuk membuat IAM pengguna sehingga Anda dapat mengakses Akun AWS jika penyedia identitas Anda tidak dapat diakses.

catatan

Sebagai praktik keamanan terbaik, kami menyarankan Anda menyediakan akses ke sumber daya Anda melalui federasi identitas alih-alih membuat IAM pengguna. Untuk informasi tentang situasi tertentu di mana IAM pengguna diperlukan, lihat Kapan membuat IAM pengguna (bukan peran).

Untuk membuat IAM pengguna untuk akses darurat

Pilih tab untuk metode yang ingin Anda ikuti untuk membuat IAM pengguna:

Izin minimum

Untuk melakukan langkah-langkah berikut, Anda harus memiliki setidaknya IAM izin berikut:

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Tampilkan lebih banyakTampilkan lebih sedikit
IAM console

  1. Ikuti prosedur masuk yang sesuai dengan jenis pengguna Anda seperti yang dijelaskan dalam topik Cara masuk AWS di Panduan Pengguna AWS Masuk.

  2. Di halaman Beranda Konsol, pilih IAM layanan.

  3. Di panel navigasi, pilih Pengguna dan kemudian pilih Buat pengguna.

    catatan

    Jika Anda mengaktifkan Pusat IAM Identitas, akan AWS Management Console menampilkan pengingat bahwa yang terbaik adalah mengelola akses pengguna di Pusat IAM Identitas. Dalam prosedur ini, IAM pengguna yang Anda buat khusus digunakan hanya jika penyedia identitas Anda tidak tersedia.

  4. Pada halaman Tentukan detail pengguna, di bawah Rincian pengguna, di Nama pengguna, masukkan nama untuk pengguna baru. Ini adalah nama masuk mereka untuk AWS. Untuk contoh ini, masukkanEmergencyAccess.

    catatan

    Nama pengguna dapat berupa kombinasi hingga 64 huruf, digit, dan karakter ini: plus (+), sama dengan (=), koma (,), titik (.), pada a keong (@), garis bawah (_), dan tanda hubung (-). Nama harus unik dalam akun. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat dua pengguna bernama TESTUSER dan testuser. Ketika nama pengguna digunakan dalam kebijakan atau sebagai bagian dariARN, nama tersebut peka huruf besar/kecil. Ketika nama pengguna muncul ke pelanggan di konsol, seperti selama proses login, nama pengguna tidak peka huruf besar/kecil.

  5. Pilih kotak centang di sebelah Berikan akses pengguna ke AWS Management Console— opsional dan kemudian pilih Saya ingin membuat IAM pengguna.

  6. Di bawah Kata sandi konsol, pilih Kata sandi yang dibuat otomatis.

  7. Kosongkan kotak centang di sebelah Pengguna harus membuat kata sandi baru saat masuk berikutnya (disarankan). Karena IAM pengguna ini untuk akses darurat, administrator tepercaya mempertahankan kata sandi dan hanya menyediakannya bila diperlukan.

  8. Pada halaman Setel izin, di bawah opsi Izin, pilih Tambahkan pengguna ke grup. Kemudian, di bawah Grup pengguna, pilih Buat grup.

  9. Pada halaman Buat grup pengguna, di Nama grup pengguna, masukkanEmergencyAccessGroup. Kemudian, di bawah Kebijakan izin, pilih AdministratorAccess.

  10. Pilih Buat grup pengguna untuk kembali ke halaman Setel izin.

  11. Di bawah Grup pengguna, pilih nama yang EmergencyAccessGroup Anda buat sebelumnya.

  12. Pilih Berikutnya untuk melanjutkan ke halaman Tinjauan dan buat.

  13. Pada halaman Tinjau dan buat, tinjau daftar keanggotaan grup pengguna yang akan ditambahkan ke pengguna baru. Ketika Anda siap untuk melanjutkan, pilih Buat pengguna.

  14. Pada halaman Ambil kata sandi, pilih Unduh file.csv untuk menyimpan file.csv dengan informasi kredensi pengguna (KoneksiURL, nama pengguna, dan kata sandi).

  15. Simpan file ini untuk digunakan jika Anda perlu masuk IAM dan tidak memiliki akses ke penyedia identitas Anda.

IAMPengguna baru ditampilkan dalam daftar Pengguna. Pilih tautan Nama pengguna untuk melihat detail pengguna.

AWS CLI

  1. Buat pengguna bernamaEmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Opsional) Berikan akses pengguna ke AWS Management Console. Ini memerlukan kata sandi. Untuk membuat kata sandi bagi IAM pengguna, Anda dapat menggunakan --cli-input-json parameter untuk meneruskan JSON file yang berisi kata sandi.Anda juga harus memberi pengguna halaman URL masuk akun Anda.

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Buka create-login-profile.json file di editor teks dan masukkan kata sandi yang sesuai dengan kebijakan kata sandi Anda, lalu simpan file tersebut. Sebagai contoh: 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Gunakan aws iam create-login-profile perintah lagi, lewati --cli-input-json parameter untuk menentukan JSON file Anda.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    catatan

    Jika kata sandi yang Anda berikan dalam JSON file melanggar kebijakan kata sandi akun Anda, Anda akan menerima PassworPolicyViolation kesalahan. Jika ini terjadi, tinjau kebijakan kata sandi untuk akun Anda dan perbarui kata sandi dalam JSON file untuk memenuhi persyaratan.

  3. BuatEmergencyAccessGroup, lampirkan kebijakan AWS terkelola AdministratorAccess ke grup, dan tambahkan EmergencyAccess pengguna ke grup.

    catatan

    Kebijakan terkelola AWS adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Setiap kebijakan memiliki Nama Sumber Daya Amazon (ARN) sendiri yang menyertakan nama kebijakan. Misalnya, arn:aws:iam::aws:policy/IAMReadOnlyAccess adalah kebijakan yang AWS dikelola. Untuk informasi lebih lanjut tentangARNs, lihatIAM ARNs. Untuk mengetahui daftar kebijakan AWS terkelola Layanan AWS, lihat kebijakan AWS terkelola.

    • aws iam membuat grup 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to -grup 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Jalankan perintah aws iam get-group untuk mencantumkan EmergencyAccessGroup dan anggotanya.

      
aws iam get-group \
   --group-name EmergencyAccessGroup