Lihat akses pengguna Mendaftar pengguna IAM Mengubah nama pengguna IAM Menghapus pengguna IAM Menonaktifkan pengguna IAM

Mengelola pengguna IAM

catatan

Sebagai praktik terbaik, kami menyarankan Anda meminta pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara. Jika Anda mengikuti praktik terbaik, Anda tidak mengelola pengguna dan grup IAM. Sebagai gantinya, pengguna dan grup Anda dikelola di luar AWS dan dapat mengakses AWS sumber daya sebagai identitas federasi. Identitas federasi adalah pengguna dari direktori pengguna perusahaan Anda, penyedia identitas web, AWS Directory Service, direktori Pusat Identitas, atau pengguna mana pun yang mengakses AWS layanan dengan menggunakan kredensi yang disediakan melalui sumber identitas. Identitas federasi menggunakan grup yang ditentukan oleh penyedia identitas mereka. Jika Anda menggunakan AWS IAM Identity Center, lihat Mengelola identitas di Pusat Identitas IAM di Panduan AWS IAM Identity Center Pengguna untuk informasi tentang membuat pengguna dan grup di Pusat Identitas IAM.

Amazon Web Services menawarkan beberapa alat untuk mengelola pengguna IAM di Anda Akun AWS. Anda dapat mencantumkan pengguna IAM di akun Anda atau di grup pengguna, atau mencantumkan semua grup pengguna yang menjadi anggotanya. Anda dapat mengganti nama atau mengubah jalur pengguna IAM. Jika Anda beralih menggunakan identitas federasi alih-alih pengguna IAM, Anda dapat menghapus pengguna IAM dari AWS akun Anda, atau menonaktifkan pengguna.

Untuk informasi lebih lanjut tentang menambahkan, mengubah, atau menghapus kebijakan terkelola untuk pengguna IAM, lihat Mengubah izin untuk pengguna IAM. Untuk informasi tentang mengelola kebijakan inline untuk pengguna IAM, lihat Menambahkan dan menghapus izin identitas IAM, Menyunting Kebijakan IAM, dan Menghapus kebijakan IAM. Sebagai praktik terbaik, gunakan kebijakan terkelola alih-alih kebijakan inline. AWS kebijakan terkelola memberikan izin untuk banyak kasus penggunaan umum. Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan oleh semua pelanggan. AWS Oleh karena itu, kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan terkelola pelanggan yang spesifik untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola. Untuk informasi selengkapnya tentang kebijakan AWS terkelola yang dirancang untuk fungsi pekerjaan tertentu, lihatAWS kebijakan terkelola untuk fungsi pekerjaan.

Untuk mempelajari tentang memvalidasi kebijakan IAM, lihat. Memvalidasi kebijakan IAM

Tip

IAM Access Analyzer dapat menganalisis layanan dan tindakan yang digunakan peran IAM Anda, dan kemudian menghasilkan kebijakan berbutir halus yang dapat Anda gunakan. Setelah menguji setiap kebijakan yang dihasilkan, Anda dapat menerapkan kebijakan tersebut ke lingkungan produksi. Ini memastikan bahwa Anda hanya memberikan izin yang diperlukan untuk beban kerja Anda. Untuk informasi selengkapnya tentang pembuatan kebijakan, lihat pembuatan kebijakan IAM Access Analyzer.

Untuk informasi tentang pengelolaan kata sandi pengguna IAM, lihat Mengelola kata sandi untuk pengguna IAM,

Lihat akses pengguna

Sebelum menghapus pengguna, Anda harus meninjau aktivitas tingkat-layanan terakhirnya. Ini penting karena Anda tidak ingin menghapus akses dari (orang atau aplikasi) utama yang menggunakannya. Untuk informasi selengkapnya tentang melihat informasi yang terakhir diakses, lihat Menyempurnakan izin dalam AWS menggunakan informasi yang terakhir diakses.

Mendaftar pengguna IAM

Anda dapat mencantumkan pengguna IAM di grup pengguna IAM Anda Akun AWS atau di grup pengguna IAM tertentu, dan mencantumkan semua grup pengguna tempat pengguna berada. Untuk informasi tentang izin yang Anda butuhkan untuk membuat daftar pengguna, lihat Izin diperlukan untuk mengakses sumber daya IAM.

Untuk mencantumkan semua pengguna di akun

AWS Management Console: Di panel navigasi, pilih Pengguna. Konsol menampilkan pengguna di file Anda Akun AWS.
AWS CLI: aws iam list-users
AWS API: ListUsers

Untuk mencantumkan pengguna dalam grup pengguna tertentu

AWS Management Console: Di panel navigasi, pilih Grup pengguna, pilih nama grup pengguna, lalu pilih tab Pengguna.
AWS CLI: aws iam get-group
AWS API: GetGroup

Untuk mencantumkan semua grup pengguna tempat pengguna berada

AWS Management Console: Di panel navigasi, pilih Pengguna, pilih nama pengguna, lalu pilih tab Grup.
AWS CLI: aws iam list-groups-for-user
AWS API: ListGroupsForUser

Mengubah nama pengguna IAM

Untuk mengubah nama atau jalur pengguna, Anda harus menggunakan AWS CLI, Alat untuk Windows PowerShell, atau AWS API. Tidak ada opsi di konsol untuk mengubah nama pengguna. Untuk informasi tentang izin yang Anda butuhkan untuk mengubah nama pengguna, lihat Izin diperlukan untuk mengakses sumber daya IAM.

Saat Anda mengubah nama atau alur pengguna, hal berikut terjadi:

Kebijakan apa pun yang terlampir pada pengguna akan tetap melekat ke pengguna dengan nama baru.
Pengguna tetap berada di grup pengguna yang sama dengan nama baru.
ID unik untuk pengguna tetap sama. Untuk informasi selengkapnya tentang ID unik, lihat Pengidentifikasi unik.
Semua kebijakan sumber daya atau peran yang mengacu pada pengguna sebagai utama (pengguna diberi akses) secara otomatis diperbarui untuk menggunakan nama atau jalur baru. Misalnya, setiap kebijakan berbasis antrean di Amazon SQS atau kebijakan berbasis sumber daya di Amazon S3 diperbarui secara otomatis untuk menggunakan nama dan jalur baru.

IAM tidak secara otomatis memperbarui kebijakan yang merujuk ke pengguna sebagai sumber daya untuk menggunakan nama atau alur baru; Anda harus melakukannya secara manual. Misalnya, bayangkan pengguna tersebut Richard memiliki kebijakan terlampir padanya yang memungkinkannya mengelola kredensial keamanannya. Jika administrator mengubah nama Richard untuk Rich, administrator juga perlu memperbarui kebijakan tersebut untuk mengubah sumber daya dari:


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

ke ini:


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

Hal ini juga berlaku jika administrator mengubah alur; administrator perlu memperbarui kebijakan agar mencerminkan jalur baru bagi pengguna.

Untuk mengganti nama pengguna

AWS CLI: aws iam update-user
AWS API: UpdateUser

Menghapus pengguna IAM

Anda dapat menghapus pengguna IAM dari Anda Akun AWS jika pengguna tersebut berhenti dari perusahaan Anda. Jika pengguna pergi sementara, Anda dapat menonaktifkan akses pengguna alih-alih menghapusnya dari akun seperti yang dijelaskan dalam. Menonaktifkan pengguna IAM

Topik

Menghapus pengguna IAM (konsol)
Menghapus pengguna IAM (AWS CLI)

Menghapus pengguna IAM (konsol)

Ketika Anda menggunakan AWS Management Console untuk menghapus pengguna IAM, IAM secara otomatis menghapus informasi berikut untuk Anda:

Pengguna
Setiap keanggotaan grup pengguna—yaitu, pengguna dihapus dari grup pengguna IAM mana pun yang menjadi anggotanya
Semua kata sandi yang terkait dengan pengguna
Semua kunci akses milik pengguna
Semua kebijakan inline yang disertakan di pengguna (kebijakan yang diterapkan ke pengguna melalui izin grup pengguna tidak terpengaruh)

catatan
IAM menghapus kebijakan terkelola apa pun yang dilampirkan ke pengguna saat Anda menghapus pengguna, tetapi tidak menghapus kebijakan terkelola.
Semua perangkat MFA yang terkait

Untuk menghapus pengguna IAM (konsol)

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Pengguna, lalu pilih kotak centang di samping nama pengguna yang ingin Anda hapus.
Pilih Hapus di bagian atas halaman.
Dalam kotak dialog konfirmasi, masukkan nama pengguna dalam bidang input teks untuk mengonfirmasi penghapusan pengguna. Pilih Hapus.

Menghapus pengguna IAM (AWS CLI)

Berbeda dengan AWS Management Console, ketika Anda menghapus pengguna dengan AWS CLI, Anda harus menghapus item yang dilampirkan ke pengguna secara manual. Prosedur ini menggambarkan proses.

Untuk menghapus pengguna dari akun Anda (AWS CLI)

Hapus kata sandi pengguna, jika pengguna memilikinya.

aws iam delete-login-profile
Hapus kunci akses pengguna, jika pengguna memilikinya.

aws iam list-access-keys (untuk mencantumkan kunci akses pengguna) dan aws iam delete-access-key
Hapus sertifikat masuk pengguna. Perhatikan bahwa ketika Anda menghapus kredensial keamanan, akan hilang selamanya dan tidak dapat dipulihkan.

aws iam list-signing-certificates (untuk mencantumkan sertifikat masuk pengguna) dan aws iam delete-signing-certificate
Hapus kunci publik SSH pengguna, jika pengguna memilikinya.

aws iam list-ssh-public-keys (untuk mencantumkan kunci publik SSH pengguna) dan aws iam delete-ssh-public-key
Hapus kredensial Git pengguna.

aws iam list-service-specific-credentials (untuk mencantumkan kredensial git pengguna) dan aws iam delete-service-specific-credential
Nonaktifkan perangkat Multi-Factor Authentication (MFA) pengguna, jika pengguna memilikinya.

aws iam list-mfa-devices (untuk mencantumkan perangkat MFA pengguna), aws iam deactivate-mfa-device (untuk menonaktifkan perangkat), dan aws iam delete-virtual-mfa-device (untuk menghapus perangkat MFA virtual secara permanen)
Hapus kebijakan inline pengguna.

aws iam list-user-policies (untuk mencantumkan kebijakan inline bagi pengguna) dan aws iam delete-user-policy (untuk menghapus kebijakan)
Lepaskan kebijakan terkelola yang melekat pada pengguna.

aws iam list-attached-user-policies (untuk mencantumkan kebijakan terkelola yang melekat pada pengguna) dan aws iam detach-user-policy (untuk melepaskan kebijakan)
Hapus pengguna dari grup pengguna mana pun.

aws iam list-groups-for-user (untuk membuat daftar grup pengguna tempat pengguna berada) dan aws iam remove-user-from-group
Hapus pengguna.

aws iam delete-user

Menonaktifkan pengguna IAM

Anda mungkin perlu menonaktifkan pengguna IAM saat mereka sementara jauh dari perusahaan Anda. Anda dapat meninggalkan kredensi pengguna IAM mereka di tempat dan masih memblokir akses mereka. AWS

Untuk menonaktifkan pengguna, buat dan lampirkan kebijakan untuk menolak akses pengguna. AWS Anda dapat memulihkan akses pengguna nanti.

Berikut adalah dua contoh kebijakan penolakan yang dapat Anda lampirkan ke pengguna untuk menolak akses mereka.

Kebijakan berikut tidak termasuk batas waktu. Anda harus menghapus kebijakan untuk memulihkan akses pengguna.


{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

Kebijakan berikut mencakup kondisi yang memulai kebijakan pada 24 Desember 2024 pukul 23.59 (UTC) dan berakhir pada 28 Februari 2025 pukul 23.59 (UTC).


{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan perangkat MFA dengan halaman masuk IAM Anda

Mengubah izin untuk pengguna