AWS-Identity Access Management (IAM)
AWS kullanıcılarının ve kaynaklarının erişimini yönetir.
IAM Bileşenleri,
- IAM Users— Konsolda oturum açan veya AWS kaynağıyla programlı olarak etkileşimde bulunan son kullanıcılar.
- IAM Groups — Kullanıcılarınızı, hepsi grubun izin düzeylerini paylaşacak şekilde gruplayın, örn. Yönetici, Geliştiriciler, Denetçiler.
- IAM Roles — İzinleri bir Rolle ilişkilendirin ve ardından bunu bir Kullanıcıya veya Gruplara atayın.
- IAM Policies — Hizmetlere erişim için belirli bir kullanıcı, grup veya role izin veren JSON belgeleri. Politikalar, IAM Kimliklerine eklenir.
Önemli Notlar,
Bir kullanıcı bir gruba üye olabilir. Roller, kullanıcılara toplu halde hızla izin eklemek ve kaldırmak için gruplara uygulanabilir.
Bir kullanıcının doğrudan eklenmiş bir rolü olabilir, bir kullanıcıya doğrudan bir policy eklenebilir. (Satır İçi Politika denir)
Rollere birçok policy eklenebilir.
Çeşitli AWS kaynakları, rolleri doğrudan onlara eklemenize olanak tanır.
Policy Tipleri
Managed Policy — Düzenleyemeyeceğiniz, AWS tarafından yönetilen bir policy. Yönetilen policy’ler turuncu bir kutuyla etiketlenir.
Customer Managed Policies-— Müşteri tarafından oluşturulan ve düzenlenebilir bir policy. Müşteri policy’lerin yanında sembolü yoktur.
Inline Policy — Kullanıcıya doğrudan eklenen bir politika.
Policy Yapısı,
- Version — Policy dili sürümü.
- Statement — Birden çok öğe bulundurmanıza izin verilen policy öğesi için kapsayıcı.
- Sid (İsteğe bağlı) — ifadelerinizi etiketlemenin bir yolu.
- Effect — Policy İzin Verme veya Reddetme durumunu ayarlayın.
- Principal — erişime izin vermek veya erişimi reddetmek istediğiniz hesap, kullanıcı, rol veya federe kullanıcı.
- Action — politikanın izin verdiği veya reddettiği eylemlerin listesi.
- Resource — eylem(ler) in geçerli olduğu kaynak.
- Condition (İsteğe bağlı) ilkenin izinleri verdiği koşullar.
Password Policy IAM — IAM’de bir Parola Politikası belirleyebilirsiniz.
Minimum şifre gereksinimini ayarlamak ve şifreleri değiştirmek, böylece kullanıcıların X gün sonra şifrelerini güncellemeleri gerekir.
Access Key IAM — kullanıcıların AWS CLI veya AWS SDK aracılığıyla programlı olarak AWS hizmetiyle etkileşim kurmasına olanak tanır. Kullanıcı başına iki Erişim anahtarına izin verilir.
multi-factor authentication (MFA) kullanıcı başına açılabilir. Kullanıcının MFA’yı kendisinin açması gerekir, Yöneticiler, kullanıcıları MFA’ya sahip olmaya doğrudan zorlayamaz. Yönetici hesabı, MFA’nın belirli kaynaklara erişmesini gerektiren bir policy oluşturabilir.
Özetle,
- Identity Access Management, kullanıcılara ve kaynaklara erişimi yönetmek için kullanılır.
- IAM evrensel bir sistemdir. (tüm bölgelere aynı anda uygulanır) IAM ücretsiz bir hizmettir.
- Root hesabı, AWS kurulduğunda başlangıçta oluşturulan hesaptır (Tam yönetici)
- Yeni IAM hesaplarının, verilinceye kadar varsayılan olarak hiçbir izni yoktur.
- Yeni kullanıcılara programlı erişim verdiğinizde, ilk oluşturulduklarında bir Erişim Anahtarı Kimliği ve Gizli anahtar atanır.
- Erişim Anahtarları yalnızca CLI ve SDK için kullanılır (konsola erişemez).
- Erişim Anahtarları yalnızca oluşturulduklarında bir kez gösterilir. Kaybolurlarsa silinirse / yeniden oluşturulması gerekir.
- Kök hesaplar için her zaman MFA’yı kurun.
- Kullanıcılar MFA’yı kendileri etkinleştirmelidir, Yönetici her kullanıcı için MFA’yı açamaz.
- IAM, belirlediğiniz parola ilkelerinizin minimum parola gereksinimlerini belirlemesine veya parolaları değiştirmesine izin verir.
- IAM Kullanıcıları, Konsola giriş yapan veya AWS kaynakları ile programlı olarak yineleyen son kullanıcılar
- IAM Grupları, Kullanıcılarınızı, hepsi grubun izin düzeylerini paylaşacak şekilde Gruplayın, örn. Yönetici, Geliştiriciler, Denetçiler.
- IAM Rolleri, Bir Rolle İlişkilendirme izinleri ve ardından bunu bir Kullanıcı veya Gruplara atayın.
- IAM Politikaları, hizmetlere erişim için belirli bir kullanıcı, grup veya role izin veren Json belgeleri. Politikalar, IAM Kimliklerine eklenir.
