AWS: Как создать логин в свой аккаунт для нескольких пользователей, используя IAM

Привет!

У многих есть AWS аккаунтны, которые поддерживают другие люди. Например ситуация: клиент хочет, чтоб ему админ что-то настроил. Что делать? Давать имейл и пароль? Не комильфо… Есть выход, и я с картинками расскажу, что и как на примере своего личного аккаунта.

В AWS есть замечательный сервис IAM (Identity and Access Mangement). Первым делом туда и идём — https://console.aws.amazon.com/iam/ ^[1]. Сначала настроим адрес вашей собственной страницы входа в консоль. Находим и нажимаем кнопку Create Accoun Alias на главной странице IAM:

Моя консоль теперь доступна по адресу: https://kozhokaru.signin.aws.amazon.com/console ^[2].

После, давайте создадим новую группу пользователей, которым доступна администрация только сервиса EC2, например. Ищем кнопку

Далее создём группу:

Находим нужную в дефолтных политиках Amazon EC2 Full Access:

Соглашаемся с подготовленным шаблоном в формате JSON. Кстати, для более гибких настроек прав доступа, существует Policy Generator. Он поможет создать политику, которая отвечает всем вашим требованиям.

Далее мы можем создать новых пользователей для группы:

Группа и пользователь готовы. Нам остаётся только проверить и подтвердить:

Итак, нам осталось только создать пароль для пользователя. Идём в меню пользователей и добавляем ему пароль:

Итак, всё готово. Переходим по адресу консоли и вводим детали пользователя:

Для этого пользователя доступы опции только сервиса EC2. Ни к другим сервисам, ни к биллингу доступа нет.

Вот и всё, в общих чертах описана настройки отдельной консоли для аккаунта. В IAM бесплатно доступно до 80 пользователей (по умолчанию, но кол-во можно увеличить) с разными правами, ключами, сертификатами. Это очень удобно для администраторов аккаунта, ведь практически везде можно разграничить права доступа.

Автор: korjik

Источник ^[3]