AWS

AWS "IAM"

iam

Table of Contents

AWS Identity dan Access Management (IAM) memungkinkan Kita mengelola akses ke Services dan Resources AWS dengan aman. Dengan menggunakan IAM, Kita dapat membuat dan mengelola Users dan Grups di Account AWS Kita, serta menggunakan permissions untuk mengizinkan dan menolak akses mereka ke Resources AWS.

IAM adalah fitur di account AWS Kita yang ditawarkan tanpa biaya tambahan. Kita hanya akan dikenakan biaya untuk penggunaan Service AWS lainnya oleh Users Kita.

AUTHORIZATION

  1. Akses ke AWS IAM console
  2. Pilih Policies di menu sidebar sebelah kiri
  3. Click Create policy
  4. Click JSON tab dan paste JSON di bawah ini di bagian editor policy panel
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEC2Management",
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyTerminationProduction",
            "Effect": "Deny",
            "Action": [
                "ec2:StopInstances",
                "ec2:TerminateInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                  "ec2:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}
Note:
ec2:ResourceTag/${TagKey}
adalah taging EC2 yang memungkinkan Kita untuk merujuk ke value tag resource yang diberikan key tertentu. Dalam contoh ini, digunakan untuk memeriksa apakah tag resource dengan key Environment yang dilampirkan ke EC2 memiliki value Production.
  1. Click Review policy
  2. Nama policy contohnya:  allow-all-ec2-except-production
  3. (Optional) Add description
IAMPolicy
  1. Click Create policy
  2. Pembuatan Policy baru bisa di lihat saat Kita kembali ke dasbor policy Console IAM.
Selamat! Kita telah berhasil membuat IAM policy yang akan di pakai user. 
Policies yang dikelola user adalah policies berbasis identitas mandiri yang Kita buat dan yang dapat Kita lampirkan ke beberapa users, grups, atau roles IAM di account AWS Kita.

AUTHENTICATION

  1. Akses ke AWS IAM console
  2. Pilih Users di menu sidebar sebelah kiri
  3. Click Add user
  4. Set User Details dan input nickname dipisah dengan dash(-) di bagian User name
  5. Dibagian AWS access type, ceklis checkbox untuk enable AWS Management Console access
  6. Pilih Custom password radio button dan masukkan password di dalam text box
  7. Uncheck di bagian User must create a new password at next sign-in checkbox
IAMUser
  1. Click Next: Permissions
  2. Selanjutnya pilih  Attach existing policies directly "option" dan cari IAM policy yang sudah kita buat sebelumnya.
  3. Selanjutnya Pilih atau ceklis checkbox allow-all-ec2-except-production
AttachPolicyUser
  1. Click Next: Tags
  2. Click Next: Review
  3. Click Create user
  4. Copy url link console , Download .csv dan buka incognito/private browser kita dan pastekan urlnya.
LoginLink
  1. Login menggunakan IAM User yang baru di buat
  2. Kita melihat user yang sudah login di bagian pojok kanan atas  {IAM Username} @ {AWS Account ID/alias} format
  3. Setiap kali login pastikan pilih Region dimana tempat kita membuat environment.
LoggedIn
  1. Dan cek Permissions dengan mengakses dasbor EC2 dan non-EC2 untuk menyesuaikan dengan IAM policy sebelumnya

Selamat! kita telah membuat IAM user dengan manage user policy terlampir dan menguji credential.

MANAGING GROUP OF PEOPLE

  1. Access ke AWS IAM console
  2. Select Groups di menu sidebar sebelah kiri
  3. Click Create New Group
  4. Type AWSAdministrator  Nama Group
  5. Click Next Step
  6. Search administrator dan select AdministratorAccess policy
AttachPolicyGroup
Note:
AdministratorAccess
adalah salah satu policy yang dikelola AWS. Tidak seperti policy yang manage pelanggan, policy ini akan manage oleh AWS dan mencakup berbagai kasus penggunaan umum. Untuk mengidentifikasi policies AWS Managed, Kita dapat menemukan IAM Policy dengan warna orange.
  1. Click Next Step
  2. Click Create Group
  3. Group Sudah berhasil dibuat, dan kembali ke Group creation IAM console
  4. Select AWSAdministrator group dan (tambahkan user ke group yang baru) Add Users to Group
  5. Select/ceklis checkbox IAM user yang Sudah di buat sebelumnya ke AWSAdministrator group
  6. Click Add Users
AddUserToGoup
  1. Kita coba masuk kembali di browser incognito/private dan menguji permission pada service non-EC2 lainnya.