AWS Identità u Aċċess Ġestjoni

Parti 1 ta '3

Fl-2011, Amazon ħabbret id-disponibbiltà tal-appoġġ tal-AWS Identity & Access Management (IAM) għal CloudFront. L-IAM tnieda fl-2010 u inkluda l-appoġġ S3. AWS Identity & Access Management (IAM) jippermettilek li jkollok diversi utenti fi ħdan kont AWS. Jekk użajt is-Servizzi tal-Web tal-Amazon (AWS), int taf li l-uniku mod biex jimmaniġġjaw il-kontenut f'Aws involva l-għoti tal-isem tal-utent u l-password jew ċwievet tal-aċċess tiegħek.

Dan huwa tħassib ta 'sigurtà reali għal ħafna minna. IAM telimina l-ħtieġa li jaqsmu l-passwords u ċ-ċwievet ta 'aċċess.

Li dejjem tinbidel il-password ewlenija tal-AWS jew il-ġenerazzjoni ta 'ċwievet ġodda hija biss soluzzjoni messy meta membru tal-persunal iħalli t-tim tagħna. AWS Identity & Access Management (IAM) kien bidu tajjeb li jippermetti kontijiet individwali ta 'l-utenti b'ċwievet individwali. Madankollu, aħna utent S3 / CloudFront hekk ġejna jaraw li CloudFront jiġi miżjud ma 'l-IAM li finalment ġara.

Sibt li d-dokumentazzjoni dwar dan is-servizz hija kemmxejn imxerrda. Hemm ftit prodotti ta 'parti terza li joffru firxa ta' appoġġ għall-Ġestjoni ta 'l-Identità u l-Aċċess (IAM). Iżda l-iżviluppaturi ġeneralment jiffrankaw u għalhekk fittxet soluzzjoni b'xejn għall-ġestjoni ta 'l-IAM bis-servizz ta' l-Amazon S3 tagħna.

Dan l-artikolu jgħaddi mill-proċess tat-twaqqif tal-Interface tal-Linja ta 'Kmand li tappoġġa l-IAM u t-twaqqif ta' grupp / utent b'aċċess S3. Għandek bżonn li jkollok konfigurazzjoni tal-kont tal-Amazon AWS S3 qabel ma tibda l-Konfigurazzjoni tal-Identità u l-Ġestjoni tal-Aċċess (IAM).

L-artiklu tiegħi, Bl-użu tas-Servizz ta 'Ħażna Sempliċi tal-Amazon (S3), jimxi miegħek permezz tal-proċess tal-istabbiliment ta' kont AWS S3.

Hawn huma l-passi involuti fit-twaqqif u l-implimentazzjoni ta 'utent fl-IAM. Dan huwa miktub għall-Windows iżda tista 'tweak għall-użu f'Lux Linux, UNIX u / jew Mac OSX.

1. Installa u kkonfigurat l-Interface tal-Linja tal-Kmand (CLI)

1. Oħloq Grupp
2. Agħti l-Aċċess tal-Grupp għal S3 Bucket u CloudFront
3. Oħloq Utent u Żid mal-Grupp
4. Oħloq Login Profile u Oħloq Keys
5. L-Aċċess għat-Test

Installa u kkonfigurat l-Interface tal-Linja tal-Kmand (CLI)

Il-IAM Command Line Toolkit huwa programm Java disponibbli fl-AWS Developers Tools ta 'Amazon. L-għodda tippermettilek li teżegwixxi kmandi tal-IAM API minn utilità tal-qoxra (DOS għall-Windows).

• Irid ikollok running Java 1.6 jew ogħla. Tista 'tniżżel l-aħħar verżjoni minn Java.com. Biex tara liema verżjoni hija installata fis-sistema tal-Windows tiegħek, ftakar il-Prompt ta 'Kmand u t-tip fil-java -versjoni. Dan jassumi li java.exe jinsab fil-PASSA tiegħek.
• Niżżel l-għodda tal-għodda IAM CLI u żżid x'imkien fuq l-issuq lokali tiegħek.
• Hemm 2 fajls fl-għerq tal-għodda tal-CLI li għandek bżonn biex taġġorna.
  • aws-credential.template: Dan il-fajl għandu l-kredenzjali AWS tiegħek. Żid AWSAccessKeyId tiegħek u AWSSecretKey tiegħek, issalva u tagħlaq il-fajl.
  • client-config.template : Ikollok bżonn biss taġġorna dan il-fajl jekk għandek bżonn proxy server. Neħħi s-sinjali # u taġġorna ClientProxyHost, ClientProxyPort, ClientProxyUsername u ClientProxyPassword. Ħlief u tagħlaq il-fajl.
• Il-pass li jmiss jinvolvi ż-Żieda tal-Varjabbli tal-Ambjent. Mur fil-Panel ta 'Kontroll Proprjetajiet tas-Sistema | Is-sistema avvanzata tas-sistema | Varjabbli ta 'l-Ambjent. Żid il-varjabbli li ġejjin:
  • AWS_IAM_HOME : Issettja din il-varjabbli fid-direttorju fejn issekondat is- sett tal-għodda CLI. Jekk qed taħdem bil-Windows u naqsamha fl-għerq tas-sewqan C tiegħek, il-varjabbli tkun C: \ IAMCli-1.2.0.
  • JAVA_HOME : Issettja din il-varjabbli fid-direttorju fejn Java hija installata. Dan ikun il-post tal-fajl java.exe. F'installazzjoni Java normali tal-Windows 7, din tkun xi ħaġa bħal C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Issettja din il-varjabbli fit-triq u l-isem tal-fajl tal-aws-credential.template li aġġornajt hawn fuq. Jekk qed taħdem bil-Windows u naqsamha fl-għerq tas-sewqan C tiegħek, il-varjabbli tkun C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Għandek bżonn biss li żżid din il-varjabbli ta 'l-ambjent jekk teħtieġ proxy server. Jekk qed taħdem bil-Windows u żżomgħha fl-għerq tas-sewqan C tiegħek, il-varjabbli tkun C: \ IAMCli-1.2.0 \ client-config.template. M'għandekx iżżid din il-varjabbli sakemm ma jkollokx bżonnha.

• Ipprova l-istallazzjoni billi jmur għand il-Prompt ta 'Kmand u niżżel il-userlistbypath. Sakemm ma tirċevix żball, għandek tkun tajjeb biex tmur.

Il-kmandi kollha ta 'l-IAM jistgħu jitmexxew mill-Prompt ta' Kmand. Il-kmandi kollha jibdew b '"iam-".

Oħloq Grupp

Hemm massimu ta '100 grupp li jistgħu jinħolqu għal kull kont AWS. Filwaqt li tista 'tistabbilixxi permessi fil-IAM fil-livell tal-utent, l-użu ta' gruppi jkun l-aħjar prattika. Hawn hu l-proċess għall-ħolqien ta 'grupp fl-IAM.

• Is-sintassi għall-ħolqien ta 'grupp hija iam-groupcreate -g GROUPNAME [-p PATH] [-v] fejn il--p u -v huma għażliet. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.

• Jekk riedu joħolqu grupp imsejjaħ "awesomeusers", inti tidħol, iam-groupcreate -g awesomeusers fil-Prompt tal-Kmand.
• Tista 'tiċċekkja li l-grupp inħoloq b'mod korrett billi ddaħħal iam-grouplistbybyath fil-Prompt ta' Kmand. Jekk kelli biss dan il-grupp, l-output ikun xi ħaġa bħal "arn: aws: iam :: 123456789012: grupp / awesomeusers", fejn in-numru huwa n-numru tal-kont AWS tiegħek.

Agħti l-Aċċess tal-Grupp għal S3 Bucket u CloudFront

Il-politiki jikkontrollaw dak il-grupp tiegħek jista 'jagħmel fis-S3 jew il-CloudFront. B'mod awtomatiku, il-grupp tiegħek ma jkollux aċċess għal xi ħaġa fl-AWS. Sibt id-dokumentazzjoni dwar il-politiki li kienet tajba imma fil-ħolqien ta 'ftit politiki, għamilt daqsxejn ta' prova u żball biex nikseb affarijiet li jaħdmu l-mod li jien ridt li jaħdmu.

Għandek ftit għażliet għall-ħolqien ta 'politiki.

Għażla waħda hija tista 'tidħol fihom direttament fil-Prompt Command. Peress li tista 'tkun qed toħloq politika u tweaking, għalija deher iktar faċli li żżid il-politika f'fajl ta' test u mbagħad ittella 'l-fajl tat-test bħala parametru bil-kmand iam-groupuploadpolicy. Hawn hu l-proċess bl-użu ta 'fajl ta' test u l-upload lil IAM.

• Uża xi ħaġa bħal Notepad u daħħal it-test li ġej u ssalva l-fajl:
  
  {
  "Dikjarazzjoni": [[
  "Effett": "Ħalli",
  "Azzjoni": "s3: *",
  "Riżorsi": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Effett": "Ħalli",
  "Azzjoni": "s3: ListAllMyBuckets",
  "Riżorsi": "arn: aws: s3 ::: *"
  },
  {
  "Effett": "Ħalli",
  "Azzjoni": ["cloudfront: *"],
  "Riżorsi": "*"
  }
  ]
  }
  
• Hemm 3 sezzjonijiet għal din il-politika. L-Effett jintuża biex Jippermetti jew jiċħad xi tip ta 'aċċess. L-Azzjoni hija l-affarijiet speċifiċi li l-grupp jista 'jagħmel. Ir-Riżors jintuża biex jagħti aċċess għal bramel individwali.

• Tista 'tillimita l-Azzjonijiet individwalment. F'dan l-eżempju, "Azzjoni": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], il-grupp ikun jista 'jelenka l-kontenut ta' barmil u oġġetti ta 'download.
• L-ewwel taqsima "Tippermetti" lill-grupp biex iwettaq l-azzjonijiet S3 kollha għall-barmil "BUCKETNAME".
• It-tieni taqsima "Tippermetti" lill-grupp biex jelenka l-bramel kollha f'S3. Ikollok bżonn dan sabiex tkun tista 'tara l-lista tal-bramel jekk tuża xi ħaġa bħal dik tal-AWS console.

• It-tielet taqsima tagħti lill-grupp aċċess sħiħ għal CloudFront.

Hemm ħafna għażliet meta niġu għall-politiki ta 'l-IAM. Amazon għandha għodda verament komda disponibbli msejħa l-AWS Policy Generator. Din l-għodda tipprovdi GUI fejn tista 'toħloq il-politiki tiegħek u tiġġenera l-kodiċi attwali li għandek bżonn biex timplimenta l-politika. Tista 'wkoll tiċċekkja s-sezzjoni tal-Lingwa tal-Politika ta' Aċċess tal-Użu tal-Identità AWS u l-Ġestjoni tal-Aċċess dokumentazzjoni onlajn.

Oħloq Utent u Żid mal-Grupp

Il-proċess tal-ħolqien ta 'utent ġdid u li jżid ma' grupp biex jipprovdilhom aċċess jinvolvi ftit passi.

• Is-sintassi għall-ħolqien ta 'utent hija iam-usercreate -u USERNAME [-p PATH] [-g GRUPPI ...] [-k] [-v] fejn il-p, -g, -k u -v huma għażliet. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
• Jekk riedu joħolqu utent "bob", inti tidħol, iam-usercreate -u bob -g awesomeusers fil-Prompt tal-Kmand.
• Tista 'tiċċekkja li l-utent inħoloq b'mod korrett billi ddaħħal iam-grouplistusers -g awesomeusers fil-Prompt tal-Kmand. Jekk kelli biss dan l-utent, l-output ikun xi ħaġa bħal "arn: aws: iam :: 123456789012: user / bob", fejn in-numru huwa n-numru tal-kont AWS tiegħek.

Oħloq Profil Logon u Oħloq Keys

Fuq dan il-punt, ħolqot utent iżda trid tipprovdihom b'tali mod li fil-fatt iżżid u tneħħi oġġetti minn S3.

Hemm 2 għażliet disponibbli biex jipprovdu lill-utenti tiegħek b'aċċess għal S3 bl-użu ta 'IAM. Tista 'toħloq Profil ta' l-Inkjesta u tipprovdi lill-utenti tiegħek bil-password. Jistgħu jużaw il-kredenzjali tagħhom biex jidħlu fil-Amazon AWS Console. L-għażla l-oħra hija li tagħti lill-utenti tiegħek ċavetta ta 'aċċess u ċavetta sigrieta. Jistgħu jużaw dawn iċ-ċwievet f'għodda ta 'terzi bħal S3 Fox, CloudBerry S3 Explorer jew S3 Browser.

Oħloq profil ta 'l-aċċess

Il-ħolqien ta 'Profil ta' l-Inċidenti għall-utenti S3 tiegħek jipprovdilhom isem ta 'utent u password li jistgħu jużaw biex jidħlu fil-Amazon AWS Console.

• Is-sintassi għall-ħolqien ta 'profil ta' login hija iam-useraddloginprofile -u USERNAME -p PROFESSJONI. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
• Jekk riedu joħolqu profil ta 'login għall-utent "bob", inti tidħol, iam-useraddloginprofile -u bob -p PASSWORD fuq il-Prompt Command.

• Tista 'tiċċekkja li l-profil tal-login ġie maħluq sewwa billi daħħal iam-usergetloginprofile -u bob fuq il-Prompt Command. Jekk kelli ħolqot profil ta 'login għal Bob, l-output ikun xi ħaġa bħal "Profil ta' l-Inness jeżisti għall-utent bob".

Oħloq Keys

Il-ħolqien ta 'AWS Secret Access Key u l-ID tal-Aċċess għall-Aċċess korrispondenti jippermettu lill-utenti tiegħek jużaw softwer ta' parti terza bħal dawk imsemmija qabel. Żomm f'moħħok li bħala miżura ta 'sigurtà, tista' biss tikseb dawn iċ-ċwievet matul il-proċess li żżid il-profil tal-utent. Kun żgur li kopja u paste tal-produzzjoni mill-Prompt Command u ssalva f'fajl ta 'test. Tista 'tibgħat il-fajl lill-utent tiegħek.

• Is-sintassi għaż-żieda ta 'ċwievet għal utent hija iam-useraddkey [-u USERNAME]. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
• Jekk riedu joħolqu ċwievet għall-utent "bob", inti tidħol iam-useraddkey -u bob fil-Prompt tal-Kmand.
• Il-kmand se joħroġ iċ-ċwievet li jħarsu xi ħaġa bħal din:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  L-ewwel linja hija l-ID ta 'l-Aċċess Key u t-tieni linja hija l-Ewlenin ta' l-Aċċess Sigriet. Għandek bżonn kemm għal softwer ta 'parti terza.

L-Aċċess għat-Test

Issa li ħloqjt gruppi / utenti tal-IAM u minħabba l-aċċess tal-gruppi permezz tal-politiki, għandek bżonn tagħmel test tal-aċċess.

Konsole Aċċess

L-utenti tiegħek jistgħu jużaw l-isem tal-utent u l-password tagħhom biex jidħlu fil-console AWS. Madankollu, din mhix il-paġna regolari ta 'l-aċċess għall-console li tintuża għall-kont AWS prinċipali.

Hemm URL speċjali li tista 'tuża li se tipprovdi formola ta' login għall-kont AWS tiegħek ta 'l-Amazonja biss. Hawn hu l-URL biex tidħol għal S3 għall-utenti ta 'l-IAM tiegħek.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

Il-AWS-ACCOUNT-NUMBER huwa n-numru tal-kont AWS regolari tiegħek. Tista 'tikseb dan billi tidħol fil-formola tas-Sinjal tas-Servizz tal-Amministrazzjoni tal-Amażonja. Login u kklikkja fuq il-Kont | Attività tal-Kont. In-numru tal-kont tiegħek jinsab fir-rokna ta 'fuq nett. Kun żgur li tneħħi d-dashes. Il-URL tħares xi ħaġa bħal https://123456789012.signin.aws.amazon.com/console/s3.

Użu ta 'Keys ta' Aċċess

Tista 'tniżżel u tinstalla kwalunkwe għodda tal-parti terza diġà msemmija f'dan l-artikolu. Daħħal l-ID ta 'l-Aċċess tiegħek u l-Ewlenin ta' l-Aċċess Sigriet bid-dokumentazzjoni ta '

Nirrakkomanda bil-qawwa li inti toħloq utent inizjali u li dak l-utent kompletament jittestja li jistgħu jagħmlu dak kollu li jeħtieġu biex jagħmlu f'S3. Wara li tivverifika wieħed mill-utenti tiegħek, tista 'tipproċedi bit-twaqqif tal-utenti S3 kollha tiegħek.

Riżorsi

Hawn taħt hawn ftit riżorsi biex nagħtuk għarfien aħjar tal-Identità u l-Ġestjoni tal-Aċċess (IAM).

• Kif tibda bl-IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• Użu tal-Identità AWS u l-Ġestjoni tal-Aċċess

• Noti tar-Rilaxx tal-IAM
• Forums ta 'Diskussjoni ta' l-IAM
• FAQ dwar l-IAM