Parti 1 ta '3
Fl-2011, Amazon ħabbret id-disponibbiltà tal-appoġġ tal-AWS Identity & Access Management (IAM) għal CloudFront. L-IAM tnieda fl-2010 u inkluda l-appoġġ S3. AWS Identity & Access Management (IAM) jippermettilek li jkollok diversi utenti fi ħdan kont AWS. Jekk użajt is-Servizzi tal-Web tal-Amazon (AWS), int taf li l-uniku mod biex jimmaniġġjaw il-kontenut f'Aws involva l-għoti tal-isem tal-utent u l-password jew ċwievet tal-aċċess tiegħek.
Dan huwa tħassib ta 'sigurtà reali għal ħafna minna. IAM telimina l-ħtieġa li jaqsmu l-passwords u ċ-ċwievet ta 'aċċess.
Li dejjem tinbidel il-password ewlenija tal-AWS jew il-ġenerazzjoni ta 'ċwievet ġodda hija biss soluzzjoni messy meta membru tal-persunal iħalli t-tim tagħna. AWS Identity & Access Management (IAM) kien bidu tajjeb li jippermetti kontijiet individwali ta 'l-utenti b'ċwievet individwali. Madankollu, aħna utent S3 / CloudFront hekk ġejna jaraw li CloudFront jiġi miżjud ma 'l-IAM li finalment ġara.
Sibt li d-dokumentazzjoni dwar dan is-servizz hija kemmxejn imxerrda. Hemm ftit prodotti ta 'parti terza li joffru firxa ta' appoġġ għall-Ġestjoni ta 'l-Identità u l-Aċċess (IAM). Iżda l-iżviluppaturi ġeneralment jiffrankaw u għalhekk fittxet soluzzjoni b'xejn għall-ġestjoni ta 'l-IAM bis-servizz ta' l-Amazon S3 tagħna.
Dan l-artikolu jgħaddi mill-proċess tat-twaqqif tal-Interface tal-Linja ta 'Kmand li tappoġġa l-IAM u t-twaqqif ta' grupp / utent b'aċċess S3. Għandek bżonn li jkollok konfigurazzjoni tal-kont tal-Amazon AWS S3 qabel ma tibda l-Konfigurazzjoni tal-Identità u l-Ġestjoni tal-Aċċess (IAM).
L-artiklu tiegħi, Bl-użu tas-Servizz ta 'Ħażna Sempliċi tal-Amazon (S3), jimxi miegħek permezz tal-proċess tal-istabbiliment ta' kont AWS S3.
Hawn huma l-passi involuti fit-twaqqif u l-implimentazzjoni ta 'utent fl-IAM. Dan huwa miktub għall-Windows iżda tista 'tweak għall-użu f'Lux Linux, UNIX u / jew Mac OSX.
- Installa u kkonfigurat l-Interface tal-Linja tal-Kmand (CLI)
- Oħloq Grupp
- Agħti l-Aċċess tal-Grupp għal S3 Bucket u CloudFront
- Oħloq Utent u Żid mal-Grupp
- Oħloq Login Profile u Oħloq Keys
- L-Aċċess għat-Test
Installa u kkonfigurat l-Interface tal-Linja tal-Kmand (CLI)
Il-IAM Command Line Toolkit huwa programm Java disponibbli fl-AWS Developers Tools ta 'Amazon. L-għodda tippermettilek li teżegwixxi kmandi tal-IAM API minn utilità tal-qoxra (DOS għall-Windows).
- Irid ikollok running Java 1.6 jew ogħla. Tista 'tniżżel l-aħħar verżjoni minn Java.com. Biex tara liema verżjoni hija installata fis-sistema tal-Windows tiegħek, ftakar il-Prompt ta 'Kmand u t-tip fil-java -versjoni. Dan jassumi li java.exe jinsab fil-PASSA tiegħek.
- Niżżel l-għodda tal-għodda IAM CLI u żżid x'imkien fuq l-issuq lokali tiegħek.
- Hemm 2 fajls fl-għerq tal-għodda tal-CLI li għandek bżonn biex taġġorna.
- aws-credential.template: Dan il-fajl għandu l-kredenzjali AWS tiegħek. Żid AWSAccessKeyId tiegħek u AWSSecretKey tiegħek, issalva u tagħlaq il-fajl.
- client-config.template : Ikollok bżonn biss taġġorna dan il-fajl jekk għandek bżonn proxy server. Neħħi s-sinjali # u taġġorna ClientProxyHost, ClientProxyPort, ClientProxyUsername u ClientProxyPassword. Ħlief u tagħlaq il-fajl.
- Il-pass li jmiss jinvolvi ż-Żieda tal-Varjabbli tal-Ambjent. Mur fil-Panel ta 'Kontroll Proprjetajiet tas-Sistema | Is-sistema avvanzata tas-sistema | Varjabbli ta 'l-Ambjent. Żid il-varjabbli li ġejjin:
- AWS_IAM_HOME : Issettja din il-varjabbli fid-direttorju fejn issekondat is- sett tal-għodda CLI. Jekk qed taħdem bil-Windows u naqsamha fl-għerq tas-sewqan C tiegħek, il-varjabbli tkun C: \ IAMCli-1.2.0.
- JAVA_HOME : Issettja din il-varjabbli fid-direttorju fejn Java hija installata. Dan ikun il-post tal-fajl java.exe. F'installazzjoni Java normali tal-Windows 7, din tkun xi ħaġa bħal C: \ Program Files (x86) \ Java \ jre6.
- AWS_CREDENTIAL_FILE : Issettja din il-varjabbli fit-triq u l-isem tal-fajl tal-aws-credential.template li aġġornajt hawn fuq. Jekk qed taħdem bil-Windows u naqsamha fl-għerq tas-sewqan C tiegħek, il-varjabbli tkun C: \ IAMCli-1.2.0 \ aws-credential.template.
- CLIENT_CONFIG_FILE : Għandek bżonn biss li żżid din il-varjabbli ta 'l-ambjent jekk teħtieġ proxy server. Jekk qed taħdem bil-Windows u żżomgħha fl-għerq tas-sewqan C tiegħek, il-varjabbli tkun C: \ IAMCli-1.2.0 \ client-config.template. M'għandekx iżżid din il-varjabbli sakemm ma jkollokx bżonnha.
- Ipprova l-istallazzjoni billi jmur għand il-Prompt ta 'Kmand u niżżel il-userlistbypath. Sakemm ma tirċevix żball, għandek tkun tajjeb biex tmur.
Il-kmandi kollha ta 'l-IAM jistgħu jitmexxew mill-Prompt ta' Kmand. Il-kmandi kollha jibdew b '"iam-".
Oħloq Grupp
Hemm massimu ta '100 grupp li jistgħu jinħolqu għal kull kont AWS. Filwaqt li tista 'tistabbilixxi permessi fil-IAM fil-livell tal-utent, l-użu ta' gruppi jkun l-aħjar prattika. Hawn hu l-proċess għall-ħolqien ta 'grupp fl-IAM.
- Is-sintassi għall-ħolqien ta 'grupp hija iam-groupcreate -g GROUPNAME [-p PATH] [-v] fejn il--p u -v huma għażliet. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
- Jekk riedu joħolqu grupp imsejjaħ "awesomeusers", inti tidħol, iam-groupcreate -g awesomeusers fil-Prompt tal-Kmand.
- Tista 'tiċċekkja li l-grupp inħoloq b'mod korrett billi ddaħħal iam-grouplistbybyath fil-Prompt ta' Kmand. Jekk kelli biss dan il-grupp, l-output ikun xi ħaġa bħal "arn: aws: iam :: 123456789012: grupp / awesomeusers", fejn in-numru huwa n-numru tal-kont AWS tiegħek.
Agħti l-Aċċess tal-Grupp għal S3 Bucket u CloudFront
Il-politiki jikkontrollaw dak il-grupp tiegħek jista 'jagħmel fis-S3 jew il-CloudFront. B'mod awtomatiku, il-grupp tiegħek ma jkollux aċċess għal xi ħaġa fl-AWS. Sibt id-dokumentazzjoni dwar il-politiki li kienet tajba imma fil-ħolqien ta 'ftit politiki, għamilt daqsxejn ta' prova u żball biex nikseb affarijiet li jaħdmu l-mod li jien ridt li jaħdmu.
Għandek ftit għażliet għall-ħolqien ta 'politiki.
Għażla waħda hija tista 'tidħol fihom direttament fil-Prompt Command. Peress li tista 'tkun qed toħloq politika u tweaking, għalija deher iktar faċli li żżid il-politika f'fajl ta' test u mbagħad ittella 'l-fajl tat-test bħala parametru bil-kmand iam-groupuploadpolicy. Hawn hu l-proċess bl-użu ta 'fajl ta' test u l-upload lil IAM.
- Uża xi ħaġa bħal Notepad u daħħal it-test li ġej u ssalva l-fajl:
{
"Dikjarazzjoni": [[
"Effett": "Ħalli",
"Azzjoni": "s3: *",
"Riżorsi": [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
"Effett": "Ħalli",
"Azzjoni": "s3: ListAllMyBuckets",
"Riżorsi": "arn: aws: s3 ::: *"
},
{
"Effett": "Ħalli",
"Azzjoni": ["cloudfront: *"],
"Riżorsi": "*"
}
]
} - Hemm 3 sezzjonijiet għal din il-politika. L-Effett jintuża biex Jippermetti jew jiċħad xi tip ta 'aċċess. L-Azzjoni hija l-affarijiet speċifiċi li l-grupp jista 'jagħmel. Ir-Riżors jintuża biex jagħti aċċess għal bramel individwali.
- Tista 'tillimita l-Azzjonijiet individwalment. F'dan l-eżempju, "Azzjoni": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], il-grupp ikun jista 'jelenka l-kontenut ta' barmil u oġġetti ta 'download.
- L-ewwel taqsima "Tippermetti" lill-grupp biex iwettaq l-azzjonijiet S3 kollha għall-barmil "BUCKETNAME".
- It-tieni taqsima "Tippermetti" lill-grupp biex jelenka l-bramel kollha f'S3. Ikollok bżonn dan sabiex tkun tista 'tara l-lista tal-bramel jekk tuża xi ħaġa bħal dik tal-AWS console.
- It-tielet taqsima tagħti lill-grupp aċċess sħiħ għal CloudFront.
Hemm ħafna għażliet meta niġu għall-politiki ta 'l-IAM. Amazon għandha għodda verament komda disponibbli msejħa l-AWS Policy Generator. Din l-għodda tipprovdi GUI fejn tista 'toħloq il-politiki tiegħek u tiġġenera l-kodiċi attwali li għandek bżonn biex timplimenta l-politika. Tista 'wkoll tiċċekkja s-sezzjoni tal-Lingwa tal-Politika ta' Aċċess tal-Użu tal-Identità AWS u l-Ġestjoni tal-Aċċess dokumentazzjoni onlajn.
Oħloq Utent u Żid mal-Grupp
Il-proċess tal-ħolqien ta 'utent ġdid u li jżid ma' grupp biex jipprovdilhom aċċess jinvolvi ftit passi.
- Is-sintassi għall-ħolqien ta 'utent hija iam-usercreate -u USERNAME [-p PATH] [-g GRUPPI ...] [-k] [-v] fejn il-p, -g, -k u -v huma għażliet. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
- Jekk riedu joħolqu utent "bob", inti tidħol, iam-usercreate -u bob -g awesomeusers fil-Prompt tal-Kmand.
- Tista 'tiċċekkja li l-utent inħoloq b'mod korrett billi ddaħħal iam-grouplistusers -g awesomeusers fil-Prompt tal-Kmand. Jekk kelli biss dan l-utent, l-output ikun xi ħaġa bħal "arn: aws: iam :: 123456789012: user / bob", fejn in-numru huwa n-numru tal-kont AWS tiegħek.
Oħloq Profil Logon u Oħloq Keys
Fuq dan il-punt, ħolqot utent iżda trid tipprovdihom b'tali mod li fil-fatt iżżid u tneħħi oġġetti minn S3.
Hemm 2 għażliet disponibbli biex jipprovdu lill-utenti tiegħek b'aċċess għal S3 bl-użu ta 'IAM. Tista 'toħloq Profil ta' l-Inkjesta u tipprovdi lill-utenti tiegħek bil-password. Jistgħu jużaw il-kredenzjali tagħhom biex jidħlu fil-Amazon AWS Console. L-għażla l-oħra hija li tagħti lill-utenti tiegħek ċavetta ta 'aċċess u ċavetta sigrieta. Jistgħu jużaw dawn iċ-ċwievet f'għodda ta 'terzi bħal S3 Fox, CloudBerry S3 Explorer jew S3 Browser.
Oħloq profil ta 'l-aċċess
Il-ħolqien ta 'Profil ta' l-Inċidenti għall-utenti S3 tiegħek jipprovdilhom isem ta 'utent u password li jistgħu jużaw biex jidħlu fil-Amazon AWS Console.
- Is-sintassi għall-ħolqien ta 'profil ta' login hija iam-useraddloginprofile -u USERNAME -p PROFESSJONI. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
- Jekk riedu joħolqu profil ta 'login għall-utent "bob", inti tidħol, iam-useraddloginprofile -u bob -p PASSWORD fuq il-Prompt Command.
- Tista 'tiċċekkja li l-profil tal-login ġie maħluq sewwa billi daħħal iam-usergetloginprofile -u bob fuq il-Prompt Command. Jekk kelli ħolqot profil ta 'login għal Bob, l-output ikun xi ħaġa bħal "Profil ta' l-Inness jeżisti għall-utent bob".
Oħloq Keys
Il-ħolqien ta 'AWS Secret Access Key u l-ID tal-Aċċess għall-Aċċess korrispondenti jippermettu lill-utenti tiegħek jużaw softwer ta' parti terza bħal dawk imsemmija qabel. Żomm f'moħħok li bħala miżura ta 'sigurtà, tista' biss tikseb dawn iċ-ċwievet matul il-proċess li żżid il-profil tal-utent. Kun żgur li kopja u paste tal-produzzjoni mill-Prompt Command u ssalva f'fajl ta 'test. Tista 'tibgħat il-fajl lill-utent tiegħek.
- Is-sintassi għaż-żieda ta 'ċwievet għal utent hija iam-useraddkey [-u USERNAME]. Id-dokumentazzjoni sħiħa dwar l-Interface tal-Linja tal-Kmand hija disponibbli fuq AWS Docs.
- Jekk riedu joħolqu ċwievet għall-utent "bob", inti tidħol iam-useraddkey -u bob fil-Prompt tal-Kmand.
- Il-kmand se joħroġ iċ-ċwievet li jħarsu xi ħaġa bħal din:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
L-ewwel linja hija l-ID ta 'l-Aċċess Key u t-tieni linja hija l-Ewlenin ta' l-Aċċess Sigriet. Għandek bżonn kemm għal softwer ta 'parti terza.
L-Aċċess għat-Test
Issa li ħloqjt gruppi / utenti tal-IAM u minħabba l-aċċess tal-gruppi permezz tal-politiki, għandek bżonn tagħmel test tal-aċċess.
Konsole Aċċess
L-utenti tiegħek jistgħu jużaw l-isem tal-utent u l-password tagħhom biex jidħlu fil-console AWS. Madankollu, din mhix il-paġna regolari ta 'l-aċċess għall-console li tintuża għall-kont AWS prinċipali.
Hemm URL speċjali li tista 'tuża li se tipprovdi formola ta' login għall-kont AWS tiegħek ta 'l-Amazonja biss. Hawn hu l-URL biex tidħol għal S3 għall-utenti ta 'l-IAM tiegħek.
https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3
Il-AWS-ACCOUNT-NUMBER huwa n-numru tal-kont AWS regolari tiegħek. Tista 'tikseb dan billi tidħol fil-formola tas-Sinjal tas-Servizz tal-Amministrazzjoni tal-Amażonja. Login u kklikkja fuq il-Kont | Attività tal-Kont. In-numru tal-kont tiegħek jinsab fir-rokna ta 'fuq nett. Kun żgur li tneħħi d-dashes. Il-URL tħares xi ħaġa bħal https://123456789012.signin.aws.amazon.com/console/s3.
Użu ta 'Keys ta' Aċċess
Tista 'tniżżel u tinstalla kwalunkwe għodda tal-parti terza diġà msemmija f'dan l-artikolu. Daħħal l-ID ta 'l-Aċċess tiegħek u l-Ewlenin ta' l-Aċċess Sigriet bid-dokumentazzjoni ta '
Nirrakkomanda bil-qawwa li inti toħloq utent inizjali u li dak l-utent kompletament jittestja li jistgħu jagħmlu dak kollu li jeħtieġu biex jagħmlu f'S3. Wara li tivverifika wieħed mill-utenti tiegħek, tista 'tipproċedi bit-twaqqif tal-utenti S3 kollha tiegħek.
Riżorsi
Hawn taħt hawn ftit riżorsi biex nagħtuk għarfien aħjar tal-Identità u l-Ġestjoni tal-Aċċess (IAM).
- Kif tibda bl-IAM
- IAM Command Line Toolkit
- Amazon AWS Console
- AWS Policy Generator
- Użu tal-Identità AWS u l-Ġestjoni tal-Aċċess
- Noti tar-Rilaxx tal-IAM
- Forums ta 'Diskussjoni ta' l-IAM
- FAQ dwar l-IAM