AWS Identiteti dhe Menaxhimi i Qasjes

Pjesa 1 e 3

Në vitin 2011, Amazon njoftoi disponueshmërinë e AWS Identity & Access Management (IAM) mbështetje për CloudFront. IAM u nis në vitin 2010 dhe përfshiu mbështetjen S3. AWS Identity & Access Management (IAM) ju mundëson të keni përdorues të shumtë brenda një llogarie AWS. Nëse e keni përdorur Amazon Web Services (AWS), jeni në dijeni se mënyra e vetme për të menaxhuar përmbajtjen në AWS përfshiu dhënien e emrit të përdoruesit dhe fjalëkalimin ose çelësat e qasjes.

Ky është një shqetësim i vërtetë sigurie për shumicën prej nesh. IAM eliminon nevojën për të ndarë fjalëkalimet dhe çelësat e qasjes.

Vazhdimi i ndryshimit të fjalës kryesore të AWS ose krijimit të çelësave të rinj është vetëm një zgjidhje e çrregullt kur një anëtar i stafit do të largohet nga skuadra jonë. AWS Identity & Access Management (IAM) ishte një fillim i mirë që lejon llogaritë individuale të përdoruesve me çelësa individualë. Megjithatë, ne jemi një përdorues S3 / CloudFront kështu që ne kemi qenë duke shikuar për CloudFront për t'u shtuar në IAM e cila më në fund ka ndodhur.

Kam gjetur dokumentacionin në këtë shërbim për të qenë pak i shpërndarë. Ka disa produkte të palës së tretë që ofrojnë një gamë të mbështetjes për Identitetin & Menaxhimin e Qasjes (IAM). Por zhvilluesit janë zakonisht të begatë kështu që unë kërkova një zgjidhje të lirë për të menaxhuar IAM me shërbimin tonë Amazon S3.

Ky artikull ecën përmes procesit të krijimit të Interfaqes së Linjës Komanduese që mbështet IAM-in dhe ngritjen e një grupi / përdoruesi me qasje S3. Ju duhet të keni një konfigurim të llogarisë Amazon AWS S3 përpara se të filloni konfigurimin e Identitetit & Menaxhimit të Aksesimit (IAM).

Artikulli im, Përdorimi i Amazon Simple Storage Service (S3), do të ecë gjatë procesit të krijimit të një llogarie AWS S3.

Këtu janë hapat e përfshirë në ngritjen dhe zbatimin e një përdoruesi në IAM. Kjo është shkruar për Windows, por ju mund të shkulni për përdorim në Linux, UNIX dhe / ose Mac OSX.

1. Instaloni dhe konfiguroni Interface Command Line (CLI)

1. Krijo një Grup
2. Jepni aksesin e Grupit në S3 Bucket dhe CloudFront
3. Krijo përdorues dhe shto në grup
4. Krijo profilin hyrëse dhe Krijo çelësat
5. Qasja në test

Instaloni dhe konfiguroni Interface Command Line (CLI)

IAM Command Line Toolkit është një program Java i disponueshëm në AWS Developers Tools të Amazon. Mjeti ju lejon të ekzekutoni komandat API IAM nga një softuer shell (DOS për Windows).

• Ju duhet të përdorni Java 1.6 ose më të lartë. Ju mund ta shkarkoni versionin më të fundit nga Java.com. Për të parë se cili version është instaluar në sistemin tuaj Windows, hapni Promptin e Komandës dhe shkruani në versionin java. Kjo supozon se java.exe është në PATH tuaj.
• Shkarkoni toolkit IAM CLI dhe hapni paketën diku në diskun tuaj lokal.
• Ekzistojnë 2 skedarë në rrënjë të toolkit CLI që ju duhet të përditësoni.
  • aws-credential.template: Kjo skedë mban kredencialet tuaja të AWS. Shtoni AWSAccessKeyId dhe AWSSecretKey tuaj, ruani dhe mbyllni skedarin.
  • client-config.template : Ju duhet vetëm ta përditësoni këtë skedar nëse keni nevojë për një server proxy. Hiqni shenja # dhe përditëso ClientProxyHost, ClientProxyPort, ClientProxyUsername dhe ClientProxyPassword. Ruaj dhe mbyll skedarin.
• Hapi i ardhshëm përfshin shtimin e Variablave të Mjedisit. Shko te Control Panel | Prona të sistemit Cilësimet e avancuara të sistemit Variablat e mjedisit. Shto variablet e mëposhtme:
  • AWS_IAM_HOME : Vendosni këtë ndryshore në direktorinë ku e keni hequr pajisjen CLI. Nëse jeni duke xhiruar Windows-in dhe hiqni atë në rrënjën e pajisjes C, variabli do të jetë C: \ IAMCli-1.2.0.
  • JAVA_HOME : Vendosni këtë ndryshore në direktorinë ku Java është instaluar. Ky do të jetë vendndodhja e skedarit java.exe. Në një instalim normal të Windows 7 Java, kjo do të ishte diçka si C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Vendosni këtë variabël në rrugën dhe emrin e skedarit të aws-credential.template që keni përditësuar më lart. Nëse jeni duke Windows dhe unzipped atë në rrënjët e drive tuaj C, variabli do të jetë C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Ju duhet vetëm të shtoni këtë ndryshore të mjedisit nëse keni nevojë për një server proxy. Nëse jeni duke Windows dhe unzipped atë në rrënjët e drive tuaj C, variabli do të jetë C: \ IAMCli-1.2.0 \ client-config.template. Mos e shtoni këtë ndryshore nëse nuk keni nevojë.

• Testoni instalimin duke shkuar tek Komanda Prompt dhe duke futur kodin iam-userlist path. Për sa kohë që nuk merrni një gabim, duhet të jeni mirë për të shkuar.

Të gjitha komandat IAM mund të drejtohen nga Command Prompt. Të gjitha komandat fillojnë me "iam-".

Krijo një Grup

Ekziston një maksimum prej 100 grupeve që mund të krijohen për çdo llogari të AWS. Ndërsa ju mund të vendosni lejet në IAM në nivelin e përdoruesit, përdorimi i grupeve do të ishte praktika më e mirë. Këtu është procesi për krijimin e një grupi në IAM.

• Sintaksa për krijimin e një grupi është iam-groupcreate -g GROUPNAME [-p PATH] [-v] ku -p dhe -v janë opsione. Dokumentacioni i plotë mbi Interfacein e Komandës së Rinjve është në dispozicion në AWS Docs.

• Nëse dëshironi të krijoni një grup të quajtur "awesomeusers", do të hyni, iam-groupcreate -g awesomeusers në Command Prompt.
• Ju mund të kontrolloni që grupi u krijua saktë duke futur një listë grupi iam në Faqen e Komandës. Nëse do ta kishit krijuar vetëm këtë grup, rezultati do të ishte diçka si "arn: aws: iam :: 123456789012: group / awesomeusers", ku numri është numri i llogarisë suaj të AWS.

Jepni aksesin e Grupit në S3 Bucket dhe CloudFront

Politikat kontrollojnë atë që grupi juaj mund të bëjë në S3 ose CloudFront. Sipas paracaktimit, grupi juaj nuk do të kishte qasje në asgjë në AWS. Kam gjetur dokumentacionin mbi politikat që të jenë të rregullt, por në krijimin e një sërë politikash, kam bërë një farë gjykimesh dhe gabimesh për t'i bërë gjërat të punojnë ashtu siç dëshiroja që ata të punonin.

Ju keni disa opsione për krijimin e politikave.

Një mundësi është që ju mund t'i futni ato direkt në Promptin e Komandës. Meqë ju mund të krijoni një politikë dhe ta rregulloni atë, për mua duket më e lehtë për të shtuar politikat në një skedar teksti dhe më pas ngarkoni skedarin e tekstit si një parametër me komandën iam-groupuploadpolicy. Këtu është procesi duke përdorur një skedar teksti dhe ngarkimi në IAM.

• Përdorni diçka si Notepad dhe futni tekstin në vijim dhe ruani skedarin:
  
  {
  "Dokumentet": [{
  "Efekti": "Lejo",
  "Veprimi": "S3: *",
  "Resource": [
  "Arn: AWS: s3 ::: BUCKETNAME",
  "Arn: AWS: s3 ::: BUCKETNAME / *"]
  }
  {
  "Efekti": "Lejo",
  "Aksioni": "S3: ListAllMyBuckets",
  "Resource": "Arn: AWS: S3 ::: *"
  }
  {
  "Efekti": "Lejo",
  "Veprimi": [ "cloudfront: *"],
  "Burimeve": "*"
  }
  ]
  }
  
• Ekzistojnë 3 seksione për këtë politikë. Efekti përdoret për të lejuar ose mohuar disa lloj aksesi. Veprimi është gjërat specifike që grupi mund të bëjë. Burimi do të përdoret për të dhënë akses në kova individuale.

• Ju mund t'i kufizoni aksionet individualisht. Në këtë shembull, "Veprimi": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], grupi do të mund të rendiste përmbajtjen e një kovë dhe të shkarkonte objekte.
• Seksioni i parë "Lejon" grupin të kryejë të gjitha veprimet S3 për kovën "BUCKETNAME".
• Seksioni i dytë "Lejon" grupin të rendisë të gjitha kovat në S3. Ju keni nevojë për këtë kështu që ju mund të shihni listën e kova nëse përdorni diçka si AWS Console.

• Seksioni i tretë i jep grupit akses të plotë në CloudFront.

Ka shumë opsione kur vjen në politikat e IAM. Amazon ka një mjet të vërtetë të ftohtë në dispozicion të quajtur Generator Policy AWS. Ky mjet siguron një GUI ku mund të krijoni politikat tuaja dhe të gjeneroni kodin aktual që ju nevojitet për të zbatuar politikën. Ju gjithashtu mund të kontrolloni seksionin e qasjes në gjuhën e përdorimit të dokumentacionit online të Përdorimit të AWS Identity dhe Access Management.

Krijo përdorues dhe shto në grup

Procesi i krijimit të një përdoruesi të ri dhe shtimi i një grupi për t'i siguruar atyre akses përfshin disa hapa.

• Sintaksa për krijimin e një përdoruesi është iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] ku -p, -g, -k dhe -v janë opsione. Dokumentacioni i plotë mbi Interfacein e Komandës së Rinjve është në dispozicion në AWS Docs.
• Nëse dëshironi të krijoni një përdorues "bob", do të futeni, iam-usercreate -u bob-awesomeusers në Command Prompt.
• Ju mund të kontrolloni që përdoruesi është krijuar në mënyrë korrekte duke futur në grupin e faqeve -g awesomeusers në Prompt Command. Nëse e kishit krijuar vetëm këtë përdorues, rezultati do të ishte diçka si "arn: aws: iam :: 123456789012: user / bob", ku numri është numri i llogarisë suaj të AWS.

Krijo Profil Hyrës dhe Krijo Keys

Në këtë pikë, ju keni krijuar një përdorues por ju duhet të siguroni atyre një mënyrë për të shtuar dhe hequr objektet nga S3.

Ekzistojnë 2 opsione në dispozicion për t'u siguruar përdoruesve tuaj qasje në S3 duke përdorur IAM. Ju mund të krijoni një Profil Identifikimi dhe t'u jepni përdoruesve tuaj një fjalëkalim. Ata mund të përdorin kredencialet e tyre për t'u regjistruar në Amazon AWS Console. Opsioni tjetër është t'u japë përdoruesve tuaj një çelës aksesi dhe një çelës sekret. Ata mund të përdorin këto çelësa në mjete të partive të treta si S3 Fox, CloudBerry S3 Explorer ose S3 Browser.

Krijo profilin hyrëse

Krijimi i një profili hyrjeje për përdoruesit tuaj S3 u siguron atyre një emër përdoruesi dhe fjalëkalim që ata mund t'i përdorin për t'u kyçur në Amazon AWS Console.

• Sintaksa për krijimin e një profili të identifikimit është iam-useraddloginprofile -u USERNAME -p PASSWORD. Dokumentacioni i plotë mbi Interfacein e Komandës së Rinjve është në dispozicion në AWS Docs.
• Nëse dëshironi të krijoni një profil identifikimi për përdoruesin "bob", do të futni, iam-useraddloginprofile -u bob -p PASSWORD në Promptin e Komandës.

• Ju mund të kontrolloni që profili i identifikimit u krijua saktë duke futur iam-usergetloginprofile -u bob në Promptin e Komandës. Nëse do të kishit krijuar një profil identifikimi për bob, rezultati do të ishte diçka si "Profili i Identifikimit ekziston për përdoruesin bob".

Krijo çelësat

Krijimi i një AWS Secret Access Key dhe korresponduese AWS Access Key ID do të lejojnë përdoruesit tuaj të përdorin softuerin e palës së tretë si ato të përmendura më parë. Mbani në mend se si një masë sigurie, mund t'i merrni këto çelësat vetëm gjatë procesit të shtimit të profilit të përdoruesit. Sigurohuni që të kopjoni dhe ngjisni daljen nga Komanda Prompt dhe ruani në një skedar teksti. Ju mund ta dërgoni skedarin tek përdoruesi juaj.

• Sintaksa për shtimin e çelësave për një përdorues është iam-useraddkey [-u USERNAME]. Dokumentacioni i plotë mbi Interfacein e Komandës së Rinjve është në dispozicion në AWS Docs.
• Nëse dëshironi të krijoni çelësat për përdoruesin "bob", do të futni iam-useraddkey -u bob në Faqen e Komandës.
• Komanda do të nxjerrë çelësat që do të dukeshin diçka e tillë:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Linja e parë është ID Access Key dhe linja e dytë është Key Secret Access. Ju duhet të dyja për softuerin e palës së tretë.

Qasja në test

Tani që ju keni krijuar grupet / përdoruesit e IAM dhe i keni dhënë grupeve akses duke përdorur politikat, ju duhet të provoni aksesin.

Qasja në tastierë

Përdoruesit tuaj mund të përdorin emrin e tyre të përdoruesit dhe fjalëkalimin për tu identifikuar në AWS Console. Megjithatë, kjo nuk është faqja e hyrjes së konsolës së rregullt e cila përdoret për llogarinë kryesore të AWS.

Ka një URL të veçantë që mund të përdorni që do të sigurojë një formë identifikimi vetëm për llogarinë tuaj Amazon AWS. Këtu është URL-ja për tu identifikuar në S3 për përdoruesit tuaj IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER është numri i llogarisë suaj të AWS. Ju mund ta merrni këtë duke hyrë në formën e Shërbimit të Shërbimit të Uebit Amazon. Identifikohu dhe kliko tek Llogaria. | Aktiviteti i llogarisë. Numri i llogarisë suaj është në këndin e sipërm të djathtë. Sigurohuni që të hiqni pikat. URL do të duket diçka si https://123456789012.signin.aws.amazon.com/console/s3.

Përdorimi i çelësave të qasjes

Ju mund të shkarkoni dhe instaloni ndonjë nga mjetet e palës së tretë të përmendur tashmë në këtë artikull. Futni ID-në e Qasjes dhe Key Secret Access për dokumentacionin e mjeteve të palës së tretë.

Unë me forcë ju rekomandoj që të krijoni një përdorues fillestar dhe ta bëni atë përdorues plotësisht të provuar se ata mund të bëjnë gjithçka që duhet të bëjnë në S3. Pasi të verifikoni një nga përdoruesit tuaj, ju mund të vazhdoni me konfigurimin e të gjithë përdoruesve tuaj S3.

burime

Këtu janë disa burime për t'ju dhënë një kuptim më të mirë të Identitetit & Menaxhimit të Qasjes (IAM).

• Fillimi me IAM
• IAM Komanda Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• Përdorimi i AWS Identity and Access Management

• Shënime për lëshimin e IAM
• Forumet e diskutimit IAM
• FAQs IAM