AWS Identitatea eta sarbideen kudeaketa

3. zatia

2011n, Amazonek iragarri zuen AWS Identity & Access Management (IAM) CloudFront-en laguntza. IAM 2010ean abian jarri zen eta S3 laguntza jaso zuen. AWS Identity & Access Management (IAM) AWS kontu batean hainbat erabiltzaile izan ditzake. Amazon Web Services (AWS) erabiltzen baduzu, jakitun AWS-en edukia kudeatzeko modu bakarra zure erabiltzaile izena eta pasahitza eman edo sarbide teklak eman behar dituzu.

Gutako gehienak segurtasun osoz kezkatzen gaitu. IAM-ek pasahitzak eta sarbide-gakoak partekatzeko beharra ezabatzen du.

Gure AWS pasahitz nagusia etengabe aldatzen edo gako berriak sortzean irtenbide merke bat besterik ez da, langile batek gure taldetik utziko lukeenean. AWS Identity & Access Management (IAM) hasiera ona izan zen banakako erabiltzaileen kontuak banakako teklak erabiliz. Hala eta guztiz ere, S3 / CloudFront erabiltzailea gara. Horrela, CloudFront-era ikusi genuen azkenik gertatu den IAMari gehituta.

Zerbitzu honen dokumentazioa pixka bat sakabanatuta aurkitu dut. Nortasun eta sarbideen kudeaketarako (IAM) laguntza-mota ugari eskaintzen dituzten 3 alderdi produktu daude. Baina garatzaileek normala izaten dute, beraz, irtenbide librea bilatzen dut IAM kudeatzeko gure Amazon S3 zerbitzuarekin.

Artikulu honek IAM onartzen duen Command Line Interface interfazea konfiguratzen du eta S3 sarbide batekin taldea / erabiltzailea konfiguratzen du. Amazon AWS S3 kontua konfiguratu behar duzu identitatearen eta sarbideen kudeaketa (IAM) konfiguratzen hasi aurretik.

Nire artikulua, Amazon Simple Storage Service (S3) erabiliz, AWS S3 kontua konfiguratzeko prozesuan zehar ibiliko zaitu.

Hona hemen IAMen erabiltzaile bat konfiguratzeko eta ezartzeko urratsak. Windows-en idatzita dago, baina Linux, UNIX eta / edo Mac OSX-en erabiltzeko modukoa alda dezakezu.

1. Komando-lerroaren interfazea (CLI) instalatu eta konfiguratu.

1. Talde bat sortu
2. Eman Group Sarbidea S3 Bucket eta CloudFront-era
3. Sortu erabiltzailea eta gehitu taldera
4. Sortu Login profila eta sortu gakoak
5. Proba sarbidea

Komando-lerroaren interfazea (CLI) instalatu eta konfiguratu.

IAM Command Line Toolkit Amazon-en AWS Developers Tools-en eskuragarri dagoen Java programa bat da. Tresna honek IAM API komandoak exekuta ditzakezu shell utilitate batetik (Windows DOS).

• Java 1.6 edo handiagoa exekutatu behar duzu. Java.com-en azken bertsioa deskarga dezakezu. Windows-en zein bertsio instalatuta dagoen ikusteko, ireki komandoaren gonbita eta idatzi java -version-en. Honek java.exe zure PATH-ean dagoela suposatzen du.
• Deskargatu IAM CLI tresna-barra eta deskonprimitu tokiko unitatean.
• 2 eguneratu behar dituzun CLI tresna-zerrendaren erroko fitxategiak daude.
  • aws-credential.template: Fitxategi honek AWS kredentzialak gordetzen ditu. Gehitu zure AWSAccessKeyId eta zure AWSSecretKey, gorde eta itxi fitxategia.
  • client-config.template : Fitxategi hau eguneratu behar duzu proxy zerbitzari bat behar baduzu. Kendu # zeinuak eta eguneratu ClientProxyHost, ClientProxyPort, ClientProxyUsername eta ClientProxyPassword. Gorde eta itxi fitxategia.
• Hurrengo urratsa Ingurumen Aldagaiak gehitzea dakar. Joan kontrol panelera | Sistema-propietateak | Sistema ezarpen aurreratuak | Ingurumen aldagaiak. Gehitu ondoko aldagaiak:
  • AWS_IAM_HOME : CLIren tresna-barra deskonprimitu zenueneko direktorioa ezarri. Windows exekutatzen ari bazara eta deskonprimitu ezazu C diskoaren erroan, aldagai hau C: \ IAMCli-1.2.0 izango litzateke.
  • JAVA_HOME : Jarri instalatutako Java direktorioan dagoen aldagai hau. Java.exe fitxategiaren kokalekua izango litzateke. Windows 7 Java instalazio normal batean, hau C: \ Program Files (x86) \ Java \ jre6 bezalako zerbait izango litzateke.
  • AWS_CREDENTIAL_FILE : ezarri aldagai hau goian eguneratu zenuen aws-credential.template-ren bidea eta fitxategi-izena. Windows erabiltzen ari bazara eta unzipped zure C unitatean erro, aldagai C: \ IAMCli-1.2.0 \ aws-credential.template izango litzateke.
  • CLIENT_CONFIG_FILE : ingurune-aldagai hau gehitu behar duzu proxy zerbitzari bat behar baduzu. Windows exekutatzen ari bazara eta zure C unitatean unzipped baduzu, aldagaiak C: \ IAMCli-1.2.0 \ client-config.template izango litzateke. Ez gehitu aldagai hau behar ez duzunean.

• Probatu instalazioa komandoaren galderara joateko eta sartu iam-userlistbypath. Ez baduzu akatsik jasotzen, ongi joan beharko zenuke.

IAM komando guztiek komando-aginduaren bidez exekutatu dezakete. Komando guztiak "iam-" -ekin hasten dira.

Talde bat sortu

Gehienez 100 talde sortu ahal izango dira AWS kontu bakoitzerako. Erabiltzaile mailan IAMen baimenak ezar ditzakezu, taldeek praktika onak izango lirateke. Hona hemen IAM taldeko talde bat sortzeko prozesua.

• Talde bat sortzeko sintaxia iam-groupcreate -g GROUPNAME [-p PATH] [-v] non -p eta -v aukerak dira. Komando lerroaren interfazeari buruzko dokumentazio osoa AWS dokumentuetan eskuragarri dago.

• "Awesomeusers" izeneko talde bat sortu nahi baduzu, sartzen zenuke, iam-groupcreate -g awesomeusers komandoaren aginduan.
• Taldeak behar bezala sortu dela egiaztatu ahal izango duzu iam-grouplistbypath-ean sartu komandoaren galderarekin. Talde hau sortu bazenuen, irteera "arn: aws: iam :: 123456789012: group / awesomeusers" bezalako zerbait izango litzateke, non zure AWS kontuaren zenbakia den.

Eman Group Sarbidea S3 Bucket eta CloudFront-era

Poliziek zure taldea S3 edo CloudFront-en egin dezaketen kontrolatzen dute. Lehenespenez, zure taldek ez luke AWS-en ezer edukiko. Onartzen ditugun politiken inguruko dokumentazioa aurkitu nuen, baina politikoki gutxitan sortu nituen. Prozesu eta errore pixka bat egin nuen lanean aritu nintzenean.

Politika batzuk sortzeko aukera paregabea duzu.

Aukera bat komandoaren leihoan sartu ditzakezu zuzenean. Politika bat sortu eta tweaking geroztik, niretzat errazagoa da politika testu-fitxategi batean gehitzea eta, ondoren, iam-groupuploadpolicy komandoarekin parametro bezala igo. Hona hemen testu-fitxategi bat erabiliz eta IAM-ra igotzeko prozesua.

• Erabili Notepad bezalako zerbait eta sartu hurrengo testua eta gorde fitxategia:
  
  {
  "Agiria": [{
  "Efektua": "Onartu",
  "Ekintza": "s3: *",
  "Baliabideen": [
  "Arn: AWS: s3 ::: BUCKETNAME",
  "Arn: AWS: s3 ::: BUCKETNAME / *"]
  },
  {
  "Efektua": "Onartu",
  "Ekintza": "s3: ListAllMyBuckets",
  "Baliabideen": "arn: AWS: s3 ::: *"
  },
  {
  "Efektua": "Onartu",
  "Ekintza": [ "cloudfront: *"],
  "Baliabideen": "*"
  }
  ]
  }
  
• 3 atal daude gidalerro honetarako. Efektu hau sarbide mota batzuk baimendu edo ukatzeko erabiltzen da. Ekintza taldeak egin dezakeen berariazko gauza da. Baliabidea kuboak banatzeko aukera izango litzateke.

• Ekintzak bakarka mugatu ditzakezu. Adibide honetan, "Ekintza": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], taldeko ontzi baten edukia eta deskargatzeko objektuak zerrendatu ahal izango lituzke.
• Lehenengo atalean "Onartu" taldea "BUCKETNAME" ontziaren S3 ekintza guztiak burutzeko.
• Bigarren atala "Onartu" taldea S3ren kubo guztiak zerrendatzeko. Behar duzu hau benetan kuboak zerrenda ikus dezakezu AWS kontsola bezalako zerbait erabiltzen baduzu.

• Hirugarren atala CloudFront-era sarbide osoa ematen dio taldeari.

Aukera asko daude IAM gidalerroei dagokienez. Amazonek AWS Policy Generator izeneko tresna benetan cool bat du. Tresna honek GUI bat eskaintzen du, non zure gidalerroak sor ditzakezula eta politika abian jartzeko benetako kodea sortzeko. Gainera, AWS identitatearen eta sarbideen kudeaketa lineako dokumentazioaren erabilerarako sarbide-gidalerroen atala ikusi dezakezu.

Sortu erabiltzailea eta gehitu taldera

Erabiltzaile berri bat sortzeko prozesua eta sartzeko talde bat gehitzea prozesu pare bat dakar.

• Erabiltzaile bat sortzeko sintaxia iam-usercreate -u USERNAME [-p PATH] [-g TALDEETAN ...] [-k] [-v] non -p, -g, -k eta -v dira aukera. Komando lerroaren interfazeari buruzko dokumentazio osoa AWS dokumentuetan eskuragarri dago.
• "Bob" erabiltzailea sortu nahi baduzu, idatzi, iam-usercreate -u bob -g awesomeusers komandoaren hasieran.
• Erabiltzaileari behar bezala sortu dela egiaztatu ahal izango duzu iam-grouplistusers -g awesomeusers idaztean Komando-aginduaren bidez. Erabiltzailea sortu bazenuen, irteera "arn: aws: iam :: 123456789012: user / bob" bezalako zerbait izango litzateke, non zure AWS kontuaren zenbakia den.

Sortu saio-hasierako profila eta sortu gakoak

Une honetan, erabiltzaile bat sortu duzu baina S3 objektuak benetan gehitu eta kentzeko modu bat eman behar dituzu.

Sareak SARra sartzeko aukera ematen dien 2 aukera daude eskuragarri IAM erabiliz. Sartzeko profila sor dezakezu eta zure erabiltzaileei pasahitza eman. Beren kredentzialak erabil ditzakete Amazon AWS kontsolan sartzeko. Beste aukera bat zure erabiltzaileei sarbide-gakoa eta gako sekretu bat ematea da. S3 Fox, CloudBerry S3 Explorer edo S3 Browser bezalako tresnen tresnak erabil ditzakete gako horiek.

Sortu Login profila

Zure S3 erabiltzailearentzako profil bat sortzea erabiltzaileak eta pasahitza dute Amazon AWS kontsolan sartzeko erabil ditzaten.

• Saioa hasteko profil bat sortzeko sintaxia iam-useraddloginprofile -u USERNAME -p PASSWORD da. Komando lerroaren interfazeari buruzko dokumentazio osoa AWS dokumentuetan eskuragarri dago.
• "Bob" erabiltzailearen saio-profila sortu nahi baduzu, idatzi iam-useraddloginprofile -u bob -p PASSWORD komandoaren hasieran.

• Saio-profila behar bezala sortu dela egiazta dezakezu iam-usergetloginprofile -u bob-en Komandoaren Galderara sartzeko. Bob-i buruzko saio-profila sortu bazenuen, irteera "Erabiltzaile profila Erabiltzaile profila badago" bezalako zerbait izango litzateke.

Sortu gakoak

AWS sarbide gako sekretua sortzean eta dagokion AWS sarbideen gako IDa zure erabiltzaileek 3. alderdiko softwarea erabiltzea ahalbidetuko die. Gogoan izan segurtasun neurri gisa, gako horiek bakarrik eskuratu ahal izango dituzu erabiltzailearen profila gehituz. Ziurtatu Irteera kopiatu eta itsatsi komandoaren agindua eta gorde testu fitxategi batean. Fitxategia zure erabiltzailearentzat bidali dezakezu.

• Erabiltzaile baten gakoak gehitzeko sintaxia iam-useraddkey [-u USERNAME] da. Komando lerroaren interfazeari buruzko dokumentazio osoa AWS dokumentuetan eskuragarri dago.
• "Bob" erabiltzailearen gakoak sortu nahi badituzu, iam-useraddkey -u bob sartu beharko zenuke komando-aginduan.
• Komandoak honelako itxura izango duten gakoak sortuko ditu:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Lehen lerroa Access Key IDa da eta bigarren lerroa sarbide gako sekretua da. Bi alderdien softwarea behar duzu.

Proba sarbidea

Orain IAM taldeak / erabiltzaileak sortu dituzula eta taldeen sarbidea politikak erabiliz sarbidea probatu behar duzu.

Console Access

Erabiltzaileek beren erabiltzaile izena eta pasahitza erabil ditzakete AWS kontsolan sartzeko. Hala ere, hau ez da ohiko kontsolaren saio-orri nagusia AWS kontu nagusirako erabiltzen den.

Zure Amazon AWS kontuari buruzko saio-hasiera bat emango duen URL berezi bat dago. Hemen S3 saioan zure IAM erabiltzaileentzako URLa da.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER zure AWS kontu arrunta zenbakia da. Horretarako, Amazon Web Zerbitzuan saioa hasteko formularioa sartu dezakezu. Sartu eta sakatu Kontua | Kontuaren jarduera. Zure kontuaren zenbakia goiko eskuineko izkinan dago. Ziurtatu marrak ezabatu dituzula. URLak https://123456789012.signin.aws.amazon.com/console/s3 bezalako itxura izango luke.

Sarbide-gakoak erabiltzea

Artikulu honetan aipatzen diren hirugarrenen tresnak deskargatu eta instalatu ditzakezu. Sartu sarbide-gakoaren IDa eta Sekretu-sarbide tekla hirugarrenen tresnaren dokumentazioa.

Gomendatzen dut hasierako erabiltzailea sortu duzula eta erabiltzaileak S3-n egin behar duen guztia egin dezaketela egiaztatzeko. Erabiltzaile batek egiaztatu ondoren, zure S3 erabiltzaile guztiak konfiguratu ditzakezu.

Baliabideak

Hona hemen baliabide batzuk Identitatea eta Sarbideen Kudeaketa (IAM) hobeto ulertzeko.

• IAMekin hasten
• IAM Command Line Toolkit
• Amazon AWS kontsola
• AWS Policy Generator
• AWS Identitatea eta Sarbideen Kudeaketa erabiliz

• IAM bertsioaren oharrak
• IAM eztabaida foroak
• IAM ohiko galderak