AWS იდენტობა და წვდომის მართვა

by Tim Perdue

ნაწილი 1 of 3

2011 წელს, Amazon გამოაცხადა ხელმისაწვდომობა AWS იდენტობა და ხელმისაწვდომობა მენეჯმენტი (IAM) მხარდაჭერა CloudFront. IAM დაიწყო 2010 წელს და შედის S3 მხარდაჭერა. AWS იდენტობა და წვდომა მენეჯმენტი (IAM) საშუალებას გაძლევთ მრავალჯერადი მომხმარებელი AWS ანგარიშის ფარგლებში. თუ თქვენ გამოიყენეთ Amazon Web Services (AWS), თქვენ იცით, რომ AWS- ში კონტენტის მართვის ერთადერთი გზაა ჩართული თქვენი მომხმარებლის სახელი და პაროლი ან წვდომის გასაღებები.

ეს არის ჩვენი უმეტესობის უსაფრთხოების რეალური შეშფოთება. IAM აგარიდებთ საჭიროებას პაროლებისა და წვდომის გასაღებების გაზიარებას.

მუდმივად იცვლება ჩვენი მთავარი AWS პაროლი ან ახალი გასაღების მომტანი მხოლოდ მწარე გამოსავალია, როდესაც თანამშრომელი დატოვებს ჩვენს გუნდს. AWS იდენტობა და წვდომა მენეჯმენტი (IAM) იყო კარგი დასაწყისი, რომელიც საშუალებას აძლევს ინდივიდუალური მომხმარებლის ანგარიშებს ინდივიდუალური გასაღებები. თუმცა, ჩვენ ვართ S3 / CloudFront მომხმარებლის, ამიტომ ჩვენ ვუყურებთ CloudFront დაემატოს IAM რომელიც საბოლოოდ მოხდა.

აღმოვაჩინე დოკუმენტაცია ამ სერვისზე ცოტა მიმოფანტული. არსებობს რამდენიმე მე -3 პარტიის პროდუქცია, რომელიც გთავაზობთ სპექტრი მხარდაჭერა პირადობის და ხელმისაწვდომობის მართვის (IAM). მაგრამ დეველოპერები, როგორც წესი, ხელმომჭირნე, ამიტომ მე ცდილობდა უფასო გამოსავალი მართვის IAM ჩვენს Amazon S3 მომსახურება.

ამ სტატიაში დაცულია სარდლობის ხაზის ინტერფეისის შექმნის პროცესის მეშვეობით, რომელიც მხარს უჭერს IAM- ს და შექმნის ჯგუფს / მომხმარებლის S3 ხელმისაწვდომობას. საჭიროა Amazon AWS S3 ანგარიშის კონფიგურაცია, სანამ დაიწყებთ კონფიგურაციას იდენტობა და წვდომის მართვა (IAM).

ჩემი სტატია, გამოიყენეთ Amazon Simple Storage Service (S3), გაატარებთ AWS S3 ანგარიშის შექმნის პროცესში.

აქ არის ნაბიჯები ჩართული შექმნის და განხორციელების შესახებ მომხმარებელი IAM. ეს არის დაწერილი Windows- ისთვის, მაგრამ შეგიძლიათ გამოიყენოთ Linux, UNIX და / ან Mac OSX- ში გამოყენება.

ინსტალაცია და კონფიგურაცია ბრძანების ინტერფეისი (CLI)

შექმნა ჯგუფი
მიეცით ჯგუფი ხელმისაწვდომობა S3 Bucket და CloudFront
შექმნა მომხმარებელი და დაამატე ჯგუფი
შექმენით შესვლა პროფილი და შექმნა გასაღები
ტესტი წვდომა

ინსტალაცია და კონფიგურაცია ბრძანების ინტერფეისი (CLI)

IAM ბრძანების ინსტრუმენტარიკი არის ჯავის პროგრამა, რომელიც ხელმისაწვდომია Amazon- ის AWS- ის დეველოპერებისთვის. ინსტრუმენტი საშუალებას გაძლევთ შეასრულოთ IAM API ბრძანებები საწყისი shell კომუნალური (DOS for Windows).

თქვენ უნდა გაშვებული Java 1.6 ან უფრო მაღალი. Java.com- დან შეგიძლიათ ჩამოტვირთოთ ახალი ვერსია. თუ რომელი ვერსია დაინსტალირებულია თქვენს Windows სისტემაში, გახსენით Command Prompt და ჩაწერეთ java -version. ეს ვარაუდობს, რომ java.exe არის თქვენი PATH.
ჩამოტვირთეთ IAM CLI ინსტრუმენტარიტი და გაუქმება თქვენს ადგილობრივ დისკზე.
CLI- ს ინსტრუმენტზე 2 ფაილია, რომლითაც განახლდება.
- aws- credential.template: ეს ფაილი ფლობს თქვენი AWS მიდგომებით. დაამატეთ თქვენი AWSAccessKeyId და თქვენი AWSSecretKey, შენახვა და დახურვა ფაილი.
- კლიენტი- config.emplate : თქვენ მხოლოდ უნდა განაახლოს ეს ფაილი, თუ გჭირდებათ პროქსი სერვერი. ამოღება # ნიშნები და განახლება ClientProxyHost, ClientProxyPort, ClientProxyUsername და ClientProxyPassword. შენახვა და დახურვა ფაილი.
შემდეგი ნაბიჯი მოიცავს დამატებით გარემო ცვლადებს. გადასვლა პანელში | სისტემის თვისებები | გაფართოებული სისტემის პარამეტრები | გარემოს ცვლადები. დაამატეთ შემდეგი ცვლადები:
- AWS_IAM_HOME : დააყენეთ ეს ცვლადი დირექტორიაში, სადაც გააქტიურდება CLI ინსტრუმენტარიტი. თუ თქვენ იყენებთ Windows- ს და შეუძლებელია თქვენი C დისკის ფესვზე, ცვლადი იქნება C: \ IAMCli-1.2.0.
- JAVA_HOME : დააყენეთ ეს ცვლადი დირექტორიაში, სადაც ჯავა არის დამონტაჟებული. ეს იქნება java.exe ფაილი. ჩვეულებრივ Windows 7 Java ინსტალაციაში, ეს იქნება C: \ Program Files (x86) \ Java \ jre6.
- AWS_CREDENTIAL_FILE : დააყენეთ ეს ცვლადი ზემოთ და ატვირთული ფაილის სახელი და გვარი. თუ თქვენ იყენებთ Windows- ს და შეუძლებელია თქვენი C დისკის ფესვზე, ცვლადი იქნება C: \ IAMCli-1.2.0 \ aws-credential.template.
- CLIENT_CONFIG_FILE : თქვენ უნდა დაამატოთ ეს გარემო ცვლადი, თუ გჭირდებათ პროქსი სერვერი. თუ თქვენ იყენებთ Windows- ს და შეუძლებელია თქვენი C დისკის ფესვზე, ცვლადი იქნება C: \ IAMCli-1.2.0 \ client-config.template. არ დაამატოთ ეს ცვლადი, თუ არ გჭირდებათ.

შეამოწმე ინსტალაცია ბრძანების მოთხოვნაზე და შევიდნენ iam-userlistbypath- ში. სანამ არ მიიღებთ შეცდომას, კარგი უნდა იყოს.

ყველა IAM ბრძანებები შეიძლება აწარმოებს ბრძანება Prompt. ყველა ბრძანება იწყება "iam-".

შექმნა ჯგუფი

არსებობს მაქსიმუმ 100 ჯგუფი, რომელიც შეიძლება შეიქმნას თითოეული AWS ანგარიშზე. მიუხედავად იმისა, რომ შეგიძლიათ დააყენოთ ნებართვა IAM- ზე მომხმარებლის დონეზე, ჯგუფების გამოყენებით საუკეთესო პრაქტიკა იქნება. აქ არის IAM- ში ჯგუფის შექმნის პროცესი.

ჯგუფი შექმნის სინტაქსს iam-groupcreate -g GROUPNAME [-p PATH] [-v] სადაც -p და -v ვარიანტებია. სრული დოკუმენტაცია Command Line ინტერფეისი ხელმისაწვდომია AWS Docs- ზე.

თუ გინდა შექმნან ჯგუფი, რომელსაც ეწოდება "გასაოცარია", თქვენ შეხვალთ, iam-groupcreate-გ ბრძანებათა ბრძანებით.
თქვენ შეგიძლიათ შეამოწმოთ, რომ ჯგუფი შეიქმნა სწორად შეიყვანეს ბრძანებათა სვეტში iam-grouplistbypath- ით შესვლისას. თუ ამ ჯგუფს მხოლოდ შექმნა, გამონაკლისი იქნება "arn: aws: iam :: 123456789012: group / awesomeusers", სადაც ნომერი არის თქვენი AWS ანგარიშის ნომერი.

მიეცით ჯგუფი ხელმისაწვდომობა S3 Bucket და CloudFront

პოლიტიკას აკონტროლებენ რა თქვენს ჯგუფს შეუძლია გააკეთოს S3 ან CloudFront- ში. რა თქმა უნდა, თქვენს ჯგუფს არ მიუწვდებოდათ AWS- ში არაფერი. აღმოვაჩინე დოკუმენტაცია პოლიტიკის შესახებ, მაგრამ კარგი პოლიტიკის შექმნისას, მე ცოტათი ვიყავი სასამართლოში და შეცდომაში შემეღო სამუშაოები, რომ მათ მუშაობა მომეწონა.

პოლიტიკის შექმნის რამდენიმე ვარიანტი გაქვთ.

ერთი ვარიანტი შეგიძლიათ მათ პირდაპირ ბრძანება Prompt. მას შემდეგ, რაც თქვენ შეიძლება შექმნან პოლიტიკა და tweaking ეს, ჩემთვის, როგორც ჩანს, უფრო ადვილად დაამატოთ პოლიტიკა შევიდა ტექსტური ფაილი და შემდეგ ატვირთეთ ტექსტური ფაილი როგორც პარამეტრი ბრძანება iam-groupuploadpolicy. აქ არის პროცესი ტექსტის ფაილის გამოყენებით და ატვირთვა IAM- ში.

გამოიყენეთ ჩასაწერი გვერდზე და შეიყვანეთ შემდეგი ტექსტი და შეინახეთ ფაილი:

{
"განცხადება": [
"ეფექტი": "ნება",
"აქცია": "s3: *",
"რესურსი": [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
"ეფექტი": "ნება",
"აქცია": "s3: ListAllMyBuckets",
"რესურსი": "arn: aws: s3 ::: *"
},
{
"ეფექტი": "ნება",
"აქცია": ["cloudfront: *"],
"რესურსი": "*"
}
]
}
ამ პოლიტიკას 3 სექცია აქვს. ეფექტი გამოიყენება ზოგიერთი ტიპის წვდომის ან უარყოფის მიზნით. აქცია არის კონკრეტული რამ, რაც ჯგუფს შეუძლია. რესურსი გამოყენებული იქნება ინდივიდუალური თაიგულების მისაწვდომობაზე.

შეგიძლიათ გააუქმოთ აქციები ინდივიდუალურად. ამ მაგალითში "Action": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], ჯგუფს შეეძლება შეეძლოს ბუკეტის და გადმოტვირთვის ობიექტების შინაარსი.
პირველი სექცია "საშუალებას აძლევს" ჯგუფის შეასრულოს ყველა S3 ქმედებები bucket "BUCKETNAME".
მეორე განყოფილება "საშუალებას აძლევს" ჯგუფს ყველა ბუკში S3- ში ჩამოთვლა. ამისათვის ასე რომ თქვენ შეგიძლიათ რეალურად ვნახოთ ჩამონათვალი თაიგულების თუ გამოიყენებთ რაღაც AWS Console- ს.

მესამე ნაწილი აძლევს ჯგუფის სრულ ხელმისაწვდომობას CloudFront.

არსებობს ბევრი ვარიანტი როდესაც მოდის IAM პოლიტიკას. Amazon აქვს მართლაც მაგარი ინსტრუმენტი ხელმისაწვდომია მოუწოდა AWS პოლიტიკის გენერატორი. ეს ინსტრუმენტი უზრუნველყოფს GUI, სადაც შეგიძლიათ შექმნათ თქვენი პოლიტიკა და გენერირება ფაქტობრივი კოდი თქვენ უნდა განახორციელოს პოლიტიკა. ასევე შეგიძლიათ შეამოწმოთ AWS იდენტობისა და წვდომის მართვის ონლაინ დოკუმენტაციის ხელმისაწვდომობის პოლიტიკის ენა.

შექმნა მომხმარებელი და დაამატე ჯგუფი

ახალი მომხმარებლის შექმნის პროცესი და ჯგუფში დამატებას, რათა უზრუნველყოს მათი ხელმისაწვდომობა, მოიცავს რამდენიმე ნაბიჯს.

მომხმარებლის შექმნის სინტაქსი არის iam-usercreate-a USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] სადაც -p, -g, -k და -v პარამეტრებია. სრული დოკუმენტაცია Command Line ინტერფეისი ხელმისაწვდომია AWS Docs- ზე.
თუ თქვენ გინდათ შექმნათ მომხმარებელი "ბობ", თქვენ შეხვალთ, iam-usercreate-a-bob -g გასაოცარია ბრძანებათა ბრძანებით.
თქვენ შეგიძლიათ შეამოწმოთ, რომ მომხმარებელი შეიქმნა სწორად iam-grouplistusers- ში შესვლისას ბრძანებათა ბრძანებით. თუ თქვენ მხოლოდ ამ მომხმარებლის შექმნა, გამონაკლისი იქნება "arn: aws: iam :: 123456789012: user / bob", სადაც ნომერი არის თქვენი AWS ანგარიშის ნომერი.

შექმნათ Logon პროფილი და შექმნა Keys

ამ ეტაპზე, თქვენ შექმენით მომხმარებელი, მაგრამ მათ უნდა მიაწოდოთ გზა, რათა დაამატოთ და ამოიღონ S3- ის ობიექტები.

არსებობს 2 ვარიანტი ხელმისაწვდომია თქვენი მომხმარებლებისთვის S3- ის გამოყენებით IAM- ის გამოყენებით. თქვენ შეგიძლიათ შექმნათ Login პროფილი და თქვენი მომხმარებლისთვის პაროლით. მათ შეუძლიათ გამოიყენონ თავიანთი რწმუნებათა სიგელები, რათა შევიდნენ Amazon AWS Console- ში. სხვა ვარიანტია თქვენი მომხმარებლისათვის დაშვების გასაღები და საიდუმლო გასაღები. მათ შეუძლიათ გამოიყენონ ეს გასაღებები მე -3 პარტიის ინსტრუმენტები, როგორიცაა S3 Fox, CloudBerry S3 Explorer ან S3 ბროუზერი.

შექმენით შესვლა პროფილი

შექმნათ თქვენი მომხმარებლის S3 მომხმარებლებს მომხმარებლის სახელი და პაროლი, რომელსაც შეუძლია გამოიყენოს Amazon AWS Console- ში შესვლა.

სინტაქსი შესვლის პროფილის შესაქმნელად არის iam-useraddloginprofile -u USERNAME -p PASSWORD. სრული დოკუმენტაცია Command Line ინტერფეისი ხელმისაწვდომია AWS Docs- ზე.
თუ თქვენ გინდათ რომ შევქმნათ მომხმარებლის პროფილი "ბობზე", თქვენ შეხვალთ, iam-useraddloginprofile -u bob -p Password Command Prompt.

თქვენ შეგიძლიათ შეამოწმოთ, რომ login profile შეიქმნა სწორად შეყვანა iam-usergetloginprofile -u bob ბრძანებით Prompt. თუ თქვენ შექმენით ლოგოს პროფილის ბობ, გამომავალი იქნება რაღაც "შესვლა პროფილი არსებობს მომხმარებლის ბობ".

შექმენით გასაღებები

შექმნა AWS საიდუმლო წვდომა გასაღები და შესაბამისი AWS Access Key ID საშუალებას მისცემს თქვენს მომხმარებლებს გამოიყენონ მე -3 პარტიის პროგრამული უზრუნველყოფა, როგორიცაა ადრე აღნიშნული. გაითვალისწინეთ, რომ უსაფრთხოების ზომის სახით, შეგიძლიათ მხოლოდ ამ გასაღებების მიღება მომხმარებლის პროფილის დასასრულს. დარწმუნდით, რომ თქვენ გამოგიგზავნით და დააკოპირეთ გამოძახება Command Prompt- დან და შეინახეთ ტექსტურ ფაილში. თქვენ შეგიძლიათ გააგზავნოთ ფაილი თქვენს მომხმარებელს.

სინტაქსი მომხმარებლისთვის გასაღებების დასამატებლად არის iam-useraddkey [-u USERNAME]. სრული დოკუმენტაცია Command Line ინტერფეისი ხელმისაწვდომია AWS Docs- ზე.
თუ გსურთ "ბობ" მომხმარებლისთვის შექმნილ ღილაკებს, თქვენ შევა ბრძანება- useraddkey -u bob ბრძანებათა სვეტში.
ბრძანება გამოაქვს გასაღებები, რომელიც გამოიყურება მსგავსი რამ:
AKIACOOB5BQVEXAMPLE
BVQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE

პირველი ხაზი არის Access Key ID და მეორე ხაზი საიდუმლო წვდომის გასაღებია. გჭირდებათ როგორც მე -3 პარტიის პროგრამული უზრუნველყოფა.

ტესტი წვდომა

ახლა, როდესაც თქვენ შექმენით IAM ჯგუფები / მომხმარებლები და ჯგუფების წვდომით პოლიტიკის გამოყენებით, თქვენ უნდა შეამოწმოთ წვდომა.

კონსოლი წვდომა

თქვენს მომხმარებლებს შეუძლიათ გამოიყენონ მომხმარებლის სახელი და პაროლი AWS Console- ში შესასვლელად. თუმცა, ეს არ არის ჩვეულებრივი კონსოლი შესვლა გვერდი, რომელიც გამოიყენება ძირითადი AWS ანგარიშისთვის.

არსებობს სპეციალური URL რომ შეგიძლიათ გამოიყენოთ რომელიც უზრუნველყოფს შესვლის ფორმა თქვენი Amazon AWS ანგარიშის მხოლოდ. აქ არის URL, რათა შეხვიდეთ S3 თქვენს IAM მომხმარებლებს.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER არის თქვენი რეგულარული AWS ანგარიშის ნომერი. შეგიძლიათ მიიღოთ ეს მეშვეობით Amazon Web Service შესვლა ფორმაში. შესვლა და დააჭირეთ ანგარიშზე | ანგარიშის აქტივობა. თქვენი ანგარიშის ნომერი ზედა მარჯვენა კუთხეშია. დარწმუნდით, რომ წაშალეთ ჩაკეტები. URL გამოიყურება მსგავსი რამ https://123456789012.signin.aws.amazon.com/console/s3.

წვდომის გასაღების გამოყენება

თქვენ შეგიძლიათ გადმოწეროთ და დააინსტალიროთ ამ სტატიაში უკვე აღნიშნულ მესამე მხარეს. შეიყვანეთ თქვენი წვდომის ძირითადი ID და საიდუმლო წვდომის გასაღები მე -3 პარტიის ინსტრუმენტის დოკუმენტაციაში.

მე მტკიცედ გირჩევთ, რომ შექმნან თავდაპირველი მომხმარებელი და აქვს მომხმარებლის სრულყოფილად შესამოწმებლად, რომ მათ შეუძლიათ ყველაფერი გააკეთონ იმისათვის, რომ მათ სჭირდებათ S3- ში. თქვენი მომხმარებლის ერთ-ერთი შესამოწმების შემდეგ, შეგიძლიათ გააგრძელოთ ყველა თქვენი S3 მომხმარებლის ჩამოყალიბება.

რესურსები

აქ არის რამოდენიმე რესურსი, რათა უკეთ გაგაცნოთ პირადობის და წვდომის მენეჯმენტის (IAM) გაგება.

იწყება IAM- თან
IAM სარდლობის ხაზი ინსტრუმენტარიუმის
Amazon AWS კონსოლი
AWS პოლიტიკის გენერატორი
გამოყენება AWS იდენტობა და წვდომის მართვა

IAM გამოშვების შენიშვნები
IAM დისკუსია ფორუმები
IAM ხშირად დასმული კითხვები