AWS identifikatori va foydalanishni boshqarish

3-qism

2011-yilda Amazon CloudFront uchun AWS Identity & Access Management (IAM) ko'magini e'lon qildi. IAM 2010 yilda ishga tushirildi va S3 ko'magini o'z ichiga oldi. AWS Identity & Access Management (IAM) sizning AWS hisobingizdagi bir nechta foydalanuvchilarga ega bo'lishingizni ta'minlaydi. Agar siz Amazon Web Services (AWS) dan foydalangan bo'lsangiz, AWS tarkibidagi kontentni boshqarishning yagona usuli foydalanuvchi nomingiz va parolingizni yoki kalitlarga kirishni o'z ichiga olganligini bilasiz.

Bu ko'pchiligimiz uchun haqiqiy xavfsizlik muammosi. IAM parollarni va kirish kalitlarini almashish zarurligini bartaraf etadi.

Bizning asosiy AWS parolini o'zgartirish yoki yangi kalitlarni ishlab chiqarish xodimlarimiz jamoamizni tark etsa, shunchaki tarqoq echimdir. AWS Identity & Access Management (IAM) shaxsiy kalitlarga ega bo'lgan shaxsiy hisobga ruxsat beruvchi yaxshi boshlangan. Biroq, biz S3 / CloudFront foydalanuvchisimiz, shuning uchun CloudFront ni IAMga qo'shilishni kuzatdik.

Ushbu xizmat bo'yicha hujjatlarni bir oz tarqoq bo'lishini topdim. Identity & Access Management (IAM) uchun bir qator qo'llab-quvvatlovchi bir nechta uchinchi tomon mahsuloti mavjud. Ammo ishlab chiquvchilar odatdagidek, men Amazon S3 xizmati bilan IAMni boshqarish uchun bepul echim izlashga harakat qildim.

Ushbu maqola IAM-ni qo'llab-quvvatlaydigan va S3-ga ega bo'lgan guruh / foydalanuvchini tashkil etadigan Buyruqning Tarmoq interfeysini sozlash jarayonida yuradi. Identity & Access Management (IAM) ni sozlashni boshlashdan avval siz Amazon AWS S3 hisob qaydnomasi o'rnatishga ega bo'lishingiz kerak.

Mening maqolam, Amazon oddiy saqlash xizmatidan foydalanish (S3), AWS S3 hisobini o'rnatish jarayoni orqali sizni kezadi.

IAMda foydalanuvchini tashkil qilish va amalga oshirishda qo'llaniladigan qadamlar. Bu Windows uchun yozilgan, ammo siz Linux, UNIX va / yoki Mac OSX-da foydalanish uchun tweak qilishingiz mumkin.

1. Buyruqlar interfeysi interfeysi (CLI) ni o'rnatish va sozlash

1. Guruh yaratish
2. S3 paqirga va CloudFront guruhiga guruhga kirish huquqini bering
3. Foydalanuvchini yaratish va guruhga qo'shish
4. Profilni yaratish va kalitlarni yaratish
5. Viktorina kirish

Buyruqlar interfeysi interfeysi (CLI) ni o'rnatish va sozlash

IAM buyruq qatori vositasi Amazonning AWS Ishlab chiquvchi asboblarida mavjud Java dasturi. Ushbu vosita IAM API buyruqlarini qobiq dasturidan (Windows uchun DOS) bajarishga imkon beradi.

• Siz Java 1.6 yoki undan yuqori ishlaydigan bo'lishingiz kerak. Java.com-dan eng so'nggi versiyasini yuklab olishingiz mumkin. Windows tizimingizda qaysi versiyaning o'rnatilganligini ko'rish uchun Buyruqning iltimosini oching va java-varianta kiriting. Ushbu java.exe sizning PATH ichida ekanligini ta'kidlaydi.
• IAM CLI asboblar to'plamini yuklab oling va mahalliy drayveringizdan bir joyga olib tashlang.
• Siz yangilab turishingiz kerak bo'lgan CLI asboblar to'plamining ildizida 2 ta fayl mavjud.
  • aws-credential.template: Ushbu fayl sizning AWS hisob ma'lumotlarini saqlaydi. AWSAccessKeyId va AWSSecretKey-ni qo'shing, faylni saqlang va yoping.
  • client-config.template : Siz faqat proksi-serverga kerak bo'lsa, ushbu faylni yangilashingiz kerak. # Belgilari olib tashlang va ClientProxyHost, ClientProxyPort, ClientProxyUsername va ClientProxyPassword-ni yangilang. Faylni saqlab qo'ying va yoping.
• Keyingi qadam muhit o'zgaruvchilari qo'shishni o'z ichiga oladi. Boshqaruv paneliga boring Tizim xususiyatlari Murakkab tizim sozlamalari Atrof-o'zgaruvchilari. Quyidagi o'zgaruvchilar qo'shing:
  • AWS_IAM_HOME : Ushbu o'zgaruvchini CLI asboblar to'plamini ochgan katalogga o'rnating. Agar siz Windows-dan foydalanayotgan bo'lsangiz va uni C drayveringizning ildiziga ochsangiz, o'zgaruvchi C: \ IAMCli-1.2.0 bo'ladi.
  • JAVA_HOME : Ushbu parametrni Java-ni o'rnatgan katalogga qo'ying. Bu java.exe faylning joylashuvi bo'lishi mumkin. Oddiy Windows 7 Java-da, bu C: \ Program Files (x86) \ Java \ jre6 kabi bir narsa bo'ladi.
  • AWS_CREDENTIAL_FILE : Yuqorida yangilangan aws-credential.template ning yo'l va fayl nomiga ushbu o'zgaruvchini o'rnating. Agar siz Windows-dan foydalanayotgan bo'lsangiz va uni C drayvingizning ildiziga ochsangiz, o'zgaruvchilar C: \ IAMCli-1.2.0 \ aws-credential.template bo'ladi.
  • CLIENT_CONFIG_FILE : Agar siz proksi-serverni talab qilsangiz, bu muhit o'zgaruvchisini kiritishingiz kerak. Agar siz Windows-ni ishlayotgan bo'lsangiz va uni C drayveringizning ildizidan ochsangiz, o'zgaruvchilar C: \ IAMCli-1.2.0 \ client-config.template bo'ladi. Bunga ehtiyoj bo'lmasa, bu o'zgaruvchini qo'shmang.

• Buyruqning xohishiga o'ting va iam-userlistbypath-ga kirib o'rnatishni tekshiring. Agar xato olmasangiz, siz borishingiz kerak.

Barcha IAM buyruqlari buyruq xohishlarini ishlatish mumkin. Barcha buyruqlar "iam-" bilan boshlanadi.

Guruh yaratish

Har bir AWS hisobiga yaratilishi mumkin bo'lgan maksimal 100 guruh mavjud. IAMga ruxsatlarni foydalanuvchi darajasida belgilashingiz mumkin bo'lsa-da, guruhlarni ishlatish eng yaxshi amaliyotdir. IAMda guruh yaratish jarayoni.

• Guruh yaratish uchun sintaksisi iam-groupcreate -g GROUPNAME [-p PATH] [-v], bu erda -p va -v variantlari. Buyruqlar interfeysi bo'yicha to'liq hujjat AWS docs-da mavjud.

• Agar siz "awesomeusers" deb nomlangan guruhni yaratmoqchi bo'lsangiz, buyruqlar bo'yicha so'rovda ajoyib guruhga kirishingiz kerak edi.
• Buyruqlar guruhida iam-grouplistbypath-ga kirib, guruh to'g'ri tashkil etilganligini tekshirishingiz mumkin. Agar siz ushbu guruhni faqatgina yaratgan bo'lsangiz, chiqdi "AW: aws: iam: 123456789012: group / awesomeusers" kabi bir narsa bo'ladi, bu erda raqam AWS hisob raqamingiz.

S3 paqirga va CloudFront guruhiga guruhga kirish huquqini bering

Siyosatlar guruhingiz S3 yoki CloudFront-da nima qila olishini nazorat qiladi. Odatiy bo'lib, sizning guruhingiz AWS-da hech qanday ma'lumotga ega bo'lmaydi. Siyosatlar bo'yicha hujjatlarni yaxshi deb topdim, biroq bir nechta siyosat yaratishga harakat qildim, ishlarni bajarishni istagan uslubni ishga solish uchun bir oz sinov va xato qildim.

Siyosat yaratish uchun bir nechta variant mavjud.

Bitta variantni siz ularni to'g'ridan-to'g'ri Buyruqning xohishiga kiritishingiz mumkin. Agar siz siyosat yaratib, uni tweaking qilishingiz mumkin bo'lsa, men uchun matnni matnli faylga kiritish va matn faylini iam-groupuploadpolicy buyrug'i bilan parametr sifatida yuklash osonroq edi. Mana, matn faylini ishlatish va IAMga yuklash jarayoni.

• Eslatma kitobi kabi narsalarni kiriting va quyidagi matnni kiriting va faylni saqlang:
  
  {
  "Sharh": [{
  "Effekt": "ruxsat berish",
  "Amaliy": "s3: *",
  "Manba":[
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Effekt": "ruxsat berish",
  "Amaliy": "s3: ListAllMyBuckets",
  "Resurs": "arn: aws: s3 ::: *"
  },
  {
  "Effekt": "ruxsat berish",
  "Amaliy": ["cloudfront: *"],
  "Manba":"*"
  }
  ]
  }
  
• Ushbu siyosatning uchta qismi mavjud. Ta'sir ayrim turdagi ruxsat berish yoki rad etish uchun ishlatiladi. Harakat - bu guruhning qiladigan o'ziga xos narsalaridir. Resurs alohida chelaklarga kirish uchun ishlatiladi.

• Harakatlaringizni alohida-alohida cheklashingiz mumkin. Ushbu misolda "Amallar": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"] guruhida chelak tarkibi va yuklab olish moslamalari mavjud.
• Birinchi qism "Guruhga" "BUCKETNAME" chelaki uchun barcha S3 harakatlarini bajarishga imkon beradi.
• Ikkinchi qism "Guruhga" S3-dagi barcha chelaklarni ro'yxatlash imkonini beradi. Agar siz AWS konsoliga o'xshagan biror narsa ishlatsangiz, sizga chelaklar ro'yxatini ko'rishingiz mumkin.

• Uchinchi bo'lim guruhga CloudFront-ga to'liq kirish imkonini beradi.

IAM siyosatiga kelganda juda ko'p variantlar mavjud. Amazon AWS Policy Generator deb ataladigan juda ajoyib vositaga ega. Ushbu vosita sizning siyosatlaringizni yaratish va siyosatni amalga oshirish uchun zarur bo'lgan haqiqiy kodni yaratishingiz mumkin bo'lgan GUI beradi. Bundan tashqari, AWS Identity va Access Management onlayn hujjatlaridan foydalanishning Access Policy Language bo'limiga ham kirishingiz mumkin.

Foydalanuvchini yaratish va guruhga qo'shish

Yangi foydalanuvchini yaratish jarayoni va guruhga kirishni ta'minlash uchun ularni qo'shish jarayoni bir nechta qadamlarni o'z ichiga oladi.

• Foydalanuvchi yaratish uchun sintaksisi: iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] bu erda -p, -g, -k va -v - variantlar. Buyruqlar interfeysi bo'yicha to'liq hujjat AWS docs-da mavjud.
• Agar siz "bob" foydalanuvchi yaratmoqchi bo'lsangiz, buyruqni xohish-irodasiga kirib, "i-usercreate -u bob -g" foydalanuvchilari kiradi.
• Buyruqning so'rovida iam-grouplistusers -g ajoyib foydalanuvchilar kirib, foydalanuvchining to'g'ri yaratilganligini tekshirishingiz mumkin. Agar siz faqat ushbu foydalanuvchini yaratgan bo'lsangiz, chiqdi "arn: aws: iam :: 123456789012: user / bob" kabi bir narsa bo'ladi, bu erda raqam AWS hisob raqamingiz.

Tizimga kirish profilini yaratish va kalitlarni yaratish

Shu nuqtada, siz bir foydalanuvchi yaratdingiz, lekin ularni S3-dan ob'ektlarni aslida qo'shish va olib tashlashning yo'llari bilan ta'minlash kerak.

Foydalanuvchilarga IAM-dan foydalanib S3-ga kirishni ta'minlaydigan ikkita variant mavjud. Sizning login profilingizni yaratishingiz va foydalanuvchilaringizga parol bilan foydalanishingiz mumkin. Ular Amazon AWS Console-ga kirish uchun o'z hisob raqamlaridan foydalanishlari mumkin. Boshqa variant foydalanuvchilaringizga kirish kalitini va maxfiy kalitni berishdir. Ushbu kalitlarni S3 Fox, CloudBerry S3 Explorer yoki S3 brauzeri kabi uchinchi tomon vositalarida qo'llashlari mumkin.

Profilni yaratish

S3 foydalanuvchilari uchun kirish profilini yaratish, ularga Amazon AWS konsoliga kirish uchun foydalanishlari mumkin bo'lgan foydalanuvchi nomi va parolini beradi.

• Kirish profilini yaratish sintaksisi - iAM-useraddloginprofile -u USERNAME -p PASSWORD. Buyruqlar interfeysi bo'yicha to'liq hujjat AWS docs-da mavjud.
• Agar foydalanuvchi "bob" uchun kirish profilini yaratmoqchi bo'lsangiz, buyruqni so'rashda, iam-useraddloginprofile -u bob -p PASSWORD kirasiz.

• Buyruqning so'rovida iam-usergetloginprofile -u bob kirib, kirish profilining to'g'ri yaratilganligini tekshirishingiz mumkin. Agar bob uchun kirish profilini yaratgan bo'lsangiz, chiqdi "foydalanuvchi bob uchun login profil mavjud" kabi bo'ladi.

Tugmalar yaratish

AWS maxfiy kirish kalitini va tegishli AWS kirish kalit identifikatorini yaratish foydalanuvchilarga ilgari eslatilganlar kabi 3 tomon dasturiy ta'minotidan foydalanish imkonini beradi. Xavfsizlik chorasi sifatida faqat foydalanuvchi profilini qo'shish jarayonida ushbu kalitlarni olishingiz mumkinligini yodda tuting. Chiqarishni buyruq xohishmasidan nusxa ko'chirish va joylashtirishga va matnli faylga saqlashga ishonch hosil qiling. Siz faylni foydalanuvchiingizga yuborishingiz mumkin.

• Foydalanuvchi uchun kalitlarni qo'shish uchun sintaksisi: iam-useraddkey [-u USERNAME]. Buyruqlar interfeysi bo'yicha to'liq hujjat AWS docs-da mavjud.
• Agar siz "bob" foydalanuvchi uchun kalitlarni yaratmoqchi bo'lsangiz, Buyruqning so'rovida iam-useraddkey -u bob-ga kirasiz.
• Buyruq shu kabi ko'rinadigan kalitlarni chiqaradi:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Birinchi satr Access Key ID va ikkinchisi esa maxfiy kirish kalitidir. Uchinchi tomon dasturlari uchun ham kerak.

Viktorina kirish

Endi siz IAM guruhlari / foydalanuvchilarini yaratgansiz va guruhlardan foydalanishni siyosat yordamida taqdim qilsangiz, kirishni sinab ko'rishingiz kerak.

Konsolga kirish

Foydalanuvchilar AWS konsoliga kirish uchun foydalanuvchi nomlari va parollarini ishlatishlari mumkin. Biroq, bu asosiy AWS hisob uchun ishlatiladigan muntazam konsol kirish sahifasi emas.

Amazon AWS hisobingiz uchun kirish formasini taqdim etadigan maxsus URL mavjud. IAM foydalanuvchilari uchun S3 ga kirish uchun URL manzil.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER muntazam AWS hisob raqamingizdir. Buni Amazon Web Service sign In shaklida kirish orqali olishingiz mumkin. Kirish va Hisob-ni bosing Hisob faoliyati. Hisob raqamingiz yuqori o'ng burchakda. Yo'g'onlarni olib tashlang. URL https://123456789012.signin.aws.amazon.com/console/s3 kabi bir narsaga o'xshaydi.

Kirish klavishlardan foydalanish

Siz ushbu maqolada eslatib o'tilgan uchinchi tomon vositalaridan birini yuklab olishingiz va o'rnatishingiz mumkin. 3-tomonning texnik vositalaridan foydalangan holda kirish kalit identifikatorini va maxfiy kirish kalitini kiriting.

Men dastlabki foydalanuvchini yaratishni va u foydalanuvchini S3da nima qilish kerak bo'lgan hamma narsani amalga oshirishni to'liq sinashni tavsiya etaman. Foydalanuvchilaringizdan birini tasdiqlaganingizdan so'ng, barcha S3 foydalanuvchilaringizni sozlashni davom ettirishingiz mumkin.

Resurslar

Identity & Access Management (IAM) ni yaxshiroq tushunish uchun bir nechta manbalar.

• IAM bilan ishlashga kirishish
• IAM buyruq qatorni vositasi
• Amazon AWS konsoli
• AWS Siyosat Jeneratör
• AWS identifikatori va foydalanishni boshqarish

• IAM Release Notes
• IAM Munozara uchun avtorlashing
• IAM savollar