AWS Identity agus Access Management

Cuid 1 de 3

In 2011, d'fhógair Amazon go raibh tacaíocht AWS Identity & Access Management (IAM) ar fáil do CloudFront. Seoladh IAM in 2010 agus bhí tacaíocht S3 san áireamh. Cuireann AWS Identity & Access Access (IAM) ar chumas tú go bhfuil úsáideoirí éagsúla i gcuntas AWS. Má tá tú ag úsáid Seirbhísí Gréasáin Amazon (AWS), tá a fhios agat go bhfuil baint ag an t-aon bhealach chun ábhar a bhainistiú in AWS a thabhairt d'ainm úsáideora agus do phasfhocal nó eochracha rochtana.

Is cúis imní slándála é seo don chuid is mó againn. Cuireann IAM deireadh leis an ngá le pasfhocail agus eochracha rochtana a roinnt.

Is é an t-athrú atá ag athrú ar ár bpríomhphoist AWS is mó ná a ghiniúint eochracha nua ach réiteach teachtaire nuair a fhágfadh ball foirne ár bhfoireann. Bhí tús maith ag AWS Identity & Access Access (IAM) a thugann cuntais úsáideora aonair le heochracha aonair. Mar sin féin, táimid ag úsáideoir S3 / CloudFront agus mar sin táimid ag breathnú ar CloudFront le cur leis an IAM a tharla deiridh.

Fuair ​​mé go raibh an doiciméadú ar an tseirbhís seo beagán scaipthe. Tá roinnt táirgí tríú páirtí ann a thairgeann réimse tacaíochta do Bhainistiú Féiniúlacht agus Rochtana (IAM). Ach is gnách go bhforbródh forbróirí agus d'iarr mé réiteach saor in aisce chun IAM a bhainistiú lenár seirbhís Amazon S3.

Téann an t-alt seo trí phróiseas an Chomhéadain Líne Ordú a bhunú a thacaíonn le IAM agus grúpa / úsáideoir a bhunú le rochtain S3. Ní mór duit an t-eolas cuntais Amazon AWS S3 a bheith agat sula dtosaíonn tú ag Aithint agus Bainistíocht Rochtana (IAM) a chumrú.

Déanfaidh mo earra, Ag baint úsáide as an tSeirbhís Stórála Simplí Amazon (S3), tú tríd an bpróiseas chun cuntas AWS S3 a chur ar bun.

Seo iad na céimeanna a bhaineann le húsáid a bhunú agus a chur i bhfeidhm i IAM. Tá sé seo scríofa le haghaidh Windows ach is féidir leat tweak a úsáid i Linux, UNIX agus / nó Mac OSX.

1. Comhéadan Líne Ordú (CLI) a shuiteáil agus a chumrú

1. Cruthaigh Grúpa
2. Tabhair Rochtain an Ghrúpa ar Bhucket S3 agus CloudFront
3. Cruthaigh Úsáideoir agus Cuir Leis an nGrúpa
4. Cruthaigh Próifíl Logáil isteach agus Eochracha Cruthaigh
5. Rochtain Tástála

Comhéadan Líne Ordú (CLI) a shuiteáil agus a chumrú

Is clár Java é Toolkit Líne Ordú IAM atá ar fáil in Uirlisí Forbróirí AWS Amazon. Ceadaíonn an uirlis duit orduithe API IAM a fhorghníomhú ó áis bhlaosc (DOS do Windows).

• Ní mór duit a bheith ag rith Java 1.6 nó níos airde. Is féidir leat an leagan is déanaí a íoslódáil ó Java.com. Chun a fheiceáil a bhfuil an leagan atá suiteáilte ar do chóras Windows, oscail an Pras Ordúcháin agus cineál isteach java -version. Glacann sé seo go bhfuil java.exe i do PATH.
• Íoslódáil an uirlis uirlisí CLI IAM agus unzip áit ar bith ar do thiomáint áitiúil.
• Tá 2 chomhaid ann i bhfréamh an uirlisí CLI a theastaíonn uait a thabhairt cothrom le dáta.
  • aws-credential.template: Tá do dhintiúir AWS sa chomhad seo. Cuir do AWSAccessKeyId agus do AWSSecretKey le do thoil, an comhad a shábháil agus a dhúnadh.
  • client-config.template : Ní mór duit ach an comhad seo a thabhairt cothrom le dáta más gá duit freastalaí seachfhreastalaí. Bain na comharthaí # agus nuashonraigh ClientProxyHost, ClientProxyPort, ClientProxyUsername agus ClientProxyPassword. Sábháil agus dún an comhad.
• Is éard atá sa chéad chéim eile ná Athróga Comhshaoil ​​a chur leis. Téigh go dtí an Painéal Rialaithe | Airíonna Córais | Socruithe an chórais ard | Athróga Comhshaoil. Cuir na hathróga seo a leanas leis:
  • AWS_IAM_HOME : Socraigh an t-athróg seo chuig an eolaire nuair a chuir tú an uirlis uirlisí CLI amach. Má tá Windows á reáchtáil agat agus gan é a dhíshuiteáil ar fhréamh do thiomáint C, is é C: \ IAMCli-1.2.0 an t-athróg.
  • JAVA_HOME : Socraigh an athróg seo chuig an eolaire ina bhfuil Java suiteáilte. Ba é seo an suíomh comhad java.exe. I ngnáthshuiteáil Windows 7 Java, bheadh ​​sé seo cosúil le C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Socraigh an t-athróg seo ar ainm an chonair agus an chomhaid den aws-credential.template go nuashonraigh tú thuas. Má tá Windows á reáchtáil agat agus gan é a dhíshuiteáil ag an fhréamh do thiomáint C, is é C: \ IAMCli-1.2.0 \ aws-credential.template an t-athróg.
  • CLIENT_CONFIG_FILE : Ní mór duit ach an t-athróg timpeallachta seo a chur leis más gá duit freastalaí seachfhreastalaí. Má tá Windows á reáchtáil agat agus gan é a dhíshuiteáil ar fhréamh do thiomáint C, is é C: \ IAMCli-1.2.0 \ client-config.template an t-athróg. Ná cuir an athróg seo leis ach amháin má theastaíonn uait é.

• Déan tástáil ar an suiteáil ag dul chuig an Pras Ordú agus ag dul isteach ar úsáideoirliosta. Chomh fada is nach bhfaigheann tú earráid, ba cheart duit a bheith go maith le dul.

Is féidir gach ceann de na horduithe IAM a reáchtáil ón Pras Ordúcháin. Tosaíonn na horduithe uile le "iam-".

Cruthaigh Grúpa

Tá uasghrádú ar 100 grúpa ar féidir iad a chruthú le haghaidh gach cuntas AWS. Cé gur féidir leat ceadanna a leagan síos i IAM ag leibhéal an úsáideora, is é an úsáid is fearr as grúpaí a úsáid. Seo an próiseas chun grúpa a chruthú in IAM.

• Is é an comhréir le grúpa a chruthú iam-groupcreate -g GROUPNAME [-p PATH] [-v] i gcás ina bhfuil roghanna -p agus -v. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.

• Má theastaigh uait grúpa a chruthú ar a dtugtar "awesomeusers", ba mhaith leat dul isteach, ag grúpa-ghrúpaí-uamhnachóirí ag an Pras Ordúcháin.
• Is féidir leat a sheiceáil gur cruthaíodh an grúpa i gceart trí iam-grouplistbypath a chur isteach ag an Pras Ordúcháin. Mura raibh an grúpa seo cruthaithe agat, bheadh ​​an t-aschur rud éigin cosúil le "arn: aws: iam :: 123456789012: grúpa / awesomeusers", áit a bhfuil an uimhir do chuntas AWS.

Tabhair Rochtain an Ghrúpa ar Bhucket S3 agus CloudFront

Rialaíonn na beartais cad is féidir le do ghrúpa a dhéanamh i S3 nó CloudFront. De réir réamhshocraithe, ní bheadh ​​rochtain ag do ghrúpa ar aon rud in AWS. Chinn mé go raibh an doiciméadú ar pholasaithe ceart go leor ach nuair a chruthaigh sé dornán polasaithe, rinne mé beagán trialach agus earráid chun rudaí a fháil a bhí ag obair ar an gcaoi a raibh mé ag iarraidh iad a bheith ag obair.

Tá cúpla rogha agat le haghaidh polasaithe a chruthú.

Rogha amháin is féidir leat iad a chur isteach go díreach isteach sa Pras Ordúcháin. Ós rud é go bhféadfadh tú beartas a chruthú agus é a phlé, bhí sé níos éasca liom an polasaí a chur isteach i gcomhad téacs agus ansin an comhad téacs a uaslódáil mar pharaiméadar leis an gceannas iam-groupuploadpolicy. Seo an próiseas ag baint úsáide as comhad téacs agus uaslódáil chuig IAM.

• Bain úsáid as rud éigin mar Notepad agus cuir isteach an téacs seo a leanas agus sábháil an comhad:
  
  {
  "Ráiteas": [{
  "Éifeacht": "Ceadaigh",
  "Gníomh": "s3: *",
  "Acmhainn": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Éifeacht": "Ceadaigh",
  "Gníomh": "s3: ListAllMyBuckets",
  "Acmhainn": "arn: aws: s3 ::: *"
  },
  {
  "Éifeacht": "Ceadaigh",
  "Gníomh": ["cloudfront: *"],
  "Acmhainn": "*"
  }
  ]
  }
  
• Tá 3 chuid sa pholasaí seo. Úsáidtear an Éifeacht chun cuid de rochtain a cheadú nó a dhiúltú. Is é an Gníomh na rudaí sonracha is féidir leis an ngrúpa a dhéanamh. Úsáidfear an Acmhainn chun rochtain a thabhairt ar bhúicéid aonair.

• Is féidir leat na Gníomhartha a theorannú ina n-aonar. Sa sampla seo, "Gníomhaíocht": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], bheadh ​​an grúpa in ann ábhar buicéad a liostáil agus rudaí a íoslódáil.
• An chéad chuid "Ceadaíonn" an grúpa gach gníomhaíocht S3 a dhéanamh don bhuicéad "BUCKETNAME".
• Sa dara cuid "Ceadaíonn" an grúpa liosta a chur ar na buicéid uile i S3. Ní mór duit é seo a dhéanamh ionas gur féidir leat liosta na mbúcéid a fheiceáil má úsáideann tú rud éigin cosúil leis an Consól AWS.

• Tugann an tríú cuid rochtain iomlán don ghrúpa ar CloudFront.

Tá go leor roghanna ann nuair a thagann sé le polasaithe IAM. Tá uirlis fíorthábhachtach ag Amazon ar fáil ar a dtugtar an Gineadóir Polasaí AWS. Soláthraíonn an uirlis seo GUI áit ar féidir leat do chuid polasaithe a chruthú agus an cód iarbhír a theastaíonn uait chun an polasaí a chur i bhfeidhm. Is féidir leat freisin an rannán Teanga um Beartais Rochtana ar dhoiciméadú ar líne Aitheantais AWS agus Bainistíocht Rochtana a Úsáid.

Cruthaigh Úsáideoir agus Cuir Leis an nGrúpa

Baineann an próiseas chun úsáideoir nua a chruthú agus cur le grúpa chun rochtain a chur ar fáil dóibh cúpla céime.

• Is é an comhréir le haghaidh úsáideora a chruthú ná aon uair eile -u USERNAME [-p PATH] [-g GRÚPAÍ ...] [-k] [-v] áit a bhfuil na roghanna -p, -g, -k agus -v. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
• Má theastaigh uait "bob" úsáideora a chruthú, ba mhaith leat dul isteach, uaire-usercreate -u bob -g awesomeusers ag an Pras Ordú.
• Is féidir leat a sheiceáil gur cruthaíodh an t-úsáideoir i gceart trí iam-grouplistusers -g awesomeusers ag Pras an Ordaithe. Mura raibh an t-úsáideoir seo cruthaithe agat, bheadh ​​an t-aschur rud éigin cosúil le "arn: aws: iam :: 123456789012: user / bob", áit a bhfuil an uimhir do uimhir chuntas AWS.

Cruthaigh Próifíl Logála agus Eochracha Cruthaigh

Ag an bpointe seo, chruthaigh tú úsáideoir ach ní mór duit bealach a thabhairt dóibh chun rudaí a chur le chéile agus a bhaint as S3 i ndáiríre.

Tá 2 rogha ar fáil ionas go mbeidh rochtain ag do úsáideoirí ar S3 ag baint úsáide as IAM. Is féidir leat Próifíl Logála a chruthú agus pasfhocal a chur ar fáil d'úsáideoirí. Is féidir leo a gcuid dintiúir a úsáid chun logáil isteach sa Consól Amazon AWS. Is é an rogha eile ná eochair rochtana agus eochair rúnda a thabhairt do d'úsáideoirí. Is féidir leo na heochracha seo a úsáid in uirlisí 3ú páirtí cosúil le S3 Fox, CloudBerry S3 Explorer nó Brabhsálaí S3.

Cruthaigh Próifíl Logála

Soláthraíonn Próifíl Logála a chruthú d'úsáideoirí S3 ainm úsáideora agus focal faire dóibh agus is féidir leo iad a úsáid chun logáil isteach sa Consól AWS Amazon.

• Is é an comhréir le próifíl logáil isteach a chruthú iam-useraddloginprofile -u USERNAME -p PASSWORD. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
• Má theastaigh uait próifíl logála a chruthú don "bob" úsáideora, ba mhaith leat dul isteach, PASSWORD ag an bPríomh-Phasfhocal ag an bPríomh-Phasfhocal.

• Is féidir leat a sheiceáil gur cruthaíodh an próifíl logáil isteach i gceart trí iontráil úsáideoir-úsáideoir -u bob ag an Pras Ordúcháin. Má chruthaigh tú próifíl logáil isteach do gach duine, bheadh ​​an t-aschur mar rud éigin cosúil le "Próifíl Logáil isteach don úsáideoir bob".

Eochracha Cruthaigh

Ceadóidh Eochair Rochtana AWS Rúnda agus Aitheantas Eochairfhocail AWS comhfhreagrach do úsáideoirí bogearraí 3ú páirtí a úsáid ar nós na cinn a luaitear roimhe seo. Coinnigh i gcuimhne gur féidir leat na heochracha seo a fháil ach amháin mar bheart slándála le linn an phróisis chun próifíl úsáideora a chur leis. Déan cinnte go gcóipeálann tú agus a ghreamóidh tú an t-aschur ón Pras Ordú agus a shábháil i gcomhad téacs. Is féidir leat an comhad a sheoladh chuig d'úsáideoir.

• Is é an comhréir le heochracha a chur le húsáideoir iam-useraddkey [-u USERNAME]. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
• Má theastaigh uait eochracha a chruthú don úsáideoir "bob", cuirfá isteach iam-useraddkey -u bob ag an Pras Ordú.
• Cuirfidh an t-ordú aschur na heochracha a bheadh ​​mar rud éigin mar seo:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Is é an chéad líne an Aitheantas Eochair Rochtana agus is é an dara líne an Eochair Rochtana Rúnda. Ní mór duit araon le haghaidh bogearraí 3ú páirtí.

Rochtain Tástála

Anois gur chruthaigh tú grúpaí / úsáideoirí IAM agus má thug tú rochtain ar na grúpaí ag baint úsáide as polasaithe, ní mór duit an rochtain a thástáil.

Rochtain Console

Is féidir le d'úsáideoirí a n-ainm úsáideora agus a bhfocal faire a úsáid chun logáil isteach sa Consól AWS. Mar sin féin, ní hé seo an leathanach logáil isteach consól rialta a úsáidtear don phríomhchuntas AWS.

Tá URL speisialta ann ar féidir leat é a úsáid a chuirfidh foirm logála isteach ar fáil do do chuntas Amazon AWS amháin. Seo an URL chun logáil isteach go S3 do d'úsáideoirí IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

Is é an uimhir AWS-ACCOUNT ná do uimhir chuntas AWS rialta. Is féidir leat é seo a fháil trí logáil isteach i bhfoirm Inmheánach na Seirbhíse Gréasáin Amazon. Logáil isteach agus cliceáil ar Chuntais | Gníomhaíocht Cuntas. Tá do uimhir chuntas sa chúinne uachtarach ar dheis. Bí cinnte go mbainfidh tú na taiscí as oifig. Breathnaíonn an URL rud éigin cosúil le https://123456789012.signin.aws.amazon.com/console/s3.

Ag baint úsáide as Eochracha Rochtana

Is féidir leat aon cheann de na huirlisí 3ú páirtí atá luaite san Airteagal seo a íoslódáil agus a shuiteáil. Cuir isteach d'Aitheantas Eochair Rochtana agus an Eochair Rochtana Rúnda i ngach doiciméadú uirlisí 3ú páirtí.

Molaim go láidir go dtuigeann tú úsáideoir tosaigh agus go bhfuil an t-úsáideoir sin go hiomlán ag tástáil gur féidir leo gach rud a theastaíonn uathu a dhéanamh i S3. Tar éis duit d'úsáideoirí a fhíorú, is féidir leat dul ar aghaidh le do chuid úsáideoirí S3 go léir a chur ar bun.

Acmhainní

Seo cúpla acmhainn anseo chun tuiscint níos fearr a thabhairt duit ar Bhainistíocht Féiniúlachta agus Rochtana (IAM).

• Ag tosú le IAM
• Toolkit Line Command Command
• Amazon AWS Console
• Gineadóir Polasaí AWS
• Ag baint úsáide as AWS Identity agus Access Management

• Nótaí Eisiúna IAM
• Fóraim Plé IAM
• Ceisteanna Coitianta IAM