Cuid 1 de 3
In 2011, d'fhógair Amazon go raibh tacaíocht AWS Identity & Access Management (IAM) ar fáil do CloudFront. Seoladh IAM in 2010 agus bhí tacaíocht S3 san áireamh. Cuireann AWS Identity & Access Access (IAM) ar chumas tú go bhfuil úsáideoirí éagsúla i gcuntas AWS. Má tá tú ag úsáid Seirbhísí Gréasáin Amazon (AWS), tá a fhios agat go bhfuil baint ag an t-aon bhealach chun ábhar a bhainistiú in AWS a thabhairt d'ainm úsáideora agus do phasfhocal nó eochracha rochtana.
Is cúis imní slándála é seo don chuid is mó againn. Cuireann IAM deireadh leis an ngá le pasfhocail agus eochracha rochtana a roinnt.
Is é an t-athrú atá ag athrú ar ár bpríomhphoist AWS is mó ná a ghiniúint eochracha nua ach réiteach teachtaire nuair a fhágfadh ball foirne ár bhfoireann. Bhí tús maith ag AWS Identity & Access Access (IAM) a thugann cuntais úsáideora aonair le heochracha aonair. Mar sin féin, táimid ag úsáideoir S3 / CloudFront agus mar sin táimid ag breathnú ar CloudFront le cur leis an IAM a tharla deiridh.
Fuair mé go raibh an doiciméadú ar an tseirbhís seo beagán scaipthe. Tá roinnt táirgí tríú páirtí ann a thairgeann réimse tacaíochta do Bhainistiú Féiniúlacht agus Rochtana (IAM). Ach is gnách go bhforbródh forbróirí agus d'iarr mé réiteach saor in aisce chun IAM a bhainistiú lenár seirbhís Amazon S3.
Téann an t-alt seo trí phróiseas an Chomhéadain Líne Ordú a bhunú a thacaíonn le IAM agus grúpa / úsáideoir a bhunú le rochtain S3. Ní mór duit an t-eolas cuntais Amazon AWS S3 a bheith agat sula dtosaíonn tú ag Aithint agus Bainistíocht Rochtana (IAM) a chumrú.
Déanfaidh mo earra, Ag baint úsáide as an tSeirbhís Stórála Simplí Amazon (S3), tú tríd an bpróiseas chun cuntas AWS S3 a chur ar bun.
Seo iad na céimeanna a bhaineann le húsáid a bhunú agus a chur i bhfeidhm i IAM. Tá sé seo scríofa le haghaidh Windows ach is féidir leat tweak a úsáid i Linux, UNIX agus / nó Mac OSX.
- Comhéadan Líne Ordú (CLI) a shuiteáil agus a chumrú
- Cruthaigh Grúpa
- Tabhair Rochtain an Ghrúpa ar Bhucket S3 agus CloudFront
- Cruthaigh Úsáideoir agus Cuir Leis an nGrúpa
- Cruthaigh Próifíl Logáil isteach agus Eochracha Cruthaigh
- Rochtain Tástála
Comhéadan Líne Ordú (CLI) a shuiteáil agus a chumrú
Is clár Java é Toolkit Líne Ordú IAM atá ar fáil in Uirlisí Forbróirí AWS Amazon. Ceadaíonn an uirlis duit orduithe API IAM a fhorghníomhú ó áis bhlaosc (DOS do Windows).
- Ní mór duit a bheith ag rith Java 1.6 nó níos airde. Is féidir leat an leagan is déanaí a íoslódáil ó Java.com. Chun a fheiceáil a bhfuil an leagan atá suiteáilte ar do chóras Windows, oscail an Pras Ordúcháin agus cineál isteach java -version. Glacann sé seo go bhfuil java.exe i do PATH.
- Íoslódáil an uirlis uirlisí CLI IAM agus unzip áit ar bith ar do thiomáint áitiúil.
- Tá 2 chomhaid ann i bhfréamh an uirlisí CLI a theastaíonn uait a thabhairt cothrom le dáta.
- aws-credential.template: Tá do dhintiúir AWS sa chomhad seo. Cuir do AWSAccessKeyId agus do AWSSecretKey le do thoil, an comhad a shábháil agus a dhúnadh.
- client-config.template : Ní mór duit ach an comhad seo a thabhairt cothrom le dáta más gá duit freastalaí seachfhreastalaí. Bain na comharthaí # agus nuashonraigh ClientProxyHost, ClientProxyPort, ClientProxyUsername agus ClientProxyPassword. Sábháil agus dún an comhad.
- Is éard atá sa chéad chéim eile ná Athróga Comhshaoil a chur leis. Téigh go dtí an Painéal Rialaithe | Airíonna Córais | Socruithe an chórais ard | Athróga Comhshaoil. Cuir na hathróga seo a leanas leis:
- AWS_IAM_HOME : Socraigh an t-athróg seo chuig an eolaire nuair a chuir tú an uirlis uirlisí CLI amach. Má tá Windows á reáchtáil agat agus gan é a dhíshuiteáil ar fhréamh do thiomáint C, is é C: \ IAMCli-1.2.0 an t-athróg.
- JAVA_HOME : Socraigh an athróg seo chuig an eolaire ina bhfuil Java suiteáilte. Ba é seo an suíomh comhad java.exe. I ngnáthshuiteáil Windows 7 Java, bheadh sé seo cosúil le C: \ Program Files (x86) \ Java \ jre6.
- AWS_CREDENTIAL_FILE : Socraigh an t-athróg seo ar ainm an chonair agus an chomhaid den aws-credential.template go nuashonraigh tú thuas. Má tá Windows á reáchtáil agat agus gan é a dhíshuiteáil ag an fhréamh do thiomáint C, is é C: \ IAMCli-1.2.0 \ aws-credential.template an t-athróg.
- CLIENT_CONFIG_FILE : Ní mór duit ach an t-athróg timpeallachta seo a chur leis más gá duit freastalaí seachfhreastalaí. Má tá Windows á reáchtáil agat agus gan é a dhíshuiteáil ar fhréamh do thiomáint C, is é C: \ IAMCli-1.2.0 \ client-config.template an t-athróg. Ná cuir an athróg seo leis ach amháin má theastaíonn uait é.
- Déan tástáil ar an suiteáil ag dul chuig an Pras Ordú agus ag dul isteach ar úsáideoirliosta. Chomh fada is nach bhfaigheann tú earráid, ba cheart duit a bheith go maith le dul.
Is féidir gach ceann de na horduithe IAM a reáchtáil ón Pras Ordúcháin. Tosaíonn na horduithe uile le "iam-".
Cruthaigh Grúpa
Tá uasghrádú ar 100 grúpa ar féidir iad a chruthú le haghaidh gach cuntas AWS. Cé gur féidir leat ceadanna a leagan síos i IAM ag leibhéal an úsáideora, is é an úsáid is fearr as grúpaí a úsáid. Seo an próiseas chun grúpa a chruthú in IAM.
- Is é an comhréir le grúpa a chruthú iam-groupcreate -g GROUPNAME [-p PATH] [-v] i gcás ina bhfuil roghanna -p agus -v. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
- Má theastaigh uait grúpa a chruthú ar a dtugtar "awesomeusers", ba mhaith leat dul isteach, ag grúpa-ghrúpaí-uamhnachóirí ag an Pras Ordúcháin.
- Is féidir leat a sheiceáil gur cruthaíodh an grúpa i gceart trí iam-grouplistbypath a chur isteach ag an Pras Ordúcháin. Mura raibh an grúpa seo cruthaithe agat, bheadh an t-aschur rud éigin cosúil le "arn: aws: iam :: 123456789012: grúpa / awesomeusers", áit a bhfuil an uimhir do chuntas AWS.
Tabhair Rochtain an Ghrúpa ar Bhucket S3 agus CloudFront
Rialaíonn na beartais cad is féidir le do ghrúpa a dhéanamh i S3 nó CloudFront. De réir réamhshocraithe, ní bheadh rochtain ag do ghrúpa ar aon rud in AWS. Chinn mé go raibh an doiciméadú ar pholasaithe ceart go leor ach nuair a chruthaigh sé dornán polasaithe, rinne mé beagán trialach agus earráid chun rudaí a fháil a bhí ag obair ar an gcaoi a raibh mé ag iarraidh iad a bheith ag obair.
Tá cúpla rogha agat le haghaidh polasaithe a chruthú.
Rogha amháin is féidir leat iad a chur isteach go díreach isteach sa Pras Ordúcháin. Ós rud é go bhféadfadh tú beartas a chruthú agus é a phlé, bhí sé níos éasca liom an polasaí a chur isteach i gcomhad téacs agus ansin an comhad téacs a uaslódáil mar pharaiméadar leis an gceannas iam-groupuploadpolicy. Seo an próiseas ag baint úsáide as comhad téacs agus uaslódáil chuig IAM.
- Bain úsáid as rud éigin mar Notepad agus cuir isteach an téacs seo a leanas agus sábháil an comhad:
{
"Ráiteas": [{
"Éifeacht": "Ceadaigh",
"Gníomh": "s3: *",
"Acmhainn": [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
"Éifeacht": "Ceadaigh",
"Gníomh": "s3: ListAllMyBuckets",
"Acmhainn": "arn: aws: s3 ::: *"
},
{
"Éifeacht": "Ceadaigh",
"Gníomh": ["cloudfront: *"],
"Acmhainn": "*"
}
]
} - Tá 3 chuid sa pholasaí seo. Úsáidtear an Éifeacht chun cuid de rochtain a cheadú nó a dhiúltú. Is é an Gníomh na rudaí sonracha is féidir leis an ngrúpa a dhéanamh. Úsáidfear an Acmhainn chun rochtain a thabhairt ar bhúicéid aonair.
- Is féidir leat na Gníomhartha a theorannú ina n-aonar. Sa sampla seo, "Gníomhaíocht": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], bheadh an grúpa in ann ábhar buicéad a liostáil agus rudaí a íoslódáil.
- An chéad chuid "Ceadaíonn" an grúpa gach gníomhaíocht S3 a dhéanamh don bhuicéad "BUCKETNAME".
- Sa dara cuid "Ceadaíonn" an grúpa liosta a chur ar na buicéid uile i S3. Ní mór duit é seo a dhéanamh ionas gur féidir leat liosta na mbúcéid a fheiceáil má úsáideann tú rud éigin cosúil leis an Consól AWS.
- Tugann an tríú cuid rochtain iomlán don ghrúpa ar CloudFront.
Tá go leor roghanna ann nuair a thagann sé le polasaithe IAM. Tá uirlis fíorthábhachtach ag Amazon ar fáil ar a dtugtar an Gineadóir Polasaí AWS. Soláthraíonn an uirlis seo GUI áit ar féidir leat do chuid polasaithe a chruthú agus an cód iarbhír a theastaíonn uait chun an polasaí a chur i bhfeidhm. Is féidir leat freisin an rannán Teanga um Beartais Rochtana ar dhoiciméadú ar líne Aitheantais AWS agus Bainistíocht Rochtana a Úsáid.
Cruthaigh Úsáideoir agus Cuir Leis an nGrúpa
Baineann an próiseas chun úsáideoir nua a chruthú agus cur le grúpa chun rochtain a chur ar fáil dóibh cúpla céime.
- Is é an comhréir le haghaidh úsáideora a chruthú ná aon uair eile -u USERNAME [-p PATH] [-g GRÚPAÍ ...] [-k] [-v] áit a bhfuil na roghanna -p, -g, -k agus -v. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
- Má theastaigh uait "bob" úsáideora a chruthú, ba mhaith leat dul isteach, uaire-usercreate -u bob -g awesomeusers ag an Pras Ordú.
- Is féidir leat a sheiceáil gur cruthaíodh an t-úsáideoir i gceart trí iam-grouplistusers -g awesomeusers ag Pras an Ordaithe. Mura raibh an t-úsáideoir seo cruthaithe agat, bheadh an t-aschur rud éigin cosúil le "arn: aws: iam :: 123456789012: user / bob", áit a bhfuil an uimhir do uimhir chuntas AWS.
Cruthaigh Próifíl Logála agus Eochracha Cruthaigh
Ag an bpointe seo, chruthaigh tú úsáideoir ach ní mór duit bealach a thabhairt dóibh chun rudaí a chur le chéile agus a bhaint as S3 i ndáiríre.
Tá 2 rogha ar fáil ionas go mbeidh rochtain ag do úsáideoirí ar S3 ag baint úsáide as IAM. Is féidir leat Próifíl Logála a chruthú agus pasfhocal a chur ar fáil d'úsáideoirí. Is féidir leo a gcuid dintiúir a úsáid chun logáil isteach sa Consól Amazon AWS. Is é an rogha eile ná eochair rochtana agus eochair rúnda a thabhairt do d'úsáideoirí. Is féidir leo na heochracha seo a úsáid in uirlisí 3ú páirtí cosúil le S3 Fox, CloudBerry S3 Explorer nó Brabhsálaí S3.
Cruthaigh Próifíl Logála
Soláthraíonn Próifíl Logála a chruthú d'úsáideoirí S3 ainm úsáideora agus focal faire dóibh agus is féidir leo iad a úsáid chun logáil isteach sa Consól AWS Amazon.
- Is é an comhréir le próifíl logáil isteach a chruthú iam-useraddloginprofile -u USERNAME -p PASSWORD. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
- Má theastaigh uait próifíl logála a chruthú don "bob" úsáideora, ba mhaith leat dul isteach, PASSWORD ag an bPríomh-Phasfhocal ag an bPríomh-Phasfhocal.
- Is féidir leat a sheiceáil gur cruthaíodh an próifíl logáil isteach i gceart trí iontráil úsáideoir-úsáideoir -u bob ag an Pras Ordúcháin. Má chruthaigh tú próifíl logáil isteach do gach duine, bheadh an t-aschur mar rud éigin cosúil le "Próifíl Logáil isteach don úsáideoir bob".
Eochracha Cruthaigh
Ceadóidh Eochair Rochtana AWS Rúnda agus Aitheantas Eochairfhocail AWS comhfhreagrach do úsáideoirí bogearraí 3ú páirtí a úsáid ar nós na cinn a luaitear roimhe seo. Coinnigh i gcuimhne gur féidir leat na heochracha seo a fháil ach amháin mar bheart slándála le linn an phróisis chun próifíl úsáideora a chur leis. Déan cinnte go gcóipeálann tú agus a ghreamóidh tú an t-aschur ón Pras Ordú agus a shábháil i gcomhad téacs. Is féidir leat an comhad a sheoladh chuig d'úsáideoir.
- Is é an comhréir le heochracha a chur le húsáideoir iam-useraddkey [-u USERNAME]. Tá doiciméadú iomlán ar an Chomhéadan Líne Ordú ar fáil ar dhoiciméid AWS.
- Má theastaigh uait eochracha a chruthú don úsáideoir "bob", cuirfá isteach iam-useraddkey -u bob ag an Pras Ordú.
- Cuirfidh an t-ordú aschur na heochracha a bheadh mar rud éigin mar seo:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
Is é an chéad líne an Aitheantas Eochair Rochtana agus is é an dara líne an Eochair Rochtana Rúnda. Ní mór duit araon le haghaidh bogearraí 3ú páirtí.
Rochtain Tástála
Anois gur chruthaigh tú grúpaí / úsáideoirí IAM agus má thug tú rochtain ar na grúpaí ag baint úsáide as polasaithe, ní mór duit an rochtain a thástáil.
Rochtain Console
Is féidir le d'úsáideoirí a n-ainm úsáideora agus a bhfocal faire a úsáid chun logáil isteach sa Consól AWS. Mar sin féin, ní hé seo an leathanach logáil isteach consól rialta a úsáidtear don phríomhchuntas AWS.
Tá URL speisialta ann ar féidir leat é a úsáid a chuirfidh foirm logála isteach ar fáil do do chuntas Amazon AWS amháin. Seo an URL chun logáil isteach go S3 do d'úsáideoirí IAM.
https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3
Is é an uimhir AWS-ACCOUNT ná do uimhir chuntas AWS rialta. Is féidir leat é seo a fháil trí logáil isteach i bhfoirm Inmheánach na Seirbhíse Gréasáin Amazon. Logáil isteach agus cliceáil ar Chuntais | Gníomhaíocht Cuntas. Tá do uimhir chuntas sa chúinne uachtarach ar dheis. Bí cinnte go mbainfidh tú na taiscí as oifig. Breathnaíonn an URL rud éigin cosúil le https://123456789012.signin.aws.amazon.com/console/s3.
Ag baint úsáide as Eochracha Rochtana
Is féidir leat aon cheann de na huirlisí 3ú páirtí atá luaite san Airteagal seo a íoslódáil agus a shuiteáil. Cuir isteach d'Aitheantas Eochair Rochtana agus an Eochair Rochtana Rúnda i ngach doiciméadú uirlisí 3ú páirtí.
Molaim go láidir go dtuigeann tú úsáideoir tosaigh agus go bhfuil an t-úsáideoir sin go hiomlán ag tástáil gur féidir leo gach rud a theastaíonn uathu a dhéanamh i S3. Tar éis duit d'úsáideoirí a fhíorú, is féidir leat dul ar aghaidh le do chuid úsáideoirí S3 go léir a chur ar bun.
Acmhainní
Seo cúpla acmhainn anseo chun tuiscint níos fearr a thabhairt duit ar Bhainistíocht Féiniúlachta agus Rochtana (IAM).
- Ag tosú le IAM
- Toolkit Line Command Command
- Amazon AWS Console
- Gineadóir Polasaí AWS
- Ag baint úsáide as AWS Identity agus Access Management
- Nótaí Eisiúna IAM
- Fóraim Plé IAM
- Ceisteanna Coitianta IAM