AWS Identity və Access Management

3-cü hissə

2011-ci ildə Amazon CloudFront üçün AWS Identity & Access Management (IAM) dəstəyinin mövcudluğunu elan etdi. IAM 2010-cu ildə fəaliyyətə başlamış və S3 dəstəyini daxil etmişdir. AWS Identity & Access Management (IAM) bir AWS hesabı içərisində birdən çox istifadəçiyə sahib olmaq imkanı verir. Amazon Web Services (AWS) istifadə etdiyiniz təqdirdə, AWS-də məzmunun idarə edilməsinin yeganə yolu istifadəçi adınızı və şifrənizi və ya giriş düymələrini verməklə məşğul olduğunu bilirsiniz.

Bu çoxumuz üçün real təhlükədir. IAM şifrələri və giriş düymələrini bölüşmək üçün ehtiyacları aradan qaldırır.

Əsas AWS şifrənizi dəyişən və ya yeni düymələri yaradan bir heyət üzvü komandamızı tərk edəcəyi zaman yalnız bir həll yoludur. AWS Identity & Access Management (IAM), fərdi istifadəçi hesablarını fərdi düymələri ilə təmin edən yaxşı bir başlanğıc idi. Bununla belə, biz S3 / CloudFront istifadəçisiyik. Beləliklə, CloudFront-i IAM-a əlavə etmək üçün izləyirik.

Bir az dağılmış olmaq üçün bu xidmət sənədlərini tapdım. Identity & Access Management (IAM) üçün bir sıra dəstək təklif edən bir neçə 3 tərəfli məhsul var. Amazon S3 xidmətimizlə birlikdə IAM-i idarə etmək üçün pulsuz bir həll istədi amma inkişafçılar ümumiyyətlə qənaətcildirlər.

Bu məqalə IAM-ni dəstəkləyən və S3 ilə bir qrupu / istifadəçi yaratmaq üçün Command Line Interface qurmaq prosesi ilə dolaşır. Identity & Access Management (IAM) konfiqurasiyasına başlamazdan əvvəl Amazon AWS S3 hesabının yaradılması lazımdır.

Mənim məqaləm, Amazon Simple Storage Service (S3) istifadə edərək, AWS S3 hesabı qurma prosesi vasitəsilə sizi gəzəcək.

İşdə İAM-da bir istifadəçi qurmaq və həyata keçirməklə məşğul olan addımlar. Bu Windows üçün yazılmışdır, lakin Linux, UNIX və / və ya Mac OSX-də istifadə üçün çimdik.

1. Komut Satırı Arayüzünü (CLI) quraşdırın və konfiqurasiya edin

1. Qrup yaradın
2. S3 Kovasına və CloudFront'e Qrup Əlaqəsi verin
3. İstifadəçi yarat və Qrup əlavə et
4. Giriş Profili Yaradın və Keys Yaradın
5. Testə giriş

Komut Satırı Arayüzünü (CLI) quraşdırın və konfiqurasiya edin

IAM Command Line Toolkit, Amazon AWS Yaradıcılar Vasitələrində mövcud olan bir Java proqramıdır. Vasitə IAM API əmrlərini bir shell proqramından (Windows üçün DOS) icra etməyə imkan verir.

• Java 1.6 və ya daha yüksək səviyyədə işləməlisiniz. Java.com-dan ən son versiyasını yükləyə bilərsiniz. Windows sisteminizdə hansı versiyanı yüklədiyini görmək üçün Command Prompt'i açın və java -version yazın. Bu, java.exe-in PATH-dır.
• IAM CLI Toolkitini yükləyin və yerli sürücülərinizdən bir yerdə açın.
• Yeniləmə lazım olan CLI toolkitinin kökündə 2 fayl vardır.
  • aws-credential.template: Bu fayl AWS etimadnaməsini saxlayır. AWSAccessKeyId və AWSSecretKey əlavə edin, faylını saxlayıb bağlayın.
  • client-config.template : Yalnız bir proxy server tələb etsəniz, bu faylı yeniləməlisiniz. # Əlamətləri silin və ClientProxyHost, ClientProxyPort, ClientProxyUsername və ClientProxyPassword yeniləyin. Faylı saxla və bağlayın.
• Növbəti addım ətraf mühiti dəyişənləri əlavə edir. Kontrol Paneline gedin | Sistem xüsusiyyətləri Ətraflı sistem ayarları Ətraf Dəyişənləri. Aşağıdakı dəyişənləri əlavə edin:
  • AWS_IAM_HOME : Bu dəyişənni CLI toolkitini açdığınız qovluğa qoyun . Windows'unuzu çalıştırıyorsanız və C sürücünüzün kökünü açarsanız, değişken C: \ IAMCli-1.2.0 olur.
  • JAVA_HOME : Bu dəyişənni Java quraşdırıldığı qovluğa qoyun. Bu java.exe faylının yeri olacaq. Normal bir Windows 7 Java yüklemesinde bu C: \ Program Files (x86) \ Java \ jre6 kimi bir şey ola bilər.
  • AWS_CREDENTIAL_FILE : Bu dəyişənni yuxarıda güncəlləşdirdiyiniz aws-credential.template yol və faylın adına qoyun. Windows'unuzu çalıştırıyorsanız ve C sürücünüzün kökünü açarsanız, değişken C: \ IAMCli-1.2.0 \ aws-credential.template olacaq.
  • CLIENT_CONFIG_FILE : Bir proksi server tələb etsəniz, yalnız bu mühit dəyişənini əlavə etmək lazımdır. Windows'unuzu çalıştırıyorsanız və C sürücünüzün kökünü açarsanız, değişken C: \ IAMCli-1.2.0 \ client-config.template olur. Lazım olmadıqca bu dəyişənə əlavə etmə.

• Komanda İstədiyinə gedərək və iam-userlistbypath ünvanına girərək quraşdırma test edin. Səhv ala bilmədiyiniz müddətcə, getməyiniz yaxşıdır.

Bütün IAM əmrləri Command Prompt-dən istifadə edilə bilər. Bütün əmrlər "iam-" ilə başlanır.

Qrup yaradın

Hər AWS hesabı üçün yaradılan maksimum 100 qrup var. IAM-da istifadəçi səviyyəsində icazələrin təyin olmasına baxmayaraq, qruplardan istifadə ən yaxşı təcrübə olardı. Burada IAM-da bir qrup yaratma prosesi.

• Qrup yaratmaq üçün sintaksis iam-groupcreate -g GROUPNAME [-p PATH] [-v] -p və -v variantları olduğu yerdir. Command Line Interface-də tam sənədlər AWS Sənədlərində mövcuddur.

• "Awesomeusers" adlı bir qrup yaratmaq istəsəniz, Komanda İstədiyinizdə, iam-groupcreate-aw-istifadəçilərə daxil olacaqsınız.
• Komanda İstəməsində iam-grouplistbypath yazaraq qrupun düzgün yaradıldığını yoxlaya bilərsiniz. Əgər bu qrupu yalnız yaratmış olsanız, çıxış "AWS hesab nömrəsi" olduğu "arn: aws: iam :: 123456789012: group / awesomeusers" kimi bir şey olardı.

S3 Kovasına və CloudFront'e Qrup Əlaqəsi verin

Siyasətlər, qrupunuzun S3 və ya CloudFront-də nə edə biləcəyini nəzarət edir. Mənim cari olaraq, qrupunuz AWS-də bir şeyə sahib ola bilməz. Tamam olma siyasətinə dair sənədləri tapdım amma bir çox siyasət yaratmaqda, işlərin istədikləri şəkildə işləmək üçün bir az sınaq və səhv etdim.

Siyasət yaratmaq üçün bir neçə variantınız var.

Bir variantdan birbaşa Komanda İstədiyinə daxil edə bilərsiniz. Bir siyasət yaratmaq və tweaking ola bilər ildən, mənim üçün bir mətn faylı siyasəti əlavə və daha sonra mətn faylı iam-groupuploadpolicy əmri ilə parametr kimi yükləmək daha asan görünürdü. İşdə bir mətn faylını istifadə edərək İAM'a yükləmə prosesi.

• Notepad kimi bir şey istifadə edin və aşağıdakı mətni daxil edin və faylını saxlaya bilərsiniz:
  
  {
  "Şərh": [{
  "Təsir": "icazə ver",
  "Fəaliyyət": "s3: *",
  "Resurs": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Təsir": "icazə ver",
  "Fəaliyyət": "s3: ListAllMyBuckets",
  "Resurs": "arn: aws: s3 ::: *"
  },
  {
  "Təsir": "icazə ver",
  "Fəaliyyət": ["buludfront: *"],
  "Resurs": "*"
  }
  ]
  }
  
• Bu siyasətin 3 hissəsi var. Effekt bəzi növlərə icazə vermək və ya imtina etmək üçün istifadə olunur. Fəaliyyət, qrupun edə biləcəyi xüsusi şeylərdir. Resurs fərdi qablara giriş imkanı vermək üçün istifadə olunacaq.

• Fərdi olaraq məhdudlaşdıra bilərsiniz. Bu nümunədə "Fəaliyyət": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"] qrupu bir kovanın məzmununu və yüklənən obyektləri siyahıya ala biləcəkdir.
• Qrupun "BUCKETNAME" kepçesi üçün bütün S3 tədbirlərini yerinə yetirməsinə imkan verir.
• İkinci hissədə qrup "S3" içərisindəki bütün kovanları siyahıya almağa imkan verir. AWS Console kimi bir şey istifadə etdiyiniz təqdirdə bucketlərin siyahısını görə bilərsiniz.

• Üçüncü bölmə qrupu CloudFront-ə tam erişim imkanı verir.

IAM siyasətinə gəldikdə bir çox variant var. Amazon AWS Siyasət Oluşturucu adlanan həqiqətən gözəl vasitədir. Bu alət siyasətinizi yarada və siyasəti həyata keçirmək üçün lazım olan faktiki kodu yarada bir GUI təmin edir. Ayrıca, AWS Identity və Access Management onlayn sənədlərindən istifadə qaydalarının Access Policy Language bölümünə baxa bilərsiniz.

İstifadəçi yarat və Qrup əlavə et

Yeni bir istifadəçi yaratmaq və onları bir qrupa əlavə etmək üçün bir neçə addım daxildir.

• Istifadəçi yaratmaq üçün sintaksis iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] Burada -p, -g, -k və -v variantları. Command Line Interface-də tam sənədlər AWS Sənədlərində mövcuddur.
• Bir istifadəçi "bob" yaratmaq istəyirsəniz, Komanda İstədiyinizdə, iam-usercreate -u bob -g awesomeusers daxil olacaqsınız.
• Komanda İstədisində iam-grouplistusers-aw-istifadəçilərini daxil etməklə istifadəçinin düzgün şəkildə yaradıldığını yoxlaya bilərsiniz. Yalnız bu istifadəçi yaratdıysanız, çıxış "AWS hesab nömrəsi" olduğu yerdə "arn: aws: iam :: 123456789012: user / bob" kimi bir şey olardı.

Giriş Profili Yaradın və Tuşlar Yaradın

Bu nöqtədə bir istifadəçi yaratdıq, ancaq S3'dən obyektləri həqiqətən əlavə etmək və silmək üçün bir yol təqdim etməlisiniz.

IAM istifadə edərək, istifadəçilərinizə S3-ə daxil olmaq üçün 2 variant var. Bir Giriş Profili yaratmaq və istifadəçilərinizə bir parol ilə təmin edə bilərsiniz. Amazon AWS Konsoluna daxil olmaq üçün onların etimadnaməsini istifadə edə bilərlər. Digər seçim isə istifadəçilərinizə bir giriş və gizli açar verməkdir. Bu düymələri S3 Fox, CloudBerry S3 Explorer və ya S3 Browser kimi 3-cü tərəfin alətlərindən istifadə edə bilərlər.

Giriş Profili Yarat

S3 istifadəçiləriniz üçün bir Giriş Profili yaratmaq, onları Amazon AWS Konsoluna daxil olmaq üçün istifadə edə biləcək bir istifadəçi adı və şifrə ilə təmin edir.

• Giriş profili yaratmaq üçün sintaksis iam-useraddloginprofile -u USERNAME -p PASSWORD. Command Line Interface-də tam sənədlər AWS Sənədlərində mövcuddur.
• Istifadəçi "bob" üçün bir giriş profili yaratmaq istəyirsən, Komut İstədiyinizdə, iam-useraddloginprofile -u bob -p PASSWORD daxil olacaqsınız.

• Giriş profilinin iam-usergetloginprofile -u bob komanda sorğusuna daxil edilməklə düzgün yaradıldığını yoxlaya bilərsiniz. Əgər bob üçün bir giriş profili yaratmış olsanız, çıxış "İstifadəçi adı üçün giriş profili var" kimi bir şey olardı.

Tuşlar yaradın

AWS Gizli Erişim Anahtarı və müvafiq AWS Access Key ID yaratmaq, istifadəçilərinizə əvvəlcədən nəzərdə tutulanlar kimi 3-cü tərəf proqramını istifadə etməyə imkan verir. Bir təhlükəsizlik tədbiri olaraq istifadəçi profilini əlavə etmək prosesində yalnız bu düymələri əldə edə bilərsiniz. Çıxışınızı Command Prompt-dən kopyalayıp yapışdırıb bir mətn faylında saxladığınızdan əmin olun. Faylı istifadəçiyə göndərə bilərsiniz.

• Bir istifadəçi üçün düymələr əlavə etmək üçün sintaksis iam-useraddkey [-u USERNAME]. Command Line Interface-də tam sənədlər AWS Sənədlərində mövcuddur.
• Istifadəçi "bob" üçün düymələr yaratmaq istəyirsənsə, Komut İstəməsində iam-useraddkey -u bob daxil edərsiniz.
• Komanda bu kimi bir şeyə sahib olan düymələri çıxardır:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Birinci xətt Access Key ID-dir və ikinci xətt Secret Access Key-dir. Həm də 3-cü tərəf proqram üçün lazımdır.

Testə giriş

İndi IAM qrupları / istifadəçiləri yaratdığınız və qrupları istifadə edərək siyasəti istifadə edərək, giriş sınağınız lazımdır.

Console Access

İstifadəçilər AWS Konsoluna daxil olmaq üçün istifadəçi adını və parolunu istifadə edə bilərlər. Bununla belə, bu əsas AWS hesabı üçün istifadə olunan müntəzəm konsol giriş səhifəsi deyildir.

Yalnız Amazon AWS hesabınız üçün giriş formasını təqdim edəcək istifadə edə biləcəyiniz xüsusi bir URL var. Burada IAM istifadəçiləri üçün S3-ə daxil olan URL.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER, normal AWS hesab nömrəsidır. Bunu Amazon Web Service Sign In formasına daxil etməklə əldə edə bilərsiniz. Daxil ol və Hesabım | 'düyməsinə basın Hesab fəaliyyəti. Hesabınızın yuxarı sağ küncündə. Daşları çıxardığınızdan əmin olun. URL https://123456789012.signin.aws.amazon.com/console/s3 kimi bir şeyə bənzəyir.

Access Keys istifadə

Bu məqalədə artıq qeyd olunan 3-cü tərəfin hər hansı bir vasitəsini yükləyə və yükləyə bilərsiniz. 3-cü tərəfin alət sənədlərinə görə Access Key ID və Gizli Erişim Açarını daxil edin.

Bir başlanğıc istifadəçi yaratmanı və istifadəçinizi S3'də etmək üçün lazım olan hər şeyi edə biləcəyini tam olaraq test etdirməyi məsləhət görürəm. Kullanıcılarınızdan birini doğruladıktan sonra, S3 istifadəçilərinizin hamısını qurmağa davam edə bilərsiniz.

Resurslar

Identity & Access Management (IAM) daha yaxşı bir anlayış verən bir neçə qaynaq var.

• IAM ilə başlayan
• IAM Command Line Toolkit
• Amazon AWS Konsolu
• AWS Policy Generator
• AWS Identity və Access Management istifadə

• IAM Release Notes
• İAM Müzakirələr Forumları
• İAM sualları