AWS Identity ба Хандалтын Удирдлага

3-р хэсгийн 1-р хэсэг

2011 онд Amazon нь CloudFront-ийн AWS Identity & Access Management (IAM) дэмжлэгийг зарлалаа. ОУЭА 2010 онд эхэлсэн ба S3 дэмжлэгийг оруулсан. AWS Identity & Access Management (IAM) нь AWS дансанд олон хэрэглэгчтэй байх боломжийг олгодог. Хэрэв та Amazon Web Services (AWS) ашигласан бол AWS-д агуулгаа удирдах цорын ганц арга бол таны хэрэглэгчийн нэр, нууц үг эсвэл хандалтын түлхүүрүүдийг өгөх явдал юм.

Энэ нь бидний ихэнхэд зориулагдсан аюулгүй байдлын асуудал юм. IAM нь нууц үг, хандалтын түлхүүрүүдийг хуваалцах хэрэгцээг арилгадаг.

Манай гол AWS нууц үгээ байнга өөрчилж, шинэ түлхүүрийн түлхүүр үүсгэх нь ажилчдаас манай багийг орхиход асуудал үүсгэдэг. AWS Identity & Access Management (IAM) нь хэрэглэгчийн данс тус бүрийн түлхүүрээр зөвшөөрөгдсөн сайн эхлэл байсан юм. Гэсэн хэдий ч бид S3 / CloudFront хэрэглэгчид байгаа тул бид сүүлд болсон IAM-д нэмэгдэх CloudFront-г үзэхийг харж байна.

Би энэ үйлчилгээгээ жаахан тараахын тулд баримтыг олсон. Identity & Access Management (IAM) -д зориулсан төрөл бүрийн дэмжлэг санал болгодог цөөхөн хэдэн бүтээгдэхүүн байдаг. Гэхдээ хөгжүүлэгчид нь ихэвчлэн дасан зохицох чадвартай тул IAM-ийн Amazon S3 үйлчилгээг ашиглан IAM-ийг удирдахад чөлөөтэй шийдлийг эрэлхийлсэн.

Энэ нийтлэл нь IAM-г дэмждэг Command Line Interface -ийг тохируулах болон S3 хандалт бүхий бүлэг / хэрэглэгчийг тохируулах процессоор дамжин явдаг. Та Identity & Access Management (IAM) -г тохируулахаас өмнө Amazon AWS S3 дансаа тохируулах хэрэгтэй.

Миний нийтлэл, Амазон Энгийн Хадгалалтын Үйлчилгээ (S3) ашиглан AWS S3 данс үүсгэх процессоор дамжин алхах болно.

ОУМ-д хэрэглэгчийг бий болгох, хэрэгжүүлэхэд оролцож буй алхмууд энд байна. Энэ нь Windows-д зориулан бичигдсэн боловч та Linux, UNIX болон / эсвэл Mac OSX-д ашиглах боломжтой.

1. Тушаалын мөр интерфэйсийг (CLI) суулгаж тохируулах

1. Групп үүсгэх
2. S3 хувин, CloudFront руу группын хандалт өгөх
3. Хэрэглэгч үүсгэх ба Add to Group
4. Нэвтрэх профайл үүсгэж, түлхүүр үүсгэх
5. Тест хийх

Тушаалын мөр интерфэйсийг (CLI) суулгаж тохируулах

IAM Command Line Toolkit нь Амазоны AWS Хөгжүүлэгчдийн Хэрэгсэлд байдаг Java програм юм. Энэ хэрэгсэл нь бүрхүүл хэрэгсэлээс IAM API командуудыг ажиллуулах боломжийг олгодог (DOS for Windows).

• Java 1.6 эсвэл түүнээс дээшхийг ажиллуулах хэрэгтэй. Та Java.com-аас хамгийн сүүлийн хувилбарыг татаж авч болно. Windows систем дээр аль хувилбарыг суулгахыг харахын тулд Тушаал хүлээх мөрийг нээнэ үү, java -version-г бичнэ үү. Энэ нь java.exe нь таны PATH байгаа гэж үздэг.
• IAM CLI хэрэгслийг татаж аваад өөрийн локал диск дээр хаа нэг газар нийтэл.
• CLI багажны root санд 2 файл байдаг бөгөөд үүнийг шинэчлэх шаардлагатай болно.
  • aws-credential.template: Энэ файл нь таны AWS итгэмжлэлүүдийг агуулдаг. AWSAccessKeyId болон AWSSecretKey-ийг нэмээд файлыг хадгалж хааж болно.
  • client-config.template : Хэрэв та прокси сервер хэрэгтэй бол энэ файлыг шинэчлэх хэрэгтэй. # Тэмдгүүдийг арилгахын тулд ClientProxyHost, ClientProxyPort, ClientProxyUsername болон ClientProxyPassword-г шинэчлэх. Файлыг хадгалах, хаах.
• Дараагийн алхам нь Байгаль орчны хувьсагчдыг нэмэх явдал юм. Хяналтын самбар руу орно уу Системийн Properties | Нарийвчилсан системийн тохиргоо | Байгаль орчны хувьсагч. Дараах хувьсагчийг нэмнэ үү:
  • AWS_IAM_HOME : Энэ хувьсагчийг CLI toolkit-г задалсан сан уруу зааж өгнө. Хэрэв та Windows-ыг ажиллуулж байгаа бөгөөд үүнийг C drive-ийн root дээр задалсан бол хувьсагч нь C: \ IAMCli-1.2.0 байна.
  • JAVA_HOME : Энэ хувьсагчийг Java суулгасан санд оруулна . Энэ нь java.exe файлын байршил болно. Ердийн Windows 7 Java суулгацын хувьд C: \ Program Files (x86) \ Java \ jre6 шиг байх болно.
  • AWS_CREDENTIAL_FILE : Энэ хувьсагчийг дээр нэмсэн aws-credential.template- ийн зам болон файлын нэрийг тохируулна. Хэрэв та Windows-ыг ажиллуулж, үүнийг өөрийн C drive-ийн root дээр задалсан бол хувьсагч нь C: \ IAMCli-1.2.0 \ aws-credential.template болно.
  • CLIENT_CONFIG_FILE : Хэрэв та прокси сервер шаардлагатай бол энэ орчны хувьсагчийг нэмэх хэрэгтэй. Хэрэв та Windows-ыг ажиллуулж, үүнийг өөрийн C drive-ийн root дээр задалсан бол хувьсагч нь C: \ IAMCli-1.2.0 \ client-config.template байна. Үүнийг шаардаагүй бол энэ хувьсагчийг бүү нэм.

• Тушаал хүлээх мөрөнд орж iam-userlistbypath-ыг оруулаад суулгалтыг туршина. Хэрвээ та алдаа хүлээн авахгүй бол удаан явах хэрэгтэй.

Бүх IAM тушаалуудыг Command Prompt-ээс ажиллуулж болно. Бүх тушаалууд нь "iam-".

Групп үүсгэх

AWS бүртгэл бүрийн хувьд хамгийн ихдээ 100 бүлэг бий. Хэрэглэгчдийн түвшинд ОУХ-ны зөвшөөрлүүдийг тохируулж болох боловч бүлгүүдийг ашиглах нь хамгийн сайн туршлага болно. ОУМХ-д бүлгийг үүсгэх процесс энд байна.

• Бүлгэм үүсгэх синтакс нь iam-groupcreate -g GROUPNAME [-p PATH] [-v] -p ба -v сонголтууд юм. Тушаалын мөр интерфейс дээрх бүрэн баримт бичиг AWS Docs дээрээс боломжтой.

• Хэрэв та "awesomeusers" гэгддэг бүлэг үүсгэхийг хүсвэл Command Prompt дээр iam-groupcreate -g awesomeusers-ыг оруулна.
• Тушаал хүлээх мөрөн дээр iam-grouplistbypath-ыг оруулах замаар бүлгийг зөв үүсгэсэн эсэхийг шалгаж болно. Хэрэв та энэ бүлгийг зөвхөн үүсгэсэн бол гаралт нь "arn: aws: iam :: 123456789012: group / awesomeusers" гэсэн дугаартай бол энэ нь таны AWS дансны дугаар байна.

S3 хувин, CloudFront руу группын хандалт өгөх

Бүллүүд нь S3 эсвэл CloudFront дээр таны бүлэг юу хийж чадахыг хянаж байна. Анхдагчаар, таны бүлэг AWS-д юу ч хандах эрхгүй болно. Би бодлогуудыг баримтжуулахыг хүссэн боловч зарим бодлогыг боловсруулахад би тэдгээрийг ажиллахыг хүссэн арга замаар ажиллахын тулд бага зэрэг сорилт, алдаа гаргасан.

Бодлого үүсгэх хэд хэдэн сонголт байна.

Нэг боломж нь та тэдгээрийг Command Prompt руу шууд оруулж болно. Бодлогыг үүсгэж, боловсронгуй болгож болох тул миний хувьд бодлогыг текст файл болгон нэмэх нь текст файлыг iam-groupuploadpolicy тушаалаар параметр болгон байршуулахад хялбар болгосон юм. Энд текст файлыг ашиглах болон IAM-д байршуулах үйл явцыг энд оруулав.

• Notepad гэх мэт ямар нэгэн зүйл ашиглах, дараахь текстийг оруулаад файлыг хадгалах:
  
  {
  "Мэдэгдэл": [{
  "Үр нөлөө": "Зөвшөөрнө",
  "Үйлдэл": "s3: *",
  "Нөөц": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Үр нөлөө": "Зөвшөөрнө",
  "Үйлдэл": "s3: ListAllMyBuckets",
  "Нөөц": "arn: aws: s3 ::: *"
  },
  {
  "Үр нөлөө": "Зөвшөөрнө",
  "Үйлдэл": ["үүлшил: *"],
  "Нөөц": "*"
  }
  ]
  }
  
• Энэ бодлогод 3 хэсэг байна. Нөлөө нь зарим төрлийн хандалтыг зөвшөөрөх буюу зөвшөөрөхөд ашиглагддаг. Үйлдэл нь бүлгийн хийж чадах тодорхой зүйл юм. Нөөц нь хувийн хувин руу нэвтрэх боломжийг олгоно.

• Та үйл ажиллагааг нэг бүрчлэн хязгаарлаж болно. Энэ жишээнд "Action": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], бүлэг нь хувин доторх агуулгыг жагсааж, татаж авах объектыг багтааж болно.
• Эхний хэсэг нь "BUCKETNAME" хувин дээр бүх S3 үйлдлийг гүйцэтгэх бүлгийг "зөвшөөрдөг".
• Бүлэгт "Бүгдийг зөвшөөрдөг" гэсэн хоёр дахь хэсэг бүх хувиудыг S3-д жагсаав. Хэрэв та AWS консол мэтээр ашигладаг бол та хуванцарын жагсаалтыг харах боломжтой.

• Гуравдугаар хэсэг нь бүлэгт CloudFront руу бүрэн хандах боломжийг олгодог.

ОУМБ-ын бодлогын талаар олон сонголт байдаг. Амазон нь AWS Бодлого үүсгэгч гэж нэрлэгддэг үнэхээр хүйтэн хэрэгсэлтэй. Энэ хэрэгсэл нь таны бодлогыг үүсгэж, бодлогыг хэрэгжүүлэхэд шаардагдах бодит кодыг үүсгэх GUI өгдөг. Та мөн AWS Identity ба Хандалтын Удирдлагын онлайн баримтжуулалтыг ашиглах Хандалтын Бүлгийн Хэлний хэсгийг үзэж болно.

Хэрэглэгч үүсгэх ба Add to Group

Шинэ хэрэглэгчийг үүсгэх, тэднийг бүлэгт оруулахын тулд бүлэг үүсгэх үйл явц нь хоёр алхмуудыг хамарна.

• Хэрэглэгч үүсгэх синтакс нь i-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] энд -p, -g, -k ба -v сонголтууд юм. Тушаалын мөр интерфейс дээрх бүрэн баримт бичиг AWS Docs дээрээс боломжтой.
• Хэрэв та "bob" хэрэглэгчийг үүсгэхийг хүсвэл, та Command Prompt дээр iam-usercreate -u bob -g awesomeusers гэж оруулна.
• Тушаал хүлээх мөрөн дээр iam-grouplistusers -g awesomeusers руу орж хэрэглэгчийг зөв үүсгэсэн эсэхийг шалгаж болно. Хэрэв та энэ хэрэглэгчийг зөвхөн үүсгэсэн бол гарц нь "arn: aws: iam :: 123456789012: user / bob", энэ дугаар нь таны AWS дансны дугаар байна.

Logon Profile үүсгэх ба үүсгэх түлхүүрүүдийг үүсгэнэ

Энэ үед та хэрэглэгчийг үүсгэсэн боловч тэдгээрийг S3-ээс үнэхээр обьектуудыг нэмж, устгах аргаар хангах хэрэгтэй.

МИА-ыг ашиглан S3-д хандах боломжийг хэрэглэгчдэд олгох 2 сонголт байна. Та Нэвтрэх профайл үүсгэж, хэрэглэгчдийг нууц үгээр хангах боломжтой. Тэд Amazon корпорацийн AWS консол руу нэвтрэх зөвшөөрлийг ашиглах боломжтой. Өөр нэг сонголт бол хэрэглэгчдэд хандах түлхүүр болон нууц түлхүүрийг өгөх явдал юм. Тэд эдгээр түлхүүрүүдийг S3 Fox, CloudBerry S3 Explorer эсвэл S3 Browser зэрэг 3-р талуудын хэрэгслүүдэд ашиглаж болно.

Нэвтрэх профайл үүсгэх

S3-ийн хэрэглэгчдэд нэвтрэлтийн танилцуулгыг үүсгэх Амазоны AWS консол руу нэвтрэхийн тулд хэрэглэж болох хэрэглэгчийн нэр, нууц үг өгдөг.

• Нэвтрэх профайл үүсгэх синтакс нь iam-useraddloginprofile -u USERNAME -p PASSWORD. Тушаалын мөр интерфейс дээрх бүрэн баримт бичиг AWS Docs дээрээс боломжтой.
• Хэрэв та "bob" хэрэглэгчийн нэвтрэх профайл үүсгэхийг хүсвэл, iam-useraddloginprofile -u bob -p PASSWORD командыг хүлээх мөрөнд оруулна.

• Тушаал хүлээх мөрөнд iam-usergetloginprofile -u bob-г оруулснаар нэвтрэх профайл зөв үүссэн эсэхийг шалгаж болно. Хэрэв та Бобын нэвтрэх хувийн тохиргоог хийсэн бол гарц нь "Хэрэглэгчийн Боб" -ын Нэвтрэх профайлтай адил байх болно.

Түлхүүрүүдийг үүсгэх

AWS нууц нэвтрэх түлхүүрийг үүсгэх ба харгалзах AWS хандалт Key ID нь таны хэрэглэгчдэд өмнөх дурдсантай адил 3-р талыг ашиглах програмыг ашиглах боломжийг олгоно. Аюулгүй байдлын хэмжүүрээр та зөвхөн хэрэглэгчийн профайлыг нэмэх явцад эдгээр түлхүүрүүдийг зөвхөн авч болно. Тушаал хүлээх мөрөөс гаралтыг хуулж, буулгахаа мартуузай. Текст файлд хадгална уу. Та файлаа өөрийн хэрэглэгч рүү илгээж болно.

• Хэрэглэгчийн түлхүүрүүдийг нэмэх синтакс нь iam-useraddkey [-u USERNAME]. Тушаалын мөр интерфейс дээрх бүрэн баримт бичиг AWS Docs дээрээс боломжтой.
• Хэрэв та "bob" хэрэглэгчийн түлхүүрийг үүсгэхийг хүсвэл iam-useraddkey -u bob тушаалыг Command Prompt дээр оруулна.
• Энэ тушаал нь иймэрхүү харагдах түлхүүрийг гаргана:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Эхний мөр нь Access Key ID ба хоёр дахь мөр нь нууц нэвтрэх түлхүүр. Та гуравдагч талын програм хангамжид хоёулаа хэрэгтэй.

Тест хийх

Одоо та IAM бүлгүүд / хэрэглэгчид үүсгэсэн бөгөөд бодлогыг ашиглан группүүдэд нэвтрэх эрхийг өгсөн тул та хандалтыг тест хийх хэрэгтэй.

Консол хандалт

AWS консол руу нэвтрэхийн тулд таны хэрэглэгчид өөрсдийн хэрэглэгчийн нэр, нууц үгийг ашиглаж болно. Гэсэн хэдий ч, энэ нь үндсэн AWS бүртгэлд ашиглагддаг тогтмол консолын нэвтрэх хуудас биш юм.

Та өөрийн Amazon AWS дансны нэвтрэх хэлбэрээр нэвтрэх боломжтой тусгай URL байна. Таны IAM хэрэглэгчид зориулсан S3 руу нэвтрэх URL энд байна.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER нь таны тогтмол AWS дансны дугаар юм. Амазоны Вэб Үйлчилгээний Нэвтрэх маягт руу нэвтрэх замаар та үүнийг авч болно. Нэвтрэх гэж ороод Account | дарна уу Дансны үйл ажиллагаа. Таны дансны дугаар баруун дээд буланд байна. Та зураасыг арилгах хэрэгтэй. URL нь https://123456789012.signin.aws.amazon.com/console/s3 шиг харагдах болно.

Хандалтын түлхүүрүүдийг ашиглах

Та энэ нийтлэлд дурдсан аль ч гуравдагч талын хэрэгслүүдийг татан авч суулгах боломжтой. Хандалтын Түлхүүр ID болон нууц нэвтрэх түлхүүрийг гуравдагч талын хэрэгслийн баримтжуулалтанд оруулна уу.

Би таныг анхны хэрэглэгч үүсгэхийг хүсч, S3 дээр хийх шаардлагатай бүх зүйлийг хийж чадах хүмүүсийг бүрэн шалгаж үзээрэй. Та өөрийн хэрэглэгчийн нэгийг шалгасны дараа бүх S3 хэрэглэгчийг тохируулах боломжтой болно.

Нөөц

Identity & Access Management (IAM) талаар илүү сайн ойлголт өгөхөд танд туслах цөөн тооны нөөцүүд байна.

• ОУМ-ыг эхлүүлэх
• IAM Command Line Toolkit
• Amazon AWS консол
• AWS Бодлого үүсгэгч
• AWS Identity болон Access Management ашиглан ашиглах

• IAM Release Notes
• IAM-ийн хэлэлцүүлгийн форум
• IAM-ийн ТТБ-ууд