3-րդ մաս
2011 թվականին Amazon- ը հայտարարեց CloudWare- ի AWS Identity & Access Management (IAM) օժանդակության առկայությունը: IAM- ը մեկնարկել է 2010-ին եւ ներառում S3 աջակցությունը: AWS Identity & Access Management- ը (IAM) թույլ է տալիս Ձեզ ունենալ AWS- ի հաշվում բազմաթիվ օգտվողներ: Եթե Դուք օգտագործում եք Amazon Web Services- ը (AWS), դուք տեղյակ եք, որ AWS- ում բովանդակության կառավարման միակ ձեւը ներգրավված է ձեր օգտագործողի անունը եւ գաղտնաբառը կամ մուտքի բանալիները:
Սա մեզանից շատերի համար իսկական անվտանգության խնդիր է: IAM- ը վերացնում է գաղտնաբառերի եւ մուտքի բանալիները կիսելու անհրաժեշտությունը:
Անընդհատ փոխելով մեր հիմնական AWS գաղտնաբառերը կամ գեներացնող նոր բանալիները միայն խառնաշփոթ լուծում է, երբ անձնակազմի անդամը թողնի մեր թիմը: AWS Identity & Access Management- ը (IAM) լավ սկիզբ է, որը թույլ է տալիս անհատական հաշիվներ անհատական բանալիներով: Այնուամենայնիվ, մենք S3 / CloudFront օգտվող ենք, այնպես որ մենք դիտում ենք CloudFront- ին, որը պետք է ավելացվի IAM- ում, որը վերջապես տեղի ունեցավ:
Ես գտա այս ծառայության մասին փաստաթղթերը `մի քիչ ցրված: Կան մի քանի երրորդ կողմի ապրանքներ, որոնք առաջարկում են ինքնության եւ մատչելիության կառավարման (IAM) մի շարք աջակցություն: Բայց մշակողները սովորաբար շատ են, եւ ես ձգտում եմ ազատ լուծում գործադրել IAM- ի համար, մեր Amazon S3 ծառայության հետ:
Այս հոդվածը ընթանում է Command Line Interface- ի ստեղծման գործընթացի միջոցով, որը աջակցում է IAM- ին եւ S3- ի հետ մի խումբ / օգտվողի ստեղծում: Դուք պետք է ունենաք Amazon AWS S3 հաշվի կարգավորում, նախքան սկսեք Configuration of Identity & Access Management (IAM):
Իմ հոդվածը, Amazon- ի Simple Storage Service- ի (S3) օգտագործումը, ձեզ կուղեկցի AWS S3 հաշվի ստեղծման գործընթացում:
Ահա այն քայլերը, որոնք ներգրավված են IAM- ում օգտագործողի ստեղծման եւ իրականացման մեջ: Սա գրված է Windows- ի համար, բայց դուք կարող եք կսմթել Linux, UNIX եւ / կամ Mac OSX- ի համար:
- Տեղադրեք եւ կարգավորեք Command Line Interface (CLI)
- Ստեղծել խումբ
- Տվեք խումբ մուտք դեպի S3 շերեփ եւ CloudFront
- Ստեղծել օգտվողին եւ ավելացնել խմբի մեջ
- Ստեղծել պրոֆիլի պրոֆիլ եւ Ստեղծել ստեղներ
- Թեստային մատչելիություն
Տեղադրեք եւ կարգավորեք Command Line Interface (CLI)
The IAM Command Line Toolkit- ը Amazon- ի AWS մշակողների գործիքներում մատչելի Java ծրագիր է: Գործիքը թույլ է տալիս կատարել IAM API- ի հրամանները Shell- ի օգտակար (DOS համար Windows- ի համար):
- Դուք պետք է վազեն Java 1.6 կամ ավելի բարձր: Դուք կարող եք ներբեռնել վերջին տարբերակը Java.com- ից: Տեսնելու համար, թե որ տարբերակը տեղադրվում է ձեր Windows համակարգում, բացեք Հրամանի Խոստումը եւ մուտքագրեք java -version: Սա ենթադրում է, որ java.exe- ը ձեր PATH- ում է:
- Ներբեռնեք IAM CLI գործիքակազմը եւ տեղադրեք ձեր տեղական քշում:
- CLI- ի գործիքակազմի արմատից 2 ֆայլ կա, որ դուք պետք է թարմացնեք:
- aws-credential.template: Այս ֆայլը պահում է ձեր AWS- ի հավատարմագրերը: Ավելացնել ձեր AWSAccessKeyId- ը եւ ձեր AWSSecretKey, փրկեք եւ փակեք ֆայլը:
- client-config.template : Դուք միայն անհրաժեշտ է թարմացնել այս ֆայլը, եթե դուք պահանջում եք վստահված սերվեր: Հեռացնել # նշանները եւ թարմացնել ClientProxyHost, ClientProxyPort, ClientProxyUsername եւ ClientProxyPassword: Պահել եւ փակել ֆայլը:
- Հաջորդ քայլը ներառում է Բնապահպանական փոփոխականներ: Գնալ Control Panel | Համակարգի հատկությունները | Ընդլայնված համակարգի պարամետրեր | Շրջակա միջավայրի փոփոխականներ: Ավելացնել հետեւյալ փոփոխականները.
- AWS_IAM_HOME : Սահմանել այս փոփոխականը այն դիրեկտորիան, որտեղ դուք բացել եք CLI գործիքակազմը: Եթե դուք Windows- ն եք վարում եւ C- ի սկավառակի արմատից unzipped, ապա փոփոխությունը կլինի C: \ IAMCli-1.2.0:
- JAVA_HOME : Սահմանել այս փոփոխականին այն դիրեկտորիան, որտեղ տեղադրված է Java: Դա կլինի java.exe ֆայլի գտնվելու վայրը: Նոր Windows 7-ի Java տեղադրման մեջ դա կլինի C: \ Program Files (x86) \ Java \ jre6- ի նման:
- AWS_CREDENTIAL_FILE . Սահմանեք այս փոփոխականին վերեւում թարմացվող aws-credential.template- ի ուղին եւ ֆայլի անունը: Եթե դուք Windows- ի վազում եք եւ C- ի սկավառակի արմատից unzipped- ը, ապա փոփոխականը կլինի C: \ IAMCli-1.2.0 \ aws-credential.template:
- CLIENT_CONFIG_FILE : Ձեզ անհրաժեշտ է ավելացնել այս միջավայրի փոփոխական, եթե դուք պահանջում եք վստահված սերվեր: Եթե դուք Windows- ի վազում եք եւ ձեր C սկավառակի արմատից unzipped- ը, փոփոխականը կլինի C: \ IAMCli-1.2.0 \ client-config.template: Մի փոփոխեք այս փոփոխականը, եթե դրա կարիքը չունեք:
- Փորձեք տեղադրումը `գնալ Հրամանի Խնդրում եւ մուտք գործել iam-userlistbypath: Քանի դեռ սխալ չեք ստացել, պետք է լավ անցնեք:
Բոլոր IAM հրամանները կարող են առաջադրվել Հրամանատարության ակնարկից: Բոլոր հրամանները սկսվում են «iam-» - ից:
Ստեղծել խումբ
Յուրաքանչյուր AWS հաշվի համար կարող է ստեղծվել առավելագույնը 100 խմբեր: Թեեւ կարող եք թույլատրել IAM- ի թույլտվությունները օգտվողի մակարդակում, օգտագործելով խմբերը, լավագույն փորձը: Ահա IAM- ում խումբ ստեղծելու գործընթացը:
- Խմբի ստեղծման շարադրանքն iam-groupcreate -g GROUPNAME [-p PATH] [-v] որտեղ -p եւ -v- ը ընտրանքներ են: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
- Եթե ուզում եք ստեղծել «awesomeusers» խումբ, դուք կգնաք, iam-groupcreate -g awesomeusers հրամանատարության շտապում:
- Դուք կարող եք ստուգել, որ խումբը ստեղծվել է ճիշտ կերպով, հրամանատարության ակնարկում iam-grouplistbypath մուտքագրելով: Եթե դուք միայն ստեղծել եք այս խումբը, արդյունքը կլինի նման «arn: aws: iam :: 123456789012: խումբ / awesomeusers», որտեղ ձեր համարը AWS հաշվի համարն է:
Տվեք խումբ մուտք դեպի S3 շերեփ եւ CloudFront
Քաղաքականությունը վերահսկում է ձեր խումբը կարող է անել S3- ում կամ CloudFront- ում: Նախապես, ձեր խումբը AWS- ում ոչ մի բան չի կարողանա օգտվել: Ես գտա քաղաքականության վերաբերյալ փաստաթղթերը լավ, բայց մի քանի պոլիսներ ստեղծելով, ես մի քիչ փորձ եւ սխալ եմ արել, բաներ աշխատել այնպես, ինչպես ուզում էի աշխատել:
Դուք ունեք մի քանի տարբերակ `քաղաքականություն ստեղծելու համար:
Մեկ տարբերակն այն է, որ դուք կարող եք ուղղակիորեն մուտքագրել նրանց հրամանատարության ակնարկը: Քանի որ դուք կարող եք ստեղծել քաղաքականություն եւ շտկել այն, իմ համար կարծես թե ավելի հեշտ է ավելացնել քաղաքականությունը տեքստային ֆայլի մեջ եւ այնուհետեւ տեքստային ֆայլը որպես պարամետր վերբեռնել iam-groupuploadpolicy հրամանով: Ահա տեքստային ֆայլը եւ IAM- ին վերբեռնելու գործընթացը:
- Օգտագործեք Գրառման գրքույկ նման բան եւ մուտքագրեք հետեւյալ տեքստը եւ պահպանեք ֆայլը.
{
«Հայտարարություն». [{
«Էֆեկտ». «Թույլ տալ»,
«Գործողություն». «S3: *»,
«Ռեսուրս». [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
«Էֆեկտ». «Թույլ տալ»,
«Գործողություն». «S3: ListLllMyBuckets»,
«Ռեսուրս»: «arn: aws: s3 ::: *»
},
{
«Էֆեկտ». «Թույլ տալ»,
«Գործողություն». [«Ամպային ճակատ: *»],
«Ռեսուրս». «*»
}
[]
} - Այս քաղաքականության մեջ կա 3 բաժին: Արդյունքը օգտագործվում է թույլատրել կամ մերժել որոշակի տեսակի մուտք: Գործողությունը որոշակի բաներ է, որոնք կարող են անել խումբը: Ռեսուրսը կօգտագործվի առանձին դույլերով հասանելի դարձնելու համար:
- Դուք կարող եք սահմանափակել գործողությունները անհատապես: Այս օրինակում «Գործողություն». [«S3: GetObject», «s3: ListBucket», «s3: GetObjectVersion»], խումբը կարող է ցուցակագրել բլոկի բովանդակությունը եւ ներբեռնելու օբյեկտներ:
- Առաջին բաժինը «Թույլ է տալիս» խմբին իրականացնել բոլոր S3 գործողությունները «BUCKETNAME» դույլի համար:
- Երկրորդ բաժինը «Թույլ է տալիս» խմբում նշել S3- ի բոլոր դույլերը: Դուք պետք է սա, որպեսզի դուք կարող եք իրականում տեսնել դույլերի ցանկը, եթե օգտագործում եք AWS վահանակի նման մի բան:
- Երրորդ բաժինը խմբին տալիս է CloudFront- ին լիարժեք օգտվելու հնարավորություն:
Կան բազմաթիվ տարբերակներ, երբ խոսվում է IAM- ի քաղաքականության մասին: Amazon- ը ունի իսկապես թույն գործիք, որը կոչվում է AWS Policy Generator: Այս գործիքը տրամադրում է GUI, որտեղ դուք կարող եք ստեղծել ձեր քաղաքականությունը եւ առաջարկել քաղաքականության իրականացման համար անհրաժեշտ իրական կոդը: Դուք կարող եք ստուգել նաեւ AWS- ի ինքնության եւ մատչելիության կառավարման առցանց փաստաթղթերի օգտագործման Access Policy Language- ի բաժինը:
Ստեղծել օգտվողին եւ ավելացնել խմբի մեջ
Նոր օգտվող ստեղծելու եւ նրանց մուտք գործելու համար մի խումբ ավելացնելու գործընթացը ներառում է մի քանի քայլ:
- Օգտագործողի ստեղծման սինթետիկան iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] որտեղ -p, -g, -k եւ -v- ը ընտրանքներ են: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
- Եթե ցանկանում եք ստեղծել «բոբ» օգտագործող, դուք կգնաք, iam-usercreate -u bob -g awesomeusers հրամանատարության շտապում:
- Դուք կարող եք ստուգել, որ օգտվողը ճիշտ է ստեղծվել, iam-grouplistusers- ը գրելու միջոցով հրամանատարության ակնթարթում: Եթե դուք միայն ստեղծել եք այս օգտագործողին, ապա արդյունքը կլինի նման «arn: aws: iam :: 123456789012: user / bob», որտեղ ձեր համարը AWS հաշվի համարն է:
Ստեղծեք մուտքային պրոֆիլ եւ Ստեղծեք ստեղներ
Այս պահին դուք ստեղծեցիք օգտագործող, բայց դուք պետք է տրամադրեք նրանց, իրականում ավելացնել եւ հեռացնել օբյեկտները S3- ից:
Կան երկու տարբերակ, որոնք մատչելի են ձեր օգտվողներին S3- ի միջոցով IAM- ի օգտվելու համար: Դուք կարող եք ստեղծել մուտքի անձնագիրը եւ ձեր օգտվողներին տրամադրել գաղտնաբառը: Նրանք կարող են օգտագործել իրենց հավատարմագրերը `մուտք գործելու Amazon AWS վահանակ: Մյուս տարբերակն այն է, որ ձեր օգտատերերին մատչելի բանալին եւ գաղտնի բանալին: Նրանք կարող են օգտագործել այս ստեղները 3-րդ կողմի գործիքներում, ինչպիսիք են S3 Fox, CloudBerry S3 Explorer կամ S3 Browser- ը:
Ստեղծեք պրոֆիլի պրոֆիլը
Ձեր S3 օգտվողների մուտքի պրոֆիլը ստեղծելու համար նրանց տրամադրում է օգտվողի անուն եւ գաղտնաբառ, որը նրանք կարող են օգտագործել, որպեսզի մուտք գործեն Amazon AWS վահանակ:
- Մուտքային պրոֆիլի ստեղծման սինթետիկան iam-useraddloginprofile -u USERNAME- p PASSWORD- ը: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
- Եթե ցանկանում եք ստեղծել «բոբ» օգտագործողի մուտքի պրոֆիլը, դուք կստանաք, iam-useraddloginprofile -u bob -p PASSWORD հրամանատարության շտապում:
- Դուք կարող եք ստուգել, որ մուտքի պրոֆիլը ճիշտ է ստեղծվել, iam-usergetloginprofile- ը մուտքագրելով `հրամանատարության ակնթարթում: Եթե դուք ստեղծել եք մուտքի պրոֆիլը bob- ի համար, ապա արդյունքը կլինի «Մուտքային պրոֆիլը գոյություն ունի օգտագործողի համար» նման:
Ստեղծել ստեղներ
AWS- ի գաղտնի մուտքի բանալիի եւ համապատասխան AWS մուտքի բանալի ID- ի ստեղծումը թույլ կտա ձեր օգտագործողներին օգտագործել երրորդ կողմի ծրագրաշարը, ինչպես նախկինում նշվածները: Հիշեք, որ որպես անվտանգության միջոց, դուք կարող եք ստանալ միայն այս ստեղները, օգտվողի պրոֆիլը ավելացնելիս: Համոզվեք, որ պատճենեք եւ տեղադրեք հրամանատարության օգնության ցուցիչը եւ պահպանեք տեքստային ֆայլ: Դուք կարող եք ֆայլը ուղարկել ձեր օգտվողին:
- Օգտագործողի բանալիների ավելացման սինտետը iam-useraddkey [-u USERNAME] է: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
- Եթե ցանկանում եք ստեղծել «բոբ» օգտագործողի համար ստեղներ, դուք կստանաք iam-useraddkey -u bob հրամանատարության ակնարկում:
- Հրահանգը կհրապարակի այնպիսի ստեղներ, որոնք նման են նման բան:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
Առաջին տողը մուտքի բանալի ID- ն է, իսկ երկրորդ գիծը `գաղտնի մուտքի բանալի: Ձեզ անհրաժեշտ է, այնպես էլ 3-րդ կողմի ծրագրային ապահովման համար:
Թեստային մատչելիություն
Այժմ, երբ դուք ստեղծել եք IAM- ի խմբերը / օգտվողներ եւ թույլտվություն տվող խմբերի մուտքը քաղաքականություն, դուք պետք է փորձեք մուտք գործել:
Վահանակի մատչելիություն
Ձեր օգտվողները կարող են օգտվել իրենց օգտագործողի անունից եւ գաղտնաբառից, մուտք գործելու համար AWS վահանակ: Այնուամենայնիվ, սա ոչ թե հերթական կոնսոլի մուտքի էջ չէ, որը օգտագործվում է հիմնական AWS հաշվի համար:
Կա հատուկ URL, որը կարող եք օգտագործել, որը միայն մուտքի ձեւ է ապահովում ձեր Amazon AWS հաշվի համար: Ահա այն URL, որը մուտք է գործում S3- ի ձեր IAM- ի օգտագործողների համար:
https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3
AWS-ACCOUNT-NUMBER- ը ձեր կանոնավոր AWS հաշվի համարն է: Դուք կարող եք ստանալ այն, մուտք գործելով Amazon Web Service Sign In ձեւ: Մուտք եւ սեղմեք Հաշիվ | Հաշվի ակտիվություն: Ձեր հաշվի համարը վերեւի աջ անկյունում է: Համոզվեք, որ հեռացնում եք թեքերը: URL- ն նման է https://123456789012.signin.aws.amazon.com/console/s3-ին:
Օգտագործման մատչելիության բանալիները
Դուք կարող եք ներբեռնել եւ տեղադրել այս հոդվածում արդեն նշված երրորդ կողմի գործիքներից որեւէ մեկը: Մուտքագրեք ձեր մուտքի բանալի ID- ն եւ գաղտնի մուտքի բանալի `3-րդ կողմի գործիքի փաստաթղթերի հիման վրա:
Խստորեն խորհուրդ եմ տալիս ստեղծել նախնական օգտագործող եւ այդ օգտվողը լիովին ստուգել, որ նրանք կարող են անել այն ամենը, ինչ անհրաժեշտ է անել S3- ում: Ձեր օգտվողներից մեկին ստուգելուց հետո կարող եք շարունակել ձեր բոլոր S3 օգտվողների ստեղծումը:
Ռեսուրսներ
Ահա մի քանի ռեսուրսներ, որոնք ձեզ ավելի լավ հասկանալու են ինքնության եւ մատչելիության կառավարման (IAM):
- Սկսել IAM- ի հետ
- IAM հրամանի գծի գործիքակազմ
- Amazon AWS վահանակ
- AWS քաղաքականության գեներատոր
- Օգտագործելով AWS ինքնությունը եւ մատչելիության կառավարումը
- IAM Release Notes- ը
- IAM Քննարկումների ֆորումներ
- IAM- ի Հաճախ տրվող հարցեր