AWS ինքնությունը եւ մատչելիությունը կառավարելը

3-րդ մաս

2011 թվականին Amazon- ը հայտարարեց CloudWare- ի AWS Identity & Access Management (IAM) օժանդակության առկայությունը: IAM- ը մեկնարկել է 2010-ին եւ ներառում S3 աջակցությունը: AWS Identity & Access Management- ը (IAM) թույլ է տալիս Ձեզ ունենալ AWS- ի հաշվում բազմաթիվ օգտվողներ: Եթե ​​Դուք օգտագործում եք Amazon Web Services- ը (AWS), դուք տեղյակ եք, որ AWS- ում բովանդակության կառավարման միակ ձեւը ներգրավված է ձեր օգտագործողի անունը եւ գաղտնաբառը կամ մուտքի բանալիները:

Սա մեզանից շատերի համար իսկական անվտանգության խնդիր է: IAM- ը վերացնում է գաղտնաբառերի եւ մուտքի բանալիները կիսելու անհրաժեշտությունը:

Անընդհատ փոխելով մեր հիմնական AWS գաղտնաբառերը կամ գեներացնող նոր բանալիները միայն խառնաշփոթ լուծում է, երբ անձնակազմի անդամը թողնի մեր թիմը: AWS Identity & Access Management- ը (IAM) լավ սկիզբ է, որը թույլ է տալիս անհատական ​​հաշիվներ անհատական ​​բանալիներով: Այնուամենայնիվ, մենք S3 / CloudFront օգտվող ենք, այնպես որ մենք դիտում ենք CloudFront- ին, որը պետք է ավելացվի IAM- ում, որը վերջապես տեղի ունեցավ:

Ես գտա այս ծառայության մասին փաստաթղթերը `մի քիչ ցրված: Կան մի քանի երրորդ կողմի ապրանքներ, որոնք առաջարկում են ինքնության եւ մատչելիության կառավարման (IAM) մի շարք աջակցություն: Բայց մշակողները սովորաբար շատ են, եւ ես ձգտում եմ ազատ լուծում գործադրել IAM- ի համար, մեր Amazon S3 ծառայության հետ:

Այս հոդվածը ընթանում է Command Line Interface- ի ստեղծման գործընթացի միջոցով, որը աջակցում է IAM- ին եւ S3- ի հետ մի խումբ / օգտվողի ստեղծում: Դուք պետք է ունենաք Amazon AWS S3 հաշվի կարգավորում, նախքան սկսեք Configuration of Identity & Access Management (IAM):

Իմ հոդվածը, Amazon- ի Simple Storage Service- ի (S3) օգտագործումը, ձեզ կուղեկցի AWS S3 հաշվի ստեղծման գործընթացում:

Ահա այն քայլերը, որոնք ներգրավված են IAM- ում օգտագործողի ստեղծման եւ իրականացման մեջ: Սա գրված է Windows- ի համար, բայց դուք կարող եք կսմթել Linux, UNIX եւ / կամ Mac OSX- ի համար:

1. Տեղադրեք եւ կարգավորեք Command Line Interface (CLI)

1. Ստեղծել խումբ
2. Տվեք խումբ մուտք դեպի S3 շերեփ եւ CloudFront
3. Ստեղծել օգտվողին եւ ավելացնել խմբի մեջ
4. Ստեղծել պրոֆիլի պրոֆիլ եւ Ստեղծել ստեղներ
5. Թեստային մատչելիություն

Տեղադրեք եւ կարգավորեք Command Line Interface (CLI)

The IAM Command Line Toolkit- ը Amazon- ի AWS մշակողների գործիքներում մատչելի Java ծրագիր է: Գործիքը թույլ է տալիս կատարել IAM API- ի հրամանները Shell- ի օգտակար (DOS համար Windows- ի համար):

• Դուք պետք է վազեն Java 1.6 կամ ավելի բարձր: Դուք կարող եք ներբեռնել վերջին տարբերակը Java.com- ից: Տեսնելու համար, թե որ տարբերակը տեղադրվում է ձեր Windows համակարգում, բացեք Հրամանի Խոստումը եւ մուտքագրեք java -version: Սա ենթադրում է, որ java.exe- ը ձեր PATH- ում է:
• Ներբեռնեք IAM CLI գործիքակազմը եւ տեղադրեք ձեր տեղական քշում:
• CLI- ի գործիքակազմի արմատից 2 ֆայլ կա, որ դուք պետք է թարմացնեք:
  • aws-credential.template: Այս ֆայլը պահում է ձեր AWS- ի հավատարմագրերը: Ավելացնել ձեր AWSAccessKeyId- ը եւ ձեր AWSSecretKey, փրկեք եւ փակեք ֆայլը:
  • client-config.template : Դուք միայն անհրաժեշտ է թարմացնել այս ֆայլը, եթե դուք պահանջում եք վստահված սերվեր: Հեռացնել # նշանները եւ թարմացնել ClientProxyHost, ClientProxyPort, ClientProxyUsername եւ ClientProxyPassword: Պահել եւ փակել ֆայլը:
• Հաջորդ քայլը ներառում է Բնապահպանական փոփոխականներ: Գնալ Control Panel | Համակարգի հատկությունները | Ընդլայնված համակարգի պարամետրեր | Շրջակա միջավայրի փոփոխականներ: Ավելացնել հետեւյալ փոփոխականները.
  • AWS_IAM_HOME : Սահմանել այս փոփոխականը այն դիրեկտորիան, որտեղ դուք բացել եք CLI գործիքակազմը: Եթե ​​դուք Windows- ն եք վարում եւ C- ի սկավառակի արմատից unzipped, ապա փոփոխությունը կլինի C: \ IAMCli-1.2.0:
  • JAVA_HOME : Սահմանել այս փոփոխականին այն դիրեկտորիան, որտեղ տեղադրված է Java: Դա կլինի java.exe ֆայլի գտնվելու վայրը: Նոր Windows 7-ի Java տեղադրման մեջ դա կլինի C: \ Program Files (x86) \ Java \ jre6- ի նման:
  • AWS_CREDENTIAL_FILE . Սահմանեք այս փոփոխականին վերեւում թարմացվող aws-credential.template- ի ուղին եւ ֆայլի անունը: Եթե ​​դուք Windows- ի վազում եք եւ C- ի սկավառակի արմատից unzipped- ը, ապա փոփոխականը կլինի C: \ IAMCli-1.2.0 \ aws-credential.template:
  • CLIENT_CONFIG_FILE : Ձեզ անհրաժեշտ է ավելացնել այս միջավայրի փոփոխական, եթե դուք պահանջում եք վստահված սերվեր: Եթե ​​դուք Windows- ի վազում եք եւ ձեր C սկավառակի արմատից unzipped- ը, փոփոխականը կլինի C: \ IAMCli-1.2.0 \ client-config.template: Մի փոփոխեք այս փոփոխականը, եթե դրա կարիքը չունեք:

• Փորձեք տեղադրումը `գնալ Հրամանի Խնդրում եւ մուտք գործել iam-userlistbypath: Քանի դեռ սխալ չեք ստացել, պետք է լավ անցնեք:

Բոլոր IAM հրամանները կարող են առաջադրվել Հրամանատարության ակնարկից: Բոլոր հրամանները սկսվում են «iam-» - ից:

Ստեղծել խումբ

Յուրաքանչյուր AWS հաշվի համար կարող է ստեղծվել առավելագույնը 100 խմբեր: Թեեւ կարող եք թույլատրել IAM- ի թույլտվությունները օգտվողի մակարդակում, օգտագործելով խմբերը, լավագույն փորձը: Ահա IAM- ում խումբ ստեղծելու գործընթացը:

• Խմբի ստեղծման շարադրանքն iam-groupcreate -g GROUPNAME [-p PATH] [-v] որտեղ -p եւ -v- ը ընտրանքներ են: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:

• Եթե ​​ուզում եք ստեղծել «awesomeusers» խումբ, դուք կգնաք, iam-groupcreate -g awesomeusers հրամանատարության շտապում:
• Դուք կարող եք ստուգել, ​​որ խումբը ստեղծվել է ճիշտ կերպով, հրամանատարության ակնարկում iam-grouplistbypath մուտքագրելով: Եթե ​​դուք միայն ստեղծել եք այս խումբը, արդյունքը կլինի նման «arn: aws: iam :: 123456789012: խումբ / awesomeusers», որտեղ ձեր համարը AWS հաշվի համարն է:

Տվեք խումբ մուտք դեպի S3 շերեփ եւ CloudFront

Քաղաքականությունը վերահսկում է ձեր խումբը կարող է անել S3- ում կամ CloudFront- ում: Նախապես, ձեր խումբը AWS- ում ոչ մի բան չի կարողանա օգտվել: Ես գտա քաղաքականության վերաբերյալ փաստաթղթերը լավ, բայց մի քանի պոլիսներ ստեղծելով, ես մի քիչ փորձ եւ սխալ եմ արել, բաներ աշխատել այնպես, ինչպես ուզում էի աշխատել:

Դուք ունեք մի քանի տարբերակ `քաղաքականություն ստեղծելու համար:

Մեկ տարբերակն այն է, որ դուք կարող եք ուղղակիորեն մուտքագրել նրանց հրամանատարության ակնարկը: Քանի որ դուք կարող եք ստեղծել քաղաքականություն եւ շտկել այն, իմ համար կարծես թե ավելի հեշտ է ավելացնել քաղաքականությունը տեքստային ֆայլի մեջ եւ այնուհետեւ տեքստային ֆայլը որպես պարամետր վերբեռնել iam-groupuploadpolicy հրամանով: Ահա տեքստային ֆայլը եւ IAM- ին վերբեռնելու գործընթացը:

• Օգտագործեք Գրառման գրքույկ նման բան եւ մուտքագրեք հետեւյալ տեքստը եւ պահպանեք ֆայլը.
  
  {
  «Հայտարարություն». [{
  «Էֆեկտ». «Թույլ տալ»,
  «Գործողություն». «S3: *»,
  «Ռեսուրս». [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  «Էֆեկտ». «Թույլ տալ»,
  «Գործողություն». «S3: ListLllMyBuckets»,
  «Ռեսուրս»: «arn: aws: s3 ::: *»
  },
  {
  «Էֆեկտ». «Թույլ տալ»,
  «Գործողություն». [«Ամպային ճակատ: *»],
  «Ռեսուրս». «*»
  }
  []
  }
  
• Այս քաղաքականության մեջ կա 3 բաժին: Արդյունքը օգտագործվում է թույլատրել կամ մերժել որոշակի տեսակի մուտք: Գործողությունը որոշակի բաներ է, որոնք կարող են անել խումբը: Ռեսուրսը կօգտագործվի առանձին դույլերով հասանելի դարձնելու համար:

• Դուք կարող եք սահմանափակել գործողությունները անհատապես: Այս օրինակում «Գործողություն». [«S3: GetObject», «s3: ListBucket», «s3: GetObjectVersion»], խումբը կարող է ցուցակագրել բլոկի բովանդակությունը եւ ներբեռնելու օբյեկտներ:
• Առաջին բաժինը «Թույլ է տալիս» խմբին իրականացնել բոլոր S3 գործողությունները «BUCKETNAME» դույլի համար:
• Երկրորդ բաժինը «Թույլ է տալիս» խմբում նշել S3- ի բոլոր դույլերը: Դուք պետք է սա, որպեսզի դուք կարող եք իրականում տեսնել դույլերի ցանկը, եթե օգտագործում եք AWS վահանակի նման մի բան:

• Երրորդ բաժինը խմբին տալիս է CloudFront- ին լիարժեք օգտվելու հնարավորություն:

Կան բազմաթիվ տարբերակներ, երբ խոսվում է IAM- ի քաղաքականության մասին: Amazon- ը ունի իսկապես թույն գործիք, որը կոչվում է AWS Policy Generator: Այս գործիքը տրամադրում է GUI, որտեղ դուք կարող եք ստեղծել ձեր քաղաքականությունը եւ առաջարկել քաղաքականության իրականացման համար անհրաժեշտ իրական կոդը: Դուք կարող եք ստուգել նաեւ AWS- ի ինքնության եւ մատչելիության կառավարման առցանց փաստաթղթերի օգտագործման Access Policy Language- ի բաժինը:

Ստեղծել օգտվողին եւ ավելացնել խմբի մեջ

Նոր օգտվող ստեղծելու եւ նրանց մուտք գործելու համար մի խումբ ավելացնելու գործընթացը ներառում է մի քանի քայլ:

• Օգտագործողի ստեղծման սինթետիկան iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] որտեղ -p, -g, -k եւ -v- ը ընտրանքներ են: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
• Եթե ​​ցանկանում եք ստեղծել «բոբ» օգտագործող, դուք կգնաք, iam-usercreate -u bob -g awesomeusers հրամանատարության շտապում:
• Դուք կարող եք ստուգել, ​​որ օգտվողը ճիշտ է ստեղծվել, iam-grouplistusers- ը գրելու միջոցով հրամանատարության ակնթարթում: Եթե ​​դուք միայն ստեղծել եք այս օգտագործողին, ապա արդյունքը կլինի նման «arn: aws: iam :: 123456789012: user / bob», որտեղ ձեր համարը AWS հաշվի համարն է:

Ստեղծեք մուտքային պրոֆիլ եւ Ստեղծեք ստեղներ

Այս պահին դուք ստեղծեցիք օգտագործող, բայց դուք պետք է տրամադրեք նրանց, իրականում ավելացնել եւ հեռացնել օբյեկտները S3- ից:

Կան երկու տարբերակ, որոնք մատչելի են ձեր օգտվողներին S3- ի միջոցով IAM- ի օգտվելու համար: Դուք կարող եք ստեղծել մուտքի անձնագիրը եւ ձեր օգտվողներին տրամադրել գաղտնաբառը: Նրանք կարող են օգտագործել իրենց հավատարմագրերը `մուտք գործելու Amazon AWS վահանակ: Մյուս տարբերակն այն է, որ ձեր օգտատերերին մատչելի բանալին եւ գաղտնի բանալին: Նրանք կարող են օգտագործել այս ստեղները 3-րդ կողմի գործիքներում, ինչպիսիք են S3 Fox, CloudBerry S3 Explorer կամ S3 Browser- ը:

Ստեղծեք պրոֆիլի պրոֆիլը

Ձեր S3 օգտվողների մուտքի պրոֆիլը ստեղծելու համար նրանց տրամադրում է օգտվողի անուն եւ գաղտնաբառ, որը նրանք կարող են օգտագործել, որպեսզի մուտք գործեն Amazon AWS վահանակ:

• Մուտքային պրոֆիլի ստեղծման սինթետիկան iam-useraddloginprofile -u USERNAME- p PASSWORD- ը: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
• Եթե ​​ցանկանում եք ստեղծել «բոբ» օգտագործողի մուտքի պրոֆիլը, դուք կստանաք, iam-useraddloginprofile -u bob -p PASSWORD հրամանատարության շտապում:

• Դուք կարող եք ստուգել, ​​որ մուտքի պրոֆիլը ճիշտ է ստեղծվել, iam-usergetloginprofile- ը մուտքագրելով `հրամանատարության ակնթարթում: Եթե ​​դուք ստեղծել եք մուտքի պրոֆիլը bob- ի համար, ապա արդյունքը կլինի «Մուտքային պրոֆիլը գոյություն ունի օգտագործողի համար» նման:

Ստեղծել ստեղներ

AWS- ի գաղտնի մուտքի բանալիի եւ համապատասխան AWS մուտքի բանալի ID- ի ստեղծումը թույլ կտա ձեր օգտագործողներին օգտագործել երրորդ կողմի ծրագրաշարը, ինչպես նախկինում նշվածները: Հիշեք, որ որպես անվտանգության միջոց, դուք կարող եք ստանալ միայն այս ստեղները, օգտվողի պրոֆիլը ավելացնելիս: Համոզվեք, որ պատճենեք եւ տեղադրեք հրամանատարության օգնության ցուցիչը եւ պահպանեք տեքստային ֆայլ: Դուք կարող եք ֆայլը ուղարկել ձեր օգտվողին:

• Օգտագործողի բանալիների ավելացման սինտետը iam-useraddkey [-u USERNAME] է: Command Line Interface- ի ամբողջական փաստաթղթերը հասանելի են AWS Փաստաթղթերում:
• Եթե ​​ցանկանում եք ստեղծել «բոբ» օգտագործողի համար ստեղներ, դուք կստանաք iam-useraddkey -u bob հրամանատարության ակնարկում:
• Հրահանգը կհրապարակի այնպիսի ստեղներ, որոնք նման են նման բան:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Առաջին տողը մուտքի բանալի ID- ն է, իսկ երկրորդ գիծը `գաղտնի մուտքի բանալի: Ձեզ անհրաժեշտ է, այնպես էլ 3-րդ կողմի ծրագրային ապահովման համար:

Թեստային մատչելիություն

Այժմ, երբ դուք ստեղծել եք IAM- ի խմբերը / օգտվողներ եւ թույլտվություն տվող խմբերի մուտքը քաղաքականություն, դուք պետք է փորձեք մուտք գործել:

Վահանակի մատչելիություն

Ձեր օգտվողները կարող են օգտվել իրենց օգտագործողի անունից եւ գաղտնաբառից, մուտք գործելու համար AWS վահանակ: Այնուամենայնիվ, սա ոչ թե հերթական կոնսոլի մուտքի էջ չէ, որը օգտագործվում է հիմնական AWS հաշվի համար:

Կա հատուկ URL, որը կարող եք օգտագործել, որը միայն մուտքի ձեւ է ապահովում ձեր Amazon AWS հաշվի համար: Ահա այն URL, որը մուտք է գործում S3- ի ձեր IAM- ի օգտագործողների համար:

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER- ը ձեր կանոնավոր AWS հաշվի համարն է: Դուք կարող եք ստանալ այն, մուտք գործելով Amazon Web Service Sign In ձեւ: Մուտք եւ սեղմեք Հաշիվ | Հաշվի ակտիվություն: Ձեր հաշվի համարը վերեւի աջ անկյունում է: Համոզվեք, որ հեռացնում եք թեքերը: URL- ն նման է https://123456789012.signin.aws.amazon.com/console/s3-ին:

Օգտագործման մատչելիության բանալիները

Դուք կարող եք ներբեռնել եւ տեղադրել այս հոդվածում արդեն նշված երրորդ կողմի գործիքներից որեւէ մեկը: Մուտքագրեք ձեր մուտքի բանալի ID- ն եւ գաղտնի մուտքի բանալի `3-րդ կողմի գործիքի փաստաթղթերի հիման վրա:

Խստորեն խորհուրդ եմ տալիս ստեղծել նախնական օգտագործող եւ այդ օգտվողը լիովին ստուգել, ​​որ նրանք կարող են անել այն ամենը, ինչ անհրաժեշտ է անել S3- ում: Ձեր օգտվողներից մեկին ստուգելուց հետո կարող եք շարունակել ձեր բոլոր S3 օգտվողների ստեղծումը:

Ռեսուրսներ

Ահա մի քանի ռեսուրսներ, որոնք ձեզ ավելի լավ հասկանալու են ինքնության եւ մատչելիության կառավարման (IAM):

• Սկսել IAM- ի հետ
• IAM հրամանի գծի գործիքակազմ
• Amazon AWS վահանակ
• AWS քաղաքականության գեներատոր
• Օգտագործելով AWS ինքնությունը եւ մատչելիության կառավարումը

• IAM Release Notes- ը
• IAM Քննարկումների ֆորումներ
• IAM- ի Հաճախ տրվող հարցեր