Pengurusan Identiti dan Akses AWS

Bahagian 1 dari 3

Pada tahun 2011, Amazon mengumumkan adanya sokongan AWS Identity & Access Management (IAM) untuk CloudFront. IAM dilancarkan pada tahun 2010 dan termasuk sokongan S3. Pengurusan Identiti & Akses AWS (IAM) membolehkan anda mempunyai berbilang pengguna dalam akaun AWS. Sekiranya anda menggunakan Perkhidmatan Web Amazon (AWS), anda sedar bahawa satu-satunya cara untuk menguruskan kandungan dalam AWS melibatkan memberi nama pengguna dan kata laluan atau kekunci akses anda.

Ini adalah kebimbangan keselamatan sebenar bagi kebanyakan kita. IAM menghilangkan keperluan untuk berkongsi kunci kata laluan dan akses.

Sentiasa mengubah kata laluan AWS utama kami atau menghasilkan kunci baharu hanyalah penyelesaian yang salah apabila seorang anggota staf meninggalkan pasukan kami. Pengurusan Identiti & Akses AWS (IAM) adalah permulaan yang baik yang membolehkan akaun pengguna individu dengan kunci individu. Walau bagaimanapun, kami adalah pengguna S3 / CloudFront jadi kami telah menonton untuk CloudFront untuk ditambah kepada IAM yang akhirnya berlaku.

Saya mendapati dokumentasi mengenai perkhidmatan ini menjadi sedikit bertaburan. Terdapat beberapa produk pihak ke-3 yang menawarkan pelbagai sokongan untuk Pengurusan Identiti & Akses (IAM). Tetapi pemaju biasanya berjimat cermat jadi saya mencari penyelesaian percuma untuk menguruskan IAM dengan perkhidmatan Amazon S3 kami.

Artikel ini berjalan melalui proses penubuhan Command Line Interface yang menyokong IAM dan menyediakan kumpulan / pengguna dengan akses S3. Anda perlu mempunyai persediaan akaun Amazon AWS S3 sebelum anda mula mengkonfigurasi Identiti & Pengurusan Akses (IAM).

Artikel saya, Menggunakan Amazon Storage Simple Service (S3), akan memandu anda melalui proses penubuhan akaun AWS S3.

Inilah langkah-langkah yang terlibat dalam menubuhkan dan melaksanakan pengguna di IAM. Ini ditulis untuk Windows tetapi anda boleh tweak untuk digunakan di Linux, UNIX dan / atau Mac OSX.

1. Pasang dan konfigurasi Barisan Barisan Perintah (CLI)

1. Buat Kumpulan
2. Berikan Akses Kumpulan kepada S3 Bucket dan CloudFront
3. Buat Pengguna dan Tambah ke Kumpulan
4. Buat Profil Login dan Buat Kekunci
5. Akses Ujian

Pasang dan konfigurasi Barisan Barisan Perintah (CLI)

IAM Command Line Toolkit adalah program Java yang tersedia di Alat Pemaju AWS Amazon. Alat ini membolehkan anda untuk melaksanakan perintah IAM API dari utiliti shell (DOS untuk Windows).

• Anda perlu menjalankan Java 1.6 atau lebih tinggi. Anda boleh memuat turun versi terbaru dari Java.com. Untuk melihat versi mana yang dipasang pada sistem Windows anda, buka Prompt Perintah dan ketik java -vert. Ini mengandaikan bahawa java.exe berada dalam PATH anda.
• Muat turun toolkit IAM CLI dan unzip di tempat di drive tempatan anda.
• Terdapat 2 fail dalam akar alatan CLI yang anda perlu kemas kini.
  • aws-credential.template: Fail ini memegang credentials AWS anda. Tambah AWSAccessKeyId dan AWSSecretKey anda, simpan dan tutup fail tersebut.
  • client-config.template : Anda hanya perlu mengemas kini fail ini jika anda memerlukan pelayan proksi. Keluarkan tanda # dan kemas kini ClientProxyHost, ClientProxyPort, ClientProxyUsername dan ClientProxyPassword. Simpan dan tutup fail.
• Langkah seterusnya melibatkan Pembolehubah Persekitaran. Pergi ke Panel Kawalan | Sistem Properties | Tetapan sistem lanjutan | Pembolehubah Persekitaran. Tambah pembolehubah berikut:
  • AWS_IAM_HOME : Tetapkan pemboleh ubah ini ke direktori di mana anda melepaskan toolkit CLI. Jika anda menjalankan Windows dan mengosongkannya pada akar cakera C anda, pemboleh ubahnya ialah C: \ IAMCli-1.2.0.
  • JAVA_HOME : Tetapkan pemboleh ubah ini ke direktori di mana Java dipasang. Ini akan menjadi lokasi fail java.exe. Dalam pemasangan Java Windows biasa, ini akan menjadi seperti C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Tetapkan pemboleh ubah ini ke jalan dan nama fail aws-credential.template yang anda kemaskini di atas. Sekiranya anda menjalankan Windows dan mengosongkannya pada akar cakera C anda, pemboleh ubahnya ialah C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Anda hanya perlu menambah pembolehubah persekitaran ini jika anda memerlukan pelayan proksi. Sekiranya anda menjalankan Windows dan mengosongkannya pada akar cakera C anda, pemboleh ubahnya ialah C: \ IAMCli-1.2.0 \ client-config.template. Jangan tambahkan pembolehubah ini melainkan anda memerlukannya.

• Uji pemasangan dengan pergi ke Command Prompt dan masukkan iam-userlistbypath. Selagi anda tidak menerima kesilapan, anda patut pergi.

Semua arahan IAM boleh dijalankan dari Prompt Perintah. Semua arahan bermula dengan "iam-".

Buat Kumpulan

Terdapat maksimum 100 kumpulan yang boleh dibuat untuk setiap akaun AWS. Walaupun anda boleh menetapkan kebenaran di IAM di peringkat pengguna, menggunakan kumpulan akan menjadi amalan terbaik. Inilah proses untuk membuat kumpulan di IAM.

• Sintaks untuk membuat kumpulan adalah iam-groupcreate -g GROUPNAME [-p PATH] [-v] dimana -p dan -v adalah pilihan. Dokumentasi penuh pada Antara Muka Barisan Perintah boleh didapati di Dokumen AWS.

• Sekiranya anda ingin mencipta kumpulan yang disebut "pengiklan yang hebat", anda akan masuk, iam-groupcreate -g awesomeusers pada Command Prompt.
• Anda boleh menyemak bahawa kumpulan itu telah dibuat dengan betul dengan memasukkan iam-grouplistbypath di Command Prompt. Jika anda hanya mencipta kumpulan ini, output akan menjadi seperti "arn: aws: iam :: 123456789012: group / awesomeusers", di mana nombor itu adalah nombor akaun AWS anda.

Berikan Akses Kumpulan kepada S3 Bucket dan CloudFront

Dasar mengawal apa yang kumpulan anda dapat lakukan di S3 atau CloudFront. Secara lalai, kumpulan anda tidak akan mempunyai akses kepada apa-apa dalam AWS. Saya mendapati dokumentasi tentang dasar menjadi OK tetapi dalam mewujudkan beberapa dasar, saya melakukan sedikit percubaan dan kesilapan untuk mendapatkan perkara yang berfungsi dengan cara saya mahu mereka bekerja.

Anda mempunyai beberapa pilihan untuk membuat dasar.

Satu pilihan ialah anda boleh memasukkannya terus ke Prompt Perintah. Oleh kerana anda mungkin membuat dasar dan mengubahnya, bagi saya, ia kelihatan lebih mudah untuk menambah dasar ke dalam fail teks dan kemudian memuat naik fail teks sebagai parameter dengan perintah iam-groupuploadpolicy. Berikut adalah proses menggunakan fail teks dan muat naik ke IAM.

• Gunakan sesuatu seperti Notepad dan masukkan teks berikut dan simpan fail:
  
  {
  "Penyataan": [{
  "Kesan": "Benarkan",
  "Tindakan": "s3: *",
  "Sumber":[
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Kesan": "Benarkan",
  "Tindakan": "s3: ListAllMyBuckets",
  "Sumber": "arn: aws: s3 ::: *"
  },
  {
  "Kesan": "Benarkan",
  "Tindakan": ["cloudfront: *"],
  "Sumber":"*"
  }
  ]
  }
  
• Terdapat 3 bahagian untuk dasar ini. Kesan digunakan untuk Membenarkan atau Menolak beberapa jenis akses. Aksi adalah perkara-perkara tertentu yang boleh dilakukan oleh kumpulan. Sumber itu akan digunakan untuk memberikan akses kepada baldi individu.

• Anda boleh menghadkan Tindakan secara individu. Dalam contoh ini, "Tindakan": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], kumpulan akan dapat menyenaraikan kandungan baldi dan objek muat turun.
• Bahagian pertama "Membolehkan" kumpulan untuk melakukan semua tindakan S3 untuk baldi "BUCKETNAME".
• Bahagian kedua "Membolehkan" kumpulan untuk menyenaraikan semua baldi di S3. Anda perlukan ini supaya anda dapat melihat senarai baldi jika anda menggunakan sesuatu seperti AWS Console.

• Bahagian ketiga memberikan akses kumpulan penuh ke CloudFront.

Terdapat banyak pilihan apabila datang ke dasar IAM. Amazon mempunyai alat yang sangat keren yang dikenali sebagai Generator Policy AWS. Alat ini menyediakan GUI di mana anda boleh membuat dasar anda dan menghasilkan kod sebenar yang anda perlukan untuk melaksanakan dasar tersebut. Anda juga boleh menyemak bahagian Dasar Dasar Akses menggunakan dokumentasi dalam talian Pengurusan Identiti dan Akses Pengurusan AWS.

Buat Pengguna dan Tambah ke Kumpulan

Proses mencipta pengguna baru dan menambahkan kepada kumpulan untuk menyediakan akses mereka melibatkan beberapa langkah.

• Sintaks untuk mencipta pengguna adalah iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] dimana -p, -g, -k dan -v adalah pilihan. Dokumentasi penuh pada Antara Muka Barisan Perintah boleh didapati di Dokumen AWS.
• Jika anda ingin mencipta pengguna "bob", anda akan masuk, iam-usercreate -u bob -g awesomeusers pada Command Prompt.
• Anda boleh menyemak bahawa pengguna telah dicipta dengan betul dengan memasukkan kumpulan pengguna iam-kumpulan senarai-peminat di Command Prompt. Jika anda hanya mencipta pengguna ini, output akan menjadi seperti "arn: aws: iam :: 123456789012: user / bob", di mana nombor adalah nombor akaun AWS anda.

Buat Profil Logon dan Buat Kekunci

Pada ketika ini, anda telah mencipta pengguna tetapi anda perlu memberi mereka cara untuk benar-benar menambah dan mengeluarkan objek dari S3.

Terdapat 2 pilihan untuk menyediakan pengguna anda akses kepada S3 menggunakan IAM. Anda boleh membuat Profil Masuk dan memberi pengguna anda kata laluan. Mereka boleh menggunakan kelayakan mereka untuk log masuk ke Konsol Amazon AWS. Pilihan lain adalah memberikan pengguna kunci akses dan kunci rahsia. Mereka boleh menggunakan kekunci ini dalam alat pihak ke-3 seperti S3 Fox, CloudBerry S3 Explorer atau Browser S3.

Buat Profil Masuk

Mewujudkan Profil Log Masuk untuk pengguna S3 anda memberi mereka nama pengguna dan kata laluan yang mereka boleh gunakan untuk log masuk ke Konsol Amazon AWS.

• Sintaks untuk membuat profil log masuk ialah iam-useraddloginprofile -u USERNAME -p PASSWORD. Dokumentasi penuh pada Antara Muka Barisan Perintah boleh didapati di Dokumen AWS.
• Jika anda ingin membuat profil log masuk untuk pengguna "bob", anda akan memasukkan, iam-useraddloginprofile -u bob -p PASSWORD pada Command Prompt.

• Anda boleh menyemak bahawa profil masuk dibuat dengan betul dengan memasukkan iam-usergetloginprofile -u bob pada Prompt Perintah. Sekiranya anda telah mencipta profil log masuk untuk bob, output akan menjadi seperti "Profil Masuk untuk pengguna bob".

Buat Kekunci

Mewujudkan Kunci Akses Rahsia AWS dan ID Kunci Akses AWS yang sepadan akan membolehkan pengguna anda menggunakan perisian pihak ke-3 seperti yang disebut sebelum ini. Perlu diingat bahawa sebagai langkah keselamatan, anda hanya boleh mendapatkan kunci ini semasa proses menambah profil pengguna. Pastikan anda menyalin dan tampal output dari Prompt Perintah dan simpan dalam fail teks. Anda boleh menghantar fail kepada pengguna anda.

• Sintaks untuk menambahkan kunci untuk pengguna adalah iam-useraddkey [-u USERNAME]. Dokumentasi penuh pada Antara Muka Barisan Perintah boleh didapati di Dokumen AWS.
• Jika anda ingin mencipta kunci untuk pengguna "bob", anda akan memasukkan iam-useraddkey -u bob pada Prompt Perintah.
• Perintah akan mengeluarkan kunci yang akan kelihatan seperti ini:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Baris pertama ialah ID Kunci Akses dan baris kedua ialah Kunci Akses Rahsia. Anda memerlukan kedua-dua perisian pihak ketiga.

Akses Ujian

Sekarang bahawa anda telah membuat kumpulan IAM / pengguna dan memberi akses kumpulan menggunakan dasar, anda perlu menguji akses.

Akses Konsol

Pengguna anda boleh menggunakan nama pengguna dan kata laluan mereka untuk log masuk ke Konsol AWS. Bagaimanapun, ini bukan laman log masuk konsol biasa yang digunakan untuk akaun AWS utama.

Terdapat URL khas yang boleh anda gunakan yang akan memberikan borang login untuk akaun Amazon AWS anda sahaja. Berikut ialah URL untuk masuk ke S3 untuk pengguna IAM anda.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER adalah nombor akaun AWS biasa anda. Anda boleh mendapatkannya dengan melog masuk ke dalam Borang Web Perkhidmatan Amazon Amazon. Masuk dan klik pada Akaun | Aktiviti Akaun. Nombor akaun anda berada di sudut kanan atas. Pastikan anda mengalih keluar garis tengah. URL itu akan kelihatan seperti https://123456789012.signin.aws.amazon.com/console/s3.

Menggunakan Kunci Akses

Anda boleh memuat turun dan memasang mana-mana alat pihak ke-3 yang telah disebutkan dalam artikel ini. Masukkan ID Kunci Akses anda dan Kunci Akses Rahsia mengikut dokumentasi alat pihak ke-3.

Saya sangat mengesyorkan bahawa anda membuat pengguna awal dan mempunyai pengguna yang sepenuhnya menguji bahawa mereka boleh melakukan semua yang perlu dilakukan dalam S3. Selepas anda mengesahkan salah satu daripada pengguna anda, anda boleh meneruskan dengan menubuhkan semua pengguna S3 anda.

Sumber

Berikut adalah beberapa sumber untuk memberi anda pemahaman yang lebih baik mengenai Pengurusan Identiti & Akses (IAM).

• Bermula dengan IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• Penjana Dasar AWS
• Menggunakan Pengurusan Identiti dan Akses AWS

• Nota Pelepasan IAM
• Forum Perbincangan IAM
• Soalan Lazim IAM