Uwezo wa AWS na Usimamizi wa Ufikiaji

Sehemu ya 1 ya 3

Mnamo mwaka 2011, Amazon ilitangaza upatikanaji wa AWS Identity & Access Management (IAM) msaada wa CloudFront. IAM ilizinduliwa mwaka 2010 na ni pamoja na msaada wa S3. Uwezo wa AWS & Usimamizi wa Ufikiaji (IAM) unawezesha kuwa na watumiaji wengi ndani ya akaunti ya AWS. Ikiwa umetumia Amazon Web Services (AWS), unajua kwamba njia pekee ya kudhibiti maudhui katika AWS inahusisha kutoa jina lako la mtumiaji na nenosiri au ufunguo wa funguo.

Hii ni wasiwasi halisi wa usalama kwa wengi wetu. IAM huondosha haja ya kushiriki nywila na funguo za upatikanaji.

Mara kwa mara kubadilisha nenosiri kuu la AWS au kuzalisha funguo mpya ni suluhisho la uovu wakati mtumishi anaweza kuondoka timu yetu. Uwezo wa AWS & Usimamizi wa Upatikanaji (IAM) ulikuwa mwanzo mzuri kuruhusu akaunti za mtumiaji binafsi na funguo za kibinafsi. Hata hivyo, sisi ni user S3 / CloudFront hivyo tumekuwa kuangalia CloudFront kuongezwa kwa IAM ambayo hatimaye kilichotokea.

Nimeona nyaraka juu ya huduma hii kuwa kidogo kutawanyika. Kuna bidhaa chache za chama cha tatu ambazo zinatoa msaada wa Identity & Access Management (IAM). Lakini watengenezaji mara nyingi husababisha hivyo nilitafuta ufumbuzi wa bure wa kusimamia IAM na huduma yetu ya Amazon S3.

Makala hii inapita kupitia mchakato wa kuanzisha Interface Line ya Amri inayounga mkono IAM na kuanzisha kikundi / mtumiaji na upatikanaji wa S3. Unahitaji kuwa na akaunti ya kuanzisha akaunti ya Amazon AWS S3 kabla ya kuanza kusanikisha Identity & Access Management (IAM).

Makala yangu, Kutumia Huduma ya Rahisi ya Uhifadhi ya Amazon (S3), itakwenda kwa njia ya kuanzisha akaunti ya AWS S3.

Hapa kuna hatua zinazohusika katika kuanzisha na kutekeleza mtumiaji katika IAM. Hii imeandikwa kwa Windows lakini unaweza tweak kwa matumizi katika Linux, UNIX na / au Mac OSX.

1. Sakinisha na usanidi Interface ya Mstari wa Amri (CLI)

1. Unda Kundi
2. Kutoa Kikundi Ufikiaji wa Bucket S3 na CloudFront
3. Unda Mtumiaji na Ongeza kwenye Kikundi
4. Unda Programu ya Kuingia na Unda Keki
5. Upatikanaji wa Upimaji

Sakinisha na usanidi Interface ya Mstari wa Amri (CLI)

IAM Amri Line Toolkit ni mpango wa Java unaopatikana katika Vyombo vya Waendelezaji vya AWS vya Amazon. Chombo hiki kinakuwezesha kutekeleza amri za IAM API kutoka kwa shirika la shell (DOS kwa Windows).

• Unahitaji kuwa na Java 1.6 au zaidi. Unaweza kushusha toleo la hivi karibuni kutoka kwa Java.com. Kuona ni toleo gani limewekwa kwenye mfumo wako wa Windows, kufungua Prompt Command na aina katika java -version. Hii inadhani kuwa java.exe iko katika PATH yako.
• Pakua kitambulisho cha IAM CLI na unzip mahali fulani kwenye gari lako la ndani.
• Kuna faili 2 kwenye mizizi ya toolkit ya CLI ambayo unahitaji kurekebisha.
  • Aws-credential.template: Faili hii inashikilia sifa zako za AWS. Ongeza AWSAccessKeyId yako na AWSSecretKey yako, ihifadhi na ufunge faili.
  • mteja-config.template : Unahitaji tu kusasisha faili hii ikiwa unahitaji seva ya wakala. Ondoa ishara # na usasishe ClientProxyHost, ClientProxyPort, Jina la ClientProxyU na ClientProxyPassword. Hifadhi na funga faili.
• Hatua inayofuata inahusisha kuongeza vigezo vya Mazingira. Nenda kwenye Jopo la Kudhibiti | Mali ya Mfumo | Mipangilio ya mfumo wa juu | Vigezo vya mazingira. Ongeza vigezo vifuatavyo:
  • AWS_IAM_HOME : Weka hii variable kwenye saraka ambapo unzipped toolkit ya CLI. Ikiwa unatumia Windows na unzipped kwenye mzizi wa gari lako la C, variable itakuwa C: \ IAMCli-1.2.0.
  • JAVA_HOME : Weka hii variable kwenye saraka ambapo Java imewekwa. Hii itakuwa eneo la faili ya java.exe. Katika mfumo wa kawaida wa Windows 7 wa Java, hii itakuwa kitu kama C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Weka hii variable kwa njia na faili jina la aws-credential.template kwamba wewe updated juu. Ikiwa unatumia Windows na unzipped kwenye mizizi ya gari lako la C, variable itakuwa C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Unahitaji tu kuongeza variable hii ya mazingira ikiwa unahitaji seva ya wakala. Ikiwa unatumia Windows na unzipped kwenye mzizi wa gari lako la C, variable itakuwa C: \ IAMCli-1.2.0 \ mteja-config.template. Usiongeze tofauti hii isipokuwa unahitaji.

• Tathmini upangiaji kwa kwenda kwenye Njia ya Amri na uingie wa-userlistbypath. Kama utapokea kosa, unapaswa kuwa mzuri kwenda.

Amri zote za IAM zinaweza kukimbia kutoka kwa Amri ya Prompt. Amri zote zinaanza na "iam-".

Unda Kundi

Kuna kiwango cha juu cha makundi 100 ambayo yanaweza kuundwa kwa kila akaunti ya AWS. Wakati unaweza kuweka vibali katika IAM kwenye ngazi ya mtumiaji, kutumia vikundi itakuwa ni mazoezi bora. Hapa ni mchakato wa kuunda kundi katika IAM.

• Kipindi cha kuunda kundi ni kikundi-kikundi -g GROUPNAME [-p PATH] [-v] ambapo -p na -v ni chaguo. Nyaraka kamili juu ya Interface Line ya Amri inapatikana kwenye Hati za AWS.

• Ikiwa ungependa kuunda kikundi kinachoitwa "washangazaji", ungependa kuingilia, kuunda-kuunda-washambuliaji wa ajabu katika Jambo la Amri.
• Unaweza kuangalia kwamba kikundi kiliumbwa kwa usahihi kwa kuingia kikundi cha kikundi cha kikundi katika Command Prompt. Ikiwa umeunda kikundi hiki, pato hilo lingekuwa kitu kama "arn: aws: iam :: 123456789012: kikundi / awesomeusers", ambapo idadi ni nambari yako ya akaunti ya AWS.

Kutoa Kikundi Ufikiaji wa Bucket S3 na CloudFront

Sera ya kudhibiti kile kikundi chako kinaweza kufanya katika S3 au CloudFront. Kwa default, kikundi chako hakikuweza kufikia chochote katika AWS. Nimeona nyaraka juu ya sera za kuwa sawa lakini kwa kuunda sera ndogo, nilifanya jaribio na hitilafu ili kupata vitu vifanye kazi nilitaka kufanya kazi.

Una chaguo chache cha kuunda sera.

Chaguo moja ni unaweza kuingia kwa moja kwa moja kwenye Prompt Command. Kwa kuwa unaweza kuwa na sera na kuimarisha, kwa ajili yangu nilionekana rahisi kuongeza sera katika faili ya maandishi na kisha upload faili ya maandishi kama parameter na sera amri-groupuploadpolicy. Hapa ni mchakato kwa kutumia faili ya maandishi na kupakia kwa IAM.

• Tumia kitu kama Kichunguzi na uingie maandishi yafuatayo na uhifadhi faili:
  
  {
  "Kauli":[{
  "Athari": "Ruhusu",
  "Action": "s3: *",
  "Rasilimali":[
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Athari": "Ruhusu",
  "Hatua": "s3: Orodha Zote"
  "Nyenzo-rejea": "arn: aws: s3 ::: *"
  },
  {
  "Athari": "Ruhusu",
  "Action": ["mbele ya mbele: *"],
  "Rasilimali":"*"
  }
  ]
  }
  
• Kuna sehemu 3 za sera hii. Athari hutumiwa Kuruhusu au Kata aina fulani ya upatikanaji. Hatua ni mambo maalum ambayo kundi linaweza kufanya. Rasilimali itatumika kutoa fursa ya kibinafsi.

• Unaweza kuzuia Vitendo kwa kila mmoja. Katika mfano huu, "Action": ["s3: GetObject", "s3: Orodha yaBucket", "s3: GetObjectVersion"], kikundi hiki kinaweza kuandika yaliyomo kwenye ndoo na kupakua vitu.
• Sehemu ya kwanza "Inaruhusu" kundi kufanya vitendo vyote vya S3 kwa ndoo "BUCKETNAME".
• Sehemu ya pili "Inaruhusu" kundi kuorodhesha ndoo zote katika S3. Unahitaji hili ili uweze kuona orodha ya ndoo ikiwa unatumia kitu kama AWS Console.

• Sehemu ya tatu huwapa kikundi ufikiaji kamili wa CloudFront.

Kuna chaguzi nyingi wakati unapokuja sera za IAM. Amazon ina chombo chenye baridi kinachojulikana kinachoitwa Jumuiya ya Sera ya AWS. Chombo hiki hutoa GUI ambapo unaweza kuunda sera zako na kuzalisha msimbo halisi unahitaji kutekeleza sera. Unaweza pia kuangalia sehemu ya Lugha ya Sera ya Upatikanaji wa Matumizi ya AWS Identity na Access Management nyaraka online.

Unda Mtumiaji na Ongeza kwenye Kikundi

Mchakato wa kujenga mtumiaji mpya na kuongeza kundi ili kuwapa upatikanaji unahusisha hatua kadhaa.

• Kipindi cha kutengeneza mtumiaji ni u-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] ambapo -p, -g, -k na -v ni chaguo. Nyaraka kamili juu ya Interface Line ya Amri inapatikana kwenye Hati za AWS.
• Ikiwa ungependa kuunda mtumiaji "bob", ungeingia, u-usercreate -u bob -g wa kushangaza katika Prompt Command.
• Unaweza kuangalia kwamba mtumiaji aliumbwa kwa usahihi kwa kuingia kwa washirika wa kikundi -g wa kushangaza katika Prompt Command. Ikiwa ungeumba tu mtumiaji huyu, pato hilo lingekuwa kitu kama "arn: aws: iam :: 123456789012: mtumiaji / bob", ambako namba ni namba yako ya akaunti ya AWS.

Unda Profile ya Ingia na Unda Keki

Kwa hatua hii, umeunda mtumiaji lakini unahitaji kuwapa njia ya kuongeza na kuondoa vitu kutoka kwa S3.

Kuna chaguo 2 zinazopatikana ili kuwapa watumiaji wako ufikiaji wa S3 kwa kutumia IAM. Unaweza kuunda Profaili ya Kuingia na kuwapa watumiaji wako nenosiri. Wanaweza kutumia sifa zao kuingia kwenye AWS ya Maonyesho ya Amazon. Chaguo jingine ni kuwapa watumiaji wako ufunguo wa kufikia na ufunguo wa siri. Wanaweza kutumia funguo hizi katika zana za chama cha 3 kama S3 Fox, CloudBerry S3 Explorer au S3 Browser.

Unda Profile ya Ingia

Kuunda Profaili ya Kuingia kwa watumiaji wako wa S3 huwapa jina na nenosiri la mtumiaji ambalo wanaweza kutumia ili kuingia kwenye Amazon AWS Console.

• Kipangilio cha kuunda wasifu wa kuingiliana ni wa-useraddloginprofile -u USERNAME -p PASSWORD. Nyaraka kamili juu ya Interface Line ya Amri inapatikana kwenye Hati za AWS.
• Ikiwa unataka kuunda wasifu wa kuingilia kwa mtumiaji "bob", ungeingia, i-useraddloginprofile -u bob -p PASSWORD katika Prompt Command.

• Unaweza kuangalia kwamba wasifu wa kuingia uliumbwa kwa usahihi kwa kuingia kwenye akaunti ya user-loginprofile -u bob kwenye Prompt Command. Ikiwa umeunda wasifu wa kuingia kwa bob, pato hilo lingekuwa kama kitu cha "Ingia ya Ingia ipo kwa bob user".

Unda Keki

Kujenga Ufikiaji wa Siri ya AWS Muhimu na Sambamba ya AWS ya Ufikiaji wa Ufikiaji itawawezesha watumiaji wako kutumia programu ya chama cha tatu kama vile zilizotaja hapo awali. Kumbuka kwamba kama kipimo cha usalama, unaweza kupata funguo hizi wakati wa mchakato wa kuongeza maelezo ya mtumiaji. Hakikisha kunakili na kushika pato kutoka kwa Prom Prompt na uhifadhi kwenye faili ya maandishi. Unaweza kutuma faili kwa mtumiaji wako.

• Kipindi cha kuongeza funguo kwa mtumiaji ni wa-useraddkey [-u USERNAME]. Nyaraka kamili juu ya Interface Line ya Amri inapatikana kwenye Hati za AWS.
• Ikiwa ungependa kuunda funguo kwa mtumiaji "bob", ungeingia kwenye u-useraddkey -u bob kwenye Prompt Command.
• Amri itazalisha funguo ambazo zingetazama kitu kama hiki:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Mstari wa kwanza ni Kitambulisho cha Kufikia Upatikanaji na mstari wa pili ni Muhimu wa Ufikiaji wa Siri. Unahitaji wote kwa programu ya chama cha 3.

Upatikanaji wa Upimaji

Sasa kwa kuwa umeunda makundi / watumiaji wa IAM na ukipewa fursa ya kutumia vikundi kutumia sera, unahitaji kupima upatikanaji.

Upatikanaji wa Console

Watumiaji wako wanaweza kutumia jina la mtumiaji na nenosiri ili kuingilia kwenye AWS Console. Hata hivyo, hii si ukurasa wa kuingia wa kawaida wa console ambao hutumiwa kwa akaunti kuu ya AWS.

Kuna URL maalum ambayo unaweza kutumia ambayo itatoa fomu ya kuingia kwa akaunti yako ya Amazon AWS tu. Hapa ni URL ya kuingia kwa S3 kwa watumiaji wako wa IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER ni nambari yako ya kawaida ya akaunti ya AWS. Unaweza kupata hii kwa kuingia kwenye fomu ya Ingia ya Huduma ya Wavuti ya Amazon. Ingia na bonyeza Akaunti | Shughuli ya Akaunti. Nambari yako ya akaunti iko kona ya juu ya kulia. Hakikisha uondoe dashes. URL ingeonekana kama https://123456789012.signin.aws.amazon.com/console/s3.

Kutumia Keki za Upatikanaji

Unaweza kushusha na kufunga yoyote ya zana za chama cha tatu ambazo tayari zilizotajwa katika makala hii. Ingiza Kitambulisho chako cha Ufikiaji na Kitufe cha Upatikanaji wa Siri kwa nyaraka ya chombo cha chama cha 3.

Ninapendekeza sana kuunda mtumiaji wa kwanza na kuwa na mtumiaji huyo mtihani kamili kwamba wanaweza kufanya kila kitu wanachohitaji kufanya S3. Baada ya kuthibitisha moja ya watumiaji wako, unaweza kuendelea na kuanzisha watumiaji wako wote wa S3.

Rasilimali

Hapa ni rasilimali chache kukupa uelewa bora wa Identity & Access Management (IAM).

• Inaanza na IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• Jumuiya ya Sera ya AWS
• Kutumia Idhini ya AWS na Usimamizi wa Upatikanaji

• Vidokezo vya kutolewa vya IAM
• Vikundi vya Majadiliano ya IAM
• Maswali ya IAM