Hunaniaeth AWS a Rheoli Mynediad

Rhan 1 o 3

Yn 2011, cyhoeddodd Amazon fod cefnogaeth AWS Hunaniaeth a Rheoli Mynediad (IAM) ar gael ar gyfer CloudFront. Lansiwyd IAM yn 2010 ac roedd yn cynnwys cymorth S3. Mae AWS Identity & Access Access (IAM) yn eich galluogi i gael llu o ddefnyddwyr o fewn cyfrif AWS. Os ydych chi wedi defnyddio Amazon Web Services (AWS), rydych chi'n ymwybodol mai'r unig ffordd o reoli cynnwys yn AWS sy'n cynnwys rhoi eich enw defnyddiwr a chyfrinair neu allweddi mynediad.

Mae hyn yn bryder diogelwch go iawn i'r rhan fwyaf ohonom. Mae IAM yn dileu'r angen i rannu cyfrineiriau a allweddi mynediad.

Mae newid ein prif gyfrinair AWS neu newid allweddi newydd yn gyson yn ateb cyson pan fydd aelod o staff yn gadael ein tîm. Roedd AWS Hunaniaeth a Rheoli Mynediad (IAM) yn ddechrau da gan ganiatáu cyfrifon defnyddwyr unigol gydag allweddi unigol. Fodd bynnag, yr ydym yn ddefnyddiwr S3 / CloudFront felly rydym wedi bod yn gwylio i CloudFront gael ei ychwanegu at IAM a ddigwyddodd yn olaf.

Canfyddais fod y ddogfennaeth ar y gwasanaeth hwn ychydig yn wasgaredig. Mae yna rai cynhyrchion trydydd parti sy'n cynnig ystod o gefnogaeth ar gyfer Hunaniaeth a Rheoli Mynediad (IAM). Ond mae datblygwyr fel arfer yn ysgafn, felly ceisiais ateb am ddim i reoli IAM gyda'n gwasanaeth Amazon S3.

Mae'r erthygl hon yn mynd trwy'r broses o sefydlu Rhyngwyneb Command Line sy'n cefnogi IAM a sefydlu grŵp / defnyddiwr gyda mynediad S3. Mae angen i chi gael set cyfrif Amazon AWS S3 cyn i chi ddechrau ffurfweddu Rheoli Hunaniaeth a Mynediad (IAM).

Bydd fy erthygl, Gan ddefnyddio Gwasanaeth Storio Syml Amazon (S3), yn eich cerdded trwy'r broses o sefydlu cyfrif AWS S3.

Dyma'r camau sy'n gysylltiedig â sefydlu a gweithredu defnyddiwr mewn IAM. Ysgrifennir hyn ar gyfer Windows ond gallwch chi ei ddefnyddio ar Linux, UNIX a / neu Mac OSX.

1. Gosod a ffurfweddu Rhyngwyneb Rheolau Gorchymyn (CLI)

1. Creu Grŵp
2. Rhowch Mynediad Grŵp i Bwced S3 a CloudFront
3. Creu Defnyddiwr ac Ychwanegu at Grŵp
4. Creu Proffil Mewngofnodi a Chyffyrddau Creu
5. Mynediad Prawf

Gosod a ffurfweddu Rhyngwyneb Rheolau Gorchymyn (CLI)

Mae Pecyn Cymorth Command Line IAM yn raglen Java sydd ar gael yn Amazon's AWS Developers Tools. Mae'r offeryn yn eich galluogi i weithredu gorchmynion API IAM o ddefnyddioldeb cregyn (DOS ar gyfer Windows).

• Mae angen i chi fod yn rhedeg Java 1.6 neu'n uwch. Gallwch chi lawrlwytho'r fersiwn ddiweddaraf o Java.com. I weld pa fersiwn sydd wedi'i gosod ar eich system Windows, agorwch yr Adain Rheoli a theipiwch java -version. Mae hyn yn tybio bod java.exe yn eich PATH.
• Lawrlwythwch becyn cymorth CLI IAM a diystyru rhywle ar eich gyriant lleol.
• Mae 2 ffeil yn wraidd y pecyn cymorth CLI y mae angen i chi ei ddiweddaru.
  • aws-credential.template: Mae'r ffeil hon yn meddu ar eich cymwysterau AWS. Ychwanegwch eich AWSAccessKeyId a'ch AWSSecretKey, arbed a chau'r ffeil.
  • client-config.template : Dim ond os oes arnoch chi angen gweinydd dirprwyol y bydd angen i chi ddiweddaru'r ffeil hon. Dileu'r arwyddion # a diweddaru ClientProxyHost, ClientProxyPort, ClientProxyUsername a ClientProxyPassword. Cadw a chau'r ffeil.
• Y cam nesaf yw ychwanegu Adolygiadau Amgylcheddol. Ewch i'r Panel Rheoli | Eiddo System | Lleoliadau system uwch | Newidynnau Amgylcheddol. Ychwanegwch y newidynnau canlynol:
  • AWS_IAM_HOME : Gosodwch y newidyn hwn i'r cyfeiriadur lle rydych wedi dadgofio'r pecyn cymorth CLI. Os ydych chi'n rhedeg Windows a'i ddadlwytho wrth wraidd eich gyriant C, byddai'r newidyn yn C: \ IAMCli-1.2.0.
  • JAVA_HOME : Gosodwch y newidyn hwn i'r cyfeiriadur lle mae Java wedi'i osod. Hwn fyddai lleoliad y ffeil java.exe. Mewn gosodiad Java Windows 7 arferol, byddai hyn yn rhywbeth fel C: \ Files Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Gosodwch y newidyn hwn at enw llwybr a ffeil yr aws-credential.template eich bod wedi diweddaru uchod. Os ydych chi'n rhedeg Windows a'i ddadlwytho wrth wraidd eich gyriant C, byddai'r newidyn yn C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Dim ond os bydd angen gweinyddwr dirprwy arnoch chi angen ychwanegu'r newidyn amgylchedd hwn. Os ydych chi'n rhedeg Windows a'i ddadelfennu wrth wraidd eich gyriant C, byddai'r newidyn yn C: \ IAMCli-1.2.0 \ client-config.template. Peidiwch ag ychwanegu'r newidyn hwn oni bai eich bod ei angen.

• Prawf y gosodiad trwy fynd i'r Adain Rheoli a mynd i mewn i lwybr rhestr-ddefnyddiwr. Cyn belled nad ydych chi'n cael gwall, dylech fod yn dda i fynd.

Gall pob un o'r gorchmynion IAM gael eu rhedeg o'r Adain Rheoli. Mae'r holl orchmynion yn dechrau gyda "iam-".

Creu Grŵp

Mae uchafswm o 100 o grwpiau y gellir eu creu ar gyfer pob cyfrif AWS. Er y gallwch osod caniatadau mewn IAM ar lefel y defnyddiwr, byddai defnyddio grwpiau yn arfer gorau. Dyma'r broses ar gyfer creu grŵp yn IAM.

• Y gystrawen ar gyfer creu grŵp yw grw p-grŵp -G GROUPNAME [-p PATH] [-v] lle mae'r -p a -v yn opsiynau. Mae dogfennaeth lawn ar y Rhyngwyneb Reoli ar gael ar Ddogfennau AWS.

• Pe baech chi eisiau creu grŵp o'r enw "anhygoelwyr", fe fyddech chi'n mynd i mewn, grw p-grw p -g anhygoelwyr yn yr Adain Rheoli.
• Gallwch wirio bod y grŵp wedi'i chreu'n gywir trwy fynd i mewn i iam-grouplistbypath yn yr Adain Rheoli. Os nad oeddech wedi creu y grŵp hwn, byddai'r allbwn yn rhywbeth fel "arn: aws: iam :: 123456789012: group / awesomeusers", lle mae'r rhif yn rhif eich cyfrif AWS.

Rhowch Mynediad Grŵp i Bwced S3 a CloudFront

Mae polisïau'n rheoli'r hyn y gall eich grŵp ei wneud yn S3 neu CloudFront. Yn anffodus, ni fyddai gan eich grŵp fynediad i unrhyw beth yn AWS. Fe wnes i ganfod bod y ddogfennaeth ar bolisïau'n iawn, ond wrth greu llond llaw o bolisïau, gwnaed ychydig o dreial a chamgymeriad i sicrhau bod pethau'n gweithio fel yr oeddwn i eisiau iddynt weithio.

Mae gennych ddau opsiwn ar gyfer creu polisïau.

Un opsiwn yw y gallwch eu rhoi yn uniongyrchol i'r Adain Gorchymyn. Gan y gallech fod yn creu polisi a'i tweaking, i mi, mae'n ymddangos yn haws ychwanegu'r polisi i mewn i ffeil testun ac yna lwytho'r ffeil testun fel paramedr gyda'r gorchymyn iam-groupuploadpolicy. Dyma'r broses gan ddefnyddio ffeil destun a llwytho i IAM.

• Defnyddiwch rywbeth fel Notepad a nodwch y testun canlynol ac achubwch y ffeil:
  
  {
  "Datganiad": [{
  "Effaith": "Caniatáu",
  "Gweithredu": "s3: *",
  "Adnodd": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Effaith": "Caniatáu",
  "Gweithredu": "s3: ListAllMyBuckets",
  "Adnodd": "arn: aws: s3 ::: *"
  },
  {
  "Effaith": "Caniatáu",
  "Gweithredu": ["cloudfront: *"],
  "Adnodd": "*"
  }
  ]
  }
  
• Mae yna 3 adran i'r polisi hwn. Defnyddir yr Effaith i Ganiatáu neu Diddymu rhyw fath o fynediad. Y Weithred yw'r pethau penodol y gall y grŵp eu gwneud. Byddai'r Adnodd yn cael ei ddefnyddio i roi mynediad i fwcedi unigol.

• Gallwch gyfyngu'r Camau yn unigol. Yn yr enghraifft hon, "Gweithredu": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], byddai'r grŵp yn gallu rhestru cynnwys bwced a llwytho i lawr wrthrychau.
• Mae'r adran gyntaf "Caniatáu" y grŵp i berfformio pob gweithrediad S3 ar gyfer y bwced "BUCKETNAME".
• Mae'r ail ran "Caniatáu" y grŵp i restru'r holl fwcedi yn S3. Mae angen hyn arnoch er mwyn i chi wir weld y rhestr o fwcedi os ydych chi'n defnyddio rhywbeth fel Consol AWS.

• Mae'r trydydd adran yn rhoi mynediad llawn i'r grŵp i CloudFront.

Mae llawer o opsiynau pan ddaw i bolisïau IAM. Mae gan Amazon offeryn gwirioneddol oer ar gael o'r enw Generator Polisi AWS. Mae'r offeryn hwn yn darparu GUI lle gallwch chi greu eich polisïau a chynhyrchu'r union gôd sydd ei angen arnoch i weithredu'r polisi. Gallwch hefyd edrych ar yr adran Iaith Polisi Mynediad o ddogfennaeth Defnyddio Hunaniaeth a Rheoli Mynediad AWS.

Creu Defnyddiwr ac Ychwanegu at Grŵp

Mae'r broses o greu defnyddiwr newydd ac ychwanegu at grŵp i ddarparu mynediad iddynt yn cynnwys ychydig o gamau.

• Mae'r gystrawen ar gyfer creu defnyddiwr yn iam-usercreate -u USERNAME [-p PATH] [-g GRWPIAU ...] [-k] [-v] lle mae'r -p, -g, -k a -v yn opsiynau. Mae dogfennaeth lawn ar y Rhyngwyneb Reoli ar gael ar Ddogfennau AWS.
• Os ydych chi eisiau creu "bob" defnyddiwr, byddech yn mynd i mewn, yr un-usercreate -u bob -g anhygoelwyr yn yr Adain Rheoli.
• Gallwch wirio bod y defnyddiwr yn cael ei greu yn gywir trwy fynd i mewn i iam-grouplistusers -g anhygoelwyr yn yr Adain Rheoli. Os mai dim ond y defnyddiwr hwn yr oeddech wedi ei greu, byddai'r allbwn yn rhywbeth fel "arn: aws: iam :: 123456789012: defnyddiwr / bob", lle mae'r rhif yn rhif eich cyfrif AWS.

Creu Proffil Logon a Chreu Allweddi

Ar y pwynt hwn, rydych chi wedi creu defnyddiwr ond mae angen i chi ddarparu ffordd iddynt ychwanegu a dileu gwrthrychau o S3 mewn gwirionedd.

Mae yna 2 opsiwn ar gael i roi mynediad i'ch S3 i ddefnyddwyr gan ddefnyddio IAM. Gallwch greu Proffil Mewngofnodi a rhoi cyfrinair i'ch defnyddwyr. Gallant ddefnyddio eu credentials i logio i mewn i'r Consol Amazon AWS. Yr opsiwn arall yw rhoi allwedd fynediad i chi a'ch allwedd gyfrinachol i'ch defnyddwyr. Gallant ddefnyddio'r allweddi hyn mewn offer 3ydd parti fel S3 Fox, CloudBerry S3 Explorer neu Porwr S3.

Creu Proffil Mewngofnodi

Mae Creu Proffil Mewngofnodi ar gyfer eich defnyddwyr S3 yn rhoi enw a chyfrinair defnyddiwr iddynt y gallant eu defnyddio i fewngofnodi i Consol AWS Amazon.

• Y cystrawen ar gyfer creu proffil mewngofnodi yw iam-useraddloginprofile -u USERNAME -p PASSWORD. Mae dogfennaeth lawn ar y Rhyngwyneb Reoli ar gael ar Ddogfennau AWS.
• Os ydych chi eisiau creu proffil mewngofnodi ar gyfer y "bob" defnyddiwr, byddech yn cofnodi, iam-useraddloginprofile -u bob -p PASSWORD yn yr Adain Rheoli.

• Gallwch chi wirio bod y proffil mewngofnodi wedi'i chreu'n gywir trwy fynd i mewn i iam-usergetloginprofile -u bob yn yr Adain Rheoli. Os ydych wedi creu proffil mewngofnodi i bob, byddai'r allbwn yn rhywbeth fel "Mae Proffil Mewngofnodi yn bodoli ar gyfer pob defnyddiwr".

Creu Allweddi

Bydd Creu Allwedd Mynediad Uniongyrchol AWS ac Ateb Cyfatebol Allweddol Mynediad AWS yn caniatáu i'ch defnyddwyr ddefnyddio meddalwedd trydydd parti fel y rhai a grybwyllwyd yn flaenorol. Cofiwch, fel mesur diogelwch, dim ond yn ystod y broses o ychwanegu proffil y defnyddiwr y gallwch chi gael yr allweddau hyn. Gwnewch yn siŵr eich bod yn copïo ac yn gludo'r allbwn o'r Adain Rheoli ac yn arbed mewn ffeil testun. Gallwch chi anfon y ffeil at eich defnyddiwr.

• Y cystrawen ar gyfer ychwanegu allweddi ar gyfer defnyddiwr yw iam-useraddkey [-u USERNAME]. Mae dogfennaeth lawn ar y Rhyngwyneb Reoli ar gael ar Ddogfennau AWS.
• Os ydych chi eisiau creu allweddi ar gyfer y "bob" defnyddiwr, byddech yn mynd i mewn-iamraddkey -u bob yn yr Adain Rheoli.
• Bydd y gorchymyn yn allbwn yr allweddi a fyddai'n edrych fel rhywbeth fel hyn:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Y llinell gyntaf yw'r ID Allwedd Mynediad a'r ail linell yw'r Allwedd Mynediad Secret. Mae angen y ddau arnoch ar gyfer meddalwedd trydydd parti.

Mynediad Prawf

Nawr eich bod wedi creu grwpiau / defnyddwyr IAM a rhoi mynediad i'r grwpiau gan ddefnyddio polisïau, mae angen i chi brofi'r fynedfa.

Mynediad consola

Gall eich defnyddwyr ddefnyddio eu henw defnyddiwr a chyfrinair i fewngofnodi i mewn i'r Consol AWS. Fodd bynnag, nid dyma'r dudalen mewngofnodi consola rheolaidd a ddefnyddir ar gyfer y prif gyfrif AWS.

Mae URL arbennig y gallwch ei ddefnyddio a fydd yn darparu ffurflen mewngofnodi ar gyfer eich cyfrif Amazon AWS yn unig. Dyma'r URL i fewngofnodi i S3 ar gyfer eich defnyddwyr IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

Y Rhif AWS-ACCOUNT yw eich rhif cyfrif AWS rheolaidd. Gallwch chi gael hyn trwy logio i mewn i ffurflen Arwydd Mewnol Gwe We. Mewngofnodi a chliciwch ar y Cyfrif | Gweithgaredd Cyfrif. Mae eich rhif cyfrif yn y gornel dde uchaf. Gwnewch yn siŵr eich bod yn dileu'r dashes. Byddai'r URL yn edrych rhywbeth fel https://123456789012.signin.aws.amazon.com/console/s3.

Defnyddio Keys Mynediad

Gallwch lawrlwytho a gosod unrhyw un o'r offer trydydd parti a grybwyllwyd eisoes yn yr erthygl hon. Rhowch eich ID Allwedd Mynediad a'r Allwedd Mynediad Secret ar gyfer dogfennaeth offeryn y trydydd parti.

Rwy'n argymell yn gryf eich bod yn creu defnyddiwr cychwynnol a bod y defnyddiwr hwnnw'n profi'n llawn y gallant wneud popeth y mae angen iddynt ei wneud yn S3. Ar ôl i chi wirio un o'ch defnyddwyr, gallwch fynd ymlaen i sefydlu eich holl ddefnyddwyr S3.

Adnoddau

Dyma ychydig o adnoddau i roi gwell dealltwriaeth i chi o Hunaniaeth a Rheoli Mynediad (IAM).

• Dechrau arni gydag IAM
• Pecyn Cymorth Command Line IAM
• Consol Amazon AWS
• Cynhyrchydd Polisi AWS
• Defnyddio Hunaniaeth AWS a Rheoli Mynediad

• Nodiadau Rhyddhau IAM
• Fforymau Trafod IAM
• Cwestiynau Cyffredin IAM