AWS Identity lan Manajemen Akses

Bagian 1 saka 3

Ing 2011, Amazon ngumumake kasedhiyan dukungan AWS Identity & Access Management (IAM) kanggo CloudFront. IAM diluncurake ing 2010 lan klebu dukungan S3. AWS Identity & Access Management (IAM) ngijini sampeyan duwe pirang-pirang pangguna ing akun AWS. Yen sampeyan wis nggunakake Layanan Web Amazon (AWS), sampeyan weruh yen cara mung kanggo ngatur isi ing AWS melu menehi jeneng pangguna lan tembung sandi utawa tombol akses.

Iki minangka keprigelan keamanan nyata kanggo mayoritas kita. IAM mbusak kebutuhan kanggo nuduhake sandhi lan kunci akses.

Nganti ganti kunci sandi AWS utama utawa ngasilake kunci anyar mung solusi sing ora apik nalika anggota staf bakal ninggalake tim. AWS Identity & Access Management (IAM) yaiku wiwitan sing apik kanggo ngijini akun panganggo individu kanthi tombol individu. Nanging, kita yaiku pengguna S3 / CloudFront supaya kita wis nonton CloudFront kanggo ditambahake marang IAM sing pungkasane kedadeyan.

Aku nemokake dokumentasi babagan layanan iki supaya bisa disebarake. Ana sawetara produk pihak katelu sing nawakake macem-macem dhukungan kanggo Identity & Access Management (IAM). Nanging pangembang biasane thrifty supaya aku sought solusi gratis kanggo ngatur IAM karo layanan Amazon S3 kita.

Artikel iki mlaku liwat proses nyetel Command Line Interface sing ndhukung IAM lan nyetel grup / pangguna karo akses S3. Sampeyan kudu duwe persiyapan akun Amazon AWS S3 sadurunge sampeyan miwiti konfigurasi Identity & Manajemen Akses (IAM).

Artikelku, Nggunakake Layanan Panyimpenan Simpen Amazon (S3), bakal mbukak sampeyan proses nyetel akun AWS S3.

Punika langkah-langkah sing digunakake kanggo nyetel lan ngleksanakake pangguna ing IAM. Iki katulis kanggo Windows nanging sampeyan bisa ngapiki kanggo nggunakake ing Linux, UNIX lan / utawa Mac OSX.

1. Instal lan konfigurasi Command Line Interface (CLI)

1. Nggawe Grup
2. Menehi Akses Group kanggo S3 Bucket lan CloudFront
3. Nggawe Anggota lan Tambah Grup
4. Nggawe Login lan Buat Kunci
5. Akses Tes

Instal lan konfigurasi Command Line Interface (CLI)

IAM Command Line Toolkit iku program Jawa sing kasedhiya ing Alat Alat Pengembang AWS Amazon. Alat kasebut ngijini sampeyan nglakokake perintah API IAM saka saranan shell (DOS kanggo Windows).

• Sampeyan kudu mlaku Jawa 1.6 utawa luwih dhuwur. Sampeyan bisa ngundhuh versi paling anyar saka Java.com. Kanggo ndeleng versi sing diinstal ing sistem Windows, bukak Command Prompt lan ngetik java -version. Iki nganggep java.exe ana ing PATH Sampeyan.
• Ngundhuh toolkit IAM CLI lan unzip nang endi wae ing drive lokal.
• Ana 2 file ing ROOT saka toolkit CLI sing perlu diupdate.
  • aws-credential.template: Berkas iki ngemot kredensial AWS Panjenengan. Nambah AWSAccessKeyId lan AWSSecretKey, nyimpen lan nutup file kasebut.
  • client-config.template : Sampeyan mung perlu ngupdate file iki yen mbutuhake server proxy. Copot tanda tangan # lan ngupdate ClientProxyHost, ClientProxyPort, ClientProxyUsername lan ClientProxyPassword. Simpen lan nutup file kasebut.
• Langkah sabanjure nambahake Variabel Lingkungan. Pindhah menyang Kontrol Panel | Sistem Properti | Setelan sistem majeng | Variabel lingkungan. Nambahake variabel ing ngisor iki:
  • AWS_IAM_HOME : Nyetel variabel iki menyang direktori ing ngendi sampeyan mbisakake toolkit CLI. Yen sampeyan nginstal Windows lan ngosongake nyisihaken dhumateng root drive C sampeyan, variabel punika C: \ IAMCli-1.2.0.
  • JAVA_HOME : Nyetel variabel iki menyang direktori ing ngendi Java dipasang. Iki bakal dadi lokasi file java.exe. Ing instalasi Java Windows 7 biasa, iki bakal kaya C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Nyetel variabel iki menyang path lan jeneng berkas aws-credential.template sing wis diupdate ing ndhuwur. Yen sampeyan nginstal Windows lan unzip kasebut ing root drive C sampeyan, variabel kasebut bakal dadi C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Sampeyan mung perlu nambah variabel lingkungan iki yen mbutuhake server proxy. Yen sampeyan nggarap Windows lan ngilangake nyopot ing root drive C sampeyan, variabel kasebut bakal dadi C: \ IAMCli-1.2.0 \ client-config.template. Aja nambah variabel iki kajaba sampeyan pengin.

• Coba instal instalasi kanthi arep Command Prompt lan ngetik iam-userlistbypath. Sanadyan sampeyan ora nampa kesalahan, sampeyan kudu becik.

Kabeh perintah IAM bisa mbukak saka Command Prompt. Kabeh perintah diwiwiti karo "iam-".

Nggawe Grup

Ana maksimal 100 grup sing bisa digawe kanggo saben akun AWS. Nalika sampeyan bisa nyetel ijin ing IAM ing tingkat pangguna, nggunakake kelompok bakal dadi praktik paling apik. Punika proses nggawe grup ing IAM.

• Sintaks kanggo nggawe grup yaiku iam-groupcreate -g GROUPNAME [-p PATH] [-v] ngendi -p lan -v iku pilihan. Dokumentasi lengkap ing Command Line Interface kasedhiya ing AWS Docs.

• Yen sampeyan pengin nggawe grup sing disebut "awesomeusers", sampeyan bakal mlebu, iam-groupcreate -g awesomeusers ing Command Prompt.
• Sampeyan bisa mriksa manawa klompok kasebut digawe kanthi bener kanthi ngetik iam-grouplistbypath ing Command Prompt. Yen sampeyan mung nggawe klompok iki, output bakal dadi kaya "arn: aws: iam :: 123456789012: group / awesomeusers", ngendi nomer iku nomer akun AWS.

Menehi Akses Group kanggo S3 Bucket lan CloudFront

Kawicaksanan ngontrol apa klompok sampeyan bisa nindakake ing S3 utawa CloudFront. Secara default, klompok sampeyan ora duwe akses apa-apa ing AWS. Aku nemokake dokumentasi babagan kawicaksanan dadi OK nanging nggawe sawetara kawicaksanan, aku nggawe nyoba lan kesalahan kanggo entuk apa-apa sing arep ditindakake.

Sampeyan duwe sawetara opsi kanggo nggawe kawicaksanan.

Siji pilihan sampeyan bisa ngetik langsung menyang Command Prompt. Awit sampeyan bisa nggawe kebijakan lan ngupayakake, kanggo kula, prasaja kanggo nambah kawicaksanan kasebut dadi file teks lan banjur ngunggah file teks minangka parameter karo perintah iam-groupuploadpolicy. Punika proses nggunakake file teks lan upload kanggo IAM.

• Gunakake kaya Notepad lan ketik teks kasebut lan simpen file:
  
  {
  "Statement": [
  "Efek": "Allow",
  "Tindakan": "s3: *",
  "Resource": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Efek": "Allow",
  "Tindakan": "s3: ListAllMyBuckets",
  "Resource": "arn: aws: s3 ::: *"
  },
  {
  "Efek": "Allow",
  "Tindakan": ["cloudfront: *"],
  "Resource": "*"
  }
  ]
  }
  
• Ana 3 bagean kanggo kebijakan iki. Efek digunakake kanggo Allow or Deny sawetara jinis akses. Tindakan iku sawijining spesies sing bisa dilakoni. Resource bakal digunakake kanggo menehi akses menyang buckets individu.

• Sampeyan bisa matesi Tindakan saben individu. Ing conto iki, "Tindakan": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], klompok kasebut bakal bisa nulis isi ember lan obyek ngundhuh.
• Grup pisanan "Ngidini" grup kanggo nindakake kabeh tumindak S3 kanggo ember "BUCKETNAME".
• Seksi kedua "Memungkinkan" grup supaya daftar semua buckets di S3. Sampeyan perlu iki supaya sampeyan bisa ndeleng dhaptar balung yen sampeyan nggunakake soko Konsol AWS.

• Bagian katelu menehi akses lengkap grup menyang CloudFront.

Ana akeh opsi nalika teka kebijakan IAM. Amazon nduweni alat sing apik banget sing diarani AWS Policy Generator. Alat iki menehi GUI ing ngendi sampeyan bisa nggawe kawicaksanan lan generate kode nyata sing perlu kanggo ngleksanakake kebijakan kasebut. Sampeyan uga bisa mriksa bagian Akses Kebijakan Basa nggunakake Dokumentasi online nggunakake Manajemen AWS Identity lan Akses.

Nggawe Anggota lan Tambah Grup

Proses nggawe panganggo anyar lan nambahake klompok kanggo nyedhiyakake akses kasebut nyakup sawetara langkah.

• Sintaks kanggo nggawe pangguna iku iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] ngendi -p, -g, -k lan -v iku opsi. Dokumentasi lengkap ing Command Line Interface kasedhiya ing AWS Docs.
• Yen sampeyan pengin nggawe pangguna "bob", sampeyan bakal ngetik, iam-usercreate-u bob -g awesomeusers ing Command Prompt.
• Sampeyan bisa mriksa manawa pangguna digawé kanthi bener kanthi ngetik iam-grouplistusers -g awesomeusers ing Command Prompt. Yen sampeyan mung nggawe panganggo iki, output bakal kaya "panganggo: iam: 123456789012: user / bob", ing ngendi nomer iku nomer akun AWS.

Nggawe Profil Logon lan Nggawe Tombol

Ing titik iki, sampeyan wis nggawe pangguna nanging sampeyan kudu nyedhiyani cara kanggo bener nambah lan mbusak obyek saka S3.

Ana 2 pilihan sing kasedhiya kanggo nyedhiyakake pangguna sampeyan nganggo akses menyang S3 nggunakake IAM. Sampeyan bisa nggawe Profil Login lan menehi pangguna karo sandhi. Padha bisa nggunakake idin kanggo mlebu menyang Amazon AWS Console. Pilihan liyane kanggo menehi pangguna lan akses kunci lan kunci rahasia. Padha bisa nggunakake tombol iki ing piranti katelu 3rd kaya S3 Fox, CloudBerry S3 Explorer utawa Browser S3.

Nggawe Login

Nggawe Profil Login kanggo pangguna S3 sampeyan menehi wong jeneng pangguna lan sandhi sing bisa digunakake kanggo mlebet menyang Konsol Amazon AWS.

• Sintaks kanggo nggawe profil login yaiku iam-useraddloginprofile -u USERNAME -p PASSWORD. Dokumentasi lengkap ing Command Line Interface kasedhiya ing AWS Docs.
• Yen sampeyan pengin nggawe profil login kanggo pangguna "bob", sampeyan bakal ngetik, iam-useraddloginprofile -u bob -p PASSWORD ing Command Prompt.

• Sampeyan bisa mriksa yen profil login digawe kanthi bener kanthi ngetik iam-usergetloginprofile -u bob ing Command Prompt. Yen sampeyan wis nggawe profil login kanggo bob, output bakal kaya "Login Profile ana kanggo bob pengguna".

Nggawe Kunci

Nggawe AWS Secret Akses Key lan ID ID Akses Akses sing gegandhengan bakal ngidini pangguna sampeyan nggunakake piranti lunak pihak katelu kaya sing kasebut sadurunge. Elinga yen minangka langkah keamanan, sampeyan mung bisa njaluk tombol kasebut sajrone proses nambahake profil pangguna. Priksa manawa sampeyan nyalin lan nempelake output saka Command Prompt lan disimpen ing file teks. Sampeyan bisa ngirim file menyang pangguna.

• Sintaks kanggo nambah tombol kanggo pangguna iku iam-useraddkey [-u USERNAME]. Dokumentasi lengkap ing Command Line Interface kasedhiya ing AWS Docs.
• Yen sampeyan pengin nggawe tombol kanggo pangguna "bob", sampeyan bakal ngetik iam-useraddkey -u bob ing Command Prompt.
• Printah bakal ngasilake tombol sing bakal katon kaya iki:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Baris kapisan yaiku Access Key ID lan baris kapindho yaiku Secret Access Key. Sampeyan mbutuhake piranti lunak pihak katelu.

Akses Tes

Saiki sampeyan wis nggawe grup / pangguna IAM lan diwenehi akses klompok nggunakake kawicaksanan, sampeyan kudu nyoba akses kasebut.

Akses Console

Pangguna sampeyan bisa nggunakake jeneng pangguna lan tembung sandhi kanggo mlebu ing AWS Console. Nanging, iki ora ana kaca mlebu konsol biasa sing digunakake kanggo akun AWS utama.

Ana URL khusus sing bisa digunakake sing bakal menehi formulir mlebu kanggo akun Amazon AWS wae. Punika URL kanggo mlebet S3 kanggo pangguna IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER yaiku nomer AWS biasa sampeyan. Sampeyan bisa njaluk iki kanthi ngangkut barang ing Formulir Layanan Web Amazon. Login lan klik ing Akun | Aktivitas akun. Nomer akun sampeyan ana ing pojok sisih ndhuwur. Priksa manawa sampeyan mbusak kacepetan. URL bakal katon kaya https://123456789012.signin.aws.amazon.com/console/s3.

Nggunakake Access Keys

Sampeyan bisa ngundhuh lan nginstal maneka piranti pihak katelu sing wis kasebut ing artikel iki. Ketik ID Akses Akses lan Secret Access Key saben dokumentasi alat pihak katelu.

Aku saranake banget kanggo nggawe pangguna wiwitan lan duwe panganggo sing bisa nguji kabeh sing kudu dilakoni ing S3. Sawise sampeyan verifikasi salah siji pangguna, sampeyan bisa nerusake nyetel kabeh panganggo S3.

Sumber Daya

Kene sumber daya sawetara kanggo menehi pangerten sing luwih apik babagan Identity & Access Management (IAM).

• Miwiti karo IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• Nggunakake AWS Identity lan Manajemen Akses

• Cathetan sikil IAM
• Forum Diskusi IAM
• IAM FAQs