Parte 1 di 3
In u 2011, Amazon amparà a dispunibilità di l'accessibilità di AWS Identità è Access Management (IAM) per CloudFront. IAM hè stata novata in u 2010 è cumprendi l'assistenza S3. L'AWS Identità è l'Access Management (IAM) vi permette di esse diversi utilizatori in una contu AWS. Sè avete avutu l'Amazonia Web Services (AWS), avete sognu chì l'unicu modu per gestisce u cuntenutu in AWS involucènnusi cù u vostru nome d'utilizatore è a chjave di password o accessu.
Questa hè un prublema di prublemi di sicurità per a bona maghjina di noi. IAM elimina a necessità di sparte i password.
A constantità cambiantà a nostra password principale di AWS o ghjunghje chjave nova hè solu una solu messy solu chì un membru di u staffu abandone a nostra squadra. AWS Identità è Access Management (IAM) hè un principiu di bonu chì permette parechje persunale cù chjave individuali. In ogni casu, sò un usu S3 / CloudFront, cusì avemu avutu a veghja di CloudFront per aghjunghje à l'IAM chì accadini finalment.
Aghju trovu a ducumentazione annantu à stu serviziu per esse un pocu scattatu. Ci hè parechji prudutti di parti 3 chì offrenu una quantità di sustegnu à Identità è Access Management (IAM). Ma i pruduttori sò generalmente thrifty, per questu una solu solu per gestione IAM cù u nostru serviziu Amazonia S3.
Questu artighjanu in u prucessu di creazione di l'Interface Command Line chì soporta IAM è a creazione di un gruppu / usu cù l'accessu S3. Avete bisognu di una cunversione di Amazon AWS S3 before you begin configuring Identity & Access Management (IAM).
U mo articulu, Usendu l'Amazone Simple Simple Storage Service (S3), vi andassi à traversu u prucessu di creazione di un AWS S3 account.
Quì sò i passi impurtanti à fà scelte è implementà un utilizatore in IAM. Questu hè scrittu per Windows, ma pudete fà risponde per u utilizazione in Linux, UNIX è / o Mac OSX.
- Installa è configite l'Interface Command Line (CLI)
- Cridite un Gruppu
- Aggiudate Accessu di Gruppu à u Bucket S3 è u Nùmpru
- Crea un usu è aghjunghje à u Gruppu
- Crea un perfil in scrittore è create e chjave
- Test Access
Installa è configite l'Interface Command Line (CLI)
U IAM Command Line Toolkit hè un programa Java in Amazon AWS Developers Tools. L'uttellu permette di eseguisce cumandus di l'IAM API da una utilità cunnessione (DOS per Windows).
- Avete bisognu à esse ghjuntu Java 1.6 o più altu. Pudete scaricà l'ùltima versione di Java.com. Per vede quella versione hè installata nantu à u vostru sistema Windows, apre u Command Prompt è u tipu in java -versione. Questu si assume chì java.exe hè in u vostru PASSUM.
- Scaricate u Toolkit IAM CLI è scumpressate nant'à u vostru locu.
- Ci hè 2 schedarii in a raghjina di u ligame di CLI chì avete bisognu di aghjurnà.
- aws-credential.template: Stu schedariu possi una credenza d'AWS. Aggiate a vostra AIACcessKeyId è a vostra AWSSecretKey, salvate è cercate u file.
- client-config.template : Solu avete bisognu di aghjurnà stu schedariu si avete dumandatu un servitore proxy. Eliminate i # signes è aghjurnà ClientProxyHost, ClientProxyPort, ClientProxyUsername è ClientProxyPassword. Garde è cercate u file.
- U prossimu passu participanu l'aghjurnamentu Variables di l'Ambiente. Andà à Cunsigliu di Control | System Properties | I sistema di ricerca avanzati | Ambiente Variables. Agghicà e seguenti palangani:
- AWS_IAM_HOME : Sittintete questa variàbile à u cartulare duve dunzatu l'armata di l'CLI. Sì avete adupratu Windows è sparà sopra à a ràdica di u vostru C drive, a variàbile seria C: \ IAMCli-1.2.0.
- JAVA_HOME : Fate sta variàbile à u cartulare induve Java hè installata. Questu seria u locu di u schedariu java.exe. In una stallazione Java Java in modu nurmale, questu cosa seria C: \ Program Files (x86) \ Java \ jre6.
- AWS_CREDENTIAL_FILE : Fate sta variàbile à u percorsu è u nome di l'architettura di a credenza d'arme. Cuntinuà chì aghjustate più à quì sopra. Sì avete adupratu Windows è sparà sopra à a ràdica di u vostru C drive, a variable seria C: \ IAMCli-1.2.0 \ aws-credential.template.
- CLIENT_CONFIG_FILE : Solu avete bisognu di aghjunghje quellaambienti d' ambienti sè vo avete dumandatu un servitore proxy. Se tu esse runanu Windows è unzipped à l'arrache di u vostru C drive, a variàbile seria C: \ IAMCli-1.2.0 \ client-config.template. Ùn aghjunghjenu micca sta paràbula, cellu ùn avete bisognu.
- Pruvate a stallazione per andà in u Command Prompt è intria in iam-userlistbypath. In quantu ùn avete micca riceve un errore, avete averu bonu per andà.
Tutte e cumandus IAM pò esse cundutu da u Prompt Command. Tutti i cumandamenti principiani cù "iam-".
Cridite un Gruppu
Ci hè un massimu di 100 gruppi chì ponu esse creati per ogni sucetà AWS. Mentre pudete puru stabilisce i permessi à l'IAM à u nivellu d'utilizatori, utilizate gruppi seranu i pratichi megliu. Eccu u prucessu per creà un gruppu in IAM.
- A sintassi per creà un gruppu hè iam-groupcreate -g GROUPNAME [-p PATH] [-v] induve a -p è -v sò opzioni. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
- Se vulete creà un gruppu chjamatu "esercitanti", intriau ingressà, iam-groupcreate -g esempioferenti à u Command Prompt.
- Pudete cuntrollà chì u gruppu hè statu creatu cume accessu iam-grouplistbypath à l'Avvisu di Ordre. S'è avete solu creatu stu gruppu, a sorsa seria stata quarchi cum'è "arn: aws: iam :: 123456789012: gruppu / i maravigghi", induve u numbru hè u vostru numeru di contu AWS.
Aggiudate Accessu di Gruppu à u Bucket S3 è u Nùmpru
I politique cuntrolanu ciò chì u vostru gruppu hè capaci di fà in S3 o Cume à Nuvole. Per automaticamente, u vostru gruppu ùn avete micca accessu à qualcosa in AWS. Aghju trovu a ducumentazione nantu à i pulitiche di esse avitu, ma à creà un pocu di pulitiche, aghju fattu un pocu di prucessu è l'errore per avè cose à travaglià a manera di i mi vulia fà di travaglià.
Avete parechje scelte per creà e pulitiche.
Una sola opcione pudete intrà andà direttamente in u Prompt Command. Perchè puderete esse creatu una pulitica è uveru, per mè, mi parevanu megliu aghjuntu a pratica in un schedariu di testu, è pozzu cullà u schedariu di testu cum'è parametru cù u cumandimu iam-groupuploadpolicy. Eccu u prucessu utilizendu un schedariu di testu è uploading à l'IAM.
- Aduprate qualcosa cum'è Notepad è intria u teste da seguente è salvà u schedariu:
{
"Stqarrija": [[
"Effettu": "Allow",
"Azione": "s3: *",
"Ricerca": [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
"Effettu": "Allow",
"Azione": "s3: ListAllMyBuckets",
"Ricerca": "arn: aws: s3 ::: *"
},
{
"Effettu": "Allow",
"Azione": ["nuvellu: *"],
"Ricerca": "*"
}
]
} - Ci hè 3 sizzioni à questa pulitica. L'Effettu veni usatu per Permette o Deny some type of access. L'Acqua hè a materia specificu chì u gruppu pò fà. U risorsa sirve aduprà per accede à i coghju individuelle.
- Pudete limitar l'Azienda individually. In questu esempiu, "Azione": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], u gruppu puderia esse elencu di u cuntenutu di un saccu è l'ogetti di scaricamentu.
- A prima secunna "Permettenu" u gruppu per esse realizatu tutte ezioni S3 per u bucket "BUCKETNAME".
- A secunna sezzioni "Permettenu" u gruppu per piacè entre listessa tutti i cuglieri in S3. Avete bisognu di questu, perchè pudete veramente a lista di i cugliuni si aduprate qualcosa cum'è a AWS Console.
- A terza strada permette à l'accessu tutale di u gruppu à u Culleghju.
Ci sò parechje opzioni à i pulitichi IAM. Amazonia hà una strumenta assai genovua chjamata chjamata AWS Generator. Sta storia prublemi una GUI induve pudete creà e vostre pulitiche è generate u codice propiu chì avete bisognu di implementà a pulitica. Pudete puru verificà a Secunna di Lingua Politica d'Accessu di a Documentazione online d'Utilizazione di Identità è Access Management AWS.
Crea un usu è aghjunghje à u Gruppu
U prucessu di crià un novu usu è aghjunghje à un gruppu per furnisce l'accessu implica un pocu di passi.
- A sintassi per creà un utilizatore hè iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] induve a -p, -g, -k è -v sò opzioni. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
- Se vulete creà un utilizatore "bob", intria intrinu, iam-usercreate -u bob -g esempioferenti à l'Avvisu di Ordre.
- Pudete cuntrollà chì l'utilizatori hè statu creatu cume per ingressà iam-grouplistus -g esempioferenti à u Pianu Command. Sì avete solu creatu questu usu, l'output seria una cosa cum'è "arn: aws: iam :: 123456789012: utile / bob", induve u numbru hè u vostru numeru di contu AWS.
Creece prughjettu di u Logu è Cridite Chjassi
À questu puntu, hà criatu un utilizatore ma avete bisognu di furnisce un modu per aghjustà è sguassate l'oggetti da S3.
Ci hè 2 offerte dispunibuli per furnisce i vostri utenti cù accessu à S3 cù IAM. Pudete creà un Profite d'Usuariu è prumove i vostri utenti cun una password. Puderanu utilizà e so credenza per u ghjornu in l'Amazon AWS Console. L'altra opzione hè di dà à i vostri utenti una chjave d'accessu è una chjave secreta. Puderanu esse chjusi in e ferii di partitu com S3 Fox, CloudBerry S3 Explorer o S3 Browser.
Crea un perfil in English
Crià un Profitariu d'Usuariu per i vostri utenti S3 li furnisce cù un nome d'utilizatore è password chì ponu utilizate per accede à l'Amazon AWS Console.
- A sintassi per creà un perfil di login hè iam-useraddloginprofile -u USERNAME -p PASSWORD. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
- Se vulete create un nome di cunnessione per l'utilizatore "bob", intriau ingressà, iam-useraddloginprofile -u bob -p PASSWORD à u Pianu Command.
- Pudete cuntrollà chì u proflu login hè statu creatu cume accessu iam-usergetloginprofile -u bob à l'Avvisu di Ordine. Se avete criatu un prughjettu di login per Bob, l'output seria una cosa cum'è "In u prufessi di login per u utilizatore bob".
Cridite Chjave
Crià una Cunsigliu d'accessu securità AWS è l'identità di a CSS Accuglianza ACC Accountabilitaria vi permettà à i vostri utenti a utilizà software di tercera parte cum'è quelli chjamati prima. A mantenenu in mente chì, cum'è una misura di salvezza, puderete solu esse chjavi durante u prucessu d'aghjunghje u perfil di l'utilizatori. Assicuratevi di cupià è aghjunghje u risultatu da u Avvisu di Ordine è salve in un testu. Pudete mandà u schedariu per u vostru utilizatore.
- A sintazione per aghjà chjave per un utilizatore hè iam-useraddkey [-u USERNAME]. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
- Se vulete creà e chjave per l'utilizatori "bob", intria entre iam-useraddkey -u bob à l'Avvisu di Ordre.
- U cumanda serà sparghje i chjavi chì parevanu quarchi cosa:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
A prima linea hè l'Access ID Chjave è a seconda linea hè a Chjave d'Accessu Secreta. Avete bisognu per u software di u 3 parte.
Test Access
Avà chì avete creatu gruppi / utilizatori IAM è datu à l'accessu di gruppi per i politichi, avete bisognu di pruvà l'accessu.
Cunsigliu Accés
I vostri utenti pudaranu u so nome d'utilizatore è a password per accede à l'AWS Console. In ogni casu, questu hè micca u cunsigliu di a pagina di cunnessione chì hè utilizzatu per u cuntu principalu AWS.
Ci hè un URL speciale chì pudete aduprà chì vi prupone una forma di cuncettendu per u vostru Amazon AWS contu sola. Eccu l'URL da accede à S3 per i vostri utenti IAM.
https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3
U AWS-ACCOUNT-NUMBER hè u vostru numeru freti di cuntalli AWS. Pudete ottene quì si fugliale in a forma Amministratore di l'Amministrazione Web Sign. In seguitu è cliccate nant'à contu | Attualità di Cunza. U vostru numeru di u cuntestu hè in u cantonu ghjustu righitone. Assicuratevi di sguassate i dashes. U URL distingue quelque cosa cum'è https://fresh-security.message.museum.messenger.com/console/s3.
Utilizà i chjassi di accessu
Pudete scaricà è stallà qualsiasi l'uttimi ferii di partitu cose chjamati in stu articulu. Scrive u vostru Access Key ID è u Chjave d'Accessu Secretu per a ducumentazione di a strumenta di tercera parte.
Ricumenamente ricumandenu chì avete creatu un utilizatore iniziale è avete chì l'utilizatori prupostu sana chì ponu fà tuttu ciò chì ci necessariu di fà in S3. Dopu chì verificate unu di i vostri utenti, pudete cuntinuà a creazione di tutti i vostri utenti S3.
Risorse
Eccu alcuni risorse per avè una megliu entendre di Identità è Access Management (IAM).
- Cumplementu cù IAM
- IAM Command Line Toolkit
- Amazon AWS Console
- AWS Generator
- Utilizà AWS Identità è Access Management
- IAM
- IAM Discussion Forums
- I FAQ