AWS Identità è Access Management

Parte 1 di 3

In u 2011, Amazon amparà a dispunibilità di l'accessibilità di AWS Identità è Access Management (IAM) per CloudFront. IAM hè stata novata in u 2010 è cumprendi l'assistenza S3. L'AWS Identità è l'Access Management (IAM) vi permette di esse diversi utilizatori in una contu AWS. Sè avete avutu l'Amazonia Web Services (AWS), avete sognu chì l'unicu modu per gestisce u cuntenutu in AWS involucènnusi cù u vostru nome d'utilizatore è a chjave di password o accessu.

Questa hè un prublema di prublemi di sicurità per a bona maghjina di noi. IAM elimina a necessità di sparte i password.

A constantità cambiantà a nostra password principale di AWS o ghjunghje chjave nova hè solu una solu messy solu chì un membru di u staffu abandone a nostra squadra. AWS Identità è Access Management (IAM) hè un principiu di bonu chì permette parechje persunale cù chjave individuali. In ogni casu, sò un usu S3 / CloudFront, cusì avemu avutu a veghja di CloudFront per aghjunghje à l'IAM chì accadini finalment.

Aghju trovu a ducumentazione annantu à stu serviziu per esse un pocu scattatu. Ci hè parechji prudutti di parti 3 chì offrenu una quantità di sustegnu à Identità è Access Management (IAM). Ma i pruduttori sò generalmente thrifty, per questu una solu solu per gestione IAM cù u nostru serviziu Amazonia S3.

Questu artighjanu in u prucessu di creazione di l'Interface Command Line chì soporta IAM è a creazione di un gruppu / usu cù l'accessu S3. Avete bisognu di una cunversione di Amazon AWS S3 before you begin configuring Identity & Access Management (IAM).

U mo articulu, Usendu l'Amazone Simple Simple Storage Service (S3), vi andassi à traversu u prucessu di creazione di un AWS S3 account.

Quì sò i passi impurtanti à fà scelte è implementà un utilizatore in IAM. Questu hè scrittu per Windows, ma pudete fà risponde per u utilizazione in Linux, UNIX è / o Mac OSX.

1. Installa è configite l'Interface Command Line (CLI)

1. Cridite un Gruppu
2. Aggiudate Accessu di Gruppu à u Bucket S3 è u Nùmpru
3. Crea un usu è aghjunghje à u Gruppu
4. Crea un perfil in scrittore è create e chjave
5. Test Access

Installa è configite l'Interface Command Line (CLI)

U IAM Command Line Toolkit hè un programa Java in Amazon AWS Developers Tools. L'uttellu permette di eseguisce cumandus di l'IAM API da una utilità cunnessione (DOS per Windows).

• Avete bisognu à esse ghjuntu Java 1.6 o più altu. Pudete scaricà l'ùltima versione di Java.com. Per vede quella versione hè installata nantu à u vostru sistema Windows, apre u Command Prompt è u tipu in java -versione. Questu si assume chì java.exe hè in u vostru PASSUM.
• Scaricate u Toolkit IAM CLI è scumpressate nant'à u vostru locu.
• Ci hè 2 schedarii in a raghjina di u ligame di CLI chì avete bisognu di aghjurnà.
  • aws-credential.template: Stu schedariu possi una credenza d'AWS. Aggiate a vostra AIACcessKeyId è a vostra AWSSecretKey, salvate è cercate u file.
  • client-config.template : Solu avete bisognu di aghjurnà stu schedariu si avete dumandatu un servitore proxy. Eliminate i # signes è aghjurnà ClientProxyHost, ClientProxyPort, ClientProxyUsername è ClientProxyPassword. Garde è cercate u file.
• U prossimu passu participanu l'aghjurnamentu Variables di l'Ambiente. Andà à Cunsigliu di Control | System Properties | I sistema di ricerca avanzati | Ambiente Variables. Agghicà e seguenti palangani:
  • AWS_IAM_HOME : Sittintete questa variàbile à u cartulare duve dunzatu l'armata di l'CLI. Sì avete adupratu Windows è sparà sopra à a ràdica di u vostru C drive, a variàbile seria C: \ IAMCli-1.2.0.
  • JAVA_HOME : Fate sta variàbile à u cartulare induve Java hè installata. Questu seria u locu di u schedariu java.exe. In una stallazione Java Java in modu nurmale, questu cosa seria C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Fate sta variàbile à u percorsu è u nome di l'architettura di a credenza d'arme. Cuntinuà chì aghjustate più à quì sopra. Sì avete adupratu Windows è sparà sopra à a ràdica di u vostru C drive, a variable seria C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Solu avete bisognu di aghjunghje quellaambienti d' ambienti sè vo avete dumandatu un servitore proxy. Se tu esse runanu Windows è unzipped à l'arrache di u vostru C drive, a variàbile seria C: \ IAMCli-1.2.0 \ client-config.template. Ùn aghjunghjenu micca sta paràbula, cellu ùn avete bisognu.

• Pruvate a stallazione per andà in u Command Prompt è intria in iam-userlistbypath. In quantu ùn avete micca riceve un errore, avete averu bonu per andà.

Tutte e cumandus IAM pò esse cundutu da u Prompt Command. Tutti i cumandamenti principiani cù "iam-".

Cridite un Gruppu

Ci hè un massimu di 100 gruppi chì ponu esse creati per ogni sucetà AWS. Mentre pudete puru stabilisce i permessi à l'IAM à u nivellu d'utilizatori, utilizate gruppi seranu i pratichi megliu. Eccu u prucessu per creà un gruppu in IAM.

• A sintassi per creà un gruppu hè iam-groupcreate -g GROUPNAME [-p PATH] [-v] induve a -p è -v sò opzioni. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.

• Se vulete creà un gruppu chjamatu "esercitanti", intriau ingressà, iam-groupcreate -g esempioferenti à u Command Prompt.
• Pudete cuntrollà chì u gruppu hè statu creatu cume accessu iam-grouplistbypath à l'Avvisu di Ordre. S'è avete solu creatu stu gruppu, a sorsa seria stata quarchi cum'è "arn: aws: iam :: 123456789012: gruppu / i maravigghi", induve u numbru hè u vostru numeru di contu AWS.

Aggiudate Accessu di Gruppu à u Bucket S3 è u Nùmpru

I politique cuntrolanu ciò chì u vostru gruppu hè capaci di fà in S3 o Cume à Nuvole. Per automaticamente, u vostru gruppu ùn avete micca accessu à qualcosa in AWS. Aghju trovu a ducumentazione nantu à i pulitiche di esse avitu, ma à creà un pocu di pulitiche, aghju fattu un pocu di prucessu è l'errore per avè cose à travaglià a manera di i mi vulia fà di travaglià.

Avete parechje scelte per creà e pulitiche.

Una sola opcione pudete intrà andà direttamente in u Prompt Command. Perchè puderete esse creatu una pulitica è uveru, per mè, mi parevanu megliu aghjuntu a pratica in un schedariu di testu, è pozzu cullà u schedariu di testu cum'è parametru cù u cumandimu iam-groupuploadpolicy. Eccu u prucessu utilizendu un schedariu di testu è uploading à l'IAM.

• Aduprate qualcosa cum'è Notepad è intria u teste da seguente è salvà u schedariu:
  
  {
  "Stqarrija": [[
  "Effettu": "Allow",
  "Azione": "s3: *",
  "Ricerca": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Effettu": "Allow",
  "Azione": "s3: ListAllMyBuckets",
  "Ricerca": "arn: aws: s3 ::: *"
  },
  {
  "Effettu": "Allow",
  "Azione": ["nuvellu: *"],
  "Ricerca": "*"
  }
  ]
  }
  
• Ci hè 3 sizzioni à questa pulitica. L'Effettu veni usatu per Permette o Deny some type of access. L'Acqua hè a materia specificu chì u gruppu pò fà. U risorsa sirve aduprà per accede à i coghju individuelle.

• Pudete limitar l'Azienda individually. In questu esempiu, "Azione": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], u gruppu puderia esse elencu di u cuntenutu di un saccu è l'ogetti di scaricamentu.
• A prima secunna "Permettenu" u gruppu per esse realizatu tutte ezioni S3 per u bucket "BUCKETNAME".
• A secunna sezzioni "Permettenu" u gruppu per piacè entre listessa tutti i cuglieri in S3. Avete bisognu di questu, perchè pudete veramente a lista di i cugliuni si aduprate qualcosa cum'è a AWS Console.

• A terza strada permette à l'accessu tutale di u gruppu à u Culleghju.

Ci sò parechje opzioni à i pulitichi IAM. Amazonia hà una strumenta assai genovua chjamata chjamata AWS Generator. Sta storia prublemi una GUI induve pudete creà e vostre pulitiche è generate u codice propiu chì avete bisognu di implementà a pulitica. Pudete puru verificà a Secunna di Lingua Politica d'Accessu di a Documentazione online d'Utilizazione di Identità è Access Management AWS.

Crea un usu è aghjunghje à u Gruppu

U prucessu di crià un novu usu è aghjunghje à un gruppu per furnisce l'accessu implica un pocu di passi.

• A sintassi per creà un utilizatore hè iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] induve a -p, -g, -k è -v sò opzioni. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
• Se vulete creà un utilizatore "bob", intria intrinu, iam-usercreate -u bob -g esempioferenti à l'Avvisu di Ordre.
• Pudete cuntrollà chì l'utilizatori hè statu creatu cume per ingressà iam-grouplistus -g esempioferenti à u Pianu Command. Sì avete solu creatu questu usu, l'output seria una cosa cum'è "arn: aws: iam :: 123456789012: utile / bob", induve u numbru hè u vostru numeru di contu AWS.

Creece prughjettu di u Logu è Cridite Chjassi

À questu puntu, hà criatu un utilizatore ma avete bisognu di furnisce un modu per aghjustà è sguassate l'oggetti da S3.

Ci hè 2 offerte dispunibuli per furnisce i vostri utenti cù accessu à S3 cù IAM. Pudete creà un Profite d'Usuariu è prumove i vostri utenti cun una password. Puderanu utilizà e so credenza per u ghjornu in l'Amazon AWS Console. L'altra opzione hè di dà à i vostri utenti una chjave d'accessu è una chjave secreta. Puderanu esse chjusi in e ferii di partitu com S3 Fox, CloudBerry S3 Explorer o S3 Browser.

Crea un perfil in English

Crià un Profitariu d'Usuariu per i vostri utenti S3 li furnisce cù un nome d'utilizatore è password chì ponu utilizate per accede à l'Amazon AWS Console.

• A sintassi per creà un perfil di login hè iam-useraddloginprofile -u USERNAME -p PASSWORD. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
• Se vulete create un nome di cunnessione per l'utilizatore "bob", intriau ingressà, iam-useraddloginprofile -u bob -p PASSWORD à u Pianu Command.

• Pudete cuntrollà chì u proflu login hè statu creatu cume accessu iam-usergetloginprofile -u bob à l'Avvisu di Ordine. Se avete criatu un prughjettu di login per Bob, l'output seria una cosa cum'è "In u prufessi di login per u utilizatore bob".

Cridite Chjave

Crià una Cunsigliu d'accessu securità AWS è l'identità di a CSS Accuglianza ACC Accountabilitaria vi permettà à i vostri utenti a utilizà software di tercera parte cum'è quelli chjamati prima. A mantenenu in mente chì, cum'è una misura di salvezza, puderete solu esse chjavi durante u prucessu d'aghjunghje u perfil di l'utilizatori. Assicuratevi di cupià è aghjunghje u risultatu da u Avvisu di Ordine è salve in un testu. Pudete mandà u schedariu per u vostru utilizatore.

• A sintazione per aghjà chjave per un utilizatore hè iam-useraddkey [-u USERNAME]. A ducumentazione tutale di a Linea Command Line hè disponibile in AWS Docs.
• Se vulete creà e chjave per l'utilizatori "bob", intria entre iam-useraddkey -u bob à l'Avvisu di Ordre.
• U cumanda serà sparghje i chjavi chì parevanu quarchi cosa:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  A prima linea hè l'Access ID Chjave è a seconda linea hè a Chjave d'Accessu Secreta. Avete bisognu per u software di u 3 parte.

Test Access

Avà chì avete creatu gruppi / utilizatori IAM è datu à l'accessu di gruppi per i politichi, avete bisognu di pruvà l'accessu.

Cunsigliu Accés

I vostri utenti pudaranu u so nome d'utilizatore è a password per accede à l'AWS Console. In ogni casu, questu hè micca u cunsigliu di a pagina di cunnessione chì hè utilizzatu per u cuntu principalu AWS.

Ci hè un URL speciale chì pudete aduprà chì vi prupone una forma di cuncettendu per u vostru Amazon AWS contu sola. Eccu l'URL da accede à S3 per i vostri utenti IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

U AWS-ACCOUNT-NUMBER hè u vostru numeru freti di cuntalli AWS. Pudete ottene quì si fugliale in a forma Amministratore di l'Amministrazione Web Sign. In seguitu è ​​cliccate nant'à contu | Attualità di Cunza. U vostru numeru di u cuntestu hè in u cantonu ghjustu righitone. Assicuratevi di sguassate i dashes. U URL distingue quelque cosa cum'è https://fresh-security.message.museum.messenger.com/console/s3.

Utilizà i chjassi di accessu

Pudete scaricà è stallà qualsiasi l'uttimi ferii di partitu cose chjamati in stu articulu. Scrive u vostru Access Key ID è u Chjave d'Accessu Secretu per a ducumentazione di a strumenta di tercera parte.

Ricumenamente ricumandenu chì avete creatu un utilizatore iniziale è avete chì l'utilizatori prupostu sana chì ponu fà tuttu ciò chì ci necessariu di fà in S3. Dopu chì verificate unu di i vostri utenti, pudete cuntinuà a creazione di tutti i vostri utenti S3.

Risorse

Eccu alcuni risorse per avè una megliu entendre di Identità è Access Management (IAM).

• Cumplementu cù IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Generator
• Utilizà AWS Identità è Access Management

• IAM
• IAM Discussion Forums
• I FAQ