AWS Identité an Access Management

Deel 1 vun 3

Am Joer 2011 huet den Amazon d'Verfügbarkeit vun der AWS Identity & Access Management (IAM) ënnerstëtzt fir CloudFront. IAM gouf 2010 gestart an en S3 Support ënnerstëtzt. AWS Identity & Access Management (IAM) erméiglecht Iech e puer Benotzer innerhalb vun engem AWS Kont ze hunn. Wann Dir Amazon Web Services benotzt (AWS) benotzt, kennt Dir d'Aart a Weis datt déi eenzeg Manéier fir Inhalt an AWS verwalten, déi Dir ugewise kritt fir Är Benotzernumm a Passwuert oder Zougangsschlëssel ze ginn.

Dëst ass e richtege Sécherheetsproblem fir déi meescht vun eis. D'IAM eliminéiert de Besoin fir Passwuert ze verbannen an Zougangsschlëssel z'erklären.

Always Change our Main AWS Passwuert oder nei nei Schlëssel generéiert just eng messaarm Léisung wann e Member vum Team eis Team verlassen. AWS Identity & Access Management (IAM) war e gudde Start fir eenzel Benotzerkonten mat eenzel Schlësselen ze ginn. Mir sinn awer e S3 / CloudFront User, fir datt mer kucken fir CloudFront fir IAM dobäi ze addelen deen endlech geschitt ass.

Ech hunn d'Dokumentatioun op dësem Service fonnt fir e bësse méi verstreet ze ginn. Et ginn e puer Drëtt Partei Produkter, déi eng Rei Ënnerstëtzung fir Identitéit & Access Management (IAM) ubidden. Awer d'Entwéckler si normalerweis gespäichert, also hunn ech eng gratis Léisung fonnt fir de IAM mat eisem Amazon S3 Service ze administréieren.

Dësen Artikel gitt duerch de Prozess vun der Command Line Interface, déi IAM ënnerstëtzt an eng Grupp / Benotzer mat S3 Zougang opbauen. Dir musst eng Amazon AWS S3 Kontoprinzip hunn, ier Dir ugefaang d'Identitéit & Zougang Verwaltung (IAM) konfiguréieren.

Mäin Artikel, Am Amazon Simple Storage Service (S3) benotze kënnt Dir duerch de Prozess vun der Einstellung vun engem AWS S3 Kont.

Hei sinn déi Schrëtt fir d'Installatioun an d'Implementatioun vum Benotzer bei IAM. Dëst ass fir Windows geschriwwe ginn, awer Dir kënnt Tweak fir benotzt an Linux, UNIX an / oder Mac OSX.

1. Installéiert a konfiguréieren d'Command Line Interface (CLI)

1. Eng Grupp grënnen
2. Gitt Gruppenzugriff op S3 Bucket an CloudFront
3. Benotzer Benotzer an Add to Group erstellen
4. Erlaabt de Profil a maacht Iech Keys op
5. Test Accès

Installéiert a konfiguréieren d'Command Line Interface (CLI)

Den IAM Command Line Toolkit ass e Java-Programm deen am Amazon AWS Developers Tools verfügbar ass. De Programm erlaabt Iech d'IAM API Kommandoen aus engem Shell Utility (DOS fir Windows) auszeféieren.

• Dir musst Java 1.6 oder méi lafen. Dir kënnt déi neueste Versioun vun Java.com liesen. Fir ze kucken wat eng Versioun op Ärem Windows-System installéiert ass, da bitt d'Command Prompt op a gitt an java -version. Dëst ass ugeholl datt java.exe an Ärem PATH ass.
• Luet Iech de IAM CLI Toolkit a rauszéihen iergendwou op Ärem lokalen Auto.
• Et ginn 2 Fichier an der Root vum CLI Toolkit, deen Dir aktualiséiert.
  • aws-credential.template: Dës Datei hält Äert AWS-Regelen. Füügt är AWSAccessKeyId a ÄREMETZTENKRITE, späichert a schéckt d'Datei.
  • client-config.template : Dir musst just dës Datei aktualiséieren wann Dir e Proxy-Server brauch. Entfernen der # Zeechen an update ClientProxyHost, ClientProxyPort, ClientProxyUsername an ClientProxyPassword. Späichert a schloe d'Datei.
• De nächste Schrëtt betrëfft Umbau Variablen. Gitt op Control Panel | System Properties | Advanced Systeminstellungen | Ëmweltvariablen. Fügt déi folgend Variablen hinzu:
  • AWS_IAM_HOME : Setzt dës Variabel op d'Verdeelung wou Dir de CLI Toolkit entpackt hutt. Wann Dir Windows leeden an opgetaucht ass op d'Wurzel vun Ärem C-Laufwerk, ass d'Variabel C: \ IAMCli-1.2.0.
  • JAVA_HOME : Setzt dës Variabel op d'Verdeelung a Java installéiert. Dëst wier de Stand vun der Datei java.exe. An enger normaler Windows 7 Java-Installatioun gouf et eppes wéi C: \ Program Files (x86) \ Java \ Jre6.
  • AWS_CREDENTIAL_FILE : Setzt dës Variabel op de Wee an den Dateinumm vun der aws-credential.template, déi Dir uewen aktualiséiert. Wann Dir Windows leeden an opgetaucht ass op der Root vun Ärem C-Laufwerk, ass d'Variabel C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Dir musst nëmmen dës Umbauaarbecht addéieren wann Dir e Proxy Server braucht. Wann Dir Windows leeden an opgetaucht ass op d'root vun Ärem C Drive, ass d'Variabel C: \ IAMCli-1.2.0 \ client-config.template. Addéiere dës Variabel net, wann Dir et braucht.

• Testen d'Installatioun wann Dir de Command Prompt an Iam-Userlistbypath kënnt. Soulaang wéi Dir e Feeler kritt, sollt Dir gutt sinn.

All d'IAM Kommandoe kënnen aus der Command Prompt lafen. All Kommandanten ufänken mat "iam-".

Eng Grupp grënnen

Et besteet maximal 100 Gruppen, déi fir all AWS-Kont erstallt kënne ginn. Obwuel Dir Permissiounen op IAM op d'Benotzerebene festleet, wou Gruppen benotzt déi gutt Praxis. Hei ass de Prozess fir eng Grupp am IAM ze schafen.

• De Syntax fir eng Schaff erstellen ass iam-groupcreate -g GROUPNAME [-p PATH] [-v] wou den -p an -v d'Optiounen sinn. Vollen Dokumentatioun op der Command Line Interface ass op AWS Docs verfügbar.

• Wann Dir eng Grupp mam Numm "awesomeusers" kreéiert wuar hues, da gitt dir iam-groupcreate -g awesomeusers am Command Prompt.
• Dir kënnt kontrolléieren datt d'Grupp korrekt erstallt gouf, andeems ech iam-grouplistbypath am Command Prompt kënnt. Wann Dir dës Grupp nëmmen erstallt huet, ass d'Ausgaach eppes wéi "arn: aws: iam :: 123456789012: group / Awesomeusers", wou d'Nummer Är AWS Kontzennummer steet.

Gitt Gruppenzugriff op S3 Bucket an CloudFront

Reglementer kontrolléieren wat Är Grupp kann an S3 oder CloudFront maachen. Par défaut gëtt Är Grupp keen Zougank zu AWS. Ech hunn d'Dokumentatioun iwwer Politiken OK fonnt, mee bei der Schafung vun enger Handvoll Politik, hunn ech e puer Versuchung a Feeler gemaach fir Saachen ze maachen, déi d'Art a Weis wéi ech se wollte schaffen.

Dir hutt e puer Méiglechkeeten fir eng Politik ze schafen.

Eng Optioun kënnt Dir se direkt an d'Command Prompt duerchsichen. Zënter datt Dir eng Politik maacht an opbaue kann, ass et fir mech besser d'Politik an eng Textdatei ze addelen an d'Textdatei als Parameter mam Kommando iam-groupuploadpolicy eropzelueden. Hei ass de Prozess mat enger Textdatei an eropgelueden op IAM.

• Benotzt iergendeppes wéi den Notepad a gitt den Text an der Lëscht a späichert dës Datei op:
  
  {
  "Ausso": [{
  "Effekt": "Allow"
  "Action": "s3: *",
  "Ressource": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Effekt": "Allow"
  "Action": "s3: ListAllMyBuckets",
  "Ressource": "arn: aws: s3 ::: *"
  },
  {
  "Effekt": "Allow"
  "Aktioun": ["Wolphréis: *"],
  "Ressource": "*"
  }}
  ]]
  }}
  
• Et ginn 3 Sektiounen zu dëser Politik. De Effekt gëtt benotzt fir Rettung oder Verweigerung e puer Zougang zouzegräifen. D'Aktioun ass déi spezifesch Saachen déi d'Grupp kann maachen. D'Ressource wäert benotzt ginn fir Zougang zu Eenzelbetter.

• Dir kënnt d'Aktiounen individuell limitéieren. An dësem Beispill ass "Action": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], de Grupp kéint den Inhalt vun engem Eemer opzemaachen an Objeten downloaden.
• Den éischten Deel "Allows" de Grupp fir all S3 Aktiounen fir den Eemer "BUCKETNAME" ze maachen.
• Déi zweet Rubrik "Allows" de Grupp fir all Eimer op S3 ze lëschten. Dir braucht dat, fir datt Dir d'Lëscht vun de Eemer gesitt, wann Dir eppes wéi d'AWS Konsole benotzt.

• Déi drëtt Sektioun gëtt de Grupp voll zougeleet op CloudFront.

Et gi vill Méiglechkeeten, wann d'Politik IAM weidergaange gëtt. D'Amazon huet e richteg cool Instrument, deen den AWS Policy Generator genannt gëtt. Dësen Tool bidd Iech eng GUI wou Dir Är Richtlinn erstellt a generéiert de aktuellen Code Dir musst déi Politik ëmsetzen. Dir kënnt och de Rubriken Zougangsrecht Access Language of the Online Dokumentatioun vun AWS Identity an Access Management benotzen.

Benotzer Benotzer an Add to Group erstellen

De Prozess fir e neie Benotzer ze schafen an eng Grupp ze ginn fir hinnen Zougang ze bidden huet e puer Schrëtt.

• De Syntax zum Erstelle vum Benotzer ass iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] wou den -p, -g, -k a -v options sinn. Vollen Dokumentatioun op der Command Line Interface ass op AWS Docs verfügbar.
• Wann Dir wëllt en Benotzer "bob" erstallt hunn, gitt Dir gitt, iam-usercreate -u bob -g awesomeusers am Command Prompt.
• Dir kënnt kontrolléieren datt de Benotzer korrekt erstallt gouf, andeems Iam-Grouplistusers -g awesomeusers bei der Command Prompt agefouert ginn. Wann Dir just dëse Benotzer erstallt huet, ass d'Ausgab eppes wéi "arn: aws: iam :: 123456789012: user / bob", wou d'Nummer Är AWS Kontonnummer ass.

Logon Profil erstallt a Keelt erstellen

Zu dësem Zäitpunkt hutt Dir e Benotzer benotzt, ma Dir musst hinnen och e Wee fir ze addéieren an Objeten aus S3 ze bidden.

Et gi 2 Méiglechkeete fir Är Benotzer virzeweisen fir Zougang zu S3 mat IAM ze kréien. Dir kënnt e Log-Profil erstellen an Är Benotzer mat engem Passwuert. Si kënnen hir Identifikatiounen benotze fir Iech an der Amazon AWS Console ze protokolléieren. Déi aner Optioun ass fir de Benotzer en Zougangsschloss an e Geheimtau ze ginn. Si kënnen dës Schlësselen an Drëtt Partie Tools wéi S3 Fox, CloudBerry S3 Explorer oder S3 Browser benotzen.

Schreiwen Login Profil

Schreift e Login fir Är S3-Benotzer deelt se mat engem Usernumm an Ärem Passwuert ze benotzen fir se ze anmelden fir un d'Amazon AWS Console ze benotzen.

• De Syntax fir e Login-Profil ass iam-useraddloginprofile -u USERNAME -p PASSWORD. Vollen Dokumentatioun op der Command Line Interface ass op AWS Docs verfügbar.
• Wann Dir e Login-Profil fir de Benotzer "bob" erstallt hutt, da gitt dir iam-useraddloginprofile -u bob -p PASSWORD an der Command Prompt.

• Dir kënnt iwwerpréiwen datt de Login-Profil korrekt erstallt gouf, andeems Dir iam-usergetloginprofile -u bob bei der Command Prompt kënnt. Wann Dir e Login-Profil fir de Bob kreéiert huet, wier d'Ausgab eppes wéi "Login Profil existéiert fir Userbob".

Maacht Schlësselen

AWS Secret Access Key erstellt a korrespondéiert AWS Access Key ID erlaabt datt Äre Benotzer Drëtt Partei Software benotzen wéi déi virdru scho virdru genannt. Denkt dorunner datt Dir als Sécherheetsmaess Dir dës Tastë just während de Prozess vum Userprofil kënnt. Vergewëssert Iech datt Dir kopéiert an e Fauscht vun der Command Prompt an en an enger Textdatei retten. Dir kënnt d'Datei op Äre Benotzer schécken.

• De Syntax fir de Schlëssel fir e Benotzer ass iam-useraddkey [-u USERNAME]. Vollen Dokumentatioun op der Command Line Interface ass op AWS Docs verfügbar.
• Wann Dir de Schlëssel fir de Benotzer "bob" erstallt huet, gitt Dir iam-useraddkey -u bob bei der Command Prompt.
• De Kommando wäert d'Schlësselen erausgoen, déi esou eppes kucken:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Déi éischt Zeil ass d'Access Key ID an déi zweet Zeil ass de Secret Access Key. Dir braucht souwuel fir Drëtt Partei Software.

Test Accès

Elo datt Dir IAM Groups / Benotzer gegrënnt hunn an d'Gruppen mat der Politik mat доступ доступ, Dir musst den Zougang testen.

Console Access

Är Benotzer kënnen hir Benotzernumm a Passwuert benotzen fir un d'Logg an d'AWS Console ze benotzen. Dëst ass awer net déi regulär Konsole Login-Säit déi benotzt gëtt fir den AWS Konto.

Et gëtt eng speziell URL déi Dir benotze kënnt, déi e Loginformular fir Ären Amazon AWS Account nëmmen ubelaangt. Hei ass d'URL fir en Login op S3 fir Är IAM Benotzer ze ginn.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

D'AWS-ACCOUNT NUMMER ass Är regulär AWS Kontosnummer. Dir kënnt dat kréien andeems Dir Iech um Konto an der Amazon Web Service Zeechen hutt. Login an klickt op Account | Account Aktivitéit. Är Kontosnummer ass an der oberer rechter Eck. Gitt sécher datt Dir d'Béih geläscht. D'URL wäert eppes kucken wéi https://123456789012.signin.aws.amazon.com/console/s3.

Access Keys benotze fir

Dir kënnt e Download vun der 3.Party Tools eroflueden an installéieren, déi schon an dësem Artikel ernimmt sinn. Gitt Är Access Key Identifikatioun an d'Geheim Access Zougang fir d'Drëtt Partei Tooldokumenter.

Ech recommandéieren datt Dir en éiwege Benotzer erstallt an datt de Benotzer komplett testen, datt se alles maachen wat se brauchen fir an S3 ze maachen. Nodeems Dir ee vun Äre Benotzer verifizéiert hutt, kënnt Dir mat all de S3-Benotzer opruffen.

Ressourcen

Hei sinn e puer Ressourcen fir Iech e besseren Verständnis vun Identity & Access Management (IAM) ze kréien.

• Getting Start mat IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• AWS Identité a Zougangsverwaltung

• IAM Release Notes
• IAM Discussion Forums
• IAM FAQ