AWS Аныктык жана Кирүүнү башкаруу

1-3-бөлүк

2011-жылы, Amazon AWS таануу & мүмкүндүк башкаруу (IAM) CloudFront колдоо бар экендигин билдирди. ИИМ 2010-жылы башталган жана S3 колдоо киргизилген. AWS иденттүүлүк жана Кирүүнү башкаруу (IAM) бир AWS каттоо бир нече колдонуучулар үчүн сага жардам берет. Сиз Amazon Web кызматын колдонгон (Aws) болсо, Aws мазмунду башкаруу үчүн бир гана жолу кирүүчү атын жана паролду же мүмкүндүк баскычтарын берүү тартылган билишет.

Бул бизге абдан реалдуу коопсуздук көйгөйлөрдүн бири болуп саналат. ИИМ сырсөздөр менен кирүү ачкычтарын бөлүшүү зарылдыгы жок.

Ар дайым биздин негизги AWS сырсөзүн өзгөртүү же жаңы ачкычын алып келүүчү бир кызматкери биздин командасын таштап, бир гана кир чечим болуп саналат. AWS иденттүүлүк жана Кирүүнү башкаруу (IAM) жеке баскычтар менен жеке колдонуучу каттоо жол жакшы башталыш болгон. Бирок, биз CloudFront акыры эмне IAM кошулган үчүн, биз көрүп келген бир S3 / CloudFront колдонуучу болуп саналат.

Мен бул кызмат жөнүндө документтер бир аз чачырап табылган. Аныктык жана Кирүүнү башкаруу (IAM) колдоо бир катар сунуш бир нече 3-тараптын буюмдар бар. Ал эми иштеп, адатта, үнөмдүү болуп саналат, ошондуктан, мен биздин Amazon S3 кызматы менен ИИМдин башкаруу акысыз чечүүгө умтулган.

Бул макалада ИИМдин колдойт маларга түзүү жана S3 мүмкүнчүлүгү менен бир топ / колдонуучуну орнотуу аркылуу жүрөт. Сиз Аныктык жана Кирүүнү башкаруу (IAM) орнотууга башталардан мурда Сиз Amazon AWS S3 эсебин орнотууну болушу керек.

Менин макала, Amazon Simple сактоо кызматы (S3) колдонуп, бир AWS S3 эсеп түзүү аркылуу силерди жүрүшөт.

Бул жерде IAM бир колдонуучуну түзүү жана ишке орнотуу тартылган кадам болуп саналат. Бул Windows үчүн жазылган, бирок сиз Linux, UNIX жана / же Mac OSX колдонуу үчүн Tweak болот.

1. Орнотуу жана маларга күүлөй (CLI)

1. Түзүү Тайпасы
2. Бер Group S3 чака CloudFront жеткиликтүүлүктү
3. Колдонуучу түзүү жана топтун салуу
4. Түзүү Кирүү кароо жана түзүү Keys
5. Test мүмкүндүк алуу

Орнотуу жана маларга күүлөй (CLI)

ИИМ Command Line топтому бир Java программасын Амазон анын AWS Developers куралдары бар. курал номиналдык коммуналдык (Windows үчүн DOS) чейин ИИМ API буйруктарын аткарууга мүмкүндүк берет.

• Сиз Java 1.6 же андан жогору чуркап керек. Сиз Java.com акыркы нускасын жүктөп алса болот. чыгаруу сиздин Windows системасында орнотулган көрүү үчүн, Java колёса-жылы команда киргизүүгө чакыруу жана түрүн ача. Бул java.exe жолунда экендигин божомолдойт.
• ИИМ CLI шаймандарды жүктөп жана жергиликтүү дискке бир Кысылган.
• өзгөртүүнү керек CLI Инструментарийди тамырынан 2 дептер бар.
  • AWS-credential.template: Бул сиздин AWS грамотасын турат. Сиздин AWSAccessKeyId жана AWSSecretKey кошуу сактоо жана билэни жабуу.
  • керектөөчү config.template: Сиз бир прокси-талап болсо гана бул билэни тактоо керек. # Белгилерин алып салуу жана ClientProxyHost, ClientProxyPort, ClientProxyUsername жана ClientProxyPassword тактоо. Сактоо жана жабуу.
• Эмки кадам Environment өзгөрмөлөр кошуу керек. Control Мурунку Тактанын | Системасы касиеттери | Advanced системасы ылайыкташтыруу | Курчап турган чөйрөнү Variables. төмөнкү Өзгөрмөлөрдү кошуу:
  • AWS_IAM_HOME: Сиз CLI шайманын алып чыгылсын каталогун бул өзгөрмө коюу. Эгер сиз Windows иштеп жана C пассионардык түбүндө аны алып чыгылсын болсо, өзгөрүлмө C болот: \ IAMCli-1.2.0.
  • JAVA_HOME: Java орнотулган каталогун бул өзгөрмө коюу. Бул java.exe делосуна жайгашкан болот. кадимки Windows 7 Java орнотуу, бул C сыяктуу бир нерсе болот: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE: Сиз жогоруда такташты AWS-credential.template жолу жана билэ атын бул өзгөрмө коюу. Эгер сиз Windows иштеп жана C пассионардык түбүндө аны алып чыгылсын болсо, өзгөрүлмө C болот: \ IAMCli-1.2.0 \ AWS-credential.template.
  • CLIENT_CONFIG_FILE: Эгер прокси-талап болсо, бул айлана-чөйрөнү өзгөрмө кошуу керек. Эгер сиз Windows иштеп жана C пассионардык түбүндө аны алып чыгылсын болсо, өзгөрүлмө C болот: \ IAMCli-1.2.0 кардар-config.template \. Эгер керек каралбаса, бул өзгөрмө кошууга болбойт.

• Команда киргизүүгө чакыруу өтүп орнотууга текшер жана Рухун-userlistbypath кирген. Эгер бир ката эмес, ошондой эле, силер үчүн дайыма жакшы болушу керек.

ИИМ бүт буйруктары команда киргизүүгө чакыруу тартып болот. бүт буйруктары "iam-" менен башталат.

Түзүү Тайпасы

Ар бир AWS эсебинен түзүлөт мүмкүн 100 топтордун максималдуу бар. Сиз колдонуучу деъгээлинде IAM уруксаттарды орното алат, ал эми топтордун жардамы менен мыкты практика болот. Бул жерде IAM топту түзүү үчүн болуп жатат.

• топту түзүү үчүн синтаксистик Рухун-groupcreate -G GROUPNAME болуп саналат [-p PATH] [-v] кайда -p тандоолорубуздун -v. Маларга толук документтерди AWS Документтерге жеткиликтүү.

• Сиз "awesomeusers" деп аталган топту жаратууну каалаган болсо, сен кирип, команда киргизүүгө чакыруу боюнча Рухун-groupcreate -G awesomeusers болмок.
• Сиз тобу команда киргизүүгө чакыруу боюнча Рухун-grouplistbypath киргизүү менен туура түзүлгөн деп текшере аласыз. Сиз бул топ жараткан болсо, анда чыгаруу сыяктуу бир нерсе болот го ", ARN: Aws: Рухун :: 123456789012: топ / awesomeusers" номери сиздин AWS каттоо номери.

Бер Group S3 чака CloudFront жеткиликтүүлүктү

Саясат топтук S3 же CloudFront эмне кыла эмне көзөмөлдөө. Алыдын ала, топтук Aws эч нерсеге ээ эмес эле. Мен жумушка келген жол менен иш нерселерди алуу үчүн OK деп саясатына, бирок саясаттын бир ууч түзүүгө, сот жана ката бир аз кылган документтер табылган.

Сиз саясатын түзүү үчүн жолдор бир нече бар.

Бир орнотуусун команда киргизүүгө чакыруу салып аларга түздөн-түз кире алат. Эгер саясатты түзүү жана мен үчүн, аны алымча мүмкүн болгондуктан, ал текст делосуна саясатын кошуп, анан буйрук Рухун-groupuploadpolicy менен параметр катары тексттик жүктөп берүү үчүн кыйын сезилчү. Бул жерде IAM үчүн тексттик жана жүктөп пайдалануу болуп саналат.

• Нотпадда сыяктуу бир нерсени пайдаланып, төмөнкү текстти киргизип, сактап:
  
  {
  "Арыз": [{
  "Effect": "Ооба",
  "Аракет": "S3: *",
  "Ресурстук": [
  "ARN: AWS: S3 ::: BUCKETNAME",
  "ARN: AWS: S3 ::: BUCKETNAME / *"]
  },
  {
  "Effect": "Ооба",
  "Аракет": "S3: ListAllMyBuckets",
  "Ресурстук": "ARN: AWS: S3 :::"
  },
  {
  "Effect": "Ооба",
  "Аракет": [ "cloudfront: *"],
  "Ресурстук": ""
  }
  ]
  }
  
• Бул саясаттын 3 бөлүмдөрү бар. Effect уруксат берүү же мүмкүнчүлүгү кээ бир түрүн четке кагуу үчүн колдонулат. Иш-аракеттер тобу кыла албайт, белгилүү бир нерселер болуп саналат. Ресурстук жеке чакалап мүмкүнчүлүгүн берүү үчүн колдонулат.

• Сиз жеке Аракеттер чектеши мүмкүн. Бул мисалда, "Аракет": [ "S3: GetObject", "S3: ListBucket", "S3: GetObjectVersion"], топ чака жана жүктөп объектилерин мазмунун Тизмеге алышат.
• Биринчи бөлүм тобу чакадан "BUCKETNAME" бардык S3 иш-чараларды жүзөгө ашыруу үчүн "берет".
• Экинчи бөлүмдө топ S3 бардык чака Тизмеге "берет". Сиз AWS чыгуучулар сыяктуу нерсени колдонуп, эгер чынында чакаларынан тизмесин көрө аласыз Бул керек.

• үчүнчү бөлүк CloudFront топ толук мүмкүнчүлүгүн берет.

ИИМ саясатка келгенде жолдору көп. Amazon AWS саясат Generator аталган жеткиликтүү чын эле салкын курал бар. Бул курал сиз саясатын түзүү жана саясатын ишке ашыруу үчүн зарыл болгон иш жүзүндө кодду пайда болот DOS азыркы камсыз кылат. Ошондой эле колдонуп AWS Аныктык жана Кирүүнү башкаруу онлайн документтерди алуу саясаты тили бөлүмүн чыгып текшере аласыз.

Колдонуучу түзүү жана топтун салуу

бир жаңы колдонуучуну түзүү жана аларга жеткиликтүүлүктү камсыз кылуу үчүн бир топ кошуу жараяны кадамдардын бир-эки билдирет.

• колдонуучуну түзүү үчүн синтаксистик Рухун-usercreate -u USERNAME [-p PATH] болуп саналат [-G GROUPS ...] [-k] [-v] кайда -p, -G, -k жана параметрлери бар -v. Маларга толук документтерди AWS Документтерге жеткиликтүү.
• Эгер колдонуучу "Bob" жаратууну каалаган болсо, сен команда киргизүүгө чакыруу боюнча Рухун-usercreate -u -G awesomeusers, боб кирмек.
• Колдонуучу команда киргизүүгө чакыруу боюнча Рухун-grouplistusers -G awesomeusers киргизүү менен туура түзүлгөн деп текшере аласыз. Сиз бул колдонуучуну жараткан болсо, анда чыгаруу сыяктуу бир нерсе болот го ", ARN: Aws: Рухун :: 123456789012: билан / Боб" номери сиздин AWS каттоо номери.

Капусточка кароо түзүү жана түзүү Keys

Бул жерде, бир колдонуучу, бирок, чынында, S3 тартып объекттерин кошуу жана алып салуу жолу менен камсыз кылуу керек түзгөн.

ИИМдин колдонуп S3 жеткиликтүүлүгү менен сиздин колдонуучуларды камсыз кылуу үчүн 2 параметрлери бар жеткиликтүү. Сиз Кирүү кароо түзүү жана сырсөз менен же сиздин колдонуучуларды камсыз болот. Алар Амазонка AWS чыгуучулар кирип, алардын ишеним грамотасын колдоно аласыз. башка параметр колдонуучулар бир мүмкүндүк алуу ачкычы жана жашыруун ачкычын берүү болуп саналат. Алар S3 Fox, CloudBerry S3 Explorer же S3 серепчи 3-тараптын куралдар бул баскычтарды колдоно аласыз.

Түзүү Кирүү кароо

Сиздин S3 колдонуучулар үчүн бир Кирүү кароо түзүү, алар Amazon AWS Консолуна кирүү үчүн колдоно турган бир кирүүчү атын жана паролду менен камсыз кылат.

• логин чыгаруу үчүн синтаксистик USERNAME -p Сырсөз -u Рухун-useraddloginprofile болуп саналат. Маларга толук документтерди AWS Документтерге жеткиликтүү.
• Сиз колдонуучу "Боб" үчүн логин кароо жаратууну каалаган болсо, сен кирип, Рухун-useraddloginprofile -u команда киргизүүгө чакыруу боюнча -p Сырсөз боб.

• Сиз кирүү ге команда киргизүүгө чакыруу боюнча Рухун-usergetloginprofile -u Жаныбек кирип туура түзүлгөн деп текшере аласыз. сен Боб үчүн логин кароо жараткан болсо, анда чыгаруу "Кирүү Өздүк маалымат Боб бар" сыяктуу бир нерсе болот.

түзүү Баскычтар

бир AWS Secret мүмкүндүк алуу ачкычы түзүү жана AWS мүмкүндүк алуу ачкычы ID тиешелүү колдонуучулар мурда айтылган сыяктуу 3-тараптын программаны колдонууга мүмкүндүк берет. Коопсуздук үчүн, сиз колдонуучу кароо кошуу учурунда гана бул баскычтарды алууга мүмкүн экенин эстен чыгарбайлы. Сиз көчүрүп текшерип, команда киргизүүгө чакыруу келген өндүрүүнү көчүрүп, жана текст делосуна куткар. Сиз колдонуучуга билэни жөнөтө аласыз.

• бир колдонуучу үчүн баскычтарын кошуу үчүн синтаксистик Рухун-useraddkey [-u USERNAME] болуп саналат. Маларга толук документтерди AWS Документтерге жеткиликтүү.
• Сиз колдонуучу "Боб" үчүн баскычтарды жаратууну каалаган болсо, сен команда киргизүүгө чакыруу боюнча Рухун-useraddkey -u Жаныбек кирмек.
• буйрук чыгаруу ушул сыяктуу болушу керек баскычтары:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Биринчи линия мүмкүндүк ачыш үчүн ID жана экинчи Secret мүмкүндүк алуу ачкычы болуп саналат. Сиз 3-тараптын ЭЭМ үчүн да керек.

Test мүмкүндүк алуу

Эми сиз ИИМ топтору / пайдалануучуларды жана топтор саясатын колдонуу менен кирүүгө берилген түзүлгөн деп, сен мүмкүнчүлүгүн сынап керек.

Console мүмкүндүк алуу

Сиздин колдонуучулар AWS чыгуучулар алып кирүү үчүн колдонуучунун ысымын жана жашыруун сөздү колдоно аласыз. Бирок, бул негизги AWS каттоо үчүн колдонулат үзгүлтүксүз консолу кирүү бет эмес.

гана Amazon AWS каттоо үчүн логин берип турган колдоно аласыз атайын URL бар. Бул жерде сиздин IAM колдонуучулар үчүн S3 кирүү үчүн URL болуп саналат.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ЭСЕП-NUMBER дайыма AWS каттоо номери. Сиз түрүндө Amazon Web Service Кирүү кирип менен ала аласыз. Кирүү жана каттоо басып | Каттоо аракет. Сиздин каттоо эсебинин номери, жогорку оң бурчунда жайгашкан. Сиз штрихтер алып турушу керек. URL https://123456789012.signin.aws.amazon.com/console/s3 сыяктуу болмок.

Мүмкүндүк алуу ачкычы колдонуу

Сиз жүктөп алуу жана бул макалада айтылган 3-тараптын куралдар кандай орното алат. Сиздин мүмкүндүк алуу ачкычы ID жана 3-тараптын курал документтерди күнүнө Secret мүмкүндүк алуу ачкычы кириш.

Мен сиз алгачкы колдонуучуну түзүү жана толугу менен алар S3 эмне үчүн зарыл болгон нерселердин баары эмне болот деп сынап бар деп сунуш кылат. Эгер колдонуучулардын текшерүү кийин, сиз S3 пайдалануучулардын бардык түзүү менен иш болот.

Ресурстар

Мына сага Инсандык & мүмкүндүк башкаруу (IAM) жакшыраак түшүнүүгө жардам берген бир нече ресурстары болуп саналат.

• IAM менен баштоо
• ИИМ Command Line топтому
• Amazon AWS консолу
• AWS Policy Generator
• Колдонуу AWS Аныктык жана Кирүүнү башкаруу

• ИИМ Release Notes
• ИИМ кароо
• ИИМ берилүүчү суроолор