AWS Identity sarta Manajemén Aksés

Bagian 1 of 3

Dina 2011, Amazon ngumumkeun ketersediaan AWS Identity & Manajemén Aksés (IAM) rojongan pikeun CloudFront. IAM diawalan dina 2010 jeung kaasup rojongan S3. AWS Identity & Manajemén Aksés (IAM) nyandak anjeun gaduh sababaraha pamaké dina hiji akun AWS. Lamun geus dipaké Amazon Layanan Web (AWS), anjeun sadar yen hiji-hijina jalan pikeun ngatur eusi dina AWS aub méré kaluar ngaran pamaké anjeun na sandi atawa aksés kenop.

Ieu patalina jeung masalah kaamanan nyata pikeun kalolobaan urang. IAM eliminates kudu babagi kecap akses tur kenop aksés.

Terus ngarobah sandi AWS utama urang atanapi generating kenop anyar téh ngan leyuran pabalatak lamun anggota staf bakal ninggalkeun tim urang. AWS Identity & Manajemén Aksés (IAM) éta mimiti alus sahingga rekening pamaké individu kalawan kenop individu. Najan kitu, kami mangrupa pamaké S3 / CloudFront sangkan geus ningali keur CloudFront bisa ditambahkeun kana IAM nu tungtungna kajadian.

Kuring kapanggih dokuméntasi dina layanan ieu bisa bit sumebar. Aya sababaraha produk pihak 3rd nu nawarkeun rupa-rupa pangrojong pikeun Identity & Aksés Manajemén (IAM). Tapi pamekar anu biasana thrifty sangkan kuring ditéang leyuran bébas menata IAM kalayan layanan Amazon S3 urang.

Artikel ieu walks ngaliwatan prosés netepkeun nepi ka Komando Line Interface nu ngarojong IAM sarta netepkeun up grup / pamaké kalawan aksés S3. Anjeun kudu boga hiji setelan akun Amazon AWS S3 sateuacan Anjeun ngawitan Konfigurasi Identity & Aksés Manajemén (IAM).

artikel abdi, Make Amazon Basajan Service Panyimpenan (S3), baris leumpang anjeun ngaliwatan prosés netepkeun up hiji akun AWS S3.

Di dieu mangrupakeun hambalan aub dina netepkeun up na ngalaksanakeun hiji pamaké di IAM. Ieu tulisan pikeun Windows tapi anjeun bisa tweak keur dipake dina Linux Ubuntu, UNIX jeung / atawa Mac OSX.

1. Masang sareng ngonpigurasikeun nu Komando Line Interface (CLI)

1. Jieun Grup a
2. Masihan Grup Aksés ka S3 Ember na CloudFront
3. Jieun pamaké sarta Tambahkeun ka Grup
4. Jieun Login Propil tur jieun kenop
5. test Aksés

Masang sareng ngonpigurasikeun nu Komando Line Interface (CLI)

The IAM Komando Line Toolkit mangrupakeun program Java sadia di Amazon urang AWS pamekar Pakakas. alat nu ngidinan Anjeun pikeun ngaéksekusi Paréntah API IAM ti cangkang utiliti (DOS keur Windows).

• Anjeun perlu ngajalankeun Java 1.6 atawa saluhureuna. Anjeun tiasa ngundeur versi panganyarna ti Java.com. Ningali versi nu dipasang dina sistem Windows anjeun, buka Ajakan Komando sarta tipe di jawa -version. Ieu nganggap yen java.exe aya dina jalur Anjeun.
• Ngundeur toolkit IAM CLI na Bahékeun berkas wae dina drive lokal Anjeun.
• Aya 2 file dina akar toolkit CLI nu kudu update.
  • aws-credential.template: file ieu nahan Kapercayaan AWS Anjeun. Tambahkeun AWSAccessKeyId anjeun sarta AWSSecretKey anjeun, simpen jeung nutup file.
  • klien-config.template: Anjeun ngan perlu ngamutahirkeun koropak ieu lamun merlukeun hiji server proxy. Leupaskeun # tanda na ngamutahirkeun ClientProxyHost, ClientProxyPort, ClientProxyUsername na ClientProxyPassword. Simpen jeung nutup file.
• Lengkah saterusna ngalibatkeun nambahkeun variabel Lingkungan. Buka Control Panel | Sistim Pasipatan | Setélan sistem canggih | Variabel lingkunganana. Tambahkeun variabel handap:
  • AWS_IAM_HOME: Atur variabel ieu kana diréktori dimana anjeun unzipped nu toolkit CLI. Mun anjeun ngajalankeun Windows jeung unzipped eta dina akar C drive anjeun, variabel bakal jadi C: \ IAMCli-1.2.0.
  • JAVA_HOME: Atur variabel ieu kana diréktori mana Java geus dipasang. Ieu bakal jadi lokasi file java.exe. Dina Windows 7 instalasi Java normal, ieu bakal jadi hal kawas C: \ Program Payil (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE: Atur variabel ieu jalur na file ngaran aws-credential.template nu diropéa luhur. Mun anjeun ngajalankeun Windows jeung unzipped eta dina akar C drive anjeun, variabel bakal jadi C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE: Anjeun ngan perlu nambahkeun variabel lingkungan ieu lamun merlukeun hiji server proxy. Mun anjeun ngajalankeun Windows jeung unzipped eta dina akar C drive anjeun, variabel bakal jadi C: \ IAMCli-1.2.0 \ klien-config.template. Ulah nambahkeun variabel ieu iwal mun perlu eta.

• Nguji instalasi ku akang ka Komando Ajakan sarta ngasupkeun iam-userlistbypath. Salami anjeun teu nampa kasalahan, anjeun kedah sae pikeun buka.

Sakabéh paréntah IAM bisa ngajalankeun ti Komando Ajakan. Sakabéh paréntah dimimitian ku "iam-".

Jieun Grup a

Aya maksimum 100 grup nu bisa dijieun keur unggal akun AWS. Bari Anjeun tiasa nyetel idin di IAM di tingkat pamaké, maké grup bakal jadi praktek pangalusna. Di handap ieu prosés pikeun nyieun grup di IAM.

• The rumpaka keur nyieun grup téh iam-groupcreate -g GROUPNAME [-p jalur] [-V] dimana -p jeung -V mangrupakeun pilihan. dokuméntasi pinuh dina Komando Line Interface is sadia on AWS Docs.

• Lamun hayang nyieun grup disebut "awesomeusers", anjeun bakal asupkeun, awesomeusers iam-groupcreate -g di Komando Ajakan.
• Anjeun tiasa mariksa yen rombongan dijieun neuleu ku cara nuliskeun iam-grouplistbypath di Komando Ajakan. Lamun ngalaman ukur dijieun grup ieu, output bakal hal kawas "arn: aws: iam :: 123456789012: group / awesomeusers", dimana jumlah éta téh jumlahna akun AWS Anjeun.

Masihan Grup Aksés ka S3 Ember na CloudFront

Kawijakan ngadalikeun kumaha grup anjeun bisa ngalakukeun dina S3 atanapi CloudFront. Sacara standar, grup anjeun moal bakal boga aksés ka nanaon di AWS. Kuring kapanggih dokuméntasi dina kawijakan janten OK tapi nyieun sakeupeul kawijakan, abdi tumaros saeutik trial and error mun meunang hal gawé di jalan kuring hayang ka jalan.

Anjeun gaduh sababaraha pilihan pikeun nyieun kawijakan.

Hiji pilihan téh bisa asupkeun éta langsung kana Komando Ajakan. Kusabab anjeun bisa jadi nyieun kawijakan jeung tweaking eta, keur kuring eta seemed gampang pikeun nambahkeun kawijakan kana file téks lajeng unggah kana file téks salaku parameter jeung paréntah iam-groupuploadpolicy. Di handap ieu prosés maké file téks na Ngunggah mun IAM.

• Paké hal kawas Notepad jeung asupkeun téks handap sarta simpen file:
  
  {
  "Pernyataan": [{
  "Pangaruh": "Ngidinan",
  "Aksi": "s3: *",
  "Resource": [
  "Arn: aws: s3 ::: BUCKETNAME",
  "Arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Pangaruh": "Ngidinan",
  "Aksi": "s3: ListAllMyBuckets",
  "Resource": "arn: aws: s3 ::: *"
  },
  {
  "Pangaruh": "Ngidinan",
  "Aksi": [ "cloudfront: *"],
  "Resource": "*"
  }
  ]
  }
  
• Aya 3 bagian kana kawijakan ieu. The Pangaruh ieu dipaké pikeun Ngidinan atanapi Deny sababaraha tipe aksés. Aksi ieu hal husus grup tiasa ngalakukeun. Resource nu bakal dipaké pikeun masihan aksés ka ember individu.

• Anjeun tiasa ngawates Laku lampah individual. Dina conto ieu, "Aksi": [ "s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], grup bakal bisa daptar eusi ember tur ngundeur objék.
• Bagian munggaran "ngamungkinkeun" grup pikeun nedunan sagala lampah S3 kanggo LIPI "BUCKETNAME".
• Bagian kadua "ngamungkinkeun" grup pikeun daptar sadaya ember di S3. Anjeun peryogi ieu kitu nu sabenerna bisa ningali daptar ember lamun ngagunakeun hal kawas konsol AWS.

• Bagian katilu méré group aksés pinuh ka CloudFront.

Aya kavling pilihan nalika datang ka kawijakan IAM. Amazon boga alat bener tiis sadia disebut AWS Sarat jeung Kaayaan generator. Ieu pakakas nyadiakeun GUI dimana anjeun bisa nyieun kawijakan anjeun sarta ngahasilkeun kodeu sabenerna anjeun kedah nerapkeun kawijakan. Anjeun oge bisa mariksa kaluar bagian Aksés Basa Sarat jeung Kaayaan nu Maké AWS Identity sarta Manajemén Aksés dokuméntasi online.

Jieun pamaké sarta Tambahkeun ka Grup

Prosés nyieun hiji pamaké anyar jeung nambahkeun ka grup pikeun nyadiakeun aranjeunna aksés ngalibatkeun sababaraha hambalan.

• The rumpaka keur nyiptakeun pamaké téh landihan [-p jalur] iam-usercreate -u [-g grup ...] [-k] [-V] dimana -p, -g, -k na -V mangrupakeun pilihan. dokuméntasi pinuh dina Komando Line Interface is sadia on AWS Docs.
• Lamun hayang nyieun hiji pamaké "Bob", anjeun bakal asupkeun, iam-usercreate -u Bob awesomeusers -g di Komando Ajakan.
• Anjeun tiasa mariksa yen pamaké dijieun neuleu ku cara nuliskeun iam-grouplistusers -g awesomeusers di Komando Ajakan. Lamun ngalaman ukur dijieun pamaké ieu kaluaran bakal hal kawas "arn: aws: iam :: 123456789012: pamaké / Bob", dimana jumlah éta téh jumlahna akun AWS Anjeun.

Jieun Sandi Liwat Propil tur jieun kenop

Dina tahap ieu, geus dijieun pamaké tapi maneh kudu nyadiakeun aranjeunna sareng jalan ka sabenerna nambahkeun jeung cabut objék tina S3.

Aya 2 pilihan sadia nyadiakeun pamaké anjeun ku aksés ka S3 maké IAM. Anjeun tiasa nyieun hiji Login Propil sarta nyadiakeun pamaké anjeun ku kecap akses. Éta bisa migunakeun Kapercayaan maranéhna asup kana Amazon AWS konsol. Pilihan séjén nyaéta pikeun masihan pamaké anjeun hiji konci aksés sarta konci rusiah. Éta bisa make kenop ieu dina parabot pihak 3rd kawas S3 Fox, CloudBerry S3 Explorer atawa S3 Browser.

Jieun Login Propil

Nyieun hiji Login Propil pikeun pamaké S3 anjeun nyadiakeun aranjeunna kalayan ngaran pamaké sarta sandi nu maranéhna bisa migunakeun mun login ka Amazon AWS konsol.

• The rumpaka keur nyiptakeun profil login nyaeta iam-useraddloginprofile -u landihan -p nyontek. dokuméntasi pinuh dina Komando Line Interface is sadia on AWS Docs.
• Lamun hayang nyieun hiji profil login pikeun pamaké "Bob", anjeun bakal asupkeun, iam-useraddloginprofile -u Bob nyontek -p di Komando Ajakan.

• Anjeun tiasa pariksa yén profil login dijieun neuleu ku cara nuliskeun iam-usergetloginprofile -u Bob di Komando Ajakan. Lamun ngalaman dijieun profil login pikeun Bob, output bakal hal kawas "Login Propil aya pikeun pamaké Bob".

jieun kenop

Nyieun hiji AWS Rusiah Aksés Key sarta pakait AWS Aksés Key ID bakal ngidinan pamaké anjeun ngagunakeun software pihak 3rd kawas leuwih disebutkeun saméméhna. Terus di pikiran nu salaku ukuran kaamanan, anjeun ngan bisa meunang kenop ieu mangsa proses tina nambahkeun profil pamaké. Pastikeun Anjeun salin kaluaran ti Komando Ajakan sarta simpen dina file téks. Anjeun bisa ngirim file ka pamaké anjeun.

• The rumpaka keur nambahkeun kenop pikeun pamaké téh iam-useraddkey [-u landihan]. dokuméntasi pinuh dina Komando Line Interface is sadia on AWS Docs.
• Lamun hayang nyieun kenop pikeun pamaké "Bob", anjeun bakal asupkeun iam-useraddkey -u Bob di Komando Ajakan.
• Paréntah bakal kaluaran kenop nu bakal kasampak hal kawas kieu:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Garis kahiji teh Aksés Key ID na garis kadua nya éta Rusiah Aksés Key. Anjeun peryogi duanana keur software pihak 3.

test Aksés

Ayeuna nu geus nyieun IAM Grup / pamaké sarta dibéré Grup ngakses maké kawijakan, Anjeun kudu nguji aksés ka.

Aksés konsol

pamaké anjeun bisa migunakeun ngaran pamaké maranéhanana sarta sandi mun login kana konsol AWS. Sanajan kitu, ieu teu konsol kaca login biasa nu dipaké pikeun akun AWS utama.

Aya URL husus nu bisa Anjeun pake nu bakal nyadiakeun formulir login pikeun akun Amazon AWS anjeun wungkul. Di dieu nyaeta URL kana login ka S3 pikeun pamaké IAM Anjeun.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

The AWS-akun-Nomer nyaeta jumlah akun AWS reguler anjeun. Anjeun tiasa meunang ku logging kana Amazon Web Service Sign Dina formulir. Login teras klik dina Akun | Kagiatan akun. Jumlah akun anjeun di pojok kanan luhur. Pastikeun Anjeun nyabut dashes. URL bakal kasampak hal kawas https://123456789012.signin.aws.amazon.com/console/s3.

Ngagunakeun kenop Aksés

Anjeun tiasa ngundeur tur masang salah sahiji parabot pihak 3rd geus disebutkeun dina artikel ieu. Lebetkeun Aksés Key ID anjeun jeung Key Rusiah Aksés per dokuméntasi alat pihak 3.

Kuring niatna nyarankeun yén anjeun nyieun hiji pamaké awal jeung boga nu pamaké pinuh nguji yen aranjeunna tiasa ngalakukeun sagalana kudu aranjeunna mun di S3. Saatos Anjeun pariksa salah sahiji pamaké anjeun, Anjeun bisa neruskeun kalawan netepkeun nepi sakabéh pamaké S3 Anjeun.

sumberdaya

Di dieu hiji sumber sababaraha méré anjeun pamahaman hadé tina Identity & Aksés Manajemén (IAM).

• Ngalalanyahan kalawan IAM
• Toolkit IAM Komando Line
• Amazon AWS konsol
• AWS Sarat jeung Kaayaan generator
• Ngagunakeun AWS Identity sarta Manajemén Aksés

• IAM Release Catetan
• Sawala Diskusi IAM
• IAM FAQs