AWS identiteedi ja juurdepääsu haldamine

1. osa 3.ast

Amazon teatas 2011. aastal CloudFront'i AWSi identiteedi ja juurdepääsu halduse (IAM) toetuse kättesaadavusest. IAM käivitati 2010. aastal ja sisaldas S3 toetust. AWSi isikutuvastus ja ligipääsu haldamine (IAM) võimaldab teil kasutada AWS-i kontol mitut kasutajat. Kui olete kasutanud Amazoni veebiteenuseid (AWS), olete teadlik, et ainus võimalus hallata sisu sisalduvaid AWS-sid annab välja oma kasutajanimi ja parool või juurdepääsuklahvid.

See on tõeline turvaprobleem enamiku jaoks. IAM kõrvaldab vajaduse jagada paroole ja juurdepääsuklahve.

AWSi parooli pidev muutmine või uute võtmete genereerimine on lihtsalt räpane lahendus, kui töötaja jätab meie meeskonna. AWSi identiteedi ja ligipääsu haldamine (IAM) oli hea algus, mis võimaldas üksikutele kasutajakontodele individuaalseid võtmeid. Kuid me oleme S3 / CloudFront'i kasutaja, nii et oleme jälginud CloudFront'i lisamist IAMile, mis lõpuks juhtus.

Leidsin, et selle teenuse dokumentatsioon on veidi hajutatud. On olemas mõned kolmanda osapoole tooted, mis pakuvad mitmesuguseid tugiteenuseid identiteedi ja ligipääsu haldamiseks (IAM). Kuid arendajad on tavaliselt säästlikud, et otsisin IAM-i haldamiseks tasuta lahendust meie Amazon S3-teenusega.

See artikkel läheb käsiraamatu liidese loomise protsessi, mis toetab IAM-i ja grupi / kasutaja seadistamist S3-juurdepääsuga. Enne Identiteedi ja Juurdepääsu Juhtimise seadistamist (IAM) peate seadma Amazonase AWS S3 konto seadistuse.

Minu artikkel, Amazon Simple Storage Service'i (S3) kasutamine, viib teid läbi AWS S3 konto loomise protsessi.

Siin on sammud kasutaja seadistamisel ja rakendamisel IAMis. See on kirjutatud Windowsile, kuid saate seda kasutada Linuxis, UNIXis ja / või Mac OSXis.

1. Käsiriba liidese (CLI) installimine ja konfigureerimine

1. Loo grupp
2. Anna rühmale juurdepääs S3 ämbrile ja CloudFront'ile
3. Loo kasutaja ja lisage gruppi
4. Loo sisselogimisprofiil ja loo võtmed
5. Testi juurdepääs

Käsiriba liidese (CLI) installimine ja konfigureerimine

IAM käsurea tööriistakomplekt on Java-programm, mis on saadaval Amazoni AWS-i arendaja tööriistades. Tööriist võimaldab käivitada IAM API-i käske shelli utiliidist (DOS for Windows).

• Peate kasutama Java 1.6 või uuemat versiooni. Võite alla laadida uusima versiooni Java.com-st. Et näha, milline versioon on teie Windowsi süsteemile installitud, avage käsuviip ja sisestage Java-versioon. See eeldab, et java.exe on teie PATHis.
• Laadige IAM CLI-i tööriistakomplekt alla ja lahti lukustage oma kohalikus draivis.
• CLI-i tööriistakomplekti root on kaks faili, mida peate uuendama.
  • aws-credential.template: selles failis on teie AWS-i mandaat. Lisage oma AWSAccessKeyId ja oma AWSSecretKey, salvestage ja sulgege fail.
  • client-config.template : teil on vaja seda faili värskendada ainult juhul, kui vajate puhverserverit. Eemaldage # märke ja värskendage ClientProxyHost, ClientProxyPort, ClientProxyUsername ja ClientProxyPassword. Salvestage ja sulgege fail.
• Järgmine samm hõlmab keskkonnamuutujate lisamist. Avage juhtpaneel | Süsteemi omadused | Täiustatud süsteemiseaded | | Keskkonna muutujad. Lisage järgmised muutujad:
  • AWS_IAM_HOME : seadke see muutuja kataloogi, kuhu olete CLI-i tööriistakomplekti lahti pakkinud . Kui kasutate Windowsi ja eemaldasite selle oma C draivi juurest, on muutuja C: \ IAMCli-1.2.0.
  • JAVA_HOME : seadke see muutuja kataloogi, kus Java on installitud. See oleks faili java.exe asukoht. Tavalises Windows 7 Java-installis oleks see midagi sellist nagu C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : määrake see muutuja eespool kirjeldatud aws-credential.template tee ja faili nime juurde. Kui kasutate Windowsi ja eemaldasite selle C-draivi juurest, siis oleks muutuja C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : selle keskkonnamuutuja on vaja lisada ainult juhul, kui vajate puhverserverit. Kui kasutate Windowsi ja eemaldasite selle oma C draivi juurest, oleks muutuja C: \ IAMCli-1.2.0 \ client-config.template. Ärge lisage seda muutuja, kui seda vajate.

• Paigaldust katsetades käivitades käsku käsku iam-userlistbypath. Niikaua kui te ei saa viga, peaksite olema hea minna.

Kõiki IAM käske saab käivitada käsuviibalt. Kõik käsklused algavad "iam-".

Loo grupp

Iga AWS konto jaoks on võimalik luua maksimaalselt 100 rühma. Kuigi saate IAMi õigusi kasutaja tasandil määrata, on gruppide kasutamine parim tava. Siin on protsess IAMi grupi loomiseks.

• Grupi loomise süntaks on iam-groupcreate -g GROUPNAME [-p PATH] [-v], kus -p ja -v on valikud. Käsurea liidese täielik dokumentatsioon on saadaval AWS-i dokumentides.

• Kui soovite luua rühma nimega "awesomeusers", sisestate käsuviibale iam-groupcreate-g awesomeusers.
• Saate kontrollida, kas grupp loodi õigesti, sisestades käsureale iam-grouplistbypath. Kui olete selle grupi loonud, oleks väljundiks midagi sellist nagu "arn: aws: iam :: 123456789012: group / awesomeusers", kus number on teie AWS konto number.

Anna rühmale juurdepääs S3 ämbrile ja CloudFront'ile

Poliitikad kontrollivad seda, mida teie grupp suudab teha S3 või CloudFront'is. Vaikimisi pole teie grupil juurdepääsu AWS-ile midagi. Leidsin, et poliitikate dokumentatsioon on OK, kuid mõnede poliitikate loomisel tegin natuke katsetusi ja vigu, et asjad töötaksid nii, nagu ma tahtsin neid töötada.

Teil on paar võimalust poliitikate loomiseks.

Üks võimalus on see, et saate sisestada need otse käsureale. Kuna te võite luua poliitika ja tutistada seda, tundus mulle lihtsam lisada see poliitikat tekstifailiks ja seejärel laadida tekstifail parameetrina käsuga iam-groupuploadpolicy. Siin on protsess, milles kasutatakse tekstifaili ja laaditakse üles IAM-ile.

• Kasutage midagi Notepadit ja sisestage järgmine tekst ja salvestage fail:
  
  {
  "Avaldus": [{
  "Effect": "Luba"
  "Tegevus": "s3: *"
  "Ressurss": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Effect": "Luba"
  "Tegevus": "s3: ListAllMyBuckets",
  "Allikas": "arn: aws: s3 ::: *"
  },
  {
  "Effect": "Luba"
  "Tegevus": ["cloudfront: *"]
  "Allikas": "*"
  }
  ]
  }
  
• Sellele poliitikale on 3 jaotist. Efekti kasutatakse teatud juurdepääsu tüübiks lubamiseks või keelamiseks. Tegevus on konkreetsed asjad, mida rühm võib teha. Ressurssi kasutatakse üksikute ämbritele juurdepääsu saamiseks.

• Te saate Teid ükshaaval piirata. Selles näites, "Action": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], saab grupp sisu kopeerida ja objekte alla laadida.
• Esimene jaotis "Võimaldab" gruppi täitma kõik S3 toimingud ämber "BUCKETNAME".
• Teine jaotis "Võimaldab" grupil loetleda kõik kopad S3-s. Seda vajate, et saaksite ämbrite nimekirja näha, kui kasutate midagi AWS konsooli.

• Kolmas lõik annab rühmale täieliku juurdepääsu CloudFront'ile.

IAM-i poliitikavaldkondade puhul on palju võimalusi. Amazon pakub tõeliselt lahedat tööriista, mida nimetatakse AWS-i poliitika genereerimiseks. See tööriist pakub GUI-d, kus saate oma eeskirju luua ja tegelikku koodi luua, mida poliitika rakendamiseks on vaja. Samuti saate tutvuda veebisaidil AWS Identiteedi ja juurdepääsu haldamise veebisaidil kasutatava juurdepääsu eeskirjade keele jaotisest.

Loo kasutaja ja lisage gruppi

Uue kasutaja loomise ja grupile juurdepääsu lisamise protsess hõlmab paari sammu.

• Kasutaja loomise süntaks on iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v], kus -p, -g, -k ja -v on valikud. Käsurea liidese täielik dokumentatsioon on saadaval AWS-i dokumentides.
• Kui soovite luua kasutaja "bob", sisestate käsuviibale iam-usercreate -u bob -g awesomeusers.
• Saate kontrollida, kas kasutaja on õigesti loodud, sisestades käsureale iam-group listusers-g awesomeusers. Kui oleksite selle kasutaja loonud, oleks väljundiks midagi sellist nagu "arn: aws: iam :: 123456789012: user / bob", kus number on teie AWS konto number.

Loo sisselogimisprofiil ja loo võtmed

Sel hetkel olete loonud kasutaja, kuid peate andma neile võimaluse tegelikult objektidest S3 lisada ja eemaldada.

Saadaval on 2 valikut, mis võimaldavad IAS-i kasutajal juurdepääsu S3-le. Saate luua sisselogimisprofiili ja anda oma kasutajatele parooli. Nad saavad kasutada Amazoni AWS-i konsooli sisselogimiseks oma mandaate. Teine võimalus on anda kasutajatele juurdepääsuklahv ja salajane võti. Neid võtmeid saavad kasutada kolmanda osapoole tööriistad nagu S3 Fox, CloudBerry S3 Explorer või S3 brauser.

Loo sisselogimisprofiil

S3-kasutajate sisselogimisprofiili loomine annab neile kasutajanime ja parooli, mida nad saavad kasutada Amazoni AWS-i konsooli sisselogimiseks.

• Sisselogimisprofiili loomise süntaks on iam-useraddloginprofile -u USERNAME -p PASSWORD. Käsurea liidese täielik dokumentatsioon on saadaval AWS-i dokumentides.
• Kui soovisite luua kasutajanime "bob" profiili, sisestate käsureale iam-useraddloginprofile -u bob -p PASSWORD.

• Saate kontrollida, kas sisselogimisprofiil loodi õigesti, sisestades käsureale iam-usergetloginprofile -u bob. Kui oleksite loonud bob-i sisselogimisprofiili, peaks väljund olema midagi sellist nagu "kasutaja blokeeringu sisselogimisprofiil".

Loo võtmed

AWS-i salajase juurdepääsuvõimaluse ja vastava AWS-i juurdepääsu võtme ID loomine lubab teie kasutajatel kasutada kolmanda osapoole tarkvara nagu varem mainitud. Pidage meeles, et turvameetmena võite need võtmed ainult kasutajaprofiili lisamise ajal saada. Veenduge, et kopeerite ja kleepige väljund käsurealt ja salvestage see tekstifaili. Saate faili oma kasutajale saata.

• Kasutaja võtmete lisamiseks on iam-useraddkey [-u USERNAME]. Käsurea liidese täielik dokumentatsioon on saadaval AWS-i dokumentides.
• Kui soovite kasutaja "bob" võtmeid luua, sisestate käsureale iam-useraddkey -u bob.
• Käsk annab välja võtmed, mis näeksid välja midagi sellist:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Esimene rida on Access Keyi ID ja teine ​​rida on salajane juurdepääsuvõimalus. Teil on vaja nii kolmanda osapoole tarkvara.

Testi juurdepääs

Nüüd, kui olete loonud IAM rühmad / kasutajad ja andes rühmadele juurdepääsu poliitikate kaudu, peate juurdepääsu kontrollima.

Konsooli juurdepääs

Kasutajad saavad AWS-i konsooli sisselogimiseks kasutada oma kasutajanime ja parooli. Kuid see ei ole tavaline konsooli sisselogimisleht, mida kasutatakse peamiste AWS-konto jaoks.

Sellel saidil on spetsiaalne URL, mida saate kasutada ainult Amazoni AWS-i kontole sisselogimise vormiga. Siin on IAM-i kasutajate sisselogimise URL S3-le.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER on teie tavaline AWS-konto number. Selle saate sisse logida Amazon Web Service Sign In vormi. Logi sisse ja klõpsake nupul Konto | Konto tegevus. Teie konto number on paremas ülanurgas. Veenduge, et eemaldad kriipsud. URL näeks välja näiteks https://123456789012.signin.aws.amazon.com/console/s3.

Juurdepääsuklahvide kasutamine

Saate alla laadida ja installida selles artiklis juba mainitud kolmanda osapoole tööriistu. Sisestage oma juurdepääsu võtme ID ja salajane juurdepääsuvõimalus kolmanda osapoole tööriista dokumentatsioonile.

Soovitan tungivalt luua esialgse kasutaja ja seda kasutajat täielikult testida, et nad saaksid teha kõike, mida S3-s on vaja teha. Kui olete oma kasutajaid kinnitanud, võite jätkata kõigi oma S3 kasutajate seadistamist.

Ressursid

Siin on mõned ressursid, mis aitavad teil paremini mõista identiteedi ja juurdepääsu juhtimist (IAM).

• Alustamine IAMiga
• IAM käsurea tööriistakomplekt
• Amazon AWS konsool
• AWS-i poliitika generaator
• AWS-i identiteedi ja juurdepääsu halduse kasutamine

• IAM Release Notes
• IAM foorumid
• IAM KKK