AWS Identity and Access Management

Hluti 1 af 3

Árið 2011 tilkynnti Amazon um framboð á AWS Identity & Access Management (IAM) stuðningi við CloudFront. IAM var hleypt af stokkunum árið 2010 og var með S3 stuðning. AWS Identity & Access Management (IAM) gerir þér kleift að hafa marga notendur innan AWS reiknings. Ef þú hefur notað Amazon Web Services (AWS) ertu meðvituð um að eina leiðin til að stjórna efni í AWS þátttöku gefur út notandanafn þitt og lykilorð eða aðgangslyklar.

Þetta er raunverulegt öryggisvandamál fyrir flest okkar. IAM útrýma the þörf til að deila lykilorð og aðgangs lykla.

Stöðugt að breyta helstu AWS lykilorðinu okkar eða búa til nýja lykla er bara sóðalegur lausn þegar starfsmaður myndi yfirgefa liðið okkar. AWS Identity & Access Management (IAM) var góð byrjun leyfa einstökum notendareikningum með einstökum lyklum. Hins vegar erum við S3 / CloudFront notandi svo við höfum verið að horfa á að CloudFront verði bætt við IAM sem loksins gerðist.

Ég fann skjölin á þessari þjónustu til að vera svolítið dreifðir. Það eru nokkrar vörur frá þriðja aðila sem bjóða upp á úrval af stuðningi við Identity & Access Management (IAM). En verktaki eru venjulega sparandi, þannig að ég leitast við að fá ókeypis lausn til að stjórna IAM með Amazon S3 þjónustunni okkar.

Þessi grein gengur í gegnum ferlið við að setja upp skipanalínuna sem styður IAM og setja upp hóp / notanda með S3 aðgangi. Þú þarft að hafa uppsetningar Amazon AWS S3 reikninga áður en þú byrjar að stilla auðkenni og aðgangsstjórnun (IAM).

Greinin mín, með því að nota Amazon Simple Storage Service (S3), mun ganga þig í gegnum ferlið við að setja upp AWS S3 reikning.

Hér eru skrefin sem taka þátt í að setja upp og innleiða notanda í IAM. Þetta er skrifað fyrir Windows en þú getur klipið til notkunar í Linux, UNIX og / eða Mac OSX.

1. Setja upp og stilla kommandalínu tengi (CLI)

1. Búðu til hóp
2. Gefðu Group aðgang að S3 Bucket og CloudFront
3. Búa til notanda og bæta við hópi
4. Búðu til Innskráning prófíl og Búðu til lykla
5. Prófaðgang

Setja upp og stilla kommandalínu tengi (CLI)

The IAM Command Line Toolkit er Java forrit í boði í Amazon AWS Developers Tools. Tólið gerir þér kleift að framkvæma IAM API skipanir úr skel gagnsemi (DOS fyrir Windows).

• Þú þarft að keyra Java 1,6 eða hærra. Þú getur sótt nýjustu útgáfuna frá Java.com. Til að sjá hvaða útgáfu er uppsett á Windows kerfinu þínu skaltu opna Command Prompt og sláðu inn Java-útgáfu. Þetta gerir ráð fyrir að Java.exe sé í PATH þinni.
• Hlaða niður IAM CLI tólinu og taktu einhvers staðar á staðbundna drifið þitt.
• Það eru 2 skrár í rótinni á CLI tólinu sem þú þarft að uppfæra.
  • aws-credential.template: Þessi skrá inniheldur AWS persónuskilríki. Bættu við AWSAccessKeyId og AWSSecretKey, vistaðu og lokaðu skránni.
  • client-config.template : Þú þarft aðeins að uppfæra þessa skrá ef þú þarfnast proxy-miðlara. Fjarlægðu # skilti og uppfærðu ClientProxyHost, ClientProxyPort, ClientProxyUsername og ClientProxyPassword. Vista og lokaðu skránni.
• Næsta skref felur í sér að bæta umhverfisviðföngum. Farðu í Control Panel | Eiginleikar kerfisins | Ítarlegir kerfisstillingar | Umhverfisbreytur. Bæta við eftirfarandi breytum:
  • AWS_IAM_HOME : Settu þessa breytu í möppuna þar sem þú losaðir CLI tólið. Ef þú ert að keyra Windows og sleppt því í rót C-drifsins, þá er breytu C: \ IAMCli-1.2.0.
  • JAVA_HOME : Setjið þessa breytu í möppuna þar sem Java er uppsett. Þetta væri staðsetning java.exe skráarinnar. Í venjulegri Windows 7 Java uppsetningu, þetta væri eitthvað eins og C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Setjið þessa breytu í slóðina og skráarnafnið á aws-credential.template sem þú hefur uppfært hér að ofan. Ef þú ert að keyra Windows og sleppt því út á rót C-drifsins, þá er breytan C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Þú þarft aðeins að bæta við þessum umhverfisbreytu ef þú þarft umboðsserver . Ef þú ert að keyra Windows og sleppt því út í rót C-drifsins, þá er breytan C: \ IAMCli-1.2.0 \ client-config.template. Ekki bæta við þessari breytu nema þú þurfir það.

• Prófaðu uppsetninguna með því að fara á Command Prompt og slá inn iam-userlistbypath. Svo lengi sem þú færð ekki villu, þá ættir þú að vera góður að fara.

Öllum IAM skipunum er hægt að keyra frá stjórn hvetja. Allar skipanir byrja með "iam-".

Búðu til hóp

Það er hámark 100 hópa sem hægt er að búa til fyrir hverja AWS reikning. Þó að þú getir stillt heimildir í IAM á notendastigi, þá væri best að nota hópa. Hér er aðferð til að búa til hóp í IAM.

• Samheitiið til að búa til hóp er iam-groupcreate -g GROUPNAME [-p PATH] [-v] þar sem -p og -v eru valkostir. Full skjöl á stjórnarlínusviðinu er að finna á AWS Docs.

• Ef þú vilt búa til hóp sem kallast "awesomeusers", þá ættir þú að slá inn, iam-groupcreate -g awesomeusers á stjórnvaldshliðinu.
• Þú getur athugað hvort hópurinn hafi verið búinn til rétt með því að slá inn iam-grouplistbypath á stjórnunarprompt. Ef þú hefur aðeins búið til þennan hóp, þá myndi framleiðsla vera eitthvað eins og "arn: aws: iam :: 123456789012: hópur / awesomeusers", þar sem númerið er AWS reikningsnúmerið þitt.

Gefðu Group aðgang að S3 Bucket og CloudFront

Stefna stjórnar hvað hópurinn þinn getur gert í S3 eða CloudFront. Sjálfgefið var að hópurinn þinn hefði ekki aðgang að neinu í AWS. Ég fann skjölin um stefnu til að vera í lagi, en þegar ég bjó til handfylli stefnu, gerði ég smá prufa og villu til að fá hlutina að vinna eins og ég vildi að þau fóru.

Þú hefur nokkra möguleika til að búa til stefnu.

Einn kostur er að þú getur slegið inn þau beint í stjórnunarprófið. Þar sem þú gætir verið að búa til stefnu og klára það, virtist mér auðveldara að bæta við stefnunni í textaskrá og hlaða síðan upp textaskránni sem breytu með stjórninni iam-groupuploadpolicy. Hér er aðferðin með því að nota textaskrá og senda til IAM.

• Notaðu eitthvað eins og Minnisblokk og sláðu inn eftirfarandi texta og vista skrána:
  
  {
  "Yfirlýsing": [{
  "Áhrif": "Leyfa",
  "Aðgerð": "s3: *",
  "Resource": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Áhrif": "Leyfa",
  "Aðgerð": "s3: ListAllMyBuckets",
  "Resource": "arn: aws: s3 ::: *"
  },
  {
  "Áhrif": "Leyfa",
  "Aðgerð": ["cloudfront: *"],
  "Resource": "*"
  }
  ]
  }
  
• Það eru 3 hlutar í þessari stefnu. Áhrifið er notað til að leyfa eða afneita einhvers konar aðgang. Aðgerðin er sérstök atriði sem hópurinn getur gert. The Resource væri notað til að veita aðgang að einstökum fötum.

• Þú getur takmarkað aðgerðirnar fyrir sig. Í þessu dæmi, "Aðgerð": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], gæti hópurinn listað innihald fötu og hlaðið niður hlutum.
• Í fyrsta hluta "Leyfir" hópnum að framkvæma allar S3 aðgerðir fyrir fötu "BUCKETNAME".
• Í seinni hluta "Leyfir" hópnum að skrá alla ekki í S3. Þú þarft þetta þannig að þú getur raunverulega séð lista af fötum ef þú notar eitthvað eins og AWS Console.

• Þriðja hlutinn gefur hópnum fulla aðgang að CloudFront.

Það eru fullt af valkostum þegar kemur að IAM stefnu. Amazon hefur mjög flott tól í boði sem kallast AWS Policy Generator. Þetta tól veitir GUI þar sem þú getur búið til stefnur þínar og búið til raunverulegan kóða sem þú þarft til að framkvæma stefnuna. Þú getur líka skoðuð aðgangsstjórnarsniðmálsþáttinn í AWS Identity og Access Management netinu skjölunum.

Búa til notanda og bæta við hópi

Ferlið við að búa til nýja notanda og bæta við hópi til að veita þeim aðgang felur í sér nokkra skref.

• Setningafræði til að búa til notanda er iam-usercreate -u USERNAME [-p PATH] [-g GRUPS ...] [-k] [-v] þar sem -p, -g, -k og -v eru valkostir. Full skjöl á stjórnarlínusviðinu er að finna á AWS Docs.
• Ef þú vildir búa til notanda "bob", þá myndi þú slá inn, iam-usercreate-þú bob -g awesomeusers á stjórnprompt.
• Þú getur athugað hvort notandinn hafi verið búinn til rétt með því að slá inn iam-grouplistusers -g awesomeusers á stjórnunarprompt. Ef þú hefur aðeins búið til þennan notanda, þá myndi framleiðsla vera eitthvað eins og "arn: aws: iam :: 123456789012: notandi / bob", þar sem númerið er AWS reikningsnúmerið þitt.

Búðu til innskráningarpróf og búðu til lykla

Á þessum tímapunkti hefur þú búið til notanda en þú þarft að veita þeim leið til að bæta við og fjarlægja hluti af S3.

Það eru 2 möguleikar til að veita notendum aðgang að S3 með IAM. Þú getur búið til innskráningarpróf og gefið notendum aðgangsorð. Þeir geta notað persónuskilríki þeirra til að skrá sig inn í Amazon AWS Console. Hin valkostur er að gefa notendum aðgangs lykil og leynilykil. Þeir geta notað þessar lykla í verkfærum þriðja aðila eins og S3 Fox, CloudBerry S3 Explorer eða S3 Browser.

Búa til Innskráning prófíl

Búa til innskráningarpróf fyrir S3 notendur þínar veitir þeim notendanafn og lykilorð sem þeir geta notað til að skrá sig inn í Amazon AWS Console.

• Setningafræði til að búa til innskráningar prófíl er iam-useraddloginprofile -u USERNAME -p Lykilorð. Full skjöl á stjórnarlínusviðinu er að finna á AWS Docs.
• Ef þú vilt búa til notendanafn fyrir notandann "bob", þá ættir þú að slá inn, iam-useraddloginprofile -u bob -p LYKILORÐ við stjórnvaldið.

• Þú getur athugað hvort innskráningarprófíllinn var búinn til rétt með því að slá inn iam-usergetloginprofile-u bob á stjórnunarprompt. Ef þú hefur búið til notendanafn fyrir bob, þá myndi framleiðsla vera eitthvað eins og "Innskrá skráning er fyrir notanda bob".

Búðu til lykla

Að búa til AWS Secret Access lykil og samsvarandi AWS Access Key ID mun leyfa notendum að nota 3. aðila hugbúnað eins og áður sagði. Hafðu í huga að þú getur aðeins fengið þessar lyklar sem öryggisráðstafanir meðan á því er að bæta notandasniðinu. Gakktu úr skugga um að þú afritar og lítir á framleiðsluna úr stjórnarspjaldið og vistar í textaskrá. Þú getur sent skrána til notandans.

• Setningafræði til að bæta lyklum fyrir notanda er iam-useraddkey [-u USERNAME]. Full skjöl á stjórnarlínusviðinu er að finna á AWS Docs.
• Ef þú vilt búa til lykla fyrir notandann "bob", þá ættir þú að slá inn iam-useraddkey -u bob á stjórnunarprompt.
• Stjórnin mun framleiða lyklana sem myndu líta svona út:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Fyrsti línan er aðgangs lykilorðið og seinni línan er Secret Access lykillinn. Þú þarft bæði fyrir hugbúnað frá þriðja aðila.

Prófaðgang

Nú þegar þú hefur búið til IAM hópa / notendur og fengið aðgang að hópunum með því að nota reglur, þá þarftu að prófa aðganginn.

Aðgangur að hugga

Notendur þínir geta notað notandanafn og lykilorð til að skrá sig inn í AWS Console. Hins vegar er þetta ekki innskráningarsíðan fyrir venjulegan hugga sem er notuð fyrir aðal AWS reikninginn.

Það er sérstakur slóð sem þú getur notað sem gefur aðeins innskráningu fyrir Amazon AWS reikninginn þinn. Hér er slóðin til að skrá þig inn í S3 fyrir IAM notendur þínar.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER er venjulegt AWS reikningsnúmerið þitt. Þú getur fengið þetta með því að skrá þig inn á Amazon Web Service Sign In Form. Skráðu þig inn og smelltu á reikning | Reikningsvirkni. Reikningsnúmerið þitt er efst í hægra horninu. Gakktu úr skugga um að þú fjarlægir strikin. Vefslóðin myndi líta út eins og https://123456789012.signin.aws.amazon.com/console/s3.

Notkun aðgangs lykla

Þú getur hlaðið niður og sett upp eitthvað af þeim þriðja aðila tólum sem nú þegar eru nefndir í þessari grein. Sláðu inn aðgangs lykilorðið þitt og Leyndarmálaðgangslykilinn á þriðja aðila tól skjöl.

Ég mæli eindregið með því að þú býrð til upphafs notanda og noti þá notanda að prófa að þeir geti gert allt sem þeir þurfa að gera í S3. Eftir að þú staðfestir einn af notendum þínum geturðu haldið áfram að setja upp alla S3 notendur þína.

Resources

Hér eru nokkrar auðlindir til að auðvelda þér skilning á Identity & Access Management (IAM).

• Byrjaðu með IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• Að nota AWS Identity and Access Management

• IAM Release Notes
• IAM umræðuspjall
• IAM Algengar spurningar