AWS Idantite ak Jesyon Aksè

Pati 1 nan 3

Nan 2011, Amazon te anonse disponiblite a AWS Idantite & Aksè Jesyon (IAM) sipò pou CloudFront. IAM te lanse nan 2010 ak enkli sipò S3. AWS Idantite ak Aksè Jesyon (IAM) pèmèt ou gen plizyè itilizatè ki nan yon kont AWS. Si ou te itilize Amazon Web Services (AWS), ou konnen ke sèl fason pou jere kontni nan AWS ki enplike bay non itilizatè ou an ak modpas oswa kle aksè.

Sa a se yon enkyetid sekirite reyèl pou pifò nan nou. IAM elimine nesesite pou pataje modpas ak kle aksè.

Toujou chanje modpas prensipal AWS nou an oswa génération kle nouvo se jis yon solisyon sal lè yon manm anplwaye ta kite ekip nou an. AWS Idantite ak Jesyon Aksè (IAM) se te yon bon kòmanse ki pèmèt moun itilizatè kont ak kle endividyèl. Sepandan, nou se yon itilizatè S3 / CloudFront pou nou te ap gade pou CloudFront yo dwe ajoute nan IAM ki finalman rive.

Mwen te jwenn dokiman sou sèvis sa a pou yon ti jan gaye. Gen kèk pwodwi 3yèm pati ki ofri yon seri sipò pou Idantite & Aksè Jesyon (IAM). Men, devlopè yo anjeneral ékonomik Se konsa, mwen t'ap chache yon solisyon gratis nan jere IAM ak sèvis Amazon S3 nou an.

Atik sa a mache nan pwosesis la nan mete kanpe Interface Liy Entèfas ki sipòte IAM ak mete kanpe yon gwoup / itilizatè ak S3 aksè. Ou bezwen gen yon Amazon AWS S3 konfigirasyon kont ou anvan ou kòmanse konfigirasyon Idantite & Aksè Jesyon (IAM).

Atik mwen an, Lè l sèvi avèk Amazon Sèvis nan Depo Senp (S3), ap mache ou atravè pwosesis la nan mete kanpe yon kont S3 AWS.

Isit la yo se etap sa yo patisipe nan mete kanpe ak mete ann aplikasyon yon itilizatè nan IAM. Sa a se ekri pou Windows men ou ka ajiste pou itilize nan Linux, UNIX ak / oswa Mac OSX.

1. Enstale ak configire entèfas liy lan lòd (CLI)

1. Kreye yon gwoup
2. Bay gwoup aksè a S3 bokit ak CloudFront
3. Kreye itilizatè epi ajoute nan Gwoup
4. Kreye login Profile ak kreye kle
5. Aksè Egzamen

Enstale ak configire entèfas liy lan lòd (CLI)

IAM Kòmandman Liy Toolkit la se yon pwogram Java disponib nan Zouti Devlopè AWS Amazon. Zouti a pèmèt ou egzekite IAM API kòmandman ki sòti nan yon sèvis piblik koki (DOS pou Windows).

• Ou bezwen kouri Java 1.6 oswa pi wo. Ou ka telechaje vèsyon an dènye nan Java.com. Pou wè ki vèsyon enstale sou sistèm Windows ou a, louvri èd memwa a Kòmandman ak kalite nan java -version. Sa a sipoze ke java.exe se nan PATH ou.
• Download IAk CLI zouti a ak ouvri yon kote sou kondwi lokal ou an.
• Gen 2 dosye nan rasin lan nan zouti nan CLI ke ou bezwen mete ajou.
  • aws-credential.template: Fichye sa a kenbe kalifikasyon AWS ou. Add AWSAccessKeyId ou ak AWSSecretKey ou, sove epi fèmen dosye a.
  • client-config.template : Ou bezwen sèlman mete ajou dosye sa a si ou bezwen yon sèvè prokurasyon. Retire tout siy yo epi ajoute ClientProxyHost, ClientProxyPort, ClientProxyUsername, ak ClientProxyPassword. Sove epi fèmen dosye a.
• Pwochen etap la enplike nan ajoute varyab anviwònman. Ale nan Kontwòl Panel | Pwopriyete System | Anviwònman sistèm avanse | Anviwònman Varyab. Ajoute varyab sa yo:
  • AWS_IAM_HOME : Mete sa a varyab nan anyè a kote ou dekonekte zouti nan CLI. Si w ap kouri Windows ak dekonekte li nan rasin lan nan kondwi C ou a, varyab la ta dwe C: \ IAMCli-1.2.0.
  • JAVA_HOME : Mete varyab sa a nan anyè kote Java enstale. Sa a ta dwe kote adrès la nan java.exe dosye a. Nan yon nòmal enstalasyon Windows 7 Java, sa ta yon bagay tankou C: \ Pwogram Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Mete sa a varyab nan chemen an ak non dosye nan aws-credential.template a ke ou mete ajou pi wo a. Si w ap kouri Windows ak dekonekte li nan rasin lan nan kondwi C ou, varyab la ta dwe C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Ou sèlman bezwen ajoute varyab anviwònman sa a si ou bezwen yon sèvè prokurasyon. Si w ap kouri Windows ak dekonekte li nan rasin lan nan kondwi C ou a, varyab la ta dwe C: \ IAMCli-1.2.0 \ client-config.template. Pa ajoute varyab sa a sof si ou bezwen li.

• Teste enstalasyon an pa ale nan kòmand la Kòmandman epi k ap antre nan iam-userlistbypath. Osi lontan ke ou pa resevwa yon erè, ou ta dwe bon ale.

Tout kòmandman yo IAM ka kouri soti nan Èd Memwa a Kòmandman. Tout kòmandman yo kòmanse ak "iam".

Kreye yon gwoup

Gen yon maksimòm de 100 gwoup ki ka kreye pou chak kont AWS. Pandan ke ou ka mete autorisations nan IAM nan nivo itilizatè a, lè l sèvi avèk gwoup ta dwe pratik ki pi bon. Isit la se pwosesis pou kreye yon gwoup nan IAM.

• Sentaks la pou kreye yon gwoup se iam-groupcreate -g GROUPNAME [-p PATH] [-v] kote -p a -v se opsyon. Dokiman konplè sou entèfas liy lan lòd ki disponib sou AWS Docs.

• Si ou te vle kreye yon gwoup ki rele "awesomeusers", ou ta antre nan, iam-groupcreate -g awesomeusers nan Èd Memwa a Kòmandman.
• Ou ka tcheke ke gwoup la te kreye kòrèkteman pa antre nan iam-grouplistbypath nan Èd Memwa a Kòmandman. Si ou te sèlman kreye gwoup sa a, pwodiksyon an ta yon bagay tankou "arn: aws: iam :: 123456789012: gwoup / awesomeusers", kote nimewo a se nimewo kont AWS ou.

Bay gwoup aksè a S3 bokit ak CloudFront

Règleman kontwole ki gwoup ou kapab fè nan S3 oswa CloudFront. Pa default, gwoup ou an pa ta gen aksè a anyen nan AWS. Mwen te jwenn dokiman an sou règleman yo dwe OK men nan kreye yon ti ponyen nan règleman, mwen te fè yon ti jan nan jijman ak erè yo ka resevwa bagay sa yo k ap travay wout la mwen te vle yo travay.

Ou gen yon koup nan opsyon pou kreye règleman yo.

Yon opsyon se ou ka antre nan yo dirèkteman nan Èd Memwa a Kòmandman. Depi ou ta ka kreye yon politik ak tweaking li, pou m 'li te sanble pi fasil yo ajoute politik la nan yon dosye tèks ak Lè sa a, Upload dosye a tèks kòm yon paramèt ak lòd iam-groupuploadpolicy la. Isit la se pwosesis la lè l sèvi avèk yon dosye tèks ak uploading IAM.

• Sèvi ak yon bagay tankou notepad ak antre nan tèks sa a epi sove dosye a:
  
  {
  "Deklarasyon": [{{
  "Efè": "Pèmèt",
  "Aksyon": "s3: *",
  "Resous": [
  "ARN: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Efè": "Pèmèt",
  "Aksyon": "s3: ListAllMyBuckets",
  "Resous": "arn: aws: s3 ::: *"
  },
  {
  "Efè": "Pèmèt",
  "Aksyon": ["nwaj: *"],
  "Resous": "*"
  }}
  ]
  }}
  
• Gen 3 seksyon nan règleman sa a. Yo itilize Efè a pou pèmèt oswa refize kèk kalite aksè. Aksyon an se bagay espesifik gwoup la ka fè. Resous la ta dwe itilize bay aksè nan bokit endividyèl yo.

• Ou ka limite Aksyon yo endividyèlman. Nan egzanp sa a, "Aksyon": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], gwoup la ta kapab lis sa ki nan yon bokit ak download objè yo.
• Premye seksyon "Pèmèt" gwoup la fè tout aksyon S3 pou bokit "BUCKETNAME" la.
• Seksyon nan dezyèm "Pèmèt" gwoup la nan lis tout bokit yo nan S3. Ou bezwen sa a pou ou ka aktyèlman wè lis la nan bokit si ou itilize yon bagay tankou AWS Console la.

• Twazyèm seksyon an bay gwoup aksè a plen nan CloudFront.

Gen anpil opsyon lè yo vini politik IAM. Amazon gen yon zouti vrèman fre ki disponib rele AWS Policy dèlko a. Zouti sa a bay yon entèfas kote ou ka kreye règleman ou ak jenere kòd aktyèl ou bezwen aplike politik la. Ou ka tcheke tou seksyon Règleman aksè a nan Sèvi ak Idwite AWS ak Access Management sou entènèt dokiman.

Kreye itilizatè epi ajoute nan Gwoup

Pwosesis pou kreye yon nouvo itilizatè ak ajoute nan yon gwoup pou bay yo aksè enplike nan yon koup nan etap.

• Sentaks la pou kreye yon itilizatè se iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] kote -p, -g, -k ak -v yo opsyon. Dokiman konplè sou entèfas liy lan lòd ki disponib sou AWS Docs.
• Si ou te vle kreye yon itilizatè "bob", ou ta antre nan, iam-usercreate -u bob -g awesomeusers nan èd memwa a Kòmandman.
• Ou ka tcheke ke itilizatè a te kreye kòrèkteman pa k ap antre nan iam-grouplistusers -g awesomeusers nan Èd Memwa a Kòmandman. Si ou te sèlman kreye itilizatè sa a, pwodiksyon an ta dwe yon bagay tankou "arn: aws: iam :: 123456789012: itilizatè / bob", kote nimewo a se nimewo Kont AWS ou.

Kreye Profile Logon ak kreye kle

Nan pwen sa a, ou te kreye yon itilizatè men ou bezwen bay yo yon fason yo aktyèlman ajoute epi retire objè nan S3.

Gen 2 opsyon ki disponib pou bay itilizatè ou yo aksè a S3 lè l sèvi avèk IAM. Ou ka kreye yon Profile login epi bay itilizatè ou yo ak yon modpas. Yo ka sèvi ak kalifikasyon yo pou ale nan Amazon AWS Console a. Opsyon nan lòt se bay itilizatè ou yon kle aksè ak yon kle sekrè. Yo ka itilize kle sa yo nan zouti twazyèm pati tankou S3 Fox, CloudBerry S3 Explorer oswa S3 Navigatè.

Kreye Login Profile

Kreye yon Profile Login pou itilizatè S3 ou yo bay yo ak yon non itilizatè ak modpas yo ke yo ka itilize yo konekte nan Amazon AWS konsole a.

• Sentaks la pou kreye yon pwofil login se iam-useraddloginprofile -U USERNAME -p PASSWORD. Dokiman konplè sou entèfas liy lan lòd ki disponib sou AWS Docs.
• Si ou te vle kreye yon pwofil login pou itilizatè a "bob", ou ta antre nan, iam-useraddloginprofile -u bob -p PASSWORD nan Èd Memwa a Kòmandman.

• Ou ka tcheke ke pwofil la login te kreye kòrèkteman pa k ap antre nan iam-usergetloginprofile -u Bob nan Èd Memwa a Kòmandman. Si ou te kreye yon pwofil login pou Bob, pwodiksyon an ta dwe yon bagay tankou "Login Profile ki egziste pou itilizatè bob".

Kreye kle

Kreye yon AWS sekrè aksè kle ak korespondan AWS Aksè Key ID pral pèmèt itilizatè ou yo sèvi ak lojisyèl 3rd pati tankou sa yo te deja mansyone. Kenbe nan tèt ou ke kòm yon mezi sekirite, ou ka sèlman jwenn kle sa yo pandan pwosesis la nan ajoute pwofil la itilizatè. Asire ou ke ou kopye epi kole pwodiksyon an soti nan Èd Memwa a Kòmandman epi sove nan yon dosye tèks. Ou ka voye dosye a itilizatè ou an.

• Sentaks la pou ajoute kle pou yon itilizatè se iam-useraddkey [-U USERNAME]. Dokiman konplè sou entèfas liy lan lòd ki disponib sou AWS Docs.
• Si ou te vle kreye kle pou itilizatè a "bob", ou ta antre nan iam-useraddkey -u Bob nan Èd Memwa a Kòmandman.
• Kòmandman an ap bay kle ki ta sanble yon bagay tankou sa a:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Liy premye a se ID kle aksè a ak dezyèm liy lan se kle a aksè sekrè. Ou bezwen tou de pou lojisyèl twazyèm pati.

Aksè Egzamen

Koulye a, ke ou te kreye gwoup IAM / itilizatè yo ak bay gwoup yo aksè lè l sèvi avèk règleman yo, ou bezwen teste aksè a.

Konsole Aksè

Itilizatè ou ka itilize non itilizatè yo ak modpas yo konekte nan AWS konsole a. Sepandan, sa a se pa regilye paj konsole regilye ki itilize pou kont prensipal AWS la.

Gen yon URL espesyal ke ou ka itilize ki pral bay yon fòm login pou kont Amazon AWS ou sèlman. Isit la se URL la konekte S3 pou itilizatè IAM ou.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER se nimewo regilye AWS ou. Ou ka jwenn sa a pa antre nan fòm nan Amazon Sèvis Lapòs Siyen Siyen Nan. Login ak klike sou Kont | Aktivite Kont. Nimewo kont ou an nan kwen anwo adwat. Asire ou ke ou retire tirè yo. URL la ta sanble yon bagay tankou https://123456789012.signin.aws.amazon.com/console/s3.

Sèvi ak kle Aksè

Ou ka telechaje epi enstale nenpòt nan zouti pati 3rd ki deja mansyone nan atik sa a. Antre nan Aksè Key ID ou ak kle a aksè sekrè pou chak dokiman twazyèm pati zouti.

Mwen rekòmande ke ou kreye yon itilizatè inisyal epi yo gen ki itilizatè konplètman tès yo ke yo ka fè tout sa yo bezwen fè nan S3. Apre ou fin verifye youn nan itilizatè ou, ou ka kontinye ak mete kanpe tout itilizatè S3 ou yo.

Resous

Isit la se yon resous kèk ba ou yon pi bon konpreyansyon nan Idantite & Aksè Jesyon (IAM).

• Pou kòmanse ak IAM
• IAM Kòmandman Liy Zouti
• Amazon AWS konsole
• AWS Policy Dèlko
• Sèvi ak AWS Idantite ak Jesyon Aksè

• IAM Release Nòt
• IAM Diskisyon Forums
• IAM Kesyon yo mande anpil