AWS Identity ва Идоракунии дастрасӣ

Қисми 1 аз 3

Дар соли 2011, Амазонки дастрасии AWS Identity & Access Management (IAM) барои CloudFront эълон кард. IAM соли 2010 оғоз шуда, дастгирии S3 -ро дар бар гирифт. AWS Identity & Access Management (IAM) ба шумо имконият медиҳад, ки дар як ҳисоби AWS муштариён истифода баред. Агар шумо хадамоти Amazon Web Services (AWS) -ро истифода бурдед, шумо медонед, ки роҳи ягона идоракунии мундариҷаро дар AWS ҷалб кардани номи истифодабаранда, калимаи раҳкушо ва калидҳои дастрасро дар бар мегирад.

Ин як амри воқеӣ барои аксари мо мебошад. IAM зарурати мубодилаи паролҳо ва калидҳои дастрасро бартараф мекунад.

Ҳамеша параграфи асосии AWS-ро тағйир медиҳем ё тугмаҳои нав навистан танҳо ҳалли душворӣ аст, ки аъзои ҳайати кормандон дастаи моро тарк мекунанд. AWS Identity & Access Management (IAM) оғози хуб буд, ки калидҳои инфиродӣ ба ҳисобҳои инфиродӣ истифода бурд. Бо вуҷуди ин, мо истифодабарандаи S3 / CloudFront ҳастем, то ки мо ба CloudFront тамошо карда, ба ИАМ, ки дар ниҳоят рӯй дод, тамошо карда мешудем.

Ман ҳуҷҷатҳои дар ин хидматро пайдо кардам, ки каме пароканда гарданд. Якчанд протоколҳои ҳизби сеюм мавҷуданд, ки як қатор дастгирӣ барои идоракунии мушаххас ва дастрасӣ (IAM) доранд. Аммо таҳиягарон одатан саъй мекунанд, то ман ҳалли ройгонро барои идоракунии IAM бо хидмати Амазонки S3 дархост кунам.

Ин мақола бо роҳи ташкили Interface Line Interface, ки IAM-ро пуштибонӣ мекунад ва ташкили гурӯҳ / истифодабаранда бо S3 дастрас аст. Пеш аз ба итмом расонидани мушаххаси шахсӣ ва идоракунии дастрасӣ (IAM) шумо бояд Amazon AWS S3 насб кунед.

Мақолаи ман, Бо истифода аз хидматрасонии Amazon Simple Storage (S3), шумо тавассути раванди ташкили AWS S3 ба шумо меравед.

Дар ин ҷо қадамҳои дар ташкил ва татбиқи корбар дар ИАМ иштирок мекунанд. Ин барои Windows навишта шудааст, аммо шумо метавонед барои истифодаи Linux, UNIX ва / ё OS OSX.

1. Пайваст ва тақвими хатои фармони фармони (CLI)

1. Гурӯҳ созед
2. Дастрасии гурӯҳ ба Смарт С3 ва CloudFront
3. Истифодабаранда ва илова ба гурӯҳ
4. Профили зеркашӣ ва эҷоди калидҳо
5. Дастрасии санҷишӣ

Пайваст ва тақвими хатои фармони фармони (CLI)

Tool Icon Command Line-и барномаи Java дар Amazon Developers Tools-и Амазонки аст. Ин восита ба шумо имкон медиҳад, ки фармонҳои IAM API-ро аз хидмати кабели (DOS for Windows) иҷро кунед.

• Шумо бояд Java 1.6 ё баландтарро иҷро кунед. Шумо метавонед нусхаи охирини Java.com -ро аз нав бор кунед. Барои дидани версияи насбшуда дар системаи шумо Windows, кушодани фармонро кушоед ва дар java -version нависед. Ин ба назар мерасад, ки java.exe дар PATH-и шумо аст.
• Истифодаи варианти IAM CLI ва дар ҷойгиршавӣ дар гардонандаи маҳаллии худ решакан кунед.
• 2 файл дар решаи дастгоҳи CLI вуҷуд дорад, ки шумо бояд навсозӣ кунед.
  • aws-credential.template: Ин файл дорои унвони AWS-и худ дорад. AWSAccessKeyId ва AWSSecretKey-и худро илова кунед, файлро захира ва пӯшед.
  • client-config.template : Агар шумо сервери proxy талаб кардаед, танҳо файлро навсозӣ кардан лозим аст. Хатоҳои # ва навсозӣ ClientProxyHost, ClientProxyPort, ClientProxyUsername ва ClientProxyPassword. Файлро захира ва пӯшед.
• Қадами навбат илова кардани тағйирёбии муҳити зист мебошад. Гузаштан ба панели идоракунӣ | Хусусиятҳои система | Танзимоти системаҳои пешрафта | Тағйирёбии муҳити зист. Тағирдиҳии зеринро илова кунед:
  • AWS_IAM_HOME : Ин тағиротро ба феҳристе, ки шумо корти CLI -ро фаромӯш кардед, гузоштед . Агар шумо Windows кор карда истодаед ва онро дар решаи C гардед, ин тағирот C: \ IAMCli-1.2.0 хоҳад буд.
  • JAVA_HOME : Ин тағиротро ба феҳристи Java насб кунед. Ин макони файли java.exe хоҳад буд. Дар компютери Windows 7 насбкунӣ, ин ба монанди C: \ Program Files (x86) \ Java \ jre6 хоҳад буд.
  • AWS_CREDENTIAL_FILE : Ин тағиротро ба роҳ ва номи файли anonymous.template , ки шумо дар боло навсозӣ кардед. Агар шумо Windows кор карда истодаед ва онро дар решаи C гардед, ин тағирот C: \ IAMCli-1.2.0 \ aws-credential.template хоҳад буд.
  • CLIENT_CONFIG_FILE : Агар шумо сервери proxy талаб карда тавонед, ин тағиротро тағир додан лозим аст. Агар шумо Windows кор карда истодаед ва онро дар решаи C гардед, ин тағирот C: \ IAMCli-1.2.0 \ client-config.template хоҳад буд. Ин тағиротро илова накунед, агар он ба шумо лозим шавад.

• Таҷҳизотро ба воситаи фармоиши фармоиш ва санҷиши Iam-userlistbypath санҷед. То он даме, ки шумо хатоги нагиред, шумо бояд хуб мебудед.

Ҳамаи фармонҳои IAM мумкин аст аз фармоиши фармони иҷро шавад. Ҳамаи фармоишҳо бо "iam-" оғоз мекунанд.

Гурӯҳ созед

Ҳадди зиёда аз 100 гурӯҳ вуҷуд дорад, ки барои ҳар як ҳисоби AWS эҷод карда мешаванд. Ҳангоме ки шумо метавонед дар IAM дар сатҳи корбарӣ иҷозат диҳед, истифодабарии гурӯҳҳо таҷрибаи беҳтарин хоҳад буд. Ин раванд барои ташкили гурӯҳи IAM мебошад.

• Синтаксиси ташкили гурўҳ - iam-groupcreate -g GROUPNAME [-P PATH] [-v], ки дар он варақ -p ва -v имконпазир аст. Ҳуҷҷатҳои пурра дар бораи Interface Line Interface дар AWS Docs дастрас мебошанд.

• Агар шумо хоҳед, ки гурӯҳеро, ки "номаълум" ном дорад, эҷод кунед, шумо ба ин саволҳо ҷавоб медиҳед, ки дар он амрдиҳандаҳои Iam-groupcreate -g.
• Шумо метавонед тафтиш кунед, ки гуреза бо роҳи ворид намудани Iam-grouplistbypath дар амри Prompt иҷро карда мешавад. Агар шумо танҳо ин гурӯҳро ташкил мекардед, маҳсулот ба монанди "arn: aws: iam :: 123456789012: гурўҳ / аҷибкунандаҳо", ки рақами шумули AWS-и шумо мебошад.

Дастрасии гурӯҳ ба Смарт С3 ва CloudFront

Полисҳо назоратро чӣ гуна гурўҳи шумо дар S3 ё CloudFront иҷро карда метавонанд. Бо нобаёнӣ, гурӯҳи шумо ба ягон чизи AWS дастрас нест. Ман ҳуҷҷатҳои оид ба сиёсатҳоро пайдо кардам, вале дуруст дарк карда буд, ки ман якчанд судиву хатогиҳоеро барои кор кардан ба коре, ки ман мехоҳам ба онҳо мефаҳмонам.

Шумо якчанд вариантҳоро барои таҳияи сиёсатгузорӣ доред.

Яке аз вариантҳо шумо метавонед бевосита ба дархости фаврӣ ворид кунед. Азбаски шумо эҷод кардани сиёсатгузорӣ ва такмил додани он, барои ман ба сиёсат ворид шудан ба файли матн ва сипас файли матнро ҳамчун параметр бо фармони iam-groupuploadpolicy фиристодан. Дар ин ҷо раванди истифодаи файли матн ва боргузорӣ ба IAM мебошад.

• Истифодаи монанди Notepad истифода кунед ва матни зеринро ворид кунед ва файлро захира кунед:
  
  {{
  "Изҳорот": [{{
  "Эффектив": "Ба иҷозат",
  "Амалиёт": "s3: *",
  "Манбаъ": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {{
  "Эффектив": "Ба иҷозат",
  "Амалиёт": "s3: ListAllMyBuckets",
  "Манбаи": "arn: aws: s3 ::: *"
  },
  {{
  "Эффектив": "Ба иҷозат",
  "Амалиёт": ["cloudfront: *"],
  "Манбаъ": "*"
  }}
  ]
  }}
  
• Дар ин сиёсат 3 тарҳ вуҷуд дорад. Натиҷа баъзе намуди дастрасиро иҷозат медиҳад ё рад мекунад. Чорабинӣ чизҳои мушаххасе, ки гуреза метавонад кор кунад. Ин захираҳо барои дастрас кардани сатилҳои алоҳида истифода мешаванд.

• Шумо метавонед ин амалро дар алоҳидагӣ маҳдуд кунед. Дар ин мисол, "Амал": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], гурӯҳи гурӯҳҳо метавонад мундариҷаи як сатилро гирад ва объектҳоро кашад.
• Қисми якум "Гурӯҳро ба кор бурдааст, ки ҳамаи корҳоро барои S3" BUCKETNAME "иҷро кунад.
• Қисми дуюм ба "Гурӯҳ" дода мешавад, ки ҳамаи сатилҳоро дар S3 номбар кунад. Ба шумо лозим аст, ки дар ҳақиқат рӯйхати сатилҳоро, агар шумо истифода бурдани чизе монанди AWS Console дошта бошед.

• Қисми сеюм гуруҳро ба CloudFront дастрас мекунад.

Ҳангоме ки ба сиёсати ИА ворид мешавад, бисёр имкониятҳо мавҷуданд. Амазонки дорои асбоби сиёҳе аст, ки дастраси AWS Policy Generator номида мешавад. Ин восита GUI-ро таъмин мекунад, ки дар он шумо метавонед сиёсати шумо эҷод кунед ва рамзи воқеии заруриро барои татбиқи сиёсати шумо эҷод кунед. Шумо инчунин метавонед қисмати қисмати забонии дастрасиро аз истифодаи ҳуҷҷатҳои онлайнии AWS Identity and Access Management -ро тафтиш кунед.

Истифодабаранда ва илова ба гурӯҳ

Раванди эҷоди истифодабарандаи нав ва илова кардани гурӯҳе, ки ба онҳо дастрасӣ пайдо мекунанд, якчанд қадамҳоро дарбар мегирад.

• Синтаксинг барои эҷоди корбар истифодабаранда аст - ин истифодабаранда [-p PATH] [-g GROUPS] [-k] [-v] дар куҷо -p, -g, -k ва -v-ро интихоб мекунад. Ҳуҷҷатҳои пурра дар бораи Interface Line Interface дар AWS Docs дастрас мебошанд.
• Агар шумо хоҳед, ки корбари "bob" -ро эҷод кунед, шумо ба истироҳат фармон медиҳед, ки бим-ро бедор кунед.
• Шумо метавонед тафтиш кунед, ки корбар бо роҳи ворид намудани Iam-grouplistusers -g awesomeusers дар амри Prompt тавлид карда шудааст. Агар шумо ин истифодабарро танҳо офарида будед, маҳсулот ба монанди "arn: aws: iam :: 123456789012: user / bob", ки рақами шумули AWS-и шумо мебошад.

Феҳристи логинро эҷод кунед ва эҷоди калидҳо

Дар ин ҳолат, шумо як корбарро офаридед, аммо ба шумо лозим аст, ки онҳоро бо роҳи воқеан илова кардан ва аз S3 тоза кунед.

Барои дастрас кардани истифодабарандагон бо дастрасии S3 бо истифодаи IAM ду имконоти мавҷуд мавҷуд аст. Шумо метавонед Profile профили худро эҷод кунед ва истифодабарандагони худро бо калимаи раҳкушо. Онҳо метавонистанд ба ID-и амазонки Amazon AWS ворид шаванд. Ин варианти дигар ба истифодабарандагон калиди дастрасӣ ва калиди махфиро медиҳад. Онҳо метавонанд ин калидҳоро дар дастгоҳҳои сеюм истифода баранд, монанди S3 Fox, CloudBerry S3 Explorer ё S3 Browser.

Намоиши тафтиши эҷод

Эҷоди Profile Profile барои истифодабарандагони S3 шумо онҳоро бо номи корбар ва рамз истифода мебарад, ки онҳо метавонанд ба Идораи Amazon AWS истифода шаванд.

• Синтаксиси таъсиси профили вурудӣ iam-useraddloginprofile -u USERNAME -p PASSWORD. Ҳуҷҷатҳои пурра дар бораи Interface Line Interface дар AWS Docs дастрас мебошанд.
• Агар шумо хоҳед, ки профили вуруд барои истифодабарандаи "bob" -ро эҷод кунед, шумо ворид кардаед, iam-useraddloginprofile -u bob -p PASSWORD дар амри Prompt.

• Шумо метавонед тафтиш кунед, ки профили вурудшавӣ бо роҳи ворид кардани iam-usergetloginprofile -u bob бо дархости фаврӣ ворид карда шудааст. Агар шумо профили вуруд ба bob -ро эҷод кардед, маҳсулот метавонад ба монанди "Profile Profile барои Bob bob" мавҷуд аст.

Эҷоди калидҳо

Ташкили AWS махфияти махфияти махфият ва Шартномаи AWS Access Key ба корбарони шумо имкон медиҳад, ки нармафзори сеюми ҳизбро мисли пештара зикршуда истифода баранд. Дар хотир дошта бошед, ки ҳамчун як чораи амниятӣ, шумо танҳо метавонед ин калидҳоро дар рафти профили корбар истифода баред. Боварӣ ҳосил кунед, ки шумо аз провайдери дархости нусхабардорӣ ва нусхабардорӣ ва дар файли матнӣ захира кунед. Шумо метавонед файлро ба корбаратон фиристед.

• Калима барои илова кардани калидҳо барои истифодабаранда iam-useraddkey [-u USERNAME]. Ҳуҷҷатҳои пурра дар бораи Interface Line Interface дар AWS Docs дастрас мебошанд.
• Агар шумо хоҳед, ки калидҳо барои истифодабарандаи "bob" -ро эҷод кунед, шумо бояд дар ин сатри Iam-useraddkey -u bob -ро ворид кунед.
• Фармонҳо калидҳоро, ки чунин як чизро чунин мешуморанд:
  НОҲИЯИ МУЪМИНОБОД
  Банги
  
  Хати аввал ин ID-и калидии Access ва хати дуввум мебошад. Шумо ҳам барои нармафзори сеюми ҳизб лозимед.

Дастрасии санҷишӣ

Акнун, ки шумо гурўҳҳои IAM / истифодабарандагонро таъсис дода, ба гурӯҳҳо дастрасии истифодаи сиёсатҳоро додаед, ба шумо зарур аст, ки дастрасӣ ба озмоишро санҷед.

Дастрасӣ ба консол

Истифодабарандагони шумо метавонанд барои воридшавӣ ба AWS Конолро истифода кунанд ва номи корбарро истифода баранд. Бо вуҷуди ин, ин саҳифаро ба таври мунтазам кон console нест, ки барои ҳисоби AWS асосан истифода шудааст.

URL-и махсус, ки шумо метавонед истифода баред, ки танҳо барои суратҳисоби Amazon AWS-и худ ворид карда мешавад. Ин URL-ро барои ворид шудан ба S3 барои истифодабарандагони IAM истифода мебарад.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER рақами доимии AWS-и шумо мебошад. Шумо метавонед ин вурудро ба воситаи вебсайти вебсайт дар вебсайт ба қайд гиред. Ба қайд ва кнопкаи ҳисоб | Фаъолияти ҳисоби Рақами суратҳисоби шумо дар гӯшаи болоии рост аст. Боварӣ ҳосил кунед, ки сангро тоза кунед. URL ба монанди монанди https://123456789012.signin.aws.amazon.com/console/s3 назар мекунад.

Истифодаи калидҳои дастрас

Шумо метавонед асбобҳои ҳизбро, ки аллакай дар ин мақола зикр ёфтааст, насб кунед ва насб кунед. Шиносаи калидии Access-и худ ва калиди дастрасии махфиро дар ҳуҷҷатҳои тарафи сеюм ворид кунед.

Ман сахт тавсия медиҳам, ки шумо корбари аввалро эҷод кунед ва соҳибкорро пурра санҷед, ки онҳо метавонанд ҳама чизро барои кор дар S3 кор кунанд. Баъд аз он ки шумо яке аз истифодабарандагони худро санҷед, шумо метавонед бо истифода аз ҳамаи истифодабарандагони S3 гузаред.

Манбаъҳо

Дар ин ҷо якчанд захираҳо ба шумо фаҳмиши беҳтарини идоракунии мушаххас ва дастрасӣ (IAM) доранд.

• Оғози бо IAM
• IAM Command Toolkit
• Амазонки AWS Кон Console
• Генератори АWS
• Истифодаи AWS Identity ва Идоракунии дастрасӣ

• IAM Release Release
• Форумҳои IAM Форум
• Саволҳои IAM