Aimọ ID ati Aṣakoso Access

Apá 1 ti 3

Ni 2011, Amazon kede wiwa AWS Identity & Management Access (IAM) fun CloudFront. IAM ti bẹrẹ ni 2010 ati pẹlu atilẹyin S3. Identity AWS & Idawọle Iwọle (IAM) jẹ ki o ni awọn olumulo pupọ ninu akọsilẹ AWS. Ti o ba ti lo Awọn Iṣẹ Ayelujara Ayelujara Amazon (AWS), o mọ pe nikan ni ọna lati ṣakoso akoonu ni AWS pẹlu fifiran orukọ olumulo rẹ ati ọrọigbaniwọle tabi awọn bọtini wiwọle.

Eyi jẹ aabo ti gidi fun ọpọlọpọ awọn ti wa. IAM ti n jade ni ye lati pin awọn ọrọigbaniwọle ati awọn bọtini wiwọle.

Nigbagbogbo yiyipada ọrọigbaniwọle AWS wa akọkọ tabi gbigba awọn bọtini titun jẹ aṣoju onigbọwọ nigbati alabaṣiṣẹ kan yoo fi egbe wa silẹ. Aimọ IDA & Idawọle Iwọle (IAM) jẹ ibere ti o dara fun gbigba awọn iroyin olumulo kọọkan pẹlu awọn bọtini kọọkan. Sibẹsibẹ, awa jẹ olumulo S3 / CloudFront ki a ti n wo CloudFront lati fi kun si IAM ti o ṣẹlẹ nikẹhin.

Mo ti ri awọn iwe lori iṣẹ yii lati jẹ igbasilẹ kan. Awọn ọja ẹgbẹ kẹta ti o wa ni ibiti o ṣe atilẹyin fun Identity & Management Access (IAM). Ṣugbọn awọn olupelọpọ maa n ni itara julọ nitori naa ni mo wa ojutu ti o rọrun lati ṣakoso IAM pẹlu iṣẹ S3 wa.

Akọsilẹ yii n rin nipasẹ iṣeduro ti ṣeto Atọka Ọna ti Nkan ti o ṣe atilẹyin IAM ati ṣeto ẹgbẹ kan / olumulo pẹlu wiwọle S3. O nilo lati ni ipilẹ iṣowo Amazon kan AWS S3 ṣaaju ki o to bẹrẹ tito ni idanimọ Identity & Access Management (IAM).

Atilẹkọ mi, Lilo Awọn Ibi ipamọ Oludamọ Ọja Amazon (S3), yoo rin ọ nipasẹ iṣeto ti ṣeto akọọlẹ AWS S3.

Eyi ni awọn igbesẹ ti o waye ninu fifiranṣẹ ati imuṣe aṣiṣe kan ni IAM. Eyi ni a kọ fun Windows ṣugbọn o le tweak fun lilo ni Lainos, UNIX ati / tabi Mac OSX.

1. Fi sori ẹrọ ati tunto Atọka Ọna aṣẹ (CLI)

1. Ṣẹda Ẹgbẹ
2. Fun Access Group si S3 Bucket ati CloudFront
3. Ṣẹda Aṣayan ati Fikun-un si Ẹgbẹ
4. Ṣẹda Profaili iwọle ati Ṣẹda Awọn bọtini
5. Igbeyewo Idanwo

Fi sori ẹrọ ati tunto Atọka Ọna aṣẹ (CLI)

Ohun elo irinṣẹ IAM Command Line jẹ eto Java kan wa ninu awọn irinṣẹ AWS Awọn Ṣiṣẹpọ ti Amazon. Ọpa naa fun ọ laaye lati ṣe awọn Ilana API IAM lati inu iṣẹ-ṣiṣe ikarahun (DOS fun Windows).

• O nilo lati wa Java 1.6 tabi ga julọ. O le gba lati ayelujara titun lati Java.com. Lati wo iru ikede ti a fi sori ẹrọ lori Windows ẹrọ rẹ, ṣii Iṣẹ paṣẹ ki o si tẹ ni java -version. Eyi dawọle pe java.exe wa ninu PATH rẹ.
• Gba ohun elo irin-ajo IAM CLI ki o si ṣii ibi kan lori dirafu agbegbe rẹ.
• Awọn faili 2 wa ni root ti ohun elo irin-ajo CLI ti o nilo lati mu.
  • aws-credential.template: Faili yii ni awọn iwe eri AWS rẹ. Fi AWSAccessKeyId rẹ sii ati AWSSecretKey rẹ, fipamọ ati pa faili naa.
  • onibara-config.template : O nilo nikan lati mu faili yii ṣe ti o ba beere olupin aṣoju. Yọ awọn aami ami ati mu ClientProxyHost mu, ClientProxyPort, ClientProxyUsame ati ClientProxyPassword. Fipamọ ki o pa faili naa.
• Igbese ti o tẹle jẹ afikun awọn iyipada Ayika. Lọ si Ibi ipamọ Iṣakoso | Awọn Ohun elo Ilana | Eto eto to ti ni ilọsiwaju | Ayika Ayika. Ṣe afikun awọn oniyipada wọnyi:
  • AWS_IAM_HOME : Ṣeto oniyipada yii si itọnisọna ti o ti gbe ohun elo CLI. Ti o ba nṣiṣẹ Windows ki o si fi i silẹ ni gbongbo C rẹ, iyipada naa yoo jẹ C: \ IAMCli-1.2.0.
  • JAVA_HOME : Ṣeto oniyipada yii si liana ti o ti fi Java sori ẹrọ. Eyi yoo jẹ ipo ti faili java.exe. Ni fifi sori ẹrọ Windows 7 Java deede, eyi yoo jẹ nkan bi C: \ Awọn faili ti eto (x86) \ Java jre6.
  • AWS_CREDENTIAL_FILE : Ṣeto oniyipada yii si ọna ati pe orukọ faili ni aami-aṣẹ-aṣẹ ti o ni imudojuiwọn ni oke. Ti o ba nṣiṣẹ Windows ki o si fi i silẹ ni gbongbo C rẹ, iyipada naa yoo jẹ C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : O nilo lati fi aaye yi kun nikan ti o ba nilo olupin aṣoju. Ti o ba nṣiṣẹ Windows ki o si fi i silẹ ni gbongbo C rẹ, iyipada yoo jẹ C: \ IAMCli-1.2.0 \ client-config.template. Ma ṣe fi kun ayípadà yii ayafi ti o ba nilo rẹ.

• Ṣe idanwo fun fifi sori ẹrọ nipa lilọ si aṣẹ Pada ati titẹ si akojọ-olumulo-olumulo-olumulo. Niwọn igba ti o ko ba gba aṣiṣe kan, o yẹ ki o jẹ ti o dara lati lọ.

Gbogbo awọn IAM aṣẹ le ṣee ṣiṣe lati Ọpa aṣẹ. Gbogbo awọn ofin bẹrẹ pẹlu "iam-".

Ṣẹda Ẹgbẹ

O pọju awọn ẹgbẹ 100 ti a le ṣẹda fun iroyin AWS kọọkan. Nigba ti o le ṣeto awọn igbanilaaye ni IAM ni ipele olumulo, lilo awọn ẹgbẹ yoo jẹ iṣẹ ti o dara ju. Eyi ni ilana fun ṣiṣẹda ẹgbẹ kan ni IAM.

• Awọn iṣeduro fun ṣiṣẹda ẹgbẹ kan ni i-groupcreate -g GROUPNAME [-p PATH] [-v] nibiti awọn -p ati -v jẹ awọn aṣayan. Awọn iwe kikun ti o wa ni Atọka Laini aṣẹ ni o wa lori awọn AWS Docs.

• Ti o ba fẹ lati ṣẹda ẹgbẹ kan ti a pe ni "awọn oniyanu", iwọ yoo tẹ sii, iam-groupcreate -g awesomeusers at Command Prompt.
• O le ṣayẹwo pe a ṣẹda ẹgbẹ naa ni pipe nipasẹ titẹsi-listlistbypath ni pipaṣẹ aṣẹ. Ti o ba ṣẹda ẹgbẹ yii, iṣẹ yoo jẹ nkan bi "arn: aws: iam :: 123456789012: ẹgbẹ / awesomeusers", nibi ti nọmba rẹ jẹ nọmba nọmba AWS rẹ.

Fun Access Group si S3 Bucket ati CloudFront

Ilana imulo imulo ti ẹgbẹ rẹ le ṣe ni S3 tabi CloudFront. Nipa aiyipada, ẹgbẹ rẹ kii yoo ni aaye si ohunkohun ninu AWS. Mo ti ri awọn iwe lori awọn eto imulo lati dara DARA ṣugbọn ni ṣiṣẹda awọn ọwọ imulo, Mo ṣe idanwo ati aṣiṣe lati gba awọn nkan ṣiṣẹ ni ọna ti mo fẹ ki wọn ṣiṣẹ.

O ni awọn aṣayan meji fun ṣiṣẹda awọn imulo.

Ọkan aṣayan ni o le tẹ wọn taara sinu Command Tọ. Niwon o le ṣe ipilẹṣẹ eto imulo kan ati ki o gba o, fun mi, o rọrun lati fi awọn eto imulo sinu faili faili kan lẹhinna gbea faili faili naa gẹgẹbi ipilẹ pẹlu aṣẹ im-groupuploadpolicy. Eyi ni ilana nipa lilo faili faili ati ikojọpọ si IAM.

• Lo ohun kan bi Akọsilẹ ki o tẹ ọrọ atẹle sii ki o si fi faili naa pamọ:
  
  {
  "Gbólóhùn": [{
  "Ipa": "Gba",
  "Ise": "s3: *",
  "Ohun elo": [
  "Arn: aws: s3 ::: BUCKETNAME",
  "Arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Ipa": "Gba",
  "Ise": "s3: ListAllMyBuckets",
  "Ohun elo": "arn: aws: s3 ::: *"
  },
  {
  "Ipa": "Gba",
  "Ise": ["cloudfront: *"],
  "Eranlọwọ": "*"
  }
  ]
  }
  
• Awọn abala mẹta wa si eto imulo yii. Awọn Ipa naa ni a lo lati Gba tabi Duro diẹ ninu awọn iru wiwọle. Iṣe naa ni awọn ohun kan pato ti ẹgbẹ le ṣe. Awọn orisun naa ni ao lo lati fun iwọle si awọn buckets kọọkan.

• O le ṣe idinwo Awọn Aṣayan leyo. Ni apẹẹrẹ yii, "Ise": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], ẹgbẹ naa yoo ni akojọ awọn akoonu inu ti garawa ati gbigba ohun kan.
• Ni ibẹrẹ apakan "Gba" ẹgbẹ lati ṣe gbogbo awọn iṣẹ S3 fun garawa "BUCKETNAME".
• Abala keji "Gba" ẹgbẹ lati ṣe akojọ gbogbo awọn buckets ni S3. O nilo eyi ki o le rii akojọ awọn buckets ti o ba lo nkan bi AWS Console.

• Ipele kẹta yoo fun ni pipe ni kikun si CloudFront.

Ọpọlọpọ awọn aṣayan nigba ti o wa si awọn eto IAM. Amazon ni ọpa ti o dara julọ ti a npe ni AWS Policy Generator. Ọpa yii pese aaye GUI nibi ti o ti le ṣẹda awọn imulo rẹ ki o si ṣe afihan koodu gangan ti o nilo lati ṣe imulo. O tun le ṣayẹwo apakan apakan Ede Afihan Iwọle ti Lilo AWS Identity ati Access Management online.

Ṣẹda Aṣayan ati Fikun-un si Ẹgbẹ

Ilana ti ṣiṣẹda olumulo tuntun ati fifi kun si ẹgbẹ kan lati pese aaye wọle wọn ni awọn igbesẹ meji.

• Awọn iṣeduro fun ṣiṣẹda olumulo kan jẹ iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] nibiti awọn -p, -g, -k ati -v jẹ awọn aṣayan. Awọn iwe kikun ti o wa ni Atọka Laini aṣẹ ni o wa lori awọn AWS Docs.
• Ti o ba fẹ lati ṣẹda olumulo kan "bob", iwọ yoo tẹ sii, iam-usercreate -u bob -g awesomeusers at Command Prompt.
• O le ṣayẹwo pe a ṣẹda olumulo naa ni pipe nipasẹ titẹ awọn ẹgbẹ-ẹgbẹlistusers -g awesomeusers ni pipaṣẹ aṣẹ. Ti o ba nikan ṣẹda olumulo yii, iṣẹ yoo jẹ nkan bi "arn: aws: iam :: 123456789012: olumulo / bob", nibi ti nọmba rẹ jẹ nọmba nọmba AWS rẹ.

Ṣẹda Profaili Logon ati Ṣẹda Awọn bọtini

Ni aaye yii, o ti ṣẹda olumulo kan ṣugbọn o nilo lati pese wọn pẹlu ọna kan lati ṣe afikun ati lati yọ awọn ohun kuro lati S3.

Awọn aṣayan meji wa lati pese awọn olumulo rẹ pẹlu wiwọle si S3 nipa lilo IAM. O le ṣẹda Profaili Wiwọle ati pese awọn olumulo rẹ pẹlu ọrọigbaniwọle. Wọn le lo awọn ẹri wọn lati wọle si inu idaniloju Amazon AWS. Aṣayan miiran ni lati fun awọn olumulo rẹ bọtini iwọle ati bọtini ikọkọ kan. Wọn le lo awọn bọtini wọnyi ni awọn irinṣẹ kẹta bi S3 Fox, CloudBerry S3 Explorer tabi S3 Burausa.

Ṣẹda Profaili Wiwọle

Ṣiṣẹda Profaili Profaili kan fun awọn olumulo S3 rẹ pese fun wọn pẹlu orukọ olumulo ati ọrọigbaniwọle ti wọn le lo lati buwolu wọle si Idaniloju AWS Amazon.

• Awọn iṣeduro fun ṣiṣẹda profaili kan jẹ iam-useraddloginprofile -u USERNAME -p PASSWORD. Awọn iwe kikun ti o wa ni Atọka Laini aṣẹ ni o wa lori awọn AWS Docs.
• Ti o ba fẹ lati ṣẹda profaili kan fun olumulo "bob", iwọ yoo tẹ sii, iam-useraddloginprofile -u bob -p PASSWORD ni pipaṣẹ aṣẹ.

• O le ṣayẹwo pe a ṣẹda profaili ti nwọle ni pipe nipa titẹ i-usergetloginprofile -u bob ni pipaṣẹ aṣẹ. Ti o ba ṣẹda profaili kan fun bob, iṣẹ yoo jẹ nkan bi "Profaili Profaili wa fun bob olumulo".

Ṣẹda Awọn bọtini

Ṣiṣẹda bọtini Iboju Akọkọ Wọle AWS ati pe AWS Access Key ID yoo gba awọn olumulo rẹ lọwọ lati lo software mẹta kẹta gẹgẹbi awọn ti a darukọ tẹlẹ. Ranti pe bi odiwọn aabo, o le nikan gba awọn bọtini wọnyi lakoko ilana ti fifi profaili olumulo kun. Rii daju pe o daakọ ati lẹẹ mọọtọ lati Ọlọṣẹ Tọ ati fipamọ ni faili ọrọ. O le firanṣẹ faili si olumulo rẹ.

• Awọn iṣeduro fun awọn bọtini kun fun olumulo kan jẹ iam-useraddkey [-U USERNAME]. Awọn iwe kikun ti o wa ni Atọka Laini aṣẹ ni o wa lori awọn AWS Docs.
• Ti o ba fe lati ṣẹda awọn bọtini fun olumulo naa "bob", iwọ yoo tẹ iam-useraddkey -u bob ni pipaṣẹ aṣẹ.
• Awọn aṣẹ yoo mu awọn bọtini ti yoo wo nkankan bi eleyi:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Laini akọkọ ni ID ID Access ati laini keji ni Key Access Key. O nilo mejeeji fun software atọka kẹta.

Igbeyewo Idanwo

Nisisiyi pe o ti ṣẹda awọn ẹgbẹ / awọn olumulo IAM ti o si fun awọn ẹgbẹ lati wọle si lilo awọn imulo, o nilo lati ṣe idanwo wiwọle.

Access Access

Awọn olumulo rẹ le lo orukọ olumulo ati ọrọigbaniwọle wọn lati wọle si AWS Console. Sibẹsibẹ, eyi kii ṣe itọnisọna oju-iwe oju-iwe ayelujara ti o lo fun akọọlẹ AWS akọkọ.

Nibẹ ni URL pataki kan ti o le lo eyi ti yoo pese fọọmu wiwo fun àkọọlẹ Amazon AWS nikan. Eyi ni URL lati wọle si S3 fun awọn olumulo IAM rẹ.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER ni nọmba AWS ti o wa nigbagbogbo. O le gba eyi nipa titẹ si oju-iwe Ayelujara Wọle Wọbu Ayelujara ti Amazon. Wọle ki o si tẹ lori Account | Iṣẹ Aṣayan. Nọmba iroyin rẹ wa ni igun apa ọtun. Rii daju pe o yọ awọn dashes. URL naa yoo dabi ohun kan bi https://123456789012.signin.aws.amazon.com/console/s3.

Lilo Awọn bọtini Iwọle

O le gba lati ayelujara ki o fi sori ẹrọ eyikeyi ninu awọn irinṣẹ kẹta ti a mẹnuba ninu àpilẹkọ yii. Tẹ ID Access Key rẹ ati Bọtini Iboju Iboju fun awọn iwe irinṣẹ kẹta.

Mo ṣe iṣeduro gidigidi pe ki o ṣẹda oluṣe akọkọ ki o si ni oluṣe naa ni kikun ṣe idanwo pe wọn le ṣe ohun gbogbo ti wọn nilo lati ṣe ni S3. Lẹhin ti o ṣayẹwo ọkan ninu awọn olumulo rẹ, o le tẹsiwaju pẹlu eto gbogbo awọn olumulo S3 rẹ.

Oro

Eyi ni awọn oro diẹ lati fun ọ ni oye ti o dara julọ nipa Identity & Management Access (IAM).

• Bibẹrẹ pẹlu IAM
• Iṣẹ Ohun elo IAM Command Line
• Amazon AWS console
• AWS Aṣayan Iṣoofin AWS
• Lilo AWS Identity ati Management Management

• Awọn akọsilẹ IAM Awọn akọsilẹ
• IAM Awujọ Apero
• Awọn FAQs IAM