AWS Identity sy Access Management

Fizarana 1 amin'ny 3

Tamin'ny taona 2011, Amazon dia nanambara ny fisian'ny AWS Identity & Access Management (IAM) ny CloudFront. Ny IAM dia natomboka tamin'ny taona 2010 ary nanohana ny fanohanana S3. AWS Identity & Access Management (IAM) dia ahafahanao manana mpampiasa maromaro ao amin'ny kaonty AWS. Raha nampiasa Amazon Web Services (AWS) ianao, dia fantatrao fa ny hany fomba hifehezana ny votoatin'ny AWS dia mametraka ny anaran'ny mpampiasa anao sy ny tenimiafina na ny fidirana amin'ny fanalahidy.

Tena fiahiana ara-piarovana marina ho an'ny ankamaroantsika. Ny IAM dia manafoana ny ilana hizarana ny tenimiafina sy ny fidirana amin'ny fanalahidy.

Ny fanovana mandrakariva ny tenimiafina fototra AWS na fanalahidy vaovao dia vahaolana mivaivay rehefa nandao ny ekipanay ny mpiasa iray. Ny AWS Identity & Access Management (IAM) dia fanombohana tsara mamela ny kaonty tsirairay amin'ny kaonty tsirairay. Na izany aza dia mpampiasa S3 / CloudFront izahay ka nijery ny CloudFront mba hampidirina amin'ny IAM izay farany.

Nahita ny antontan-taratasy momba ity serivisy ity aho mba hiparitaka kely. Misy vokatra avy amin'ny antoko fahatelo vitsivitsy izay manolotra fanohanana maro ho an'ny Identity & Access Management (IAM). Fa ny mpandrindra dia mahazaka be loatra ka mitady vahaolana maimaim-poana amin'ny fitantanana ny IAM amin'ny servisy Amazon S3.

Ity lahatsoratra ity dia mandeha amin'ny alàlan'ny fametrahana ny Command Line Interface izay manohana ny IAM ary mametraka vondrona / mpampiasa miaraka amin'ny fidirana S3. Ilaina ny fananana fananganana kaonty Amazon Amazon A3 anao alohan'ny hanombohana manangana ny Identité & Access Management (IAM).

Ny lahatsoriko, amin'ny fampiasana ny Sampan-draharahan'ny Fanaovan-tsarimihetsika Amazon (S3), dia handeha anao amin'ny alàlan'ny fametrahana ny kaonty AWS S3.

Ireto ny dingana natao tamin'ny fametrahana sy fampidirana mpampiasa iray tao amin'ny IAM. Voasoratra ho an'ny Windows fa azonao ampiasaina amin'ny Linux, UNIX ary / na Mac OSX.

1. Mametraka sy manendry ny Command Line Interface (CLI)

1. Mamorona vondrona
2. Omeo ny fidirana amin'ny Vondrona amin'ny S3 Bucket sy CloudFront
3. Hamorona mpampiasa sy Add to Group
4. Mamoròna famandrihana Profile ary mamorona fepetra
5. Fitsapana fitsapana

Mametraka sy manendry ny Command Line Interface (CLI)

Ny baikon'ny IAM Command Line Toolkit dia programa Java azo jerena ao amin'ny AWS Developers Tools. Ny fitaovana dia ahafahanao manatanteraka ny baiko IAM API avy amin'ny fitaovana shell (DOS ho an'ny Windows).

• Mila mampiasa Java 1.6 na mihoatra ianao. Azonao atao ny maka ilay version farany amin'ny Java.com. Raha te hahita ny dikanteny napetraka ao amin'ny rafitra Windows, sokafy ny Command Prompt ary ampidiro ny java -version. Izany dia mihevitra fa ny java.exe dia ao amin'ny PATH.
• Ampidiro ny fitaovana IAM CLI ary esory amin'ny toerana iray eo amin'ny fiara misy anao.
• Misy doka 2 ao amin'ny fototry ny kitendry CLI izay mila manavao.
  • aws-credential.template: Mitana ny mari-pamantarana AWS ity rakitra ity. Ampio ny AWSAccessKeyId anao sy ny AWSSecretKey anao, mamonjy na manakatona ny rakitra.
  • client-config.template : Mila manavao ity rakitra ity raha mila mandefa mpizara proxy ianao. Esory ny famantarana sy ny fanavaozana ny ClientProxyHost, ClientProxyPort, ClientProxyUsername ary ClientProxyPassword. Vonjeo sy afeno ny rakitra.
• Ny dingana manaraka dia midika ho fanatsarana ny fari-pitenenan'ny tontolo iainana. Mandehana any amin'ny Control Panel | Properties System | Fikirakira ny rafitry ny rafitra | Fomba fijerin'ny tontolo iainana. Ampio ireto manaraka ireto:
  • AWS_IAM_HOME : Mametraka an'io fariizaha io any amin'ny lahatahaka izay apetrakao ny kitendry CLI. Raha toa ka mihazakazaka Windows ianao ary apetrakao eo amin'ny fototry ny drive C, dia ny C variable: C: \ IAMCli-1.2.0.
  • JAVA_HOME : Mametraka an'io fariba io ho any amin'ny toerana misy an'i Java. Io no toerana misy ny rakitra java.exe. Ao amin'ny fichier Windows 7 tsotra Java, ity dia mety ho toy ny C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Mametraka io fariba io mankany amin'ny làlana sy ny anaran'ny fichier aws-credential.template izay havaozinao etsy ambony. Raha toa ka mihazakazaka Windows ianao ary manaisotra azy amin'ny fototry ny drive C, dia ny C variable: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Ilainao ny manampy ny fari- doko manodidina anao raha toa ka mila proxy server ianao. Raha toa ka mihazakazaka Windows ianao ary apetrakao eo amin'ny fototry ny fiasanao C, dia ny C: \ IAMCli-1.2.0 \ client-config.template. Aza ampiana io fari-kafa io raha tsy mila anao.

• Diniho ny fametrahana amin'ny mandeha amin'ny Command Prompt ary midira ao amin'ny iam-userlistbypath. Raha mbola tsy nahazo fahadisoana ianao, tokony ho tsara ny mandeha.

Ny baiko IAM dia azo atao amin'ny Command Prompt. Ny baiko rehetra dia manomboka amin'ny "iam-".

Mamorona vondrona

Misy vondrona 100 farafahakeliny azo noforonina ho an'ny kaonty AWS tsirairay. Na dia azonao atao aza ny mametraka alàlana amin'ny IAM amin'ny mpampiasa, ny fampiasana ny vondrona dia fomba fanao tsara indrindra. Ity ny dingan'ny famoronana vondrona iray ao amin'ny IAM.

• Ny soratan'ny famoronana vondrona dia iam-groupcreate -G GROUPNAME [-p PATH] -v izay ny -p sy -v dia safidy. Ny antontan-taratasy feno ao amin'ny Command Line Interface dia hita ao amin'ny AWS Docs.

• Raha te-hamorona vondrona antsoina hoe "awesomeusers" ianao dia miditra, iam-groupcreate -g awesomeusers amin'ny Command Prompt.
• Azonao atao ny manamarina fa ny vondrona dia noforonina araka ny tokony ho izy amin'ny fidirana ao amin'ny command prompt amin'ny iam-grouplistbypath. Raha vao namorona ity vondrona ity fotsiny ianao, ny vokatra dia mety ho toy ny "arn: aws: iam :: 123456789012: group / awesomeusers", izay isa ny kaonty AWS anao.

Omeo ny fidirana amin'ny Vondrona amin'ny S3 Bucket sy CloudFront

Ny politika dia mifehy ny mety ho vitan'ny vondrona misy anao ao amin'ny S3 na CloudFront. Raha toa ka tsy afaka miditra amin'ny zavatra rehetra ao amin'ny AWS ny vondrona misy anao. Hitako ny antontan-taratasy momba ny politika ho mahitsy, saingy amin'ny famoronana politika maromaro, nanao andrana fitsapana sy fahadisoana aho mba hahazoana zavatra mahomby amin'ny fomba tiako hiasa.

Manana safidy roa ianao amin'ny famoronana politika.

Safidy iray azonao atao ny miditra azy mivantana ao amin'ny Command Prompt. Noho ianao mety mamorona politika sy tanjaky izany, ho ahy dia toa mora kokoa ny manampy ny politika ho rakitra an-tsoratra ary avy eo alefa ny rakitra an-tsoratra ho marika amin'ny baiko iam-groupuploadpolicy. Ity ny doka amin'ny fampiasana rakitra an-tsoratra ary alefa mankany amin'ny IAM.

• Mampiasà zavatra toy ny Notepad ary midira ity lahatsoratra manaraka ity ary tehirizo ny rakitra:
  
  {
  "Statement": [{
  "Effect": "Avelao",
  "Action": "S3: *",
  "Resource": [
  "Arn: aws: S3 ::: BUCKETNAME",
  "Arn: aws: S3 ::: BUCKETNAME / *"]
  },
  {
  "Effect": "Avelao",
  "Action": "S3: ListAllMyBuckets",
  "Resource": "Arn: aws: S3 ::: *"
  },
  {
  "Effect": "Avelao",
  "Action": [ "cloudfront: *"],
  "Resource": "*"
  }
  ]
  }
  
• Misy fizarana 3 amin'ity politika ity. Ny vokatra dia ampiasaina hamela na handoa ny karazana fidirana sasany. Ny Action dia singa manokana izay azon'ny vondrona atao. Ny loharanon-kevitra dia ampiasaina hanomezana ny siny ho an'ny tsirairay.

• Azonao atao ny mametra ny fizarana tsirairay. Ao amin'io ohatra io, ny "Action" dia: "[s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], ny vondrona dia afaka mamoaka ny ao anaty sotro ary mandefa zavatra.
• Ny fizarana voalohany "Manome" ilay vondrona hanatanterahana ny hetsika S3 ho an'ny bokotra "BUCKETNAME".
• Ny fizarana faharoa hoe "Avelao" ny vondrona hanisa ny siny rehetra ao amin'ny S3. Mila izany ianao mba hahafahanao mahita ny lisitry ny siny raha mampiasa zavatra toy ny AWS Console ianao.

• Ny fizarana fahatelo dia manome ny vondrona feno amin'ny CloudFront.

Maro ny safidy rehefa tonga amin'ny politika IAM. Amazon dia manana fitaovana tena mahafinaritra antsoina hoe AWS Policy Generator. Ity fitaovana ity dia manome ny GUI izay ahafahanao mamorona ny politikanao ary mamorona ny fehezanteny ilainao hampiharana ny politika. Azonao atao ihany koa ny manamarina ny fizarana mikasika ny Access Policy Language amin'ny fampiasana an-tserasera AWS Identity and Access Management.

Hamorona mpampiasa sy Add to Group

Ny dingan'ny fananganana mpampiasa vaovao sy ny fanampiana amin'ny vondrona iray hanomezana azy ireo dia midika dingana roa.

• Ny soratan'ny famoronana ny mpampiasa dia iam-usercreate -u USERNAME [-p PATH] [-G GROUPS ...] [-k] [-v] izay ny options -p, -g, -k ary -v dia safidy. Ny antontan-taratasy feno ao amin'ny Command Line Interface dia hita ao amin'ny AWS Docs.
• Raha te-hamorona mpampiasa "bob" ianao, dia miditra ianao, iam-usercreate -u bob -g awesomeusers amin'ny Command Prompt.
• Azonao atao ny manamarina fa noforonina araka ny tokony ho izy ny mpampiasa amin'ny fidirana ny iam-grouplistusers -g awesomeusers ao amin'ny Command Prompt. Raha vao namorona ity mpampiasa ity ianao, ny output dia ho toy ny "arn: aws: iam :: 123456789012: user / bob", izay ny isa ny kaonty AWS anao.

Mamorona Profile Logon ary Mamorona Farany

Amin'izao fotoana izao, namorona mpampiasa ianao saingy mila manome fomba iray hanampiana sy hanesorana zavatra avy amin'ny S3.

Misy safidy 2 azo omena ny mpampiasa anao ahafahana miditra amin'ny S3 mampiasa IAM. Azonao atao ny manangana ny Profile Log ary manome ny mpampiasa anao amin'ny tenimiafina iray. Azon'izy ireo ampiasaina ny fahazoan-dàlany hiditra ao amin'ny Amazon AWS Console. Ny safidy hafa dia ny hanomezana ny mpampiasa anao fanalahidy misokatra sy ny fanalahidy miafina. Afaka mampiasa ireto fanalahidy ireto izy ireo amin'ny fitaovana fampiasana fahatelo toy ny S3 Fox, CloudBerry S3 Explorer na S3 Browser.

Create Create Profile Profile

Ny famoronana mpampiasa login ho an'ireo mpampiasa S3 dia manome azy ireo ny anarana sy ny tenimiafony izay azon'izy ireo ampiasaina mba hidirana amin'ny Amazon AWS Console.

• Ny soratan'ny famoronana profil ofisialy dia iam-useraddloginprofile -u USERNAME -p PASSWORD. Ny antontan-taratasy feno ao amin'ny Command Line Interface dia hita ao amin'ny AWS Docs.
• Raha te hamorona profil ofisika ho an'ny mpampiasa "bob" ianao, dia miditra ianao, iam-useraddloginprofile -u bob -p PASSWORD amin'ny Command Prompt.

• Azonao atao ny manamarina fa noforonina araka ny tokony ho izy ny mombamomba ny mpampiasa anao amin'ny fidirana ny iam-usergetloginprofile -u bob ao amin'ny Command Prompt. Raha namorona profil iray ho an'ny bob ianao, ny vokatra dia mety ho toy ny "User Profile Login misy ny mpampiasa bob".

Create Keys

Ny famoronana AWS Key Key Access sy ny AWS Access Key ID dia ahafahan'ny mpampiasa mampiasa rindrambaiko fampiasana rindrambaiko toy ny voalaza teo aloha. Ataovy ao an-tsaina fa raha fepetra fiarovana ianao, dia azonao atao ihany ny mahazo ireto fanalahidy ireto mandritra ny dingan'ny fampidirana ny mpampiasa. Ataovy azo antoka fa mamaky sy mametaka ny vokatra avy amin'ny Command Prompt ary mamonjy amin'ny rakitra an-tsoratra. Azonao atao ny mandefa ny rakitra amin'ny mpampiasa anao.

• Ny fampiharana ny fanalahidy ho an'ny mpampiasa dia iam-useraddkey [-u USERNAME]. Ny antontan-taratasy feno ao amin'ny Command Line Interface dia hita ao amin'ny AWS Docs.
• Raha te hamorona ny fanalahidy ho an'ny mpampiasa "bob" ianao, dia miditra ao amin'ny iam-useraddkey -u bob ao amin'ny Command Prompt.
• Ny baiko dia hamoaka ireo fanalahidy izay haneho zavatra toy izao:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Ny andalana voalohany dia ny Access Key ID ary ny andalana faharoa dia ny Key Access Access. Mila ny rindrambaikon'ny antoko fahatelo ianao.

Fitsapana fitsapana

Ankehitriny dia efa namorona vondrona / mpampiasa IAM ianao ary nomena ny fidirana amin'ny fampiasana ny politikan'ny vondrona, mila mandinika ny fidirana ianao.

Console Access

Ny mpampiasa anao dia afaka mampiasa ny anaran'ny mpampiasa azy sy ny tenimiafina mba hidirana ao amin'ny AWS Console. Na izany aza, tsy ny pejy login momba ny konsole mahazatra no ampiasaina ho an'ny kaonty AWS.

Misy adiresy manokana izay azonao ampiasaina izay hanome endrika fanalahidy ho an'ny kaonty Amazon AWS anao. Ity ny URL hanombohana ny S3 ho an'ireo mpampiasa IAM anao.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

Ny AWS-ACCOUNT-NUMBER dia ny laharan'ny kaonty AWS anao. Azonao atao ny mahazo izany amin'ny alàlan'ny fampidiranao ao amin'ny tranokalan'ny Google Web Service. Midira eto ary tsindrio ny Account | Account Activity. Ny laharan'ny kaontinao dia eo amin'ny zoro havanana ankavia. Ataovy azo antoka fa hesorinao ny tady. Ny URL dia hijery zavatra toy ny https://123456789012.signin.aws.amazon.com/console/s3.

Mampiasa ny Access Access

Azonao atao ny maka sy manaparitaka ireo fitaovana fanintelony izay efa voalaza ato amin'ity lahatsoratra ity. Ampidiro ny adiresy Key Key sy ny Key Access Access ho an'ny fanadihadiana an-tserasera.

Manoro hevitra mafy aho fa hamorona mpampiasa voalohany ianao ary avelao io mpampiasa io hitsapa tanteraka fa afaka manao izay rehetra ilainy hatao ao amin'ny S3. Rehefa manamarina ny iray amin'ireo mpampiasa anao ianao dia afaka manohy ny fametrahana ny mpampiasa S3 rehetra.

Harena

Ireto misy loharano vitsivitsy mba hanomezana anao fahatakarana tsara kokoa momba ny Identité & Access Management (IAM).

• Hanomboka amin'ny IAM
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• Fampiasana AWS Identity and Access Management

• IAM Release Notes
• Forum an'ny IAM Discussion
• IAM ny FAQs