Управление на идентичността и достъпа на AWS

Част 1 от 3

През 2011 г. Amazon обяви наличието на поддръжката на AWS за идентифициране и управление на достъпа (IAM) за CloudFront. IAM стартира през 2010 г. и включва поддръжка на S3. Управлението на идентичността и достъпа (IAM) на AWS ви позволява да имате няколко потребители в профил в AWS. Ако сте използвали услугите на Amazon Web Services (AWS), вие сте наясно, че единственият начин за управление на съдържанието в AWS е включването на потребителско име и парола или клавиши за достъп.

Това е истинска загриженост за сигурността на повечето от нас. IAM премахва необходимостта от споделяне на пароли и ключове за достъп.

Непрекъснато променяйки основната ни AWS парола или генериране на нови ключове е просто разхвърляно решение, когато член на персонала ще напусне нашия екип. Управлението на идентичността и достъпа (IAM) на AWS беше добро начало, позволяващо индивидуални потребителски профили с индивидуални ключове. Ние обаче сме потребители на S3 / CloudFront, така че наблюдаваме, че CloudFront ще бъде добавен към IAM, което най-накрая се случи.

Намерих, че документацията за тази услуга е малко разпръсната. Има няколко продукта на трети страни, които предлагат широка гама от поддръжка за управление на идентичността и достъпа (IAM). Но разработчиците обикновено са пестеливи, затова търсех безплатно решение за управление на IAM с нашата услуга Amazon S3.

Тази статия преминава през процеса на създаване на Интерфейс за командни линии, който поддържа IAM и настройка на група / потребител със S3 достъп. Трябва да имате настройка на Amazon AWS S3 преди да започнете да конфигурирате Управление на Идентичност и Достъп (IAM).

Моята статия, използвайки услугата за съхранение на Amazon Simple Storage (S3), ще ви преведе през процеса на създаване на AWS S3 акаунт.

Ето стъпките, които са свързани с създаването и внедряването на потребител в IAM. Това е написано за Windows, но можете да го настроите за използване в Linux, UNIX и / или Mac OSX.

1. Инсталирайте и конфигурирайте интерфейса на командния ред (CLI)

1. Създайте група
2. Дайте достъп на групата до S3 Bucket и CloudFront
3. Създаване на потребител и добавяне към група
4. Създаване на профил за вход и създаване на ключове
5. Достъп до тест

Инсталирайте и конфигурирайте интерфейса на командния ред (CLI)

Инструментът IAM Command Line Toolkit е Java програма, достъпна в Amazon AWS Developers Tools. Инструментът ви позволява да изпълнявате командите на IAM API от помощна програма за обвивка (DOS for Windows).

• Трябва да имате Java 1.6 или по-нова версия. Можете да изтеглите последната версия от Java.com. За да видите коя версия е инсталирана на вашата Windows система, отворете командния ред и напишете java -version. Това предполага, че java.exe е във вашия PATH.
• Изтеглете комплекта от инструменти IAM CLI и разкомплектовайте някъде на локалното устройство.
• Има 2 файла в корена на CLI инструментариума, които трябва да актуализирате.
  • aws-credential.template: Този файл съдържа вашите идентификационни данни AWS. Добавете AWSAccessKeyId и AWSSecretKey, запазете и затворете файла.
  • client-config.template : Трябва само да актуализирате този файл, ако имате нужда от прокси сървър. Премахнете знаците # и актуализирайте ClientProxyHost, ClientProxyPort, ClientProxyUsername и ClientProxyPassword. Запазете и затворете файла.
• Следващата стъпка включва добавяне на променливи на средата. Отидете в контролния панел | Свойства на системата | Разширени системни настройки Променливи на околната среда. Добавете следните променливи:
  • AWS_IAM_HOME : Задайте тази променлива в директорията, където сте разкопали CLI инструментариума. Ако работите с Windows и го разархивирате в корена на вашето C устройство, променливата ще бъде C: \ IAMCli-1.2.0.
  • JAVA_HOME : Задайте тази променлива в директорията, в която е инсталирана Java. Това би било местоположението на файла java.exe. В нормална инсталация на Windows 7 Java, това би било нещо като C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Задайте тази променлива на пътя и името на файла на aws-credential.template, който сте актуализирали по-горе. Ако използвате Windows и го разархивирате в корена на вашето C устройство, променливата ще бъде C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Трябва само да добавите тази променлива на средата, ако имате нужда от прокси сървър. Ако работите с Windows и го разархивирате в корена на вашето C устройство, променливата ще бъде C: \ IAMCli-1.2.0 \ client-config.template. Не добавяйте тази променлива, освен ако нямате нужда от нея.

• Тествайте инсталацията, като отворите команден ред и въведете iam-userlistbypath. Докато не получите грешка, трябва да бъдете добре да отидете.

Всички команди на IAM могат да се изпълняват от командния ред. Всички команди започват с "iam-".

Създайте група

За всеки профил в AWS могат да се създават максимум 100 групи. Докато можете да зададете разрешения в IAM на потребителско ниво, използването на групи ще бъде най-добрата практика. Ето процесът за създаване на група в IAM.

• Синтаксисът за създаване на група е iam-groupcreate -g GROUPNAME [-P PATH] [-v], където -p и -v са опции. Пълната документация за интерфейса на командния ред е налична в документите на AWS.

• Ако искате да създадете група, наречена "awesomeusers", ще влезете, iam-groupcreate-g awesomeusers в командния ред.
• Можете да проверите дали групата е създадена правилно, като въведете iam-grouplistbypath в командния ред. Ако сте създали само тази група, продукцията ще бъде нещо като "arn: aws: iam :: 123456789012: group / awesomeusers", където числото е вашият AWS номер на акаунта.

Дайте достъп на групата до S3 Bucket и CloudFront

Политиките контролират какво може да направи вашата група в S3 или CloudFront. По подразбиране групата ви няма да има достъп до нищо в AWS. Намерих документацията за политиките, за да съм наред, но при създаването на шепа политики, направих малко опит и грешка, за да накарам нещата да работят по начина, по който исках да работят.

Имате няколко опции за създаване на правила.

Една от опциите е, че можете да ги въведете директно в командния ред. Тъй като може да създавате правила и да ги променяте, за мен изглеждаше по-лесно да добавите правилата в текстов файл и след това да качите текстовия файл като параметър с командата iam-groupuploadpolicy. Ето процеса, използващ текстов файл и качване в IAM.

• Използвайте нещо като Notepad и въведете следния текст и запазете файла:
  
  {
  "Резюме": [{
  "Ефект": "Оставя"
  "Действие": "S3: *",
  "Ресурс": [
  "ARN: AWS: S3 ::: BUCKETNAME",
  "ARN: AWS: s3 ::: BUCKETNAME / *"]
  }
  {
  "Ефект": "Оставя"
  "Действие": "S3: ListAllMyBuckets",
  "ресурс": "Арн: AWS: s3 ::: *"
  }
  {
  "Ефект": "Оставя"
  "Действие": [ "cloudfront: *"],
  "Ресурс": "*"
  }
  ]
  }
  
• Има 3 раздели на тази политика. Ефектът се използва за разрешаване или отказване на някакъв вид достъп. Действието е специфичните неща, които групата може да направи. Ресурсът ще се използва за предоставяне на достъп до отделни кофи.

• Можете да ограничите действията поотделно. В този пример "Действие": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], групата ще може да изведе съдържанието на кофата и да изтегли обекти.
• Първият раздел "Позволява" на групата да изпълни всички действия S3 за кофата "BUCKETNAME".
• Вторият раздел "Позволява" на групата да изброи всички кофи в S3. Имате нужда от това, за да можете да видите списъка с кофи, ако използвате нещо като конзолата AWS.

• Третата секция дава на групата пълен достъп до CloudFront.

Има много опции, когато се стигне до политиките на IAM. Amazon има наистина готин инструмент, наречен AWS Policy Generator. Този инструмент предоставя графичен интерфейс, в който можете да създадете вашите правила и да генерирате действителния код, който ви е необходим за изпълнение на правилата. Можете също така да проверите секцията "Език на правилата за достъп" в онлайн документацията за използване на AWS идентичност и управление на достъпа.

Създаване на потребител и добавяне към група

Процесът на създаване на нов потребител и добавяне към група, която да му осигури достъп, включва няколко стъпки.

• Синтаксисът за създаване на потребител е iam-usercreate -u USERNAME [-p PATH] [-g ГРУПИ ...] [-k] [-v] където -p, -g, -k и -v са опции. Пълната документация за интерфейса на командния ред е налична в документите на AWS.
• Ако искате да създадете потребител "bob", ще влезете, iam-usercreate -u bob -g awesomeusers в командния ред.
• Можете да проверите дали потребителят е създаден правилно, като въведете iam-grouplistusers-g awesomeusers в командния ред. Ако сте създали само този потребител, изходът ще бъде нещо като "arn: aws: iam :: 123456789012: user / bob", където числото е вашият AWS номер на акаунта.

Създаване на профил за вход и създаване на ключове

В този момент сте създали потребител, но трябва да им предоставите начин да добавите и премахнете обекти от S3.

Има 2 опции, които дават на вашите потребители достъп до S3 чрез IAM. Можете да създадете профил за влизане и да предоставите на потребителите си парола. Те могат да използват своите идентификационни данни, за да влязат в конзолата на Amazon AWS. Другата опция е да дадете на потребителите си ключ за достъп и таен ключ. Те могат да използват тези клавиши в инструменти от трети страни като S3 Fox, CloudBerry S3 Explorer или S3 Browser.

Създаване на профил за вход

Създаването на профил за влизане за вашите S3 потребители им дава потребителско име и парола, които могат да използват, за да влезете в конзолата AWS на Amazon.

• Синтаксисът за създаване на потребителски профил за вход е iam-useraddloginprofile -u USERNAME -p PASSWORD. Пълната документация за интерфейса на командния ред е налична в документите на AWS.
• Ако искате да създадете потребителски профил за вход за потребителя "bob", трябва да въведете iam-useraddloginprofile -u bob -p PASSWORD на командния ред.

• Можете да проверите дали профилът за вход е създаден правилно, като въведете iam-usergetloginprofile -u bob в командния ред. Ако сте създали профил за вход за bob, изходът би бил нещо като "Профил за вход съществува за потребителя bob".

Създаване на ключове

Създаването на ключ за достъп до AWS Secret Access и съответния идентификационен номер на AWS Access Key ще позволи на вашите потребители да използват софтуера на трети страни, като споменатите по-горе. Имайте предвид, че като мярка за сигурност можете да получите тези ключове само по време на процеса на добавяне на потребителския профил. Уверете се, че копирате и поставяте изхода от командния ред и го запазвате в текстов файл. Можете да изпратите файла на вашия потребител.

• Синтаксисът за добавяне на ключове за потребител е iam-useraddkey [-u USERNAME]. Пълната документация за интерфейса на командния ред е налична в документите на AWS.
• Ако искате да създадете ключове за потребителя "bob", ще въведете iam-useraddkey -u bob в командния ред.
• Командата ще изведе ключовете, които биха изглеждали по следния начин:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Първият ред е идентификаторът на Access Key и втория ред е Secret Key Key. Нуждаете се от софтуера на трети страни.

Достъп до тест

Сега, когато сте създали групи / потребители на IAM и сте дали достъп до групите с помощта на политики, трябва да тествате достъпа.

Конзолен достъп

Потребителите ви могат да използват потребителското си име и парола, за да влязат в конзолата AWS. Това обаче не е редовната страница за вход в конзолата, която се използва за главния профил на AWS.

Има специален URL адрес, който можете да използвате, който ще ви предостави само формуляр за вход за профила Ви в Amazon AWS. Тук е URL адресът за влизане в S3 за вашите потребители на IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER е вашият редовен AWS номер на акаунт. Можете да получите това, като влезете в Amazon Web Service Sign In. Влезте и кликнете върху Сметка | Активност на профила. Номерът на профила Ви се намира в горния десен ъгъл. Уверете се, че премахвате тиретата. URL адресът ще изглежда като https://123456789012.signin.aws.amazon.com/console/s3.

Използване на клавишите за достъп

Можете да изтеглите и инсталирате някоя от третите страни, вече споменати в тази статия. Въведете идентификационния ключ за достъп и ключа за достъп за достъп до документацията на инструмента на третата страна.

Силно ви препоръчвам да създадете първоначален потребител и да го проверите напълно, че може да направи всичко, което трябва да направи в S3. След като потвърдите някой от потребителите си, можете да продължите с настройването на всичките си потребители на S3.

ресурси

Ето няколко ресурси, които да ви дадат по-добро разбиране за управлението на идентичността и достъпа (IAM).

• Първи стъпки с IAM
• IAM команден ред Toolkit
• Конзола на
• Генератор на правила за AWS
• Използване на AWS идентичност и управление на достъпа

• IAM бележки за изданието
• Дискусионни форуми на IAM
• Често задавани въпроси за IAM