AWS-identiteetti ja käyttöoikeuksien hallinta

Osa 1, kohta 3

Vuonna 2011 Amazon ilmoitti saatavuudestaan ​​AWS Identity & Access Management (IAM) -palveluille CloudFrontille. IAM käynnistettiin vuonna 2010 ja sisälsi S3-tuen. AWS Identity & Access Management (IAM) -palvelulla voit olla useita käyttäjiä AWS-tilissä. Jos olet käyttänyt Amazon Web Services (AWS) -palvelua, olet tietoinen siitä, että AWS-sisällön ainoa tapa hallita sisältöä oli antaa käyttäjänimesi ja salasanasi tai avainavaimet.

Tämä on todellinen turvallisuusongelma useimmille meistä. IAM poistaa tarpeen jakaa salasanoja ja avainavaimia.

Jatkuva muutos tärkeimmän AWS-salasanan luomiseen tai uuden avaimen luomiseen on vain sotkuinen ratkaisu, kun henkilökunta jättää tiimimme. AWS Identity & Access Management (IAM) oli hyvä alku, joka mahdollistaa yksittäiset käyttäjätilit yksittäisten avainten avulla. Olemme kuitenkin S3 / CloudFront-käyttäjä, joten olemme seuranneet CloudFrontin lisäämistä IAM: ään, joka tapahtui lopulta.

Löysin tämän palvelun dokumentaation olevan hieman hajanaista. Muutamia kolmannen osapuolen tuotteita, jotka tarjoavat erilaisia ​​tukipalveluja Identity & Access Management (IAM) -palvelulle. Mutta kehittäjät ovat yleensä säästäväisiä, joten etsin ilmaista ratkaisua IAM: n hallintaan Amazon S3 -palvelun avulla.

Tässä artikkelissa käydään läpi IAM: ää tukevan komentorivirajapinnan luominen ja ryhmän / käyttäjän S3-yhteyden muodostaminen. Sinun täytyy olla Amazon AWS S3 -tilin asetukset ennen kuin aloitat Identity & Access Management (IAM) -ominaisuuden määrittämisen.

Oma artikkeli, jossa käytetään Amazonin yksinkertaista tallennuspalvelua (S3), vie sinut läpi AWS S3 -tilin luomisen.

Tässä ovat vaiheet, jotka liittyvät IAM: n käyttäjän määrittämiseen ja käyttöönottoon. Tämä on kirjoitettu Windowsille, mutta voit säätää sitä Linuxissa, UNIX- ja / tai Mac OSX -ohjelmissa.

1. Asenna ja konfiguroi komentoriviliitäntä (CLI)

1. Luo ryhmä
2. Anna ryhmän pääsy S3-kauhalle ja CloudFrontille
3. Luo käyttäjä ja lisää ryhmään
4. Luo tunnusprofiili ja luo avaimet
5. Testaa pääsy

Asenna ja konfiguroi komentoriviliitäntä (CLI)

IAM Command Line Toolkit on Java-ohjelma, joka on saatavilla Amazonin AWS-kehittäjien työkaluissa. Työkalu mahdollistaa IAM API -komentojen suorittamisen shell-apuohjelmasta (DOS for Windows).

• Sinun täytyy olla Java 1.6 tai uudempi. Voit ladata uusimman version Java.comista. Jos haluat nähdä, mikä versio on asennettu Windows-järjestelmään, avaa komentokehote ja kirjoita java -versio. Tämä olettaa, että java.exe on PATH: ssa.
• Lataa IAM CLI -työkalupakki ja poista se paikalliselta asemalta.
• CLI-työkalupaketin juuressa on kaksi tiedostoa, jotka sinun on päivitettävä.
  • aws-credential.template: Tässä tiedostossa on AWS-tunnistetietosi. Lisää AWSAccessKeyId ja AWSSecretKey, tallenna ja sulje tiedosto.
  • client-config.template : Sinun tarvitsee vain päivittää tiedosto, jos tarvitset välityspalvelinta. Poista # merkkejä ja päivitä ClientProxyHost, ClientProxyPort, ClientProxyUsername ja ClientProxyPassword. Tallenna ja sulje tiedosto.
• Seuraava vaihe liittyy ympäristömuuttujien lisäämiseen. Siirry Ohjauspaneeliin. | Järjestelmän ominaisuudet | Kehittyneet järjestelmäasetukset Ympäristömuuttujat. Lisää seuraavat muuttujat:
  • AWS_IAM_HOME : Aseta tämä muuttuja hakemistoon, johon olet purkanut CLI-työkalupaketin. Jos käytät Windowsia ja unzipped sen C-aseman juuressa, muuttuja olisi C: \ IAMCli-1.2.0.
  • JAVA_HOME : Aseta tämä muuttuja hakemistoon, johon Java on asennettu. Tämä olisi java.exe-tiedoston sijainti. Normaalissa Windows 7 Java -asennuksessa tämä olisi esimerkiksi C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Aseta tämä muuttuja edellä päivitetyn aws-credential.template polkuun ja tiedostonimiin. Jos käytät Windowsia ja purkaa sen C-aseman juuressa, muuttuja olisi C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : Tätä ympäristömuuttujaa tarvitaan vain, jos tarvitset välityspalvelinta. Jos käytät Windowsia ja purkaa sen C-aseman juuressa, muuttuja olisi C: \ IAMCli-1.2.0 \ client-config.template. Älä lisää tätä muuttujaa, ellei sitä tarvita.

• Testaa asennus siirtymällä komentokehoteeseen ja kirjoittamalla iam-userlistbypath. Niin kauan kuin et saa virheitä, sinun pitäisi olla hyvä mennä.

Kaikki IAM-komennot voidaan suorittaa komentoriviltä. Kaikki komennot alkavat "iam-".

Luo ryhmä

Jokaiselle AWS-tilille voidaan luoda enintään 100 ryhmää. Vaikka voit määrittää IAM: n käyttöoikeudet käyttöoikeustasolla, käytä ryhmiä parhaalla käytännöllä. Tässä on prosessi luoda ryhmä IAM: ssä.

• Ryhmän syntaksi on iam-groupcreate -g GROUPNAME [-p PATH] [-v], jossa -p ja -v ovat vaihtoehtoja. Komentojohdon täydellinen dokumentaatio on saatavana AWS-dokumentteilla.

• Jos haluat luoda ryhmän nimeltä "awesomeusers", annat, iam-groupcreate -g awesomeusers komentokehote.
• Voit tarkistaa, että ryhmä luotiin oikein kirjoittamalla iam-grouplistbypath komentokehoteeseen. Jos olisit luonut vain tämän ryhmän, tuotos olisi jotain "arn: aws: iam :: 123456789012: group / awesomeusers", jossa numero on AWS-tilisi numero.

Anna ryhmän pääsy S3-kauhalle ja CloudFrontille

Säännöt ohjaavat, mitä ryhmäsi voi tehdä S3: ssa tai CloudFrontissa. Oletuksena ryhmäsi ei pääse mitään AWS: ään. Löysin politiikan dokumentaation olevan OK, mutta luomassa kourallinen käytäntöjä, tein vähän kokeiluja ja virheitä, jotta asiat toimisivat niin kuin halusin heidän työskentelemään.

Sinulla on useita vaihtoehtoja käytäntöjen luomiseen.

Yksi vaihtoehto on, että voit kirjoittaa ne suoraan komentoriviin. Koska voisit luoda käytäntöä ja muuttaa sitä, minulle tuntui helpompaa lisätä käytäntö tekstitiedostoon ja lähettää tekstitiedosto parametriksi komennolla iam-groupuploadpolicy. Tässä on prosessi, jossa käytetään tekstitiedostoa ja ladataan IAM: lle.

• Käytä jotain Muistilehteä ja kirjoita seuraava teksti ja tallenna tiedosto:
  
  {
  "Statement": [{
  "Vaikutus": "Salli",
  "Toimenpide": "S3: *",
  "Resurssi":[
  "Arn: AWS: S3 ::: BUCKETNAME",
  "Arn: AWS: S3 ::: BUCKETNAME / *"]
  },
  {
  "Vaikutus": "Salli",
  "Toimenpide": "S3: ListAllMyBuckets",
  "Resource": "ARN: AWS: S3 ::: *"
  },
  {
  "Vaikutus": "Salli",
  "Toimenpide": [ "cloudfront: *"],
  "Resurssi":"*"
  }
  ]
  }
  
• Tätä käytäntöä on kolme osiota. Vaikutusta käytetään sallimaan tai estämään tietynlaisen pääsyn. Toiminto on erityisiä asioita, joita ryhmä voi tehdä. Resurssia käytettäisiin yksittäisten kauhojen käyttämiseen.

• Voit rajoittaa Toimia erikseen. Tässä esimerkissä "Toimi": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], ryhmä pystyy luetteloimaan ämpärien sisällön ja lataamaan kohteet.
• Ensimmäinen osa "Sallii" ryhmän suorittaa kaikki S3-toiminnot ämpäriin "BUCKETNAME".
• Toisessa osassa "Sallii" ryhmän luetella kaikki kauhat S3: ssa. Tarvitset tämän, jotta voit todella nähdä listan kaupeista, jos käytät jotain AWS-konsolia.

• Kolmas osa antaa ryhmälle täyden pääsyn CloudFront-palveluun.

IAM: n käytäntöihin on olemassa paljon vaihtoehtoja. Amazonilla on todella hieno työkalu nimeltä AWS Policy Generator. Tämä työkalu tarjoaa graafisen käyttöliittymän, jossa voit luoda käytäntöjäsi ja luoda käytännön käytännön käytännön. Voit myös tarkistaa Käyttäytymiskieli-osion Käyttämällä AWS-identiteetin ja käyttöoikeuksien hallinnan verkko-ohjeita.

Luo käyttäjä ja lisää ryhmään

Prosessin, jolla luodaan uusi käyttäjä ja lisätään ryhmä, joka tarjoaa heille pääsyn, sisältää muutaman askeleen.

• Käyttäjän luomisen syntaksi on iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v], jossa -p, -g, -k ja -v ovat vaihtoehtoja. Komentojohdon täydellinen dokumentaatio on saatavana AWS-dokumentteilla.
• Jos haluat luoda käyttäjän "bob", kirjoittaisit, iam-usercreate -u bob -g awesomeusers komentokehoteella.
• Voit tarkistaa, että käyttäjä on luotu oikein kirjoittamalla komentokehotteeseen iam-grouplistusers -g awesomeusers. Jos olisit luonut tämän käyttäjän vain, tuotos olisi jotain "arn: aws: iam :: 123456789012: user / bob", jossa numero on AWS-tilisi numero.

Luo kirjautumisprofiili ja luo avaimet

Tässä vaiheessa olet luonut käyttäjän, mutta sinun on annettava heille mahdollisuus lisätä ja poistaa objekteja S3: lta.

Käytettävissä on kaksi vaihtoehtoa, joiden avulla käyttäjät voivat käyttää S3: ta IAM: n avulla. Voit luoda käyttäjätunnuksen ja antaa käyttäjille salasanan. He voivat käyttää heidän valtakirjansa kirjautumalla Amazon AWS Consoleon. Toinen vaihtoehto on antaa käyttäjille pääsy avain ja salainen avain. He voivat käyttää näitä avaimia kolmannen osapuolen työkaluissa, kuten S3 Fox, CloudBerry S3 Explorer tai S3 Browser.

Luo profiili

S3-käyttäjien yhteystiedon luominen antaa käyttäjälle käyttäjätunnuksen ja salasanan, jonka avulla he voivat kirjautua Amazon AWS Consoleon.

• Sisäänkirjautumissuunnitelman syntaksi on iam-useraddloginprofile -u USERNAME -p PASSWORD. Komentojohdon täydellinen dokumentaatio on saatavana AWS-dokumentteilla.
• Jos haluat luoda käyttäjätunnuksen profiilin käyttäjälle "bob", kirjoittaisit komennolla "iam-useraddloginprofile -u bob -p PASSWORD".

• Voit tarkistaa, että kirjautumisprofiili luotiin oikein kirjoittamalla iam-usergetloginprofile -u bob komentokehotteeseen. Jos olit luonut kirjautumisprofiilin bobille, tuotos olisi jotain sellaista, että käyttäjäprofiiliin on olemassa "Login Profile".

Luo avaimet

AWS: n salaisen avaussanan ja vastaavan AWS-avaimen tunnuksen luominen antaa käyttäjille mahdollisuuden käyttää kolmannen osapuolen ohjelmistoja, kuten aiemmin mainitut. Muista, että turvamittaan näet nämä avaimet vain käyttäjän profiilin lisäämisen aikana. Varmista, että kopioit ja liitä komentotiedoston tuotos ja tallennat tekstitiedostoon. Voit lähettää tiedoston käyttäjälle.

• Käyttäjän avainten lisäämisen syntaksi on iam-useraddkey [-u USERNAME]. Komentojohdon täydellinen dokumentaatio on saatavana AWS-dokumentteilla.
• Jos haluat luoda avaimet käyttäjälle "bob", annat komennolla iam-useraddkey -u bob.
• Komento antaa avaimet, jotka näyttäisivät jotain tällaiselta:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Ensimmäinen rivi on Access Key ID ja toinen rivi on Secret Access Key. Tarvitset sekä kolmannen osapuolen ohjelmistoja.

Testaa pääsy

Nyt, kun olet luonut IAM-ryhmiä / käyttäjiä ja antanut ryhmiä käyttämään käytäntöjä, sinun on testattava käyttöoikeus.

Console Access

Käyttäjät voivat käyttää käyttäjänimensä ja salasanansa kirjautuakseen AWS-konsoliin. Tämä ei kuitenkaan ole tavallinen konsoli-kirjautumissivu, jota käytetään AWS-tilille.

Käytössäsi on erityinen URL-osoite, joka antaa vain kirjautumislomakkeen Amazon AWS -tilillesi. Tässä on URL-osoite, jonka haluat kirjautua S3: ään IAM-käyttäjille.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER on säännöllinen AWS-tilisi numero. Voit saada tämän kirjautumalla Amazon Web Service Sign In -ilmoitukseen. Kirjaudu ja klikkaa tiliä Tilitoiminto. Tilisi numero on oikeassa yläkulmassa. Varmista, että poistat viivat. URL-osoite näyttää jotain https://123456789012.signin.aws.amazon.com/console/s3.

Käytä avainkoodia

Voit ladata ja asentaa minkä tahansa tässä artikkelissa jo mainitut kolmannen osapuolen työkalut. Anna käyttöoikeustunnuksesi ja salaisen avaimen avain kolmannen osapuolen työkalujen ohjeiden mukaan.

Suosittelemme, että luot alkuperäisen käyttäjän ja saat tämän käyttäjän täysin testaamaan, että he voivat tehdä kaiken tarvitsemansa S3: ssa. Kun olet vahvistanut jonkin käyttäjänne, voit jatkaa kaikkien S3-käyttäjien määrittämistä.

voimavarat

Seuraavassa on muutamia resursseja, joiden avulla voit ymmärtää paremmin Identity & Access Management (IAM).

• IAM: n käytön aloittaminen
• IAM Command Line Toolkit
• Amazon AWS Console
• AWS Policy Generator
• AWS-identiteetin ja käyttöoikeuksien hallinta

• IAM-julkaisutiedot
• IAM-keskustelufoorumit
• IAM: n usein kysytyt kysymykset