AWS Aithne agus Stiùireadh Ruigsinneachd

Pàirt 1 de 3

Ann an 2011, dh'fhoillsich Amazon gu bheil taic AWS Identity & Access Management (IAM) ri fhaighinn airson CloudFront. Chaidh IAM a chuir air bhog ann an 2010 agus bha taic S3 ann. Tha AWS Identity & Management Access (IAM) a 'toirt comas dhut iomadh cleachdaiche a bhith agad taobh a-staigh cunntas AWS. Ma chleachd thu Seirbheisean-lìn Amazon (AWS), tha fios agad gur e an aon dòigh air susbaint a stiùireadh ann an AWS a tha a 'toirt a-steach ainm agus facal-faire no iuchraichean ruigsinn.

Is e fìor dhìon tèarainteachd a tha seo don mhòr-chuid againn. Bidh IAM a 'cur às don fheum air faclan-faire agus iuchraichean ruigsinn a roinn.

Tha atharrachadh daonnan air a 'phrìomh fhacal-faire AWS no a' cruthachadh iuchraichean ùra ach fuasgladh teann nuair a dh'fhàg ball den sgioba againn. B 'e deagh thoiseach a bh' ann an Aithris agus Stiùireadh Inntrigidh (IAM) a 'toirt cunntasan neach-cleachdaidh fa leth le iuchraichean fa leth. Ge-tà, tha sinn a 'cleachdadh neach-cleachdaidh S3 / CloudFront agus mar sin tha sinn air a bhith a' coimhead airson CloudFront a bhith air a chur ris an IAM a thàinig gu crìch.

Fhuair mi gu robh na sgrìobhainnean air an t-seirbheis seo beagan sgapte. Tha beagan de thoraidhean treas pàrtaidh ann a tha a 'tabhann raon de thaic airson Aithne & Stiùireadh Ruigsinneachd (IAM). Ach mar as trice bidh luchd-leasachaidh gu math trom agus mar sin dh 'iarr mi fuasgladh an-asgaidh airson riaghladh IAM le ar seirbheis Amazon S3.

Tha an artaigil seo a 'dol tron ​​phròiseas a bhith a' stèidheachadh Eadar-aghaidh Lìn Comand a bheir taic do IAM agus a 'stèidheachadh buidheann / neach-cleachdaidh le inntrigeadh S3. Feumaidh tu stèidheachadh cunntais Amazon AWS S3 mus tòisich thu a 'cleachdadh Ìomhaigh agus Stiùireadh Inntrigidh (IAM).

Bidh mo artaigil, a 'cleachdadh Seirbheis Stòras Simplí Amazon (S3), a' coiseachd tron ​​phròiseas airson cunntas AWS S3 a stèidheachadh.

Seo na ceumannan a tha an lùib a bhith a 'stèidheachadh agus a' cur an gnìomh neach-cleachdaidh ann an IAM. Tha seo air a sgrìobhadh airson Windows ach faodaidh tu tweak a chleachdadh airson Linux, UNIX agus / no Mac OSX.

1. Stàlaich agus cruthaich an Eadar-aghaidh Loidhne-àithne (CLI)

1. Cruthaich Buidheann
2. Thoir cothrom a 'Bhuidhinn gu S3 Bucket agus CloudFront
3. Cruthaich Cleachdaiche agus Cuir ris a 'Bhuidhinn
4. Cruthaich Clàradh Log-a-steach agus Keys Cruthachail
5. Deuchainn a-steach

Stàlaich agus cruthaich an Eadar-aghaidh Loidhne-àithne (CLI)

Is e prògram Java a th 'ann an Toolkit Loidhne Comand IAM ri fhaighinn ann an Innealan Leasachaidh AWS Amazon. Leigidh an t-inneal dhut òrdughan API IAM a dhearbhadh bho ghoireas slige (DOS airson Windows).

• Feumaidh tu a bhith a 'ruith Java 1.6 no nas àirde. Faodaidh tu an dreach as ùire a luchdachadh sìos bho Java.com. Gus faighinn a-mach dè an tionndadh a tha air a stàladh air an t-siostam Windows agad, fosgail Pìos na h-Òrdugh agus teacsa a-steach java -version. Tha seo a 'gabhail ris gu bheil java.exe anns a' PATH agad.
• Luchdaich a-nuas goireas inneal CLI IAM agus cuir às dhan àite far a bheil thu fhèin a 'dràibheadh.
• Tha 2 faidhle ann am freumh inneal CLI a dh'fheumas tu ùrachadh.
  • aws-credential.template: Tha an teacsa seo a 'gleidheadh ​​teisteanasan AWS. Cuir do AWSAccessKeyId agus do AWSSecretKey, sàbhail is dùin am faidhle.
  • client-config.template : Feumaidh tu am faidhle seo ùrachadh ach ma tha feum agad air frithealaiche progsaidh. Thoir às na comharraidhean # agus cuiridh sinn ùrachadh air ClientProxyHost, ClientProxyPort, ClientProxyUsername agus ClientProxyPassword. Sàbhail agus dùin am faidhle.
• Is e an ath cheum a bhith a 'cur Àrainneachd Variables ris. Rach gu Pannal Smachd | Feartan an t-siostaim | Suidheachadh siostaman adhartach | Variables Àrainneachd. Cuir na caochladairean a leanas ris:
  • AWS_IAM_HOME : Socraich an caochladair seo chun an eòlaire far an do chuir thu air falbh inneal CLI. Ma tha thu a 'ruith Windows agus gun do chuir thu a-steach e aig bun-stèidh an dràma C agad, b' e C: \ IAMCli-1.2.0 a bhiodh ann.
  • JAVA_HOME : Cuir an caochladair seo ris an eòlaire far a bheil Java air a stàladh. Is e seo làrach an fhaidhle java.exe. Ann an stàladh Java àbhaisteach Windows 7, bhiodh seo mar rudeigin mar C: \ Program Files (x86) \ Java \ jre6.
  • AWS_CREDENTIAL_FILE : Suidhich an caochladair seo gu ainm slighe agus faidhle an aws-credential.template gu bheil thu air ùrachadh gu h-àrd. Ma tha thu a 'ruith Windows agus gun do chuir thu a-mach e aig bun-stèidh an dràma C agad, b' e C: \ IAMCli-1.2.0 \ aws-credential.template a bhiodh ann.
  • CLIENT_CONFIG_FILE : Chan fheum thu ach caochladair àrainneachd a chur ris ma bhios feum agad air frithealaiche proxy. Ma tha thu a 'ruith Windows agus gun do chuir thu a-mach e aig bun-stèidh an dràma C agad, b' e C: \ IAMCli-1.2.0 \ client-config.template an caochladair. Na cuir ris an caochladair seo mura h-eil feum agad air.

• Dèan deuchainn air an stàladh le bhith a 'dol chun a' Gheata-stiùiridh agus a 'dol a-steach gu-userlistbypath. Cho fad 's nach faigh thu mearachd, bu chòir dhut a bhith math ri dhol.

Faodar a h-uile gin de na stiùiridhean IAM a ruith bhon Phasg Stiùiridh. Bidh na h-òrduighean uile a 'tòiseachadh le "iam-".

Cruthaich Buidheann

Tha suas ri 100 buidheann ann a ghabhas cruthachadh airson gach cunntas AWS. Fhad 's as urrainn dhut ceadan a shuidheachadh ann an IAM aig ìre an luchd-cleachdaidh, is e a' cleachdadh buidhnean an cleachdadh as fheàrr. Seo am pròiseas airson buidheann a chruthachadh ann an IAM.

• Is e an co-chòrdadh airson cruthachadh buidheann iam-groupcreate -g GROUPNAME [-p PATH] [-v] far a bheil an -p agus -v nan roghainnean. Tha sgrìobhainnean slàn air an Eadar-aghaidh Lìn Comand ri fhaighinn air AWS Docs.

• Nam biodh tu airson buidheann a chruthachadh ris an cante "uamhasach", thòisicheadh ​​tu a-steach, a-bhuidheann-buidheann -g uamhasach uamhasach aig a 'Phàipear-àithne.
• Faodaidh tu dèanamh cinnteach gu bheil a 'bhuidheann air a chruthachadh gu ceart le bhith a' dol a-steach aig iam-grouplistbypath aig Piseach a 'Choimisein. Mura h-eil thu air a 'bhuidheann seo a chruthachadh ach, bhiodh an toradh rudeigin mar "arn: aws: iam :: 123456789012: buidheann / uamhasach", far a bheil an àireamh na h-àireamh cunntais AWS agad.

Thoir cothrom a 'Bhuidhinn gu S3 Bucket agus CloudFront

Bidh poileasaidhean a 'riaghladh dè as urrainn do bhuidheann a dhèanamh ann an S3 no CloudFront. Gu bunaiteach, cha bhiodh cothrom aig a 'bhuidheann agad air rud sam bith ann an AWS. Fhuair mi a-mach gu robh na sgrìobhainnean air poileasaidhean ceart gu leòr ach nuair a bha mi a 'cruthachadh grunnan phoileasaidhean, rinn mi beagan deuchainn agus mearachd gus rudan fhaighinn air obrachadh mar a bha mi ag iarraidh a bhith ag obair.

Tha dhà roghainnean agad airson poileasaidhean a chruthachadh.

Aon roghainn is urrainn dhut an cur a-steach gu dìreach a-steach don Phasadh Stiùireadh. Leis gur dòcha gu bheil thu a 'cruthachadh poileasaidh agus ga chleachdadh, bha e na b' fhasa dhomh am poileasaidh a chuir a-steach ann am faidhle teacsa agus an uairsin am faidhle teacsa a luchdachadh suas mar pharameter leis an òrdugh iam-groupuploadpolicy. Seo am pròiseas a 'cleachdadh faidhle teacsa agus a luchdachadh suas gu IAM.

• Cleachd rudeigin mar Notepad agus cuir a-steach an teacs a leanas agus sàbhail am faidhle:
  
  {
  "Aithris": [{
  "Èifeachd": "Ceadaich",
  "Gnìomh": "s3: *",
  "Goireas": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "Èifeachd": "Ceadaich",
  "Gnìomh": "s3: ListAllMyBuckets",
  "Goireas": "arn: aws: s3 ::: *"
  },
  {
  "Èifeachd": "Ceadaich",
  "Gnìomh": ["cloudfront: *"],
  "Goireas": "*"
  }
  ]
  }
  
• Tha trì earrannan anns a 'phoileasaidh seo. Thathar a 'cleachdadh an Èifeachd gus cuid de sheòrsa ruigsinneachd a cheadachadh no a dhiùltadh. Is e an Gnìomh na rudan sònraichte a dh'fhaodas a 'bhuidheann a dhèanamh. Bhiodh an Goireas air a chleachdadh gus cothrom a thoirt do bhocsaichean fa leth.

• Faodaidh tu na Gnìomhan a chuingealachadh fa leth. Anns an eisimpleir seo, "Gnìomh": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], bhiodh comas aig a 'bhuidhinn clàr na bucaid a chlàradh agus nithean a luchdachadh sìos.
• Tha a 'chiad earrann "A' leigeil" a 'bhuidheann gus gach gnìomh S3 a dhèanamh airson a' bhucaid "BUCKETNAME".
• Tha an dàrna earrann "A 'leigeil" a' bhuidheann a bhith a 'liostadh a h-uile bucaid ann an S3. Feumaidh tu seo a dhèanamh gus an urrainn dhut an liosta bucais fhaicinn ma chleachdas tu rudeigin mar an Console AWS.

• Tha an treas earrann a 'toirt làn chothrom air a' bhuidheann gu CloudFront.

Tha tòrr roghainnean ann nuair a thig thu gu poileasaidhean IAM. Tha inneal fìor mhath aig Amazon ri fhaighinn air a bheil AWS Policy Generator. Tha an inneal seo a 'toirt seachad GUI far am faod thu do phoileasaidhean a chruthachadh agus an còd fìor a dh' fheumas tu gus am poileasaidh a thoirt gu buil. Faodaidh tu cuideachd sgrùdadh a dhèanamh air earrann Cànan Poileasaidh Inntrigidh air sgrìobhainnean air-loidhne AWS Aithne agus Stiùireadh Ruigsinneachd.

Cruthaich Cleachdaiche agus Cuir ris a 'Bhuidhinn

Tha am pròiseas a bhith a 'cruthachadh neach-cleachdaidh ùr agus a' cur ri buidheann gus cothrom a thoirt dhaibh a 'gabhail a-steach ceum ceum.

• Tha an co-chòrdadh airson cruthaichear neach-cleachdaidh a-riamh -u USERNAME [-p PATH] [-g GRUPAS ...] [-k] [-v] far a bheil na roghainnean -p, -g, -k agus -v. Tha sgrìobhainnean slàn air an Eadar-aghaidh Lìn Comand ri fhaighinn air AWS Docs.
• Ma bha thu airson "bob" neach-cleachdaidh a chruthachadh, thòisicheadh ​​tu a-steach, uaire-usercreate -u bob -g uamhasach uamhasach aig a 'Phàipear-àithne.
• Faodaidh tu dèanamh cinnteach gu bheil an neach-cleachdaidh air a chruthachadh gu ceart le bhith a 'dol a-steach gu iam-grouplistusers -g uamhasach uamhasach aig Promite Command. Mura biodh thu air a 'chleachdaiche seo a chruthachadh ach, bhiodh an toradh rudeigin mar "air: aws: iam :: 123456789012: neach-cleachdaidh / bob", far a bheil an àireamh na h-àireamh cunntais AWS agad.

Cruthaich Pròg Logan agus Alltichean Cruthachail

Aig an ìre seo, tha thu air neach-cleachdaidh a chruthachadh ach feumaidh tu dòigh a thoirt dhaibh airson rudan a chur a-steach agus a thoirt air falbh bho AS3.

Tha 2 roghainnean ann gus cothrom a thoirt do luchd-cleachdaidh S3 a chleachdadh le IAM. Faodaidh tu Pròifil Inntrigidh a chruthachadh agus facal-faire a thoirt do luchd-cleachdaidh. Faodaidh iad na teisteasan aca a chleachdadh gus clàradh a-steach don Consol Amazon AWS. Is e an roghainn eile iuchair ruigsinneachd agus iuchair dhìomhair a thoirt do luchd-cleachdaidh. Faodaidh iad na h-iuchraichean sin a chleachdadh ann an innealan 3mh pàrtaidh leithid S3 Fox, CloudBerry S3 Explorer no Brabhsair S3.

Cruthaich Clàradh Logadh

Le bhith a 'cruthachadh Pròifidh Logadh airson do luchd-cleachdaidh S3 a' toirt dhaibh ainm agus facal-faire cleachdaiche dhaibh a dh'fhaodas iad a chleachdadh gus logadh a-steach don Amazon AWS Console.

• Is e an co-chòrdadh airson cruthachadh ìomhaigh logadh a-steach iam-useraddloginprofile -u USERNAME -p PASSWORD. Tha sgrìobhainnean slàn air an Eadar-aghaidh Lìn Comand ri fhaighinn air AWS Docs.
• Ma bha thu airson ìomhaigh logadh a chruthachadh don "bob" neach-cleachdaidh, cuiridh tu a-steach, iam-useraddloginprofile -u bob -p PASSWORD aig a 'Phàipear-taice.

• Faodaidh tu dèanamh cinnteach gu bheil am pròifil logadh air a chruthachadh gu ceart le bhith a 'cur a-steach iam-usergetloginprofile -u bob aig Pìos a' Choimisein. Nam biodh tu air ìomhaigh logaidh a chruthachadh airson bob, bhiodh an toradh rudeigin coltach ri "Profile Login ann airson gach neach-cleachdaidh".

Aibhnichean Cruthachail

Le bhith a 'cruthachadh Key Access AWS Secret agus AWS Access Key ID a' toirt cothrom do luchd-cleachdaidh bathar-bog 3mh pàrtaidh a chleachdadh, mar an fheadhainn a chaidh ainmeachadh roimhe. Cumaibh cuimhne, mar tomhas tèarainteachd, nach fhaigh thu na h-iuchraichean sin ach tron ​​phròiseas gus ìomhaigh an neach-cleachdaidh a chur ris. Dèan cinnteach gu bheil thu a 'dèanamh lethbhreac agus a' giùlan an toraidh bho Phas a 'Choimisein agus sàbhail ann am faidhle teacsa. Faodaidh tu am faidhle a chuir chun a 'chleachdaiche agad.

• Is e an co-chòrdadh airson iuchraichean a chur ri cleachdaiche iam-useraddkey [-u USERNAME]. Tha sgrìobhainnean slàn air an Eadar-aghaidh Lìn Comand ri fhaighinn air AWS Docs.
• Ma bha thu airson iuchraichean a chruthachadh airson "bob" an neach-cleachdaidh, rachadh tu a-steach a-riamh-useraddkey -u bob aig a 'Phàipear-taice.
• Cuiridh an àithne a-mach na h-iuchraichean a bhiodh a 'coimhead rudeigin mar seo:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  Is e a 'chiad loidhne an Key Key ID agus an dàrna loidhne an iuchair inntrigidh inntrigidh. Feumaidh tu an dà chuid airson bathar-bog treas pàrtaidh.

Deuchainn a-steach

A-nis gu bheil thu air buidhnean IAM / luchd-cleachdaidh a chruthachadh agus a 'toirt cothrom do na buidhnean a bhith a' cleachdadh phoileasaidhean, feumaidh tu an ruigsinneachd a dhearbhadh.

Console Access

Faodaidh do luchd-cleachdaidh an ainm cleachdaiche agus am facal-faire aca a chleachdadh gus logadh a-steach a-steach don cho-labhairtean AWS. Ge-tà, chan e seo an logadh-inntinn cunbhalach airson logaichean a tha air a chleachdadh airson a 'phrìomh chunntas AWS.

Tha URL sònraichte ann a dh'fhaodas tu a chleachdadh a bheir seachad foirm logadh airson a 'chunntas Amazon AWS a-mhàin. Seo an t-URL gus logadh a-steach gu S3 airson luchd-cleachdaidh IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

Is e ÀIREAMH AWS-ACCOUNT an àireamh cunntais AWS àbhaisteach agad. Gheibh thu seo le bhith a 'logadh a-steach don fhoirm Inntrigidh seirbheis lìn Amazon. Log a-steach agus cliog air Cunntas | Gnìomh Cunntais. Tha an àireamh cunntais agad anns an oisean gu h-àrd air an làimh dheis. Dèan cinnteach gu bheil thu a 'toirt air falbh na sguab. Bhiodh an URL a 'coimhead rudeigin mar https://123456789012.signin.aws.amazon.com/console/s3.

A 'cleachdadh Keys ruigsinn

Faodaidh tu aon de na h-innealan 3mh pàrtaidh a tha air an ainmeachadh san artaigil seo a luachadh agus a stàladh. Cuir a-steach an iuchair ID inntrigidh agad agus an iuchair inntrigidh dìomhair a rèir sgrìobhainnean inneal 3mh pàrtaidh.

Tha mi a 'moladh gu làidir gun cruthaich thu neach-cleachdaidh tùsail agus gum bi an neach-cleachdaidh sin deiseil gu leòr gum faod iad a h-uile càil a dh'fheumas iad a dhèanamh ann an S3. An dèidh dhut fear de na cleachdaichean agad a dhearbhadh, faodaidh tu leantainn air adhart le bhith a 'stèidheachadh a h-uile neach-cleachdaidh S3 agad.

Goireasan

Seo beagan ghoireasan gus tuigse nas fheàrr fhaighinn air Aithne & Stiùireadh Ruigsinneachd (IAM).

• A 'tòiseachadh le IAM
• Toolkit Line Command Command
• Amazon AWS Console
• Gineadair Poileasaidh AWS
• A 'cleachdadh ìomhaigh AWS agus Stiùireadh Inntrigidh

• Notaichean Release IAM
• Fòraman Còmhraidh IAM
• Ceistean Cumanta IAM