АВС идентитет и управљање приступом

Дио 1 од 3

У 2011. години, Амазон је најавио доступност подршке АВС Идентити & Аццесс Манагемент (ИАМ) за ЦлоудФронт. ИАМ је лансиран 2010. године и укључио подршку за С3. АВС Идентити & Аццесс Манагемент (ИАМ) омогућава вам да имате више корисника унутар АВС налога. Ако сте користили Амазон Веб Сервицес (АВС), свјесни сте да је једини начин за управљање садржајем у АВС-у укључивање давање вашег корисничког имена и лозинке или приступних кључева.

Ово је права безбедносна брига за већину нас. ИАМ елиминише потребу за дељењем лозинки и приступних кључева.

Стално мијењање наше главне АВС лозинке или стварање нових кључева је само неуредно рјешење када члан особља напусти наш тим. АВС Идентити & Аццесс Манагемент (ИАМ) је добар почетак који омогућава појединачне корисничке налоге са појединачним кључевима. Међутим, ми смо корисник С3 / ЦлоудФронт, тако да смо гледали како ЦлоудФронт буде додан у ИАМ који се коначно догодио.

Нашао сам да је документација о овој служби мало разбацана. Постоји неколико производа треће стране који нуде низ подршке за управљање идентитетом и приступом (ИАМ). Али програмери су обично штедљиви, па сам тражио бесплатно решење за управљање ИАМ-ом помоћу наше услуге Амазон С3.

Овај чланак пролази кроз процес постављања интерфејса командне линије која подржава ИАМ и поставља групу / корисника с приступом С3. Морате имати Амазон АВС С3 подешавање налога пре него што почнете да конфигуришете Идентити & Аццесс Манагемент (ИАМ).

Мој чланак, Коришћење Амазон Симпле Стораге Сервице-а (С3), ће вас провести кроз процес постављања АВС С3 налога.

Ево корака који су укључени у постављање и имплементацију корисника у ИАМ. Ово је написано за Виндовс, али можете га подесити за кориштење на Линук, УНИКС и / или Мац ОСКС.

1. Инсталирајте и конфигуришите Интерфаце Цомманд Лине (ЦЛИ)

1. Креирајте групу
2. Дајте групи приступ групи С3 и ЦлоудФронт
3. Креирај корисника и Додај у групу
4. Креирајте профил за профил и креирајте кључеве
5. Тест приступ

Инсталирајте и конфигуришите Интерфаце Цомманд Лине (ЦЛИ)

ИАМ Цомманд Лине Тоолкит је Јава програм доступан у Амазон АВС Девелоперс Тоолс. Алат вам омогућава да извршавате ИАМ АПИ команде из утилитиа за љуску (ДОС за Виндовс).

• Морате да користите Јава 1.6 или новију верзију. Можете преузети најновију верзију из Јава.цом-а. Да бисте видели коју верзију је инсталирана на вашем Виндовс систему, отворите командни позив и унесите јава-верзију. Ово претпоставља да је јава.еке у вашем ПАТХ.
• Преузмите ИАМ ЦЛИ алатку и унзипајте негде на локалном уређају.
• Постоје 2 датотеке у корену ЦЛИ скупа алатки које морате ажурирати.
  • авс-цредентиал.темплате: Ова датотека садржи ваше АВС акредитиве. Додајте свој АВСАццессКеиИд и ваш АВССецретКеи, сачувајте и затворите датотеку.
  • цлиент-цонфиг.темплате : Потребно је само да ажурирате ову датотеку ако вам је потребан проки сервер. Уклоните знакове # и ажурирајте ЦлиентПрокиХост, ЦлиентПрокиПорт, ЦлиентПрокиУсернаме и ЦлиентПрокиПассворд. Сачувај и затворите датотеку.
• Следећи корак укључује додавање Енвиронмент Вариаблес. Идите на контролну таблу | Својства система | Напредне системске поставке | Варијабле околине. Додајте следеће варијабле:
  • АВС_ИАМ_ХОМЕ : Подесите ову варијаблу у директоријум у коме сте отпустили ЦЛИ алат. Ако користите Виндовс и унзипирате је у корен вашег Ц погона, варијабла би била Ц: \ ИАМЦли-1.2.0.
  • ЈАВА_ХОМЕ : Подесите ову варијаблу у директоријум у којем је Јава инсталиран. Ово би била локација датотеке јава.еке. У нормалној инсталацији Виндовс 7 Јава, то би било нешто попут Ц: \ Програм Филес (к86) \ Јава \ јре6.
  • АВС_ЦРЕДЕНТИАЛ_ФИЛЕ : Подесите ову варијаблу на путању и имену датотеке авс-цредентиал.темплате коју сте ажурирали изнад. Ако користите Виндовс и унзипирате је у корен вашег Ц диска, варијабла би била Ц: \ ИАМЦли-1.2.0 \ авс-цредентиал.темплате.
  • ЦЛИЕНТ_ЦОНФИГ_ФИЛЕ : Потребно је само додати ову варијаблу околине ако вам је потребан проки сервер. Ако користите Виндовс и унзипирате је у корен вашег Ц диска, варијабла би била Ц: \ ИАМЦли-1.2.0 \ цлиент-цонфиг.темплате. Не додајте ову варијаблу ако је не требате.

• Тестирајте инсталацију тако што ћете отићи на командни позив и унети иам-усерлистбипатх. Све док не добијете грешку, требало би да будете добри.

Све ИАМ наредбе могу се покренути из командног позива. Све команде почињу са "иам-".

Креирајте групу

Постоји максимално 100 група које се могу креирати за сваки АВС налог. Иако можете поставити дозволе у ​​ИАМ на корисничком нивоу, коришћење група би била најбоља пракса. Ево процеса креирања групе у ИАМ-у.

• Синтакса за креирање групе је иам-гроупцреате -г ГРОУПНАМЕ [-п ПАТХ] [-в] где су -п и -в опције. Целокупна документација на интерфејсу за командну линију доступна је на АВС документима.

• Ако сте желели да креирате групу под називом "авесомеусерс", унели сте, иам-гроупцреате -г авесомеусерс на командном позиву.
• Можете проверити да ли је група креирана исправно уносом иам-гроуплистбипатх у командном позиву. Ако сте створили само ову групу, излаз би био нешто попут "арн: авс: иам: 123456789012: гроуп / авесомеусерс", гдје је број ваш АВС број рачуна.

Дајте групи приступ групи С3 и ЦлоудФронт

Политике контролишу шта ваша група може да уради у С3 или ЦлоудФронт. Подразумевано, ваша група не би имала приступ било чему у АВС-у. Нашао сам документацију о правилима да будем ОК, али у креирању неколико политика, учинио сам неколико пробних и грешака како би ствари могле радити на начин на који сам желео да раде.

Имате неколико опција за креирање смерница.

Једна од могућности је да их унесете директно у командни позив. С обзиром да можда креирате политику и подешавате то, за мене се чини да је лакше додати политику у текстуалну датотеку, а затим уплоад датотеку текста као параметар помоћу наредбе иам-гроупуплоадполици. Овде је процес који користи текстуалну датотеку и преноси на ИАМ.

• Користите нешто попут Бележнице и унесите следећи текст и сачувајте датотеку:
  
  {
  "Изјава":[{
  "Ефекат": "Дозволи",
  "Акција": "с3: *",
  "Ресурс":[
  "арн: авс: с3 ::: БУЦКЕТНАМЕ",
  "арн: авс: с3 ::: БУЦКЕТНАМЕ / *"]
  },
  {
  "Ефекат": "Дозволи",
  "Акција": "с3: ЛистАллМиБуцкетс",
  "Ресоурце": "арн: авс: с3 :::"
  },
  {
  "Ефекат": "Дозволи",
  "Акција": ["цлоудфронт: *"],
  "Ресурс":"*"
  }
  ]
  }
  
• Постоји 3 секције у овој политици. Ефекат се користи да дозволи или одбије неку врсту приступа. Акција је специфична ствар коју група може учинити. Ресурс би се користио за давање приступа појединачним кашицама.

• Акције можете ограничити појединачно. У овом примеру, "Акција": ["с3: ГетОбјецт", "с3: ЛистБуцкет", "с3: ГетОбјецтВерсион"], група би могла да попише садржај каде и преузме објекте.
• Први одељак "Дозвољава" групи да извршава све С3 радње за кашику "БУЦКЕТНАМЕ".
• Други одељак "Омогућава" групи да попише све канте у С3. То вам је потребно да бисте заправо видели листу канти ако користите нешто попут АВС конзоле.

• Трећи одељак даје групи пун приступ ЦлоудФронт-у.

Постоји пуно опција када долази на ИАМ политике. Амазон има стварно цоол алат који се зове АВС Полици Генератор. Овај алат пружа ГУИ где можете креирати своје смернице и генерисати стварни код који вам је потребан за имплементацију политике. Такође можете погледати одјељак Језик политике приступа помоћу документације за коришћење АВС идентитета и Аццесс Манагемент.

Креирај корисника и Додај у групу

Процес стварања новог корисника и додавања групе да им обезбеди приступ подразумева неколико корака.

• Синтакса за стварање корисника је иам-усерцреате -у УСЕРНАМЕ [-п ПАТХ] [-г ГРОУПС ...] [-к] [-в] где су -п, -г, -к и -в опције. Целокупна документација на интерфејсу за командну линију доступна је на АВС документима.
• Ако сте желели да креирате корисника "боб", унели сте, иам-усерцреате -у боб -г авесомеусерс на командном позиву.
• Можете проверити да ли је корисник исправно креиран уносом иам-гроуплистусерс -г авесомеусерс на командни позив. Ако сте само створили овог корисника, излаз би био нешто попут "арн: авс: иам: 123456789012: усер / боб", гдје је број ваш АВС број рачуна.

Креирајте Логон Профиле и Креирајте кључеве

У овом тренутку сте креирали корисника, али морате им дати начин за стварно додавање и уклањање објеката из С3.

На располагању су 2 опције како би корисницима омогућили приступ С3 помоћу ИАМ-а. Можете креирати профил пријаве и пружити корисницима лозинку. Они могу користити своје акредитиве за пријављивање на Амазон АВС конзолу. Друга опција је дати корисницима приступни кључ и тајни кључ. Они могу да користе ове кључеве у помоћним уређајима као што су С3 Фок, ЦлоудБерри С3 Екплорер или С3 Бровсер.

Креирај профил за пријаву

Креирање профила пријаве за кориснике С3 пружа им корисничко име и лозинку коју могу користити за пријављивање на Амазон АВС конзолу.

• Синтакса за креирање профила за пријаву је иам-усераддлогинпрофиле -у УСЕРНАМЕ -п ПАССВОРД. Целокупна документација на интерфејсу за командну линију доступна је на АВС документима.
• Ако сте желели да креирате профил за пријаву за корисника "боб", унели сте, иам-усераддлогинпрофиле -у боб -п ПАССВОРД на командном позиву.

• Можете проверити да ли је профил за пријаву креиран исправно уносом иам-усергетлогинпрофиле -у боб на командном позиву. Ако сте направили профил за пријаву за боб, излаз би био нешто попут "Логин Профиле екистс фор усер боб".

Креирајте кључеве

Креирање АВС Сецрет Аццесс кључа и одговарајући АВС Аццесс Кеи ИД ће омогућити вашим корисницима да користе софтвер треће стране као што су претходно поменути. Имајте на уму да као мјеру сигурности можете добити само ове кључеве током процеса додавања корисничког профила. Уверите се да копирате и налепите излаз из командног позива и сачувате у текстуалној датотеки. Можете послати датотеку свом кориснику.

• Синтакса за додавање кључева за корисника је иам-усераддкеи [-у УСЕРНАМЕ]. Целокупна документација на интерфејсу за командну линију доступна је на АВС документима.
• Ако сте желели да креирате кључеве за корисника "боб", ви бисте унели иам-усераддкеи -у боб у командном позиву.
• Команда ће излазити кључеве који би изгледали овако:
  АКИАЦООБ5БКВЕКСАМПЛЕ
  БвКВ1ИпкВзРдбвПУирД3пК6Л8нгоКс4ПТЕКСАМПЛЕ
  
  Прва линија је Аццесс Кеи ИД, а друга линија је Тајни приступни кључ. Потребно је и за софтвер треће стране.

Тест приступ

Сада када сте креирали ИАМ групе / кориснике и дали групи приступити користећи смернице, потребно је да тестирате приступ.

Приступ конзолу

Корисници могу да користе своје корисничко име и лозинку за пријављивање у АВС конзолу. Међутим, ово није регуларна страница за пријављивање конзола која се користи за главни АВС налог.

Постоји посебан УРЛ који можете користити који ће вам дати формулар за пријаву за свој Амазон АВС налог. Ево УРЛ-а за пријављивање на С3 за кориснике ИАМ-а.

хттпс://АВС-АЦЦОУНТ-НУМБЕР.сигнин.авс.амазон.цом/цонсоле/с3

АВС-АЦЦОУНТ-НУМБЕР је ваш редовни АВС број рачуна. То можете добити тако што ћете се пријавити у Амазон Веб Сервице Сигн Ин форму. Пријавите се и кликните на Рачун | Активност налога. Број вашег рачуна налази се у горњем десном углу. Уверите се да уклоните цртице. УРЛ ће изгледати нешто попут хттпс://123456789012.сигнин.авс.амазон.цом/цонсоле/с3.

Коришћење Аццесс Кеис

Можете преузети и инсталирати било који од трећих страна алата већ поменутих у овом чланку. Унесите ИД кључа приступа и тај кључ за приступ по документацији алата треће стране.

Препоручујем да креирате почетног корисника и да тај корисник у потпуности тестира да могу учинити све што требају у С3. Након што потврдите једног од ваших корисника, можете наставити са подешавањем свих ваших С3 корисника.

Ресурси

Ево неколико ресурса који вам омогућавају боље разумијевање управљања идентитетом и приступом (ИАМ).

• Почетак рада са ИАМ-ом
• ИАМ Цомманд Лине Тоолкит
• Амазон АВС конзола
• АВС Полици Генератор
• Користећи АВС идентитет и управљање приступом

• Напомене о издању ИАМ-а
• ИАМ дискусиони форуми
• ИАМ најчешће постављана питања