AWS Identity ma Pulega Faʻatonu

by Tim Perdue

Vaega 1 o le 3

I le 2011, na faasilasila ai e Amazon le mauaina o le AWS Identity & Access Management (IAM) mo CloudFront. IAM na faʻavae i le 2010 ma aofia ai le lagolago S3. AWS Identity & Access Management (IAM) e mafai ai ona e maua le tele o tagata faaaoga i totonu o le AWS account. Afai na e faʻaogaina le Faʻasologa o Auaunaga a Amasoni (AWS), ua e iloa o le auala e tasi e pulea ai le anotusi i le AWS e aofia ai le tuʻuina atu o lou igoa o le tagata ma le upu faʻamalo po o le avanoa.

O se popolega saogalemu mo le toatele oi tatou. IAM faʻamalo le manaʻoga e faʻasoa faʻaufaʻailoga ma avanoa avanoa.

O le fesuisuiai pea o le upu autu AWS poo le fatuina o ki fou e na o se fofo faigofie pe a tuua e le aufaigaluega a tatou au. AWS Identity & Access Management (IAM) o se amataga lelei e faʻataga ai faʻamaumauga faʻapitoa taʻitasi ma ki taʻitasi. Ae ui i lea, oi matou o le S3 / CloudFront faʻaaogaina, o lea sa matou mataʻituina CloudFront e faaopoopo i le IAM lea na iu lava ina tupu.

Na ou mauaina faamaumauga i luga o lenei auaunaga ia avea ma se mea e faataapeapeina. E i ai ni nai pati tolu vaega e ofoina atu le tele o lagolago mo le Identity & Access Management (IAM). Ae o tagata e atiaeina e masani lava ona taugofie ona ou sailia se tali saoloto i le puleaina o IAM i la matou auaunaga Amazon S3.

O lenei tusiga o loʻo faʻatautaia le faagasologa o le faʻatulagaina o le Lisi Faʻasologa o Tulafono e lagolagoina IAM ma faʻatulagaina se vaega / tagata faʻaoga i le avanoa S3. E manaʻomia le i ai o se seti o le Amazon AWS S3 ao lei amataina le fetuunaʻi o le Identity & Access Management (IAM).

O laʻu tusiga, Faʻaaogaina o le Faʻatauga Faʻatau Mea Faatau a le Amazon (S3), o le a savalia oe i le faagasologa o le setiina o se AWS S3.

O laasaga nei e aofia ai le faʻatulagaina ma le faʻaaogaina o se tagata faʻaoga i IAM. Ua tusia lenei mea mo le Windows ae mafai ona e faʻaaoga mo Linux, UNIX ma / poʻo Mac OSX.

Faʻatonu ma faʻatautaia le Atinaʻeina Laina o le Poloaiga (CLI)

Fausia se vaega
Tuuina atu le Access Group i le S3 Bucket ma le CloudFront
Fatuina le Tagata ma Faaopoopo i le Vaega
Faʻasaoina le Faʻasalaga o le Nofoaga ma Faʻasologa Ki
Suʻega Suʻega

Faʻatonu ma faʻatautaia le Atinaʻeina Laina o le Poloaiga (CLI)

O le Polokalama IAM Command Line Toolkit o se polokalama Java lea e mafai ona maua i le Faʻalauiloa AWS Developers Tools. O le meafaigaluega e faʻatagaina ai oe e faʻatino IAM API poloaiga mai le aoga aoga (DOS mo Windows).

E tatau ona e taʻavale Java 1.6 pe sili atu. E mafai ona e sii mai le lomiga fou mai le Java.com. Ina ia iloa po o le fea o faʻamaumauga ua faʻapipiʻiina i luga o lau Windows, tatala le Poloaiga Faʻafeiloaʻi ma faʻaoga i le java -version. O lenei manatu o java.exe o loʻo i totonu o lau PATH.
Faʻasaʻo le meafaigaluega IAM CLI ma faʻagasolo se mea i luga o lau taʻavale i le lotoifale.
E lua faila i le aʻa o le meafaigaluega CLI e manaʻomia ona faʻafouina.
- faʻamaumauga: faʻamaonia: O lenei faila o loʻo umia ai au AWS faʻamaonia. Faʻaopoopo lau AWSAccessKeyId ma lau AWSSecretKey, faʻasaʻo ma tapuni le faila.
- client-config.template : Na o oe e manaʻomia le faʻafouina o lenei faila pe afai e te manaʻomia se faʻaufaʻailoga. Aveese # faailoga ma faʻafou ClientProxyHost, ClientProxyPort, ClientProxyUameamea ma ClientProxyPassword. Faasao ma tapuni le faila.
O le isi laasaga e aofia ai le faʻaopopoina o le Variables o le Siosiomaga Alu i le Puipuiga Faʻatonu | Faʻapipiʻiga o Mea | | Faʻasalalau faatulagaga faʻapipiʻi | Variata o le Siosiomaga. Faʻaopoopo mea nei:
- AWS_IAM_HOME : Faʻasaʻo lenei fesuiaiga i le faʻailoga pe ae tuʻuina atu le meafaigaluega a le CLI. Afai o loʻo e taʻavaleina Windows ma tuʻuina i le aʻa o lau C, o le fesuiaiga o le C: \ IAMCli-1.2.0.
- JAVA_HOME : Seti lenei fesuiaiga i le faʻailoga o loʻo faʻapipiʻi ai Java. O le nofoaga lenei o le faila java.exe. I se faiga masani Windows 7 Java, o le a avea lenei mea pei o le C: \ Program Files (x86) \ Java \ jre6.
- AWS_CREDENTIAL_FILE : Seti lenei fesuiaiga i le ala ma le faila o le igoa o le faʻamaumauga o faʻamaumauga e te faafouina i luga. Afai o loʻo e taʻavaleina Windows ma tuʻuina i le aʻa o lau C, o le fesuiaiga o le C: \ IAMCli-1.2.0 \ aws-qualification.template.
- CLIENT_CONFIG_FILE : Na o oe e manaʻomia le faʻaopopoina o lenei tau siʻosiʻomaga pe'ā e manaʻomia se faʻaufaʻailoga. Afai o loʻo e taʻavaleina Windows ma tuʻuina i le aʻa o lau C, o le fesuiaiga o le C: \ IAMCli-1.2.0 \ client-config.template. Aua e te faaopoopoina lenei suiga seʻi vagana ua e manaʻomia.

Suʻe le faʻapipiʻiina e ala i le alu i le Poloaiga Faʻapitoa ma ulufale atu i le usa-userlistbypath. Afai lava e te le mauaina se mea sese, e tatau ona e lelei e alu.

O tulafono uma a le IAM e mafai ona faʻanofo mai le Poloaiga Faʻaosoosoina. O tulafono uma e amata ile "iam-".

Fausia se vaega

E i ai le maualuga o le 100 vaega e mafai ona faia mo ia AWS. E ui lava e mafai ona e faia ni faatagaga i le IAM i le tulaga o le tagata e faʻaaogaina, ae faʻaaoga vaega e sili ona lelei. O le faagasologa lenei mo le fatuina o se vaega ile IAM.

O le syntax mo le fatuina o se vaega o iam-groupcreate -g GROUPNAME [-p PATH] [-v] o fea e filifili ai--e ma -v. Faʻamaumauga uma i luga o le Poloaiga Lisi Line Line e maua ile AWS Docs.

Afai e te manaʻo e fatu se vaega e taʻua o "tagata faʻalelei", o le a e ulu atu, iam-groupcreate -g tagata faʻalelei i le Polokalame Polokalame.
E mafai ona e siakiina na saʻo le fausiaina o le kulupu i le ulufale atu i le grouplistbypath i le Polokalame Polokalame. Afai na na o oe na foafoaina lenei vaega, o le gaioiga o le a avea o se mea e pei o le "arn: aws: iam :: 123456789012: vaega / taufaamatau", pe afai o le fuainumera o lau numera o le AWS.

Tuuina atu le Access Group i le S3 Bucket ma le CloudFront

Aiaiga e pulea mea e mafai e lau kulupu ona fai i le S3 poʻo le CloudFront. I le le mafai, o le a le maua e lau kulupu se mea i totonu o le AWS. Na ou mauaina faamaumauga i luga o aiaiga ina ia manuia, ae i le fatuina o se vaega o faiga faavae, sa ou faia ni nai faamasinoga ma mea sese ina ia maua ai galuega i le auala ou te manao latou te galulue ai.

E i ai ni au filifiliga mo le fatuina o faiga faavae.

Tasi se filifiliga e mafai ona e ulu saʻo i totonu o le Poloaiga Polokalama. Talu ai atonu o loʻo e fatuina se faiga faʻavae ma faʻaaogaina, mo aʻu na foliga mai e faigofie le faʻaopopoina o le pepa faʻavae i se faila faila ona tuʻuina atu lea o le faila faila e fai ma parakalafa i le iam-groupuploadpolicy. O le faiga lea e faʻaaogaina ai se faila faila ma le tuʻuina atu i IAM.

Faʻaaoga se mea e pei o Notepad ma faʻaoga le tala o loʻo i lalo ma faʻafefe le faila:

{
"Faamatalaga": [{
"Taunuuga": "Faataga",
"Faʻatino": "s3: *",
"Punaoa": [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
"Taunuuga": "Faataga",
"Faʻatino": "s3: ListAllMyBuckets",
"Punaoa": "arn: aws: s3 ::: *"
},
{
"Taunuuga": "Faataga",
"Faʻatino": ["aofaʻi: *"],
"Punaoa": "*"
}
]
}
E 3 vaega i lenei faiga faʻavae. O le Faʻaaoga e faʻaaogaina Faʻataga pe Faʻamataina se ituaiga o avanoa. O le Faʻatinoga o mea patino ia e mafai e le kulupu ona faia. O le Punaoa o le a faʻaaogaina e maua ai avanoa i pakete taʻitasi.

E mafai ona e faʻatapulaʻaina ia Auai taitoatasi. I lenei faataitaiga, o le "Action": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], o le a mafai e le vaega ona lisi mea o loʻo i totonu o se pakete ma sau ai mea.
O le vaega muamua "E faatagaina" le vaega e faatino uma S3 gaoioiga mo le pakete "BUCKETNAME".
O le vaega lona lua "E faatagaina" le kulupu e lisi uma pakete i le S3. E te manaʻomia lenei mea ina ia mafai ona e vaʻaia le lisi o pakete pe'ā e faʻaaoga se mea e pei o le AWS Console.

O le vaega lona tolu e maua ai e le vaega le avanoa atoa i CloudFront.

E tele filifiliga pe a oʻo mai i le tulafono IAM. Amasone ei ai se meafaigaluega sili ona lelei e maua o le AWS Policy Generator. O lenei meafaigaluega e maua ai se KII i nofoaga e mafai ai ona e fatuina au politi ma faʻatuina le faʻailoga moni e te manaʻomia e faʻatino ai le faiga faʻavae. E mafai foi ona e siaki le vaega o le Gagana Faiga Faʻavae o le Faʻaaogaina o le AWS Identity ma le Access Management i le initoneti.

Fatuina le Tagata ma Faaopoopo i le Vaega

O le faagasologa o le fatuina o se tagata fou ma faʻaopoopo i se vaega e tuʻuina atu ia i latou avanoa e aofia ai ni laasaga se lua.

O le syntax mo le fatuina o se tagata faaaoga o iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] pe a fea -p, -g, -k ma -v ni filifiliga. Faʻamaumauga uma i luga o le Poloaiga Lisi Line Line e maua ile AWS Docs.
Afai e te manaʻo e fatu se tagata faʻaaoga "bob", o le ae ulufale mai, iam-usercreate -u bob -g faʻamataʻu i le Polokalame Polokalame.
E mafai ona e siakiina na saʻo lelei le tagata na faʻaaogaina e ala i le ulufale atu i le vaega -listlisters -g i le Polokalame Polokalame. Afai na na o oe na faia lenei tagata faaaoga, o le a avea ma mea e pei o le "arn: aws: iam :: 123456789012: user / bob", pe afai o le numera o lau numera o le AWS.

Fatufatu Faʻasalaga Faʻasalalau ma Fausia Ki

I le taimi lenei, ua e fatuina se tagata faʻaaoga ae e tatau ona e tuʻuina atu ia i latou se auala e faʻaopopo ma aveese mea mai S3.

E lua ni avanoa e maua e maua ai e le au faʻaoga le avanoa i le S3 faʻaaoga IAM. E mafai ona e fatuina se Igoa o le Faʻasagaga ma tuʻuina atu i au tagata faʻaaogaina se upu faʻaulu E mafai ona latou faʻaogaina a latou tusi e teu ai i le Amazon AWS Console. O le isi filifiliga o le tuʻuina atu lea i le au faʻaaogaina se ki avanoa ma se ki faalilolilo. E mafai ona latou faʻaaogaina nei ki i meafaila e tolu e pei o le S3 Fox, CloudBerry S3 Explorer poʻo le S3 Browser.

Fatuina le Igoa ole Nofoaga

O le fatuina o se Igoa mo le Ulufaleina mo au S3 e faʻaaogaina ia i latou se igoa o le tagata e faaaoga ai ma le upega tafailagi e mafai ona latou faʻaogaina e teu ai i le Amazon AWS Console.

O le faʻasalaga mo le fatuina o se faʻailoga ulufale o iam-useraddloginprofile -u USERNAME -p PASSWORD. Faʻamaumauga uma i luga o le Poloaiga Lisi Line Line e maua ile AWS Docs.
Afai e te manaʻo e fatuina se faʻailoga ulufale mo le tagata faʻaaoga "bob", o le ae ulufale i ai, iam-useraddloginprofile -u bob -p PASSWORD i le Polokalame Polokalame.

E mafai ona e siakiina le saʻo lelei o le faʻailoga e ala i le ulufale atu i -m-usergetloginprofile -u bob i le Poloaiga Polokalama. Afai na e fatuina se faʻailoga ulufale mo bob, o le gaioiga o le a avea ma se mea e pei o le "Profile Profile e maua mo le tagata bob".

Fatuina Ki

Fausiaina o se AWS Secret Access Key ma fetaui AWS Access Key ID o le a mafai ai e au tagata faaaoga ona faʻaaoga komipiuta e tolu e pei o muamua. Manatua i le avea o se fuataga saogalemu, e mafai ona e maua nei ki i le taimi o le faagasologa o le faʻaopopoina o le faʻatautaia o le tagata. Ia mautinoa e te kopiina ma faapipii le gaioiga mai le Poloaiga Faʻafeiloaʻi ma sefe i se faila faila. E mafai ona e auina atu le faila i lou tagata faaaoga.

O le syntax mo le faaopoopoina o ki mo se tagata faaaoga o iam-useraddkey [-u USERNAME]. Faʻamaumauga uma i luga o le Poloaiga Lisi Line Line e maua ile AWS Docs.
Afai e te manaʻo e fatuina ki mo le tagata faʻaaoga "bob", e te ulufale atu i le iam-useraddkey -u bob i le Poloaiga Polokalama.
O le poloaiga o le a faʻaalia ai ki o le a pei o lenei:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE

O le laina muamua o le ID Access Key ma o le laina lona lua o le Key Access Key. Oe manaʻomia uma mo le komipiuta tolu.

Suʻega Suʻega

I le taimi nei ua e faia IAM vaega / tagata faʻaoga ma tuʻuina atu i vaega e faʻaaogaina faiga faʻavae, e manaʻomia ona e suʻeina le avanoa.

Avanoa Fesoasoani

E mafai e au tagata faʻaoga ona faʻaaoga o latou igoa faʻaoga ma le upufaʻaiga e teu ai i le AWS Console. Ae peitai, e le o le laasaga masani lea e faʻaogaina ai le 'upega tafaʻilagi lea e faʻaaoga mo le autu AWS.

O loʻo i ai se URL faapitoa e mafai ona e faʻaogaina, o le a tuʻuina atu ai se pepa faʻaoga mo lau Amazon AWS na o le pau. O le URL lenei e teu ai i S3 mo au tagata IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

O le AWS-ACCOUNT-NUMBER o lau numera AWS masani. E mafai ona e mauaina lenei mea e ala i le tatuʻu i totonu o le Pepa o le Initaneti Auaunaga i le Initaneti. Ulufale ma kiliki i le Tala | | Gaoioiga Tau Tupe. O lau numera o le numera o loʻo i le tulimanu pito i luga. Ia mautinoa e te vaʻaia le solo. O le a foliga le URL e pei o le https://123456789012.signin.aws.amazon.com/console/s3.

Faʻaaogāina o Kiʻu Avanoa

E mafai ona e sii mai ma faʻapipiʻi soʻo se mea e tolu o meafaifaʻaili ua uma ona taʻua i lenei tusiga. Ulufale i ai lau ID ID Access ma le Key Secret Access i le pepa lona tolu o meafaigaluega.

Ou te fautuaina malosi oe ia e fatuina se tagata muamua ma ia faʻaaogaina e le tagata faʻapitoa le mea e mafai ona latou faia mea uma latou te manaʻomia e fai i le S3. A maeʻa ona e faʻamaonia se tasi o tagata e faʻaaogaina oe, e mafai ona e alu i luma ma faʻapipiʻi uma au tagata S3.

Punaoa

O nisi ia o punaoa e avatu ia te oe se malamalama sili atu i le Identity & Access Management (IAM).

Amataina ma IAM
IAM Command Line Toolkit
Amazon AWS Console
AWS Policy Generator
Faaaogaina o le AWS Identity ma le Faʻasagaga Avanoa

IAM Release Notes
IAM Discussion Forums
IAM FAQs