AWS ማንነት እና የመዳረሻ አስተዳደር

ክፍል 1 ከ 3

እ.ኤ.አ. በ 2011 (እ.አ.አ) ውስጥ Amazon የ CloudFront ድጋፍ AWS Identity & Access Management (IAM) መኖሩን አሳወቀ. አይ ኤም በ 2010 የተጀመረው ሲሆን የ S3 ድጋፍን ያካትታል. AWS Identity & Access Management (IAM) በበርካታ ተጠቃሚዎች በ AWS መለያ ውስጥ እንዲኖርዎ ያስችልዎታል. የ Amazon Web Services (AWS) የሚጠቀሙ ከሆነ በ AWS ውስጥ ያካተተውን ይዘት ማስተዳደር የሚቻልበት ብቸኛው መንገድ የተጠቃሚዎችዎን እና የይለፍቃልዎን ወይም የመጠቀሚያ ቁልፎችን መስጠትዎን ያውቃሉ.

ለአብዛኛዎቻችን እውነተኛ ደህንነት ጉዳይ ይህ ነው. IAM የይለፍ ቃላትን እና ቁልፎችን የማጋራት አስፈላጊነትን ያጠፋል.

ዋናውን የ AWS የይለፍ ቃል መቀየር ወይም አዲስ ቁልፎችን መሥራቱ አንድ ሰራተኛ ከቡድናችን ሲወጣ ውስብስብ መፍትሄ ነው. AWS Identity & Access Management (IAM) በተናጠል ቁልፎች የተናጠል የተጠቃሚ መለያዎችን መጠቀም ጥሩ ጅምር ሆኗል. ሆኖም ግን, እኛ የ S3 / CloudFront ተጠቃሚ ነን, እናም የደመና ፊደል በመጨረሻ ወደ አይ ኤም (እኤም) እንዲገባ እየተመለከትን ነበር.

በዚህ አገልግሎት ላይ የቀረቡት ሰነዶች ትንሽ የተበተኑ ሆነው አግኝቻለሁ. ለ Identity & Access Management (IAM) የተለያዩ ድጋፍ የሚሰጡ ጥቂት የ 3 ኛ ወገን ምርቶች አሉ. ይሁን እንጂ ገንቢዎች በአብዛኛው ጥራት የጎደለው ስለሆነ በአማዞን ኤስ 3 አገልግሎታችን አማካኝነት IAM ን ለማስተዳደር ነጻ መፍትሔ አስፈልጌ ነበር.

ይህ ጽሑፍ IAM ን የሚደግፍ እና የቡድን / ተጠቃሚን የ S3 መዳረሻን ለማቀናበር የኮሞዶ መስመር በይነገጽ ማዘጋጀት ሂደት ውስጥ ይራመዳል. Identity & Access Management (IAM) ከመጀመርዎ በፊት የ Amazon AWS S3 መለያ ማዋቀር ያስፈልግዎታል.

የእኔ ጽሑፍ, የአማዞን ቀላል የማከማቻ አገልግሎት (S3) በመጠቀም የ AWS S3 ሂሳብ ማቀናበር ሂደት ውስጥ ያሳልፍዎታል.

በ IAM ውስጥ ተጠቃሚን ማዋቀር እና በሥራ ላይ ማዋል ጋር የተያያዙ ደረጃዎችን እነሆ. ይህ ለዊንዶውስ የተፃፈ ቢሆንም በሊኑክስ, ዩኒክስ እና / ወይም ማክ ኦስ ኤክስ. ውስጥ ጥቅም ላይ ማዋል ይችላሉ.

1. የትዕዛዝ መስመር በይነገጽ (CLI) ይጫኑ እና ያዋቅሩ

1. ቡድን ይፍጠሩ
2. የ S3 ባucket እና CloudFront ቡድን መዳረሻን ይስጡ
3. ተጠቃሚን ፍጠር እና ወደ ቡድን አክል
4. የመግቢያ መገለጫ ፍጠር እና ቁልፎችን ፍጠር
5. የሙከራ መዳረሻ

የትዕዛዝ መስመር በይነገጽ (CLI) ይጫኑ እና ያዋቅሩ

የ IAM Command Line Toolkit በአማዞኒው AWS Developers Tools ውስጥ የሚገኝ የጃቫ ፕሮግራም ነው. መሣሪያው ከሶኬ ዎሌት (DOS ለ Windows) የ IAM ኤፒአይ ትዕዛዞችን እንዲፈጽሙ ይፈቅድልዎታል.

• Java 1.6 ወይም ከዚያ በላይ ማሄድ አለብዎት. የቅርብ ጊዜውን ስሪት ከጃቫ .ኮድ ማውረድ ይችላሉ. የትኛው ስሪት በእርስዎ Windows ስርዓት ላይ እንደተጫነ ለማየት Command Prompt ይክፈቱ እና በ java -version ይተይቡ. ይህ java.exe በእርስዎ PATH ውስጥ ይገኛል.
• የ IAM CLI መገልገያውን ያውርዱ እና በአካባቢያዊ አንፃፊዎ ላይ አንድ ቦታ ላይ ይጥፉ.
• በ "CLI" መጫወቻ ክምችት ስር ሁለት ፋይሎች አሉ.
  • aws-credential.template: ይህ ፋይል የእርስዎን የ AWS ምስክርነቶች ይይዛል. የእርስዎን AWSAccessKeyId እና የእርስዎን AWSSecretKey ንኪ ያድርጉት, ፋይሉን ያስቀምጡት እና ይዝጉት.
  • client-config.template : ተኪ አገልጋይ የሚፈልጉ ከሆነ ይህንን ፋይል ማደስ ያስፈልግዎታል. # ምልክቶችን ያስወግዱ እና ClientProxyHost, ClientProxyPort, ClientProxyUsername እና ClientProxyPassword ያዘምኑ. ፋይሉን ያስቀምጡት እና ይዝጉት.
• ቀጣዩ እርምጃ የኢንቫተሪ አብይዘር ማከልን ያካትታል. ወደ የቁጥጥር ፓነል ይሂዱ የስርዓት ባህሪዎች የላቀ የስርዓት ቅንጅቶች የአየር ንብረት ገጸባሮች. የሚከተሉትን ተለዋዋጮች አክል:
  • AWS_IAM_HOME : ይሄንን ተለዋዋጭ የ CLI መሣሪያውን ወዳከልካው አቃፊ ያዘጋጁት. ዊንዶውስን በዊንዶውስ ድራይቭ ውስጥ ካስከፈትክ እና አጽዳው ከሆነ ተለዋዋጭው C: \ IAMCli-1.2.0 ይሆናል.
  • JAVA_HOME : ይሄን ተለዋዋጭ በጃቫ የተጫነበትን አቃፊ ያዋቅሩት. ይህ የ java.exe ፋይል ቦታ ነው. በመደበኛ የዊንዶውስ 7 ጂኤን መጫኛ, ይሄ እንደ C: \ Program Files (x86) \ ጃቫ 6.
  • AWS_CREDENTIAL_FILE : ይሄን ተለዋዋጭ ከላይ በለጡት የ aws-credential.template ዱካ እና የፋይል ስም ይተዉት. ዊንዶውስን በዊንዶውስ ድራይቭ ውስጥ ካስከፈትክ እና አጽዳው ከሆነ ተለዋዋጭው C: \ IAMCli-1.2.0 \ aws-credential.template ይሆናል.
  • CLIENT_CONFIG_FILE : ተኪ አገልጋይ የሚፈልጉ ከሆነ ይህን አካባቢ ማከል ብቻ ያስፈልግዎታል. ዊንዶውስ ዊንዶው ላይ ከሆነና በሶክ ድራይቭዎ ዋና አካል ላይ አዝዞት ከሆነ, ተለዋዋጭው C: \ IAMCli-1.2.0 \ client-config.template ይሆናል. ይህን ተለዋዋጭ ካስፈልገዎት በኋላ አይጨምሩ.

• ወደ Command Prompt በመሄድ እና ወደ iam-userlistbypath በመሄድ መጫኑን ይፈትሹ. በደል እስካልተደረገ ድረስ, መሄድ መልካም ይሆናል.

ሁሉም የ IAM ትዕዛዞችን ከትዕዛዛዊ ትዕዛዝ ሊተገበሩ ይችላሉ. ሁሉም ትዕዛዞች የሚጀምሩት «iam» ነው.

ቡድን ይፍጠሩ

በእያንዲንደ AWS ሂሳብ ሉሰጥ የሚችሌ ብዜቶች 100 ጥሮች አለ. ፍቃዶችን በ IAM በተጠቃሚ ደረጃ ላይ ማቀናበር በሚችሉበት ጊዜ ቡድኖችን መጠቀም ምርጥ ተግባር ይሆናል. በ IAM ቡድን መፍጠርን ሂደት ይኸውና.

• በቡድን ለመፍጠር የዩቲዩብ አገባብ ኢ-ቡድን-g GROUPNAME [-p PATH] [-v] ሲሆን--p እና -v አማራጮች ናቸው. በ Command Line Interface ላይ ሙሉ ምስሎች በ AWS ሰነዶች ላይ ይገኛል.

• «አስቂኝ ሰሪዎች» የተባለ ቡድን ለመፍጠር ከፈለጉ, ያስገቡት -g አስደንጋጭ ሰራተኞች በ Command Prompt ላይ ያስገባሉ.
• በ ላይ ኢሚ-ማፕሊፕ ፓይፕስ በመግባት ቡድኑ በትክክል እንደተፈጠረ ማረጋገጥ ይችላሉ. ይህንን ቡድን ብቻ ​​ከፈጠሩ, ውጤቱ እንደ "arn: aws: iam :: 123456789012: group / awesomeusers", የሆነ ቁጥር ማለት የአንተ AWS መለያ ቁጥር ነው.

የ S3 ባucket እና CloudFront ቡድን መዳረሻን ይስጡ

ፖሊሲዎች ቡድንዎ በ S3 ወይም በ CloudFront ምን ማድረግ እንዳለበት ይቆጣጠራል. በነባሪነት የእርስዎ ቡድን በ AWS ውስጥ ማንኛውንም ነገር ማግኘት አይችልም. ዶክመንቶች ደህና መሆን እንዳለበት የመረጃ ሰነዶችን አግኝቻለሁ, እምብዛም የፖሊሲ መርሆችን ለመፍጠር ጥቂት ሙከራ እና ስህተት ሰርቻለሁ, ነገሮች እንዲሰሩ የምፈልገውን ስራ መስራት እችል ነበር.

መመሪያዎችን ለመፍጠር ሁለት አማራጮች አለዎት.

አንዱ አማራጭ በቀጥታ ወደ Command Prompt ልታስገባቸው ነው. ፖሊሲን እየፈጠሩ እና እየቀየሱ ስለሆነ, ለኔ እኔ መመሪያን ወደ ጽሁፍ ፋይል ለማከል እና ከዚያ እንደ የጽሑፍ ፋይል ከሆነ እኔ iam-groupuploadpolicy ትዕዛዝን እንደ ስርዓት መስቀል. የጽሑፍ ፋይል በመጠቀም እና ወደ IAM በመጫን ሂደቱ ይኸውና.

• እንደ ማስታወሻ ደብተር አይነት ይጠቀሙ እና የሚከተለውን ጽሑፍ ያስገቡ እና ፋይሉን ያስቀምጡ.
  
  {
  "መግለጫ": [{
  "ውጤት": "ፍቀድ",
  "እርምጃ": "s3: *",
  "ሃብት": [
  "arn: aws: s3 ::: BUCKETNAME",
  "arn: aws: s3 ::: BUCKETNAME / *"]
  },
  {
  "ውጤት": "ፍቀድ",
  "እርምጃ": "s3: ListAllMyBuckets",
  "ምንጭ": "arn: aws: s3 ::: *"
  },
  {
  "ውጤት": "ፍቀድ",
  "እርምጃ": ["የደመና ፊት: *"],
  "ንብረት": "*"
  }
  ]
  }
  
• ለዚህ መምሪያ 3 ክፍሎች አሉ. ውጤቱ አንድ ዓይነት መዳረሻ ለመፍቀድ ወይም ለመከልከል ስራ ላይ ይውላል. ድርጊቱ ቡድኑ ሊያደርግባቸው የሚችላቸው የተወሰኑ ነገሮች ናቸው. መገልገያው ለግለሰብ ባልዲዎችን ለመድረስ ጥቅም ላይ ይውላል.

• እርምጃዎችን በተናጠል መወሰን ይችላሉ. በዚህ ምሳሌ << እርምጃ <[S3: GetObject »,« s3: ListBucket »,« s3: GetObjectVersion »]] ቡድኑ የባልዲውን እና የውርድ ዕቃዎችን ይዘርዝሩ.
• የመጀመሪያው ክፍል "ነቅቷል" ቡዱን ሁሉንም የ S3 እርምጃዎች ለባስ "BUCKETNAME" ለማከናወን.
• ሁለተኛው ክፍል "በስራ ፈጣሪነት" ቡድኑ ሁሉንም ባንዶች በሶ3 ውስጥ እንዲዘረዝር ያደርጋል. እንደ የ AWS ኮንሶል አይነት ነገር የሚጠቀሙበት ከሆነ የቦላዎችን ዝርዝር በትክክል ለማየት ይችላሉ.

• ሶስተኛው ክፍል ለቡድኑ CloudFront ሙሉ መዳረስ ይሰጣል.

ወደ አይአም ፖሊሲዎች ሲመጡ ብዙ አማራጮች አሉ. አማዞን AWS Policy Generator ተብሎ የሚጠራ በጣም አሪፍ መሣሪያ አለው. ይህ መሣሪያ መመሪያዎችን ለመፍጠር እና መመሪያውን ለመተግበር የሚያስፈልገውን ትክክለኛውን ኮድ ለማመንጨት የሚችሉበት GUI ያቀርባል. በተጨማሪም የ AWS ማንነት እና የመዳረሻ ማስተዳደር ሰነዶች የአጠቃቀም መመሪያ ቋንቋ ክፍልን መመልከት ይችላሉ.

ተጠቃሚን ፍጠር እና ወደ ቡድን አክል

አዲስ ተጠቃሚን የመፍጠር ሂደት እና መዳረሻን ለቡድን ማከል ሁለት እርምጃዎችን ያካትታል.

• አንድ ተጠቃሚን ለመፍጠር የዩቲዩብ አገባብ--p, -g, -k እና -v አማራጮች የሆኑ iam-usercreate -u USERNAME [-p PATH] [-g GROUPS ...] [-k] [-v] ነው. በ Command Line Interface ላይ ሙሉ ምስሎች በ AWS ሰነዶች ላይ ይገኛል.
• ተጠቃሚ "ቦ" ለመፍጠር ከፈለጉ, ያስገባሉ, ይአምር -ይህ -ኡ ቦብ-ጉ ደጋፊዎች በ Command Prompt ላይ ያስገባሉ.
• በተቃራኒው መመሪያ ላይ ተጠቃሚው በትክክል ኢam-grouplistusers -g አስቀያሚዎችን በማስገባት ማረጋገጥ ይችላሉ. ይህንን ተጠቃሚ ብቻ ፈጥረው ከሆነ የውጭቱ ውጤት እንደ «AWS» መለያዎ << አርም: aws: iam :: 123456789012: user / bob >> የሚመስል ነገር ይመስላል.

Logon Profile ን ይፍጠሩ እና ቁልፎችን ይፍጠሩ

እዚህ ነጥብ ላይ, ተጠቃሚን ፈጥረዋል ነገር ግን ነገሮችን ከ S3 ላይ በእውነት መጨመር እና ማስወገድ የሚቻልበት መንገድ ማቅረብ አለብዎት.

IAM ን በመጠቀም ለተጠቃሚዎችዎ ለ S3 መዳረሻ ለመስጠት 2 አማራጮች አሉ. የመግቢያ መገለጫ መፍጠር እና ለተጠቃሚዎችዎ የይለፍ ቃል መስጠት ይችላሉ. ማስረጃዎቻቸውን ወደ Amazon AWS Console ለመግባት ሊጠቀሙበት ይችላሉ. ሌላው አማራጭ ለተጠቃሚዎች የመዳረሻ ቁልፍ እና ሚስጥራዊ ቁልፍ መስጠት ነው. እነዚህን ቁልፎች እንደ S3 Fox, CloudBerry S3 Explorer ወይም S3 አሳሽ ባሉ 3 ኛ ወገን መሳሪያዎች ውስጥ ሊጠቀሙባቸው ይችላሉ.

የመግቢያ መገለጫ ፍጠር

ለ S3 ተጠቃሚዎችዎ የመግቢያ መገለጫ መፍጠር መፍጠር የሚቻላቸው የተጠቃሚ ስም እና የይለፍ ቃል ይሰጣቸዋል ወደ Amazon AWS Console ለመግባት ሊጠቀሙበት የሚችሉት.

• የመግቢያ መገለጫ ለመፍጠር የዩቲዩሲው iam-useraddloginprofile -u USERNAME -p PASSWORD ነው. በ Command Line Interface ላይ ሙሉ ምስሎች በ AWS ሰነዶች ላይ ይገኛል.
• ለተጠቃሚው «ቦብ» የመግቢያ መገለጫ ለመፍጠር ከፈለጉ, አስገባ-useraddloginprofile -u bob -p PASSWORD በ Command Prompt ላይ ያስገባሉ.

• በመግቢያ ገጹ ላይ iam-usergetloginprofile -u bob በሚስጥር በመግባት የመግቢያ መዝገቡ በትክክል የተፈጠረ መሆኑን ማረጋገጥ ይችላሉ. ለቦብ የመግቢያ መገለጫ ከፈጠሩ, ውጤቱ እንደ "ለተጠቃሚ ቡ" የመግቢያ መገለጫ ይገኛል.

ቁልፎችን ፍጠር

የ AWS ሚስጥራዊ መገልገያ ቁልፍን እና ተጓዳኝ AWS መዳረሻ ቁልፍ መታወቂያዎ ተጠቃሚዎችዎ ከዚህ ቀደም እንደተጠቀሱት እንደ የ 3 ኛ ወገን ሶፍትዌር እንዲጠቀሙ ያስችላቸዋል. እንደ የደህንነት እርምጃ, የተጠቃሚን መገለጫ በማከል ሂደት እነዚህን ቁልፎች ብቻ ያገኛሉ. ውቅት ከቅጂ ትዕዛዝ ኮምፒዉተር መገልበጥ እና መለጠፍ እና በፅሁፍ ፋይል ውስጥ ማስቀመጥዎን ያረጋግጡ. ፋይሉን ወደ ተጠቃሚዎ መላክ ይችላሉ.

• ለተጠቃሚ ተጠቃሚ ቁልፎችን ለማከል የአገባብ አገባብ iam-useraddkey [-u USERNAME] ነው. በ Command Line Interface ላይ ሙሉ ምስሎች በ AWS ሰነዶች ላይ ይገኛል.
• ለተጠቃሚ "ቦ" ቁልፎችን ለመፍጠር ከፈለጉ, በቃኝ አስጀምር ላይ iam-useraddkey -u bob ያስገባሉ.
• ትዕዛዙ እነዚህን ቁልፎች የሚመስሉ ቁልፎችን ያወጣል-
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  የመጀመሪያው መስመር የመጠቀሚያ ቁልፍ መታወቂያ ሲሆን ሁለተኛው መስመር ደግሞ የመግቢያ ቁልፍ ቁልፍ ነው. ሁለቱም ለ 3 ኛ ወገን ሶፍትዌር ያስፈልግዎታል.

የሙከራ መዳረሻ

አሁን የ IAM ቡድኖችን / ተጠቃሚዎችን ፈጥረዋል እና ቡድኖቹን ፖሊሲዎችን በመጠቀም መዳረስን ስለሰጡ, መዳረሻ መፈተሽ ያስፈልግዎታል.

የኮንሶል መዳረሻ

የእርስዎ ተጠቃሚዎች የተጠቃሚ ስም እና የይለፍ ቃል ተጠቅመው ወደ AWS ኮንሶል ለመግባት ይችላሉ. ሆኖም ይህ ለዋናው AWS መለያ የሚገለገልበት መደበኛ የመቆጣጠሪያ መግቢያ ገጽ አይደለም.

ለርስዎ Amazon AWS መለያ የመግቢያ ቅፅ ብቻ የሚጠቀሙበት ልዩ ዩአርኤል አለ. ለእርስዎ የ IAM ተጠቃሚዎች ወደ S3 ለመግባት ዩአርኤል እዚህ አለ.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER የእርስዎ መደበኛ የ AWS መለያ ቁጥር ነው. ወደ Amazon የድር አገልግሎት መግቢያ ቅጽ በመግባት ይህን ማግኘት ይችላሉ. በመለያ ይግቡ እና በመለያ | ላይ ጠቅ ያድርጉ የመለያ እንቅስቃሴ. የእርስዎ የመለያ ቁጥር በላይኛው ቀኝ ጥግ ላይ ነው. ሰርዝዎቹን ማስወገድዎን ያረጋግጡ. ዩአርኤሉ እንደ https://123456789012.signin.aws.amazon.com/console/s3 ያለ ነገር ይመስላል.

የመዳረሻ ቁልፎችን መጠቀም

በዚህ ጽሑፍ ውስጥ አስቀድመው ከተጠቀሱት ውስጥ የ 3 ኛ ወገን መሳሪያዎችን ማውረድ እና መጫን ይችላሉ. በ 3 ኛ ወገን መሣሪያ ሰነዶች ሰነድ የእርስዎን መዳረሻ ቁልፍ መታወቂያ እና ሚስጥራዊ መዳረሻ ቁልፍ ያስገቡ.

የመጀመሪያ ተጠቃሚን እንዲፈጥሩ አጥብቄ እመክራለን እና ተጠቃሚው በ S3 ውስጥ ማድረግ ያለባቸውን ነገር ሁሉ ማድረግ እንደሚችሉ ሙሉ ለሙሉ እንዲያሳዩ አጥብቄ እመክራለሁ. ከተጠቃሚዎችዎ አንዱን ካረጋገጡ በኋላ ሁሉንም የ S3 ተጠቃሚዎችዎን ማዋቀር መቀጠል ይችላሉ.

መርጃዎች

ስለ Identity & Access Management (IAM) የተሻለ ግንዛቤ ለመስጠት ጥቂት ምንጮች እዚህ አሉ.

• ከ IAM ጋር ለመጀመር
• የ IAM ትዕዛዝ የመስመር መሳሪያ
• የ Amazon AWS መሥሪያ
• AWS መመሪያ ማማጫ
• የ AWS መለያ እና የመዳረሻ አስተዳደርን መጠቀም

• የ IAM መልቀቅ ማስታወሻዎች
• IAM የውይይት መድረኮች
• IAM FAQs