טייל 1 פון 3
אין 2011, אַמאַזאָן מודיע די אַוויילאַביליטי פון אַווס אידענטיטי & אַקסעס מאַנאַגעמענט (יאַם) שטיצן פֿאַר קלאָודפראָנט. יאַם איז לאָנטשט אין 2010 און אַרייַנגערעכנט ס 3 שטיצן. אַווס ידענטיטי & אַקסעס מאַנאַגעמענט (יאַם) ינייבאַלז איר צו האָבן קייפל ניצערס ין אַ אַווס אַקאַונט. אויב איר האָבן געניצט אַמאַזאָן וועב סערוויסעס (AWS), איר זענט אַווער אַז דער בלויז וועג צו פירן צופרידן אין אַווס ינוואַלווד געבן דיין באַניצער נאָמען און פּאַראָל אָדער אַקסעס שליסלען.
דאָס איז אַ פאַקטיש זיכערהייַט דייַגע פֿאַר רובֿ פון אונדז. IAM eliminates the need to share passwords and access keys.
קעסיידער טשאַנגינג אונדזער הויפּט אַווס פּאַראָל אָדער דזשענערייטינג נייַ שליסלען איז נאָר אַ מעסי לייזונג ווען אַ שטעקן מיטגליד וואָלט לאָזן אונדזער קאָלעקטיוו. AWS Identity & Access Management (IAM) איז געווען אַ גוט אָנהייב אַלאַוינג יחיד באַניצער אַקאַונץ מיט יחיד שליסלען. אָבער, מיר זענען אַ ס 3 / קלאָודפראָנט באַניצער אַזוי מיר האָבן געווען וואַטשינג פֿאַר CloudFront צו זיין צוגעגעבן צו יאַם וואָס איז לעסאָף געטראפן.
איך געפונען די דאַקיומענטיישאַן אויף דעם דינסט צו זיין אַ ביסל צעוואָרפן. עס זענען עטלעכע 3 טיילווייַז פּראָדוקטן וואָס פאָרשלאָגן אַ קייט פון שטיצן פֿאַר אידענטיטעט & אַקסעס מאַנאַגעמענט (יאַם). אבער דעוועלאָפּערס זענען יוזשאַוואַלי שפּאָרעוודיק אַזוי איך געזוכט אַ פֿרייַ לייזונג צו אָנפירן יאַם מיט אונדזער אַמאַזאָן ס 3 דינסט.
דער אַרטיקל גייט דורך דעם פּראָצעס פון באַשטעטיקן אַרויף די קאַמאַנד שורה צובינד וואָס שטיצט יאַם און באַשטעטיקן אַרויף אַ גרופּע / באַניצער מיט ס 3 צוטריט. איר דאַרפֿן צו האָבן אַ אַמאַזאָן אַווס ס 3 חשבון סעטאַפּ איידער איר אָנהייבן קאַנפיגיערינג אידענטיטעט & אַקסעס מאַנאַגעמענט (יאַם).
מייַן אַרטיקל, ניצן די אַמאַזאָן פּשוט סטאָרידזש סערוויס (ס 3), וועט גיין דורך דעם פּראָצעס פון באַשטעטיקן אַ אַווס ס 3 חשבון.
דאָ זענען די טרעפ ינוואַלווד אין באַשטעטיקן און ימפּלאַמענטינג אַ באַניצער אין יאַם. דעם איז געשריבן פֿאַר פֿענצטער אָבער איר קענען טוויק פֿאַר נוצן אין לינוקס, יוניקס און / אָדער מעק אָסקס.
- ינסטאַלירן און קאַנפיגיער די קאַמאַנד שורה צובינד (קלי)
- שאַפֿן אַ גרופּע
- געבן גרופע צוטריט צו ס 3 בוקקעט און קלאָודפראָנט
- שאַפֿן User און לייג צו גרופע
- שאַפֿן לאָגין פּראָפיל און שאַפֿן שליסלען
- Test Access
ינסטאַלירן און קאַנפיגיער די קאַמאַנד שורה צובינד (קלי)
די יאַם קאַמאַנד שורה טאָאָלקיט איז אַ ז'אבא פּראָגראַם בנימצא אין אַמאַזאָן 'ס אַווס דעוועלאָפּערס מכשירים. די געצייַג אַלאַוז איר צו דורכפירן יאַמ אַפּי קאַמאַנדז פון אַ שאָל נוצן (דאָס פֿאַר ווינדאָוז).
- איר דאַרפֿן צו לויפן Java 1.6 אָדער העכער. איר קענען אראפקאפיע די לעצט ווערסיע פון Java.com. צו זען וואָס ווערסיע איז אינסטאַלירן אויף דיין Windows סיסטעם, עפענען די קאָממאַנד פּראָפּפּט און טיפּ אין דזשאַוואַ-ווערסיע. דעם אַסומז אַז דזשאַוואַ.עקסע איז אין דיין וועג.
- אָפּלאָדירן די IAM CLI טאָאָלקיט און אַנזיפּ ערגעץ אויף דיין היגע פאָר.
- עס זענען 2 טעקעס אין דער וואָרצל פון די קליאָ טאָאָלקיט וואָס איר דאַרפֿן צו דערהייַנטיקן.
- aws-credential.template: דעם טעקע האלט דיין אַווס קרעדענטיאַלס. לייג דיין אַווסאַקעססקיייד און דיין אַווסעקרעטקיי, ראַטעווען און פאַרמאַכן די טעקע.
- client-config.template : איר דאַרפֿן נאָר דערהייַנטיקן דעם טעקע אויב איר דאַרפן אַ פראקסי סערווער. אַראָפּנעמען די # וואונדער און דערהייַנטיקן קליענטפּראָקסיהאָסט, קליענטפּראָקסיפּאָרט, קליענטפּראָקסיוסנאַמע און קליענטפּראָקסיפּאַססוואָרד. היט און נאָענט די טעקע.
- דער ווייַטער שריט ינוואַלווז אַדינג ענליכע וואַריאַבלעס. גיין צו קאָנטראָל פּאַנעל | סיסטעם פּראָפּערטיעס | אַוואַנסירטע סיסטעם סעטטינגס | Environment Variables. לייג די ווייַטערדיק וועריאַבאַלז:
- AWS_IAM_HOME : באַשטעטיקט דעם בייַטעוודיק צו די וועגווייַזער ווו איר אַנזיפּט די קלי געצייַג. אויב איר זענען פליסנדיק ווינדאָוז און אַנזיפּט עס אין דער וואָרצל פון דיין C פאָר, די בייַטעוודיק וואָלט זיין C: \ יאַמקלי-1.2.0.
- JAVA_HOME : באַשטעטיקט דעם בייַטעוודיק צו די וועגווייַזער וואָס דזשאַוואַ איז אינסטאַלירן. דעם וואָלט זיין די אָרט פון די דזשאַוואַ.עקסע טעקע. אין אַ נאָרמאַל פֿענצטער 7 דזשאַוואַ ייַנמאָנטירונג, דאָס וואָלט זיין עפּעס ווי C: \ פּראָגראַם פילעס (קס 86) \ Java \ דזשרע 6.
- AWS_CREDENTIAL_FILE : באַשטעטיק דעם בייַטעוודיק צו די דרך און טעקע נאָמען פון די אַווס-קרעדענטיאַל.טעמפּלאַטע אַז איר דערהייַנטיקט אויבן. אויב איר זענען פליסנדיק Windows און אַנזאַפּפּעד עס אין דער וואָרצל פון דיין C פאָר, די בייַטעוודיק וואָלט זיין C: \ יאַמקלי-1.2.0 \ אַווס-קרעדענטיאַל.טעמפּלאַטע.
- CLIENT_CONFIG_FILE : איר דאַרפֿן בלויז צו לייגן דעם סוויווע בייַטעוודיק אויב איר דאַרפן אַ פראקסי סערווער. אויב איר זענען פליסנדיק Windows און אַנזיפּט עס אין די וואָרצל פון דיין C פאָר, די בייַטעוודיק וואָלט זיין C: \ IAMCli-1.2.0 \ client-config.template. דו זאלסט נישט לייגן דעם בייַטעוודיק אויב איר דאַרפֿן עס.
- פּרובירן די ייַנמאָנטירונג דורך געגאנגען צו די באַפֿעלן פּינטלעך און קומט אין Userlistbypath. אויב איר טאָן נישט באַקומען אַ טעות, איר זאָל זיין גוט צו גיין.
אַלע פון די יאַמ קאַמאַנדז קענען זיין לויפן פון די באַפֿעלן פּינטלעך. אַלע קאַמאַנדז אָנהייבן מיט "יאַם".
שאַפֿן אַ גרופּע
עס איז אַ מאַקסימום פון 100 גרופּעס וואָס קענען זיין באשאפן פֿאַר יעדער אַווס חשבון. בשעת איר קענען שטעלן פּערמישאַנז אין יאַם בייַ די באַניצער מדרגה, ניצן גרופּעס וואָלט זיין דער בעסטער פיר. דאָ איז דער פּראָצעס פֿאַר שאפן אַ גרופּע אין יאַם.
- דער סינטאַקס פֿאַר שאפן אַ גרופּע איז יאַמ-גראָופּקרעאַטע-ג גרופּענאַמע [-פּ פּאַה] [-וו] ווו די-פּ און -וו זענען אָפּציעס. גאַנץ דאַקיאַמענטיישאַן אויף די באַפֿעלן שורה צובינד איז בנימצא אויף אַווס דאָקס.
- אויב איר געוואלט צו מאַכן אַ גרופּע גערופן "אָסאַםוסערס", איר וואָלט אַרייַן, יאַם-גראָופּעקרעאַטע-ג אָסקאָמוסוסערס בייַ די קאַמאַנד פּראָמפּט.
- איר קענען קאָנטראָלירן אַז די גרופּע איז באשאפן ריכטיק דורך ענטערינג יאַם-גראָופּליסטביפּאַט בייַ די באַפֿעלן פּינטלעך. אויב איר האט בלויז באשאפן דעם גרופּע, די רעזולטאַט וואָלט זיין עפּעס ווי "אַרן: aws: iam :: 123456789012: group / awesomeusers", ווו די נומער איז דיין אַווס חשבון נומער.
געבן גרופע צוטריט צו ס 3 בוקקעט און קלאָודפראָנט
פּאָליסיעס קאָנטראָלירן וואָס דיין גרופּע איז ביכולת צו טאָן אין ס 3 אָדער קלאָודפראָט. דורך פעליקייַט, דיין גרופּע וואָלט נישט האָבן צוטריט צו עפּעס אין אַווס. איך געפונען די דאַקיומענטיישאַן אויף פּאַלאַסיז צו זיין גוט אָבער אין שאפן אַ האַנדפול פון פּאַלאַסיז, איך האט אַ ביסל פון פּראָצעס און טעות צו באַקומען זאכן ארבעטן די וועג איך געוואלט זיי צו אַרבעטן.
איר האָבן אַ פּאָר פון אָפּציעס פֿאַר שאפן פּאַלאַסיז.
איינער אָפּציע קענען איר אַרייַן זיי גלייַך אין די קאָממאַנד פּינטלעך. זינט איר קען זיין קריייטינג אַ פּאָליטיק און טוועאַקינג עס, פֿאַר מיר עס געווען גרינגער צו לייגן די פּאָליטיק אין אַ טעקסט טעקע און דעמאָלט צופֿעליקער די טעקסט טעקע ווי אַ פּאַראַמעטער מיט די באַפֿעלן יאַם-גרופּופּופּלאָפטפּאָלי. דאָ איז דער פּראָצעס ניצן אַ טעקסט טעקע און ופּלאָאַדינג צו יאַם.
- ניצן עפּעס ווי נאָטעפּאַד און אַרייַן די פאלגענדע טעקסט און ראַטעווען די טעקע:
{
"סטאַטעמענט": [
"אַפעקט": "אַלאַוינג"
"אַקשאַן": "ס 3: *"
"ריסאָרס": [
"arn: aws: s3 ::: BUCKETNAME",
"arn: aws: s3 ::: BUCKETNAME / *"]
},
{
"אַפעקט": "אַלאַוינג"
"אַקשאַן": "s3: ListAllMyBuckets", "
"Resource": "arn: aws: s3 ::: *"
},
{
"אַפעקט": "אַלאַוינג"
"אַקשאַן": ["cloudfront: *"],
"ריסאָרס": "*"
}
]
} - עס זענען 3 סעקשאַנז צו דעם פּאָליטיק. דער ווירקונג איז געניצט צו לאָזן אָדער דעני עטלעכע טיפּ פון צוטריט. דער קאַמף איז די ספּעציפיש זאכן וואָס די גרופּע קענען טאָן. דער מיטל וואָלט זיין געוויינט צו געבן צוטריט צו יחיד באַקאַץ.
- איר קענען שיעור די אַקטיאָנס ינדיווידזשואַלי. אין דעם בייַשפּיל, "אַקשאַן": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], דער גרופּע קען זיין ליסטינג די אינהאַלט פון אַ עמער און אראפקאפיע אַבדזשעקס.
- דער ערשטער אָפּטיילונג "אַלאַוז" די גרופּע צו דורכפירן אַלע ס 3 אַקשאַנז פֿאַר די עמער "בוקקעטנאַמע".
- די רגע אָפּטיילונג "אַלאַוז" די גרופּע צו רשימה אַלע באַקאַץ אין ס 3. איר דאַרפֿן דעם אַזוי איר קענען טאַקע זען די רשימה פון באַקאַץ אויב איר נוצן עפּעס ווי די אַווס קאַנסאָול.
- די דריט אָפּטיילונג גיט די גרופּע פול צוטריט צו CloudFront.
עס זענען גורל פון אָפּציעס ווען קומט צו יאַמ פּאַלאַסיז. אַמאַזאָן האט אַ טאַקע קיל געצייַג פאַראַנען גערופן די אַווס פּאָליטיק גענעראַטאָר. דעם געצייַג גיט אַ גוי ווו איר קענען מאַכן דיין פּאַלאַסיז און דזשענערייט די פאַקטיש קאָד איר דאַרפֿן צו ינסטרומענט די פּאָליטיק. איר קענען אויך קאָנטראָלירן די Access Policy Language אָפּטיילונג פון די ניצן אַווס ידענטיטי און אַקסעס מאַנאַגעמענט אָנליין דאַקיומענטיישאַן.
שאַפֿן User און לייג צו גרופע
דער פּראָצעס פון קריייטינג אַ נייַ באַניצער און אַדינג צו אַ גרופּע צו צושטעלן זיי צוטריט ינוואַלווז אַ פּאָר פון טריט.
- דער סינטאַקס פֿאַר שאַפֿן אַ באַניצער איז יאַמ-וסעקרעאַטע-ו וסערנאַמע [-פּ פּאַהד] [-ג גרופּעס ...] [-ק] [-וו] ווו די-פּ, -ג, -ק און -וו זענען אָפּציעס. גאַנץ דאַקיאַמענטיישאַן אויף די באַפֿעלן שורה צובינד איז בנימצא אויף אַווס דאָקס.
- אויב איר געוואלט צו שאַפֿן אַ באַניצער "באַב", איר וואָלט אַרייַן, איך-וסעקרעאַטע-אַ באַב-ג אַוויוסוסערס בייַ די באַפֿעלן פּינטלעך.
- איר קענען קאָנטראָלירן אַז דער באַניצער איז באשאפן ריכטיק דורך ינקאַמינג יאַם-גראָופּליסטוסערס-ג אָסקאָמוסוסערס בייַ די קאָממאַנד פּראָמפּט. אויב איר נאָר באשאפן דעם באַניצער, דער רעזולטאַט וואָלט זיין עפּעס ווי "אַרן: aws: iam :: 123456789012: user / bob", ווו דער נומער איז דיין אַווס חשבון נומער.
שאַפֿן לאָגאָן פּראָופייל און Create Keys
אין דעם פונט, איר האָבן באשאפן אַ באַניצער אָבער איר דאַרפֿן צו צושטעלן זיי מיט אַ וועג צו פאקטיש לייגן און אַראָפּנעמען אַבדזשעקץ פון ס 3.
עס זענען 2 אָפּציעס בנימצא צו צושטעלן דיין וסערס מיט צוטריט צו ס 3 ניצן יאַם. איר קענען שאַפֿן אַ לאָגין פּראָופייל און צושטעלן דיין ניצערס מיט אַ פּאַראָל. זיי קענען נוצן זייער קראַדענשאַלז צו אַרייַנלאָזן אין די אַמאַזאָן אַווס קאַנסאָול. די אנדערע אָפּציע איז צו געבן דיין ניצערס אַן אַקסעס שליסל און אַ סוד שליסל. זיי קענען נוצן די שליסלען אין 3 טיילווייַז מכשירים ווי ס 3 פאָקס, קלאָודבערי ס 3 Explorer אָדער ס 3 בראַוזער.
שאַפֿן לאָגין פּראָופייל
שאַפֿן אַ לאָגין פּראָופייל פֿאַר דיין ס 3 ניצערס גיט זיי מיט אַ באַניצער נאָמען און שפּריכוואָרט וואָס זיי קענען נוצן צו לאָגין צו די אַמאַזאָן אַווס קאַנסאָול.
- דער סינטאַקס פֿאַר שאפן אַ לאָגין פּראָפיל איז די באַניצער-פרייַנדלעך צובינד-יו USERNAME-פּאַסן. גאַנץ דאַקיאַמענטיישאַן אויף די באַפֿעלן שורה צובינד איז בנימצא אויף אַווס דאָקס.
- אויב איר געוואלט צו מאַכן אַ לאָגין פּראָפיל פֿאַר דער באַניצער "באַב", איר וואָלט קומען, אין באַניצער אַדוואָרדסבילדבאָרד -וואס באַב -פּ פּאַססוואָרד בייַ די באַפֿעלן פּינטלעך.
- איר קענען קאָנטראָלירן אַז די לאָגין פּראָפיל איז באשאפן געווארן רעכט דורך ענייבאַלן יאַם-Usergetloginprofile-ו באַב בייַ די באַפֿעלן פּינטלעך. אויב איר האָט באשאפן אַ לאָגין פּראָפיל פֿאַר באָב, דער רעזולטאַט וואָלט זיין עפּעס ווי "לאָגין פּראָופייל יגזיסטינג פֿאַר באַניצער באַב".
Create Keys
שאפן אַן AWS סעקרעט אַקסעס שליסל און קאָראַספּאַנדינג אַווס אַקסעס קיי שייַן וועט לאָזן דיין ניצערס צו נוצן 3 טיילווייַז ווייכווארג ווי די אָנעס פריער דערמאנט. האַלטן זיכער אַז ווי אַ זיכערהייַט מעסטן, איר קענען בלויז באַקומען די שליסלען אין דעם פּראָצעס פון צוגעלייגט דעם באַניצער פּראָפיל. מאַכן זיכער אַז איר קאָפּיע און פּאַפּ די פּראָדוקציע פון דער באַפֿעלן פּינטלעך און ראַטעווען אין אַ טעקסט טעקע. איר קענען שיקן די טעקע צו דיין באַניצער.
- דער סינטאַקס פֿאַר צוגעלייגט קיז פֿאַר אַ באַניצער איז יאַמ-ניצטעראַדדייק [-א USERNAME]. גאַנץ דאַקיאַמענטיישאַן אויף די באַפֿעלן שורה צובינד איז בנימצא אויף אַווס דאָקס.
- אויב איר געוואלט צו מאַכן קיז פֿאַר די באַניצער "באַב", איר וואָלט אַרייַנלאָגירן די User -Admin-bob at the Command Prompt.
- די באַפֿעל וועט רעזולטאַט די קיז וואָס וואָלט קוקן עפּעס ווי דאָס:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
דער ערשטער שורה איז די Access Key ID און די צווייטע שורה איז דער סעקרעט אַקסעס שליסל. איר דאַרפֿן ביידע פֿאַר 3 טיילווייַז ווייכווארג.
Test Access
איצט אַז איר באשאפן יאַמ גרופּעס / ניצערס און געגעבן די גרופּעס צוטריט ניצן פּאַלאַסיז, איר דאַרפֿן צו פּרובירן דעם צוטריט.
Console Access
דיין ניצערס קענען נוצן זייער באַניצער נאמען און פּאַראָל צו לאָגין אין די אַווס קאַנסאָול. אָבער, דאָס איז נישט די רעגולער קאַנסאָול לאָגין בלאַט וואָס איז געניצט פֿאַר די הויפּט אַווס חשבון.
עס איז אַ ספּעציעל URL וואָס איר קענען נוצן וואָס וועט צושטעלן אַ לאָגין פאָרעם פֿאַר דיין אַמאַזאָן אַווס אַקאַונט בלויז. דאָ איז די URL צו לאָגין צו ס 3 פֿאַר דיין יאַם וסערס.
https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3
די אַווס-אַקקאָנט-NUMBER איז דיין רעגולער אַווס חשבון נומער. איר קענען באַקומען דעם דורך לאָגינג אין די אַמאַזאָן וועב סערוויס צייכן אין פאָרעם. לאָגין און גיט אויף אַקאַונט | Account Activity. דיין חשבון נומער איז אין דער אויבערשטער רעכט ווינקל. מאַכן זיכער איר באַזייַטיקן דעם דאַש. די URL וואָלט קוקן עפּעס ווי https://123456789012.signin.aws.amazon.com/console/s3.
ניצן אַקסעס שליסלען
איר קענען אראפקאפיע און ינסטאַלירן קיין פון די 3 פּאַרטיי מכשירים שוין דערמאנט אין דעם אַרטיקל. אַרייַן דיין אַקסעס שליסל שייַן און דער סעקרעט אַקסעס שליסל דורך די 3 טיילווייַז געצייַג דאַקיומענטיישאַן.
איך שטארק רעקאָמענדירן אַז איר שאַפֿן אַן ערשט באַניצער און האָבן אַז באַניצער גאָר פּרובירן אַז זיי קענען טאָן אַלץ וואָס זיי דאַרפֿן צו טאָן אין ס 3. נאָך באַשטעטיקן איינער פון דיין ניצערס, איר קענען גיינ ווייַטער מיט באַשטעטיקן אַלע דיין ס 3 וסערס.
רעסורסן
דאָ זענען אַ ביסל רעסורסן צו געבן איר אַ בעסער פארשטאנד פון אידענטיטעט & אַקסעס מאַנאַגעמענט (יאַם).
- געטינג סטאַרטעד מיט יאַם
- יאַם קאַמאַנד שורה טאָאָלקיט
- אַמאַזאָן אַווס קאַנסאָול
- AWS פּאָליטיק גענעראַטאָר
- ניצן אַווס אידענטיטעט און אַקסעס מאַנאַגעמענט
- IAM ריליס נאָטעס
- IAM דיסקוסיע פאָרומס
- יאַם פאַקס