Správa identity a prístupu AWS

by Tim Perdue

Časť 1 z 3

V roku 2011 spoločnosť Amazon oznámila dostupnosť podpory CloudFront AWS Identity & Access Management (IAM). IAM bol spustený v roku 2010 a zahŕňal podporu S3. AWS Identity & Access Management (IAM) vám umožňuje mať viacerých používateľov na účte AWS. Ak ste používali službu Amazon Web Services (AWS), ste si vedomí toho, že jediný spôsob, ako spravovať obsah v AWS, je poskytovanie vášho užívateľského mena a hesla alebo prístupových kľúčov.

To je skutočná bezpečnostná obava pre väčšinu z nás. Služba IAM eliminuje potrebu zdieľania hesiel a prístupových kľúčov.

Neustále meniť naše hlavné heslo AWS alebo generovať nové kľúče je len nepríjemné riešenie, keď zamestnanec opustí náš tím. Systém AWS Identity & Access Management (IAM) bol dobrý začiatok umožňujúci individuálnym používateľským účtom s individuálnymi kľúčmi. Sme však používateľom S3 / CloudFront, takže sme sledovali, či je CloudFront pridaný k IAM, čo sa nakoniec stalo.

Našiel som dokumentáciu o tejto službe, ktorá je trochu rozptýlená. Existuje niekoľko produktov od tretích strán, ktoré ponúkajú širokú škálu podpory pre správu identity a prístupu (IAM). Ale vývojári sú zvyčajne šetrné, takže som hľadal bezplatné riešenie pre správu IAM s našou službou Amazon S3.

Tento článok prechádza procesom nastavenia rozhrania príkazového riadka, ktoré podporuje IAM a nastavenie skupiny / používateľa s prístupom S3. Musíte mať nastavenie účtu Amazon AWS S3 skôr, ako začnete s konfiguráciou správy identity a prístupu (IAM).

Môj článok, pomocou služby Amazon Simple Storage (S3), vás prevedie nastavením účtu AWS S3.

Tu sú kroky týkajúce sa nastavenia a implementácie používateľa v IAM. To je napísané pre Windows, ale môžete upraviť pre použitie v Linuxe, UNIX a / alebo Mac OSX.

Inštalácia a konfigurácia rozhrania príkazového riadka (CLI)

Vytvorte skupinu
Uveďte skupinový prístup do schránky S3 a CloudFront
Vytvoriť používateľa a pridať do skupiny
Vytvorte profil prihlasovania a vytvorte tlačidlá
Prístup k testu

Inštalácia a konfigurácia rozhrania príkazového riadka (CLI)

IAM Command Line Toolkit je Java program dostupný v Amazonových vývojárskych nástrojoch AWS. Tento nástroj umožňuje spustiť príkazy IAM API z nástroja pre shell (DOS for Windows).

Musíte používať Java 1.6 alebo vyšší. Najnovšiu verziu si môžete stiahnuť z jazyka Java.com. Ak chcete zistiť, ktorá verzia je nainštalovaná vo vašom systéme Windows, otvorte príkazový riadok a zadajte java -version. Predpokladá sa, že java.exe je vo vašom PATH.
Stiahnite si súpravu nástrojov IAM CLI a rozbaľte sa niekde na lokálnej jednotke.
V koreňovom súbore sú k dispozícii 2 súbory, ktoré je potrebné aktualizovať.
- aws-credential.template: Tento súbor obsahuje vaše poverenia AWS. Pridajte svoje AWSAccessKeyId a AWSSecretKey, uložte a zatvorte súbor.
- client-config.template : Tento súbor potrebujete iba vtedy, ak potrebujete proxy server. Odstráňte # znaky a aktualizujte ClientProxyHost, ClientProxyPort, ClientProxyUsername a ClientProxyPassword. Uložte a zatvorte súbor.
Ďalším krokom je pridanie premenných prostredia. Prejdite na položku Ovládací panel | Vlastnosti systému Rozšírené nastavenia systému Premenné prostredia. Pridajte nasledujúce premenné:
- AWS_IAM_HOME : Nastavte túto premennú na adresár, kde ste rozbalili CLI toolkit. Ak používate systém Windows a rozbalíte ho v koreňovom adresári jednotky C, premenná by bola C: \ IAMCli-1.2.0.
- JAVA_HOME : Nastavte túto premennú na adresár, na ktorom je nainštalovaná Java. Toto by bolo umiestnenie súboru java.exe. V normálnej inštalácii systému Windows 7 v jazyku Java to bude niečo ako C: \ Program Files (x86) \ Java \ jre6.
- AWS_CREDENTIAL_FILE : Nastavte túto premennú na cestu a názov súboru aws-credential.template, ktorý ste aktualizovali vyššie. Ak používate systém Windows a rozbalíte ho v koreňovom adresári jednotky C, premenná by bola C: \ IAMCli-1.2.0 \ aws-credential.template.
- CLIENT_CONFIG_FILE : Stačí iba pridať túto premennú prostredia, ak potrebujete proxy server. Ak používate systém Windows a rozbalíte ho v koreňovom adresári jednotky C, premenná by bola C: \ IAMCli-1.2.0 \ client-config.template. Nepridávajte túto premennú, ak ju nepotrebujete.

Otestujte inštaláciu tak, že prejdete na príkazový riadok a zadáte zoznam užívateľov cez cestu. Pokiaľ nedostanete chybu, mali by ste byť dobré ísť.

Všetky príkazy IAM možno spustiť z príkazového riadka. Všetky príkazy začínajú "iam-".

Vytvorte skupinu

Existuje maximálne 100 skupín, ktoré je možné vytvoriť pre každý účet AWS. Zatiaľ čo môžete nastaviť povolenia v IAM na úrovni používateľa, používanie skupín by bolo najlepšou praxou. Tu je proces vytvárania skupiny v IAM.

Syntaxou pre vytvorenie skupiny je iam-groupcreate -g GROUPNAME [-p PATH] [-v], kde -p a -v sú možnosti. Úplná dokumentácia rozhrania príkazového riadka je k dispozícii v dokumentoch AWS.

Ak by ste chceli vytvoriť skupinu s názvom "awesomeusers", vstúpili by ste do príkazového riadku iam-groupcreate-g awesomeusers.
Môžete skontrolovať, či bola skupina vytvorená správne zadaním príkazu iam-grouplistbypath na príkazovom riadku. Ak ste vytvorili iba túto skupinu, výstup by bol niečo ako "arn: aws: iam: 123456789012: group / awesomeusers", kde číslo je vaše číslo účtu AWS.

Uveďte skupinový prístup do schránky S3 a CloudFront

Politiky kontrolujú, čo vaša skupina môže robiť v S3 alebo CloudFront. Štandardne by vaša skupina nemala prístup k ničomu v AWS. Našla som dokumentáciu o politikách, ktorá je v poriadku, ale pri vytváraní niekoľkých politík som urobil trochu pokusov a omylov, aby som pracoval tak, ako som chcel pracovať.

Máte niekoľko možností na vytvorenie pravidiel.

Jednou možnosťou je, že ich môžete zadať priamo do príkazového riadka. Vzhľadom na to, že by ste mohli vytvárať pravidlá a vylepšovať ich, zdalo sa to pre mňa jednoduchšie pridať pravidlá do textového súboru a potom nahrať textový súbor ako parameter s príkazom iam-groupuploadpolicy. Tu je proces pomocou textového súboru a nahrávanie do IAM.

Použite niečo ako Poznámkový blok a zadajte nasledujúci text a uložte súbor:

{
"Vyhlásenie": [{
"Effect" "Povoliť"
"Opatrenia": "s3: *"
"Zdroj": [
"Arn: AWS: s3 ::: BUCKETNAME"
"ARN: AWS: s3 ::: BUCKETNAME / *"]
},
{
"Effect" "Povoliť"
"Akcia": "S3: ListAllMyBuckets",
"Zdroj": "ARN: awS: s3 ::: *"
},
{
"Effect" "Povoliť"
"Action": [ "cloudfront: *"],
"Resource": "*"
}
]
}
K týmto pravidlám patria tri časti. Efekt sa používa na povolenie alebo odmietnutie niektorého typu prístupu. Akcia je konkrétne veci, ktoré môže skupina robiť. Prostriedok sa použije na sprístupnenie jednotlivých segmentov.

Akcie môžete obmedziť individuálne. V tomto príklade, "Akcia": ["s3: GetObject", "s3: ListBucket", "s3: GetObjectVersion"], skupina bude schopná zobraziť obsah vedra a stiahnuť objekty.
Prvá časť "Umožňuje" skupine vykonávať všetky akcie S3 pre vedro "BUCKETNAME".
Druhá časť "Umožňuje" skupine vymenovať všetky vedre v S3. Potrebujete to tak, aby ste v skutočnosti mohli vidieť zoznam vedierok, ak použijete niečo ako konzolu AWS.

Tretia časť poskytuje skupine úplný prístup k CloudFront.

Existuje veľa možností, keď príde na politiku IAM. Amazon má naozaj cool nástroj dostupný nazývaný AWS Policy Generator. Tento nástroj poskytuje grafické používateľské rozhranie, kde môžete vytvoriť svoje pravidlá a generovať skutočný kód, ktorý potrebujete na implementáciu týchto pravidiel. Môžete tiež skontrolovať sekciu Jazyk prístupových pravidiel v online dokumentácii AWS Identity and Access Management.

Vytvoriť používateľa a pridať do skupiny

Proces vytvárania nového používateľa a pridanie do skupiny na poskytnutie prístupu zahŕňa niekoľko krokov.

Syntax pre vytvorenie používateľa je iam-usercreate -u USERNAME [-p PATH] [-g SKUPINY ...] [-k] [-v], kde -p, -g, -k a -v sú možnosti. Úplná dokumentácia rozhrania príkazového riadka je k dispozícii v dokumentoch AWS.
Ak by ste chceli vytvoriť užívateľa "bob", zadáte, iam-usercreate -u bob -g awesomeusers na príkazovom riadku.
Môžete skontrolovať, či bol používateľ správne vytvorený zadaním príkazu iam-grouplistusers-g awesomeusers na príkazovom riadku. Ak ste vytvorili len tohto používateľa, výstup by bol niečo ako "arn: aws: iam :: 123456789012: user / bob", kde číslo je vaše číslo účtu AWS.

Vytvoriť prihlasovací profil a vytvoriť kľúče

V tomto okamihu ste vytvorili používateľa, ale musíte im poskytnúť spôsob, ako skutočne pridávať a odstraňovať objekty zo S3.

K dispozícii sú 2 možnosti, ktoré umožňujú používateľom prístup k S3 pomocou IAM. Môžete vytvoriť profil prihlasovania a poskytnúť používateľom heslo. Môžu použiť svoje poverenia na prihlásenie do konzoly AWS Amazon. Druhou možnosťou je poskytnúť používateľom prístupový kľúč a tajný kľúč. Tieto nástroje môžu používať v nástrojoch tretej strany, ako sú S3 Fox, CloudBerry S3 Explorer alebo S3 Browser.

Vytvorte profil prihlasovania

Vytvorenie profilu prihlásenia pre používateľov S3 im poskytuje užívateľské meno a heslo, ktoré môžu používať na prihlásenie do konzoly AWS Console.

Syntax na vytvorenie prihlasovacieho profilu je iam-useraddloginprofile -u USERNAME -p PASSWORD. Úplná dokumentácia rozhrania príkazového riadka je k dispozícii v dokumentoch AWS.
Ak chcete vytvoriť prihlasovací profil pre používateľa "bob", zadáte príkaz iam-useraddloginprofile -u bob -p PASSWORD na príkazovom riadku.

Môžete skontrolovať, či bol prihlasovací profil vytvorený správne zadaním príkazu iam-usergetloginprofile -u bob na príkazovom riadku. Ak ste vytvorili prihlasovací profil pre bob, výstup by bol niečo ako "Prihlasovací profil existuje pre užívateľa bob".

Vytvoriť tlačidlá

Vytvorenie tajného prístupového kľúča AWS a zodpovedajúceho identifikátora prístupového kľúča AWS umožnia používateľom používať softvér tretej strany, ako sú tie, ktoré boli spomenuté. Majte na pamäti, že ako bezpečnostné opatrenie môžete získať iba tieto kľúče počas procesu pridávania profilu používateľa. Uistite sa, že skopírujete a prilepíte výstup z príkazového riadka a uložíte ho do textového súboru. Tento súbor môžete odoslať používateľovi.

Syntax pre pridávanie kľúčov pre používateľa je iam-useraddkey [-u USERNAME]. Úplná dokumentácia rozhrania príkazového riadka je k dispozícii v dokumentoch AWS.
Ak ste chceli vytvoriť kľúče pre používateľa "bob", zadáte príkaz iam-useraddkey -u bob na príkazový riadok.
Príkaz vykáže kľúče, ktoré by vyzerali takto:
AKIACOOB5BQVEXAMPLE
BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE

Prvý riadok je ID prístupového kľúča a druhý riadok je tajný prístupový kľúč. Potrebujete softvér tretej strany.

Prístup k testu

Teraz, keď ste vytvorili skupiny / používateľov IAM a prístup k skupinám získate pomocou politík, musíte otestovať prístup.

Prístup konzoly

Vaši používatelia môžu používať svoje užívateľské meno a heslo na prihlásenie do konzoly AWS. Toto však nie je bežná prihlasovacia stránka konzoly, ktorá sa používa pre hlavný účet AWS.

Existuje špeciálna adresa URL, ktorú môžete použiť, ktorý poskytne prihlasovací formulár iba pre váš účet Amazon AWS. Tu je adresa URL pre prihlásenie do S3 pre používateľov IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

Číslo AWS-ACCOUNT je vaše bežné číslo účtu AWS. Môžete to dosiahnuť tým, že sa prihlásite do formulára pre prihlásenie do služby Amazon Web Service Sign In. Prihláste sa a kliknite na účet | Aktivita účtu. Číslo vášho účtu sa nachádza v pravom hornom rohu. Uistite sa, že odstránite pomlčky. Adresa URL by vyzerala niečo ako https://123456789012.signin.aws.amazon.com/console/s3.

Používanie prístupových klávesov

Môžete si stiahnuť a nainštalovať akékoľvek nástroje tretích strán, ktoré už sú uvedené v tomto článku. Zadajte ID prístupového kľúča a tajný prístupový kľúč na dokumentáciu nástroja tretej strany.

Dôrazne odporúčam, aby ste vytvorili počiatočného používateľa a aby tento používateľ plne otestoval, že môže robiť všetko, čo potrebuje, aby v S3. Po overení jedného z vašich používateľov môžete pokračovať v nastavovaní všetkých používateľov S3.

zdroje

Tu je niekoľko zdrojov, ktoré vám umožnia lepšie porozumieť systému Identity & Access Management (IAM).

Začíname s aplikáciou IAM
IAM Príkazový riadok
Konzola Amazon AWS
Generátor politiky AWS
Používanie správy AWS identity a prístupu

Poznámky k vydaniu IAM
Diskusné fóra IAM
IAM FAQs