Správa identit a přístupu AWS

Část 1 z 3

V roce 2011 Amazon oznámila dostupnost podpory AWS Identity & Access Management (IAM) pro CloudFront. IAM byla spuštěna v roce 2010 a zahrnovala podporu S3. Aplikace AWS Identity & Access Management (IAM) umožňuje mít více uživatelů v rámci účtu AWS. Pokud jste použili službu Amazon Web Services (AWS), víte, že jediný způsob, jak spravovat obsah v AWS, je poskytnutí vašeho uživatelského jména a hesla nebo přístupových klíčů.

To je opravdový bezpečnostní problém pro většinu z nás. IAM eliminuje potřebu sdílení hesel a přístupových klíčů.

Neustálé změny našeho hlavního hesla AWS nebo vytváření nových klíčů je jen špinavé řešení, kdy zaměstnanec opustí náš tým. Systém AWS Identity & Access Management (IAM) byl dobrý začátek umožňující jednotlivým uživatelským účtům s jednotlivými klíči. Jsme však uživatelé S3 / CloudFront, takže jsme sledovali, že CloudFront bude přidán do IAM, což se konečně stalo.

Našel jsem dokumentaci o této službě trochu rozptýlená. Existuje několik produktů třetích stran, které nabízejí řadu podpory pro správu identit a přístupu (IAM). Ale vývojáři jsou obvykle šetrní, takže jsem hledal volné řešení pro řízení IAM s naší službou Amazon S3.

Tento článek prochází procesem nastavení rozhraní rozhraní příkazového řádku, které podporuje protokol IAM a nastavení skupiny / uživatele s přístupem S3. Před tím, než začnete s konfigurováním správy identit a přístupu (IAM), musíte mít účet Amazon AWS S3.

Můj článek, pomocí služby Amazon Simple Storage (S3), vás provede procesem nastavení účtu AWS S3.

Zde jsou kroky týkající se nastavení a implementace uživatele v IAM. To je napsáno pro systém Windows, ale můžete ji vyladit pro použití v systémech Linux, UNIX a / nebo Mac OSX.

  1. Instalace a konfigurace rozhraní příkazového řádku (CLI)
  1. Vytvořte skupinu
  2. Uveďte skupinový přístup do S3 Bucket a CloudFront
  3. Vytvořit uživatele a přidat do skupiny
  4. Vytvořit profil přihlášení a vytvořit klíče
  5. Přístup ke zkoušce

Instalace a konfigurace rozhraní příkazového řádku (CLI)

IAM Command Line Toolkit je program Java dostupný v nástrojích vývojářů AWS společnosti Amazon. Tento nástroj umožňuje spouštět příkazy IAM API z shellu (DOS for Windows).

Všechny příkazy IAM lze spustit z příkazového řádku. Všechny příkazy začínají "iam-".

Vytvořte skupinu

Existuje maximálně 100 skupin, které lze vytvořit pro každý účet AWS. Zatímco můžete nastavit oprávnění v IAM na úrovni uživatelů, použití skupin by bylo nejlepší praxí. Zde je postup pro vytvoření skupiny v IAM.

Uveďte skupinový přístup do S3 Bucket a CloudFront

Politika řídí, co může vaše skupina dělat v S3 nebo CloudFront. Ve výchozím nastavení by skupina neměla přístup k cokoliv v AWS. Zjistil jsem, že dokumentace o politikách je v pořádku, ale při vytváření hromadných politik jsem udělal trochu pokusů a omylů, abych věci udělal tak, jak jsem chtěl, aby fungovali.

Máte několik možností pro vytváření zásad.

Jednou možností je, že je můžete zadat přímo do příkazového řádku. Vzhledem k tomu, že byste mohli vytvářet zásady a vylepšovat je, zdálo se mi snadnější přidat zásady do textového souboru a potom načíst textový soubor jako parametr příkazem iam-groupuploadpolicy. Zde je postup pomocí textového souboru a nahrávání do IAM.

Existuje spousta možností, pokud jde o zásady IAM. Amazon má opravdu skvělý nástroj k dispozici nazvaný AWS Policy Generator. Tento nástroj poskytuje grafické uživatelské rozhraní, ve kterém můžete vytvořit své zásady a vygenerovat skutečný kód, který potřebujete provést. Můžete také zkontrolovat část Jazyky zásad přístupu v dokumentaci pomocí online dokumentace AWS Identity and Access Management.

Vytvořit uživatele a přidat do skupiny

Proces vytváření nového uživatele a přidání do skupiny, která mu poskytuje přístup, zahrnuje několik kroků.

Vytvořit profil přihlašování a vytvořit klíče

V tomto okamžiku jste vytvořili uživatele, ale musíte jim poskytnout způsob, jak skutečně přidávat a odstraňovat objekty ze S3.

K dispozici jsou 2 možnosti, které uživatelům umožňují přístup k S3 pomocí IAM. Můžete vytvořit profil přihlášení a poskytnout uživatelům heslo. Mohou použít své pověření k přihlášení do konzoly AWS Amazon. Druhou možností je poskytnout uživatelům přístupový klíč a tajný klíč. Mohou používat tyto klávesy v nástrojích třetích stran, jako je S3 Fox, CloudBerry S3 Explorer nebo S3 Browser.

Vytvořit profil přihlášení

Vytvoření profilu přihlášení pro uživatele S3 jim poskytuje uživatelské jméno a heslo, které se mohou přihlásit k konzole AWS Amazon.

Vytvořte klíče

Vytvoření AWS tajného přístupového klíče a příslušného ID klíče AWS Access Key umožní uživatelům používat software třetích stran, jaký byl dříve popsán. Mějte na paměti, že jako bezpečnostní opatření můžete tyto klíče získat pouze během procesu přidávání profilu uživatele. Ujistěte se, že zkopírujete a vložíte výstup z příkazového řádku a uložíte do textového souboru. Soubor můžete odeslat uživateli.

Přístup ke zkoušce

Nyní, když jste vytvořili skupiny / uživatele služby IAM a přístup k skupinám povolili pomocí zásad, musíte otestovat přístup.

Přístup konzoly

Uživatelé mohou používat své uživatelské jméno a heslo pro přihlášení do konzoly AWS. Není to však běžná přihlašovací stránka konzoly, která se používá pro hlavní účet AWS.

Existuje speciální adresa URL, kterou můžete použít, který poskytne přihlašovací formulář pouze pro váš účet Amazon AWS. Zde je adresa URL pro přihlášení k S3 pro uživatele IAM.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER je vaše běžné číslo účtu AWS. Můžete to získat tím, že se přihlásíte do formuláře pro přihlášení služby Amazon Web Service Sign In. Přihlaste se a klikněte na účet | Aktivita účtu. Vaše číslo účtu je v pravém horním rohu. Ujistěte se, že jste odstranili pomlčky. Adresa URL by vypadala něco jako https://123456789012.signin.aws.amazon.com/console/s3.

Použití přístupových kláves

Můžete stáhnout a nainstalovat všechny nástroje třetích stran, které jsou již zmíněny v tomto článku. Zadejte ID přístupového klíče a tajný přístupový klíč na dokumentaci nástroje třetí strany.

Důrazně doporučuji, abyste vytvořili počáteční uživatele a nechali tohoto uživatele plně otestovat, že mohou dělat vše, co potřebují, v S3. Po ověření jednoho ze svých uživatelů můžete pokračovat v nastavení všech uživatelů S3.

Zdroje

Zde je několik zdrojů, které vám umožní lépe porozumět identitě a řízení přístupu (IAM).