एडब्ल्यूएस पहचान और अभिगम प्रबंधन

3 का भाग 1

2011 में, अमेज़ॅन ने क्लाउडफ्रंट के लिए एडब्ल्यूएस पहचान और एक्सेस प्रबंधन (आईएएम) समर्थन की उपलब्धता की घोषणा की। आईएएम 2010 में लॉन्च किया गया था और एस 3 समर्थन शामिल था। एडब्ल्यूएस पहचान और एक्सेस प्रबंधन (आईएएम) आपको एक एडब्ल्यूएस खाते के भीतर कई उपयोगकर्ताओं को सक्षम बनाता है। यदि आपने अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) का उपयोग किया है, तो आप जानते हैं कि एडब्ल्यूएस में सामग्री का प्रबंधन करने का एकमात्र तरीका आपके उपयोगकर्ता का नाम और पासवर्ड या एक्सेस कुंजी प्रदान करना शामिल है।

हम में से अधिकांश के लिए यह एक वास्तविक सुरक्षा चिंता है। आईएएम पासवर्ड और एक्सेस कुंजी साझा करने की आवश्यकता को समाप्त करता है।

हमारे मुख्य एडब्ल्यूएस पासवर्ड को लगातार बदलना या नई चाबियाँ उत्पन्न करना सिर्फ एक गन्दा समाधान है जब एक कर्मचारी सदस्य हमारी टीम छोड़ देगा। एडब्ल्यूएस पहचान और अभिगम प्रबंधन (आईएएम) व्यक्तिगत कुंजी खातों के साथ व्यक्तिगत कुंजी खातों की अनुमति देने के लिए एक अच्छी शुरुआत थी। हालांकि, हम एक एस 3 / क्लाउडफ्रंट उपयोगकर्ता हैं, इसलिए हम क्लाउडफ्रंट को आईएएम में जोड़ने के लिए देख रहे हैं जो अंत में हुआ।

मुझे इस सेवा पर थोड़ा बिखरा हुआ प्रलेखन मिला। ऐसे कुछ तृतीय पक्ष उत्पाद हैं जो पहचान और एक्सेस प्रबंधन (आईएएम) के लिए समर्थन की एक श्रृंखला प्रदान करते हैं। लेकिन डेवलपर्स आमतौर पर कमजोर होते हैं इसलिए मैंने अपने अमेज़ॅन एस 3 सेवा के साथ आईएएम के प्रबंधन के लिए एक मुफ्त समाधान मांगा।

यह आलेख कमांड लाइन इंटरफेस को स्थापित करने की प्रक्रिया के माध्यम से चलता है जो आईएएम का समर्थन करता है और एस 3 एक्सेस के साथ समूह / उपयोगकर्ता को स्थापित करता है। पहचान और एक्सेस प्रबंधन (आईएएम) को कॉन्फ़िगर करना शुरू करने से पहले आपको एक अमेज़ॅन एडब्ल्यूएस एस 3 खाता सेटअप होना चाहिए।

मेरा आलेख, अमेज़ॅन सरल संग्रहण सेवा (एस 3) का उपयोग करके, आपको एक एडब्ल्यूएस एस 3 खाता स्थापित करने की प्रक्रिया के माध्यम से चल जाएगा।

आईएएम में उपयोगकर्ता को स्थापित करने और कार्यान्वित करने में शामिल कदम यहां दिए गए हैं। यह विंडोज के लिए लिखा गया है लेकिन आप लिनक्स, यूनिक्स और / या मैक ओएसएक्स में उपयोग के लिए ट्विक कर सकते हैं।

1. कमांड लाइन इंटरफेस (सीएलआई) को स्थापित और कॉन्फ़िगर करें

1. एक समूह बनाएं
2. एस 3 बाल्टी और क्लाउडफ्रंट तक ग्रुप एक्सेस दें
3. उपयोगकर्ता बनाएं और समूह में जोड़ें
4. लॉगिन प्रोफ़ाइल बनाएं और कुंजी बनाएं
5. टेस्ट एक्सेस

कमांड लाइन इंटरफेस (सीएलआई) को स्थापित और कॉन्फ़िगर करें

आईएएम कमांड लाइन टूलकिट एक जावा प्रोग्राम है जो अमेज़ॅन के एडब्ल्यूएस डेवलपर्स टूल्स में उपलब्ध है। टूल आपको शैल उपयोगिता (विंडोज़ के लिए डॉस) से आईएएम एपीआई कमांड निष्पादित करने की अनुमति देता है।

• आपको जावा 1.6 या उच्चतर चलाना होगा। आप Java.com से नवीनतम संस्करण डाउनलोड कर सकते हैं। यह देखने के लिए कि आपके विंडोज सिस्टम पर कौन सा संस्करण स्थापित है, कमांड प्रॉम्प्ट खोलें और जावा-वर्जन टाइप करें। यह मानता है कि java.exe आपके पथ में है।
• IAM CLI टूलकिट डाउनलोड करें और कहीं भी अपने स्थानीय ड्राइव पर अनजिप करें।
• सीएलआई टूलकिट की जड़ में 2 फाइलें हैं जिन्हें आपको अपडेट करने की आवश्यकता है।
  • aws-credential.template: यह फ़ाइल आपके एडब्ल्यूएस प्रमाण -पत्र रखती है। अपनी AWSAccessKeyId और अपनी AWSSecretKey जोड़ें, फ़ाइल को सहेजें और बंद करें।
  • क्लाइंट-config.template : यदि आपको प्रॉक्सी सर्वर की आवश्यकता है तो आपको केवल इस फ़ाइल को अपडेट करने की आवश्यकता है। # संकेतों को हटाएं और क्लाइंटप्रोक्सीहोस्ट, क्लाइंटप्रोक्सीपोर्ट, क्लाइंटप्रोक्सी यूज़रनेम और क्लाइंटप्रॉक्सी पासवर्ड अपडेट करें। फ़ाइल को सहेजें और बंद करें।
• अगले चरण में पर्यावरण चर जोड़ना शामिल है। नियंत्रण कक्ष पर जाएं | सिस्टम गुण | उन्नत सिस्टम सेटिंग्स | पर्यावरण चर। निम्नलिखित चर जोड़ें:
  • AWS_IAM_HOME : इस चर को उस निर्देशिका में सेट करें जहां आपने सीएलआई टूलकिट को अनजिप किया था। यदि आप विंडोज चला रहे हैं और इसे अपने सी ड्राइव की जड़ पर अनजिप कर दिया है, तो चर सी: \ IAMCli-1.2.0 होगा।
  • JAVA_HOME : इस चर को उस निर्देशिका में सेट करें जहां जावा स्थापित है। यह java.exe फ़ाइल का स्थान होगा। एक सामान्य विंडोज 7 जावा स्थापना में, यह सी: \ प्रोग्राम फ़ाइलें (x86) \ जावा \ jre6 जैसा कुछ होगा।
  • AWS_CREDENTIAL_FILE : इस चर को ऊपर दिए गए aws-credential.template के पथ और फ़ाइल नाम पर सेट करें। यदि आप विंडोज चला रहे हैं और इसे अपने सी ड्राइव की जड़ पर अनजिप कर दिया है, तो चर सी: \ IAMCli-1.2.0 \ aws-credential.template होगा।
  • CLIENT_CONFIG_FILE : यदि आपको प्रॉक्सी सर्वर की आवश्यकता है तो आपको केवल इस पर्यावरण चर को जोड़ने की आवश्यकता है। यदि आप विंडोज चला रहे हैं और इसे अपने सी ड्राइव की जड़ पर अनजिप कर दिया है, तो चर सी: \ IAMCli-1.2.0 \ client-config.template होगा। इस चर को तब तक न जोड़ें जब तक आपको इसकी आवश्यकता न हो।

• कमांड प्रॉम्प्ट पर जाकर और iam-userlistbypath दर्ज करके इंस्टॉलेशन का परीक्षण करें। जब तक आपको कोई त्रुटि नहीं मिलती, आपको जाने के लिए अच्छा होना चाहिए।

सभी आईएएम कमांड कमांड प्रॉम्प्ट से चलाए जा सकते हैं। सभी आदेश "iam-" से शुरू होते हैं।

एक समूह बनाएं

प्रत्येक एडब्ल्यूएस खाते के लिए अधिकतम 100 समूह बनाए जा सकते हैं। जबकि आप उपयोगकर्ता स्तर पर आईएएम में अनुमतियां सेट कर सकते हैं, समूहों का उपयोग करना सबसे अच्छा अभ्यास होगा। आईएएम में एक समूह बनाने की प्रक्रिया यहां दी गई है।

• समूह बनाने के लिए वाक्यविन्यास Iam-groupcreate -g GROUPNAME [-p पथ] [-v] जहां -p और -v विकल्प हैं। कमांड लाइन इंटरफेस पर पूर्ण दस्तावेज एडब्ल्यूएस डॉक्स पर उपलब्ध है।

• यदि आप "भयानक" नामक समूह बनाना चाहते हैं, तो आप कमांड प्रॉम्प्ट पर iam-groupcreate -g awesomeusers दर्ज करेंगे।
• आप कमांड प्रॉम्प्ट पर iam-grouplistbypath दर्ज करके समूह को सही तरीके से बनाया गया था। यदि आपने केवल इस समूह को बनाया है, तो आउटपुट "arn: aws: iam :: 123456789012: समूह / कमाल के" जैसा होगा, जहां आपका एडब्ल्यूएस खाता संख्या है।

एस 3 बाल्टी और क्लाउडफ्रंट तक ग्रुप एक्सेस दें

नीतियां नियंत्रित करती हैं कि आपका समूह S3 या CloudFront में क्या करने में सक्षम है। डिफ़ॉल्ट रूप से, आपके समूह को एडब्ल्यूएस में किसी भी चीज़ तक पहुंच नहीं होगी। मैंने पॉलिसी पर दस्तावेजों को ठीक होने के लिए पाया लेकिन कुछ हद तक नीतियों को बनाने में, मैंने काम करने के तरीके को काम करने के लिए कुछ परीक्षण और त्रुटि की।

नीतियां बनाने के लिए आपके पास कुछ विकल्प हैं।

एक विकल्प यह है कि आप उन्हें सीधे कमांड प्रॉम्प्ट में दर्ज कर सकते हैं। चूंकि आप नीति बना रहे हैं और इसे ट्वीव कर रहे हैं, मेरे लिए नीति को टेक्स्ट फ़ाइल में जोड़ना आसान लगता है और फिर iam-groupuploadpolicy कमांड के साथ पैरामीटर के रूप में टेक्स्ट फ़ाइल अपलोड करना आसान लगता है। टेक्स्ट फ़ाइल का उपयोग करके और आईएएम पर अपलोड करने की प्रक्रिया यहां दी गई है।

• नोटपैड जैसे कुछ का उपयोग करें और निम्न पाठ दर्ज करें और फ़ाइल को सहेजें:
  
  {
  "बयान":[{
  "प्रभाव": "अनुमति दें",
  "एक्शन": "S3: *",
  "संसाधन":[
  "अर्न: एडब्ल्यूएस: S3 ::: BUCKETNAME",
  "अर्न: एडब्ल्यूएस: S3 ::: BUCKETNAME / *"]
  },
  {
  "प्रभाव": "अनुमति दें",
  "एक्शन": "S3: ListAllMyBuckets",
  "संसाधन": "अर्न: एडब्ल्यूएस: S3 ::: *"
  },
  {
  "प्रभाव": "अनुमति दें",
  "एक्शन": [ "CloudFront: *"],
  "संसाधन":"*"
  }
  ]
  }
  
• इस नीति के लिए 3 अनुभाग हैं। किसी प्रकार की पहुंच को अनुमति देने या अस्वीकार करने के लिए प्रभाव का उपयोग किया जाता है। यह क्रिया विशिष्ट चीजें हैं जो समूह कर सकती हैं। व्यक्तिगत बाल्टी तक पहुंच प्रदान करने के लिए संसाधन का उपयोग किया जाएगा।

• आप अलग-अलग कार्रवाइयों को सीमित कर सकते हैं। इस उदाहरण में, "एक्शन": ["एस 3: गेटऑब्जेक्ट", "एस 3: लिस्टबकेट", "एस 3: गेटऑब्जेक्टवर्सन"], समूह एक बाल्टी की सामग्री सूचीबद्ध करने और ऑब्जेक्ट डाउनलोड करने में सक्षम होगा।
• पहला खंड समूह को "BUCKETNAME" बाल्टी के लिए सभी S3 कार्रवाइयों को करने की अनुमति देता है।
• दूसरा खंड समूह को एस 3 में सभी बाल्टी सूचीबद्ध करने की अनुमति देता है। यदि आप एडब्ल्यूएस कंसोल की तरह कुछ उपयोग करते हैं तो आपको इसकी आवश्यकता है ताकि आप वास्तव में बाल्टी की सूची देख सकें।

• तीसरा खंड समूह को क्लाउडफ्रंट तक पूर्ण पहुंच प्रदान करता है।

आईएएम नीतियों के आने पर बहुत सारे विकल्प हैं। अमेज़ॅन में वास्तव में एक अच्छा उपकरण उपलब्ध है जिसे एडब्लूएस पॉलिसी जनरेटर कहा जाता है। यह टूल एक जीयूआई प्रदान करता है जहां आप अपनी नीतियां बना सकते हैं और पॉलिसी को लागू करने के लिए आवश्यक वास्तविक कोड उत्पन्न कर सकते हैं। आप एडब्ल्यूएस पहचान और एक्सेस प्रबंधन ऑनलाइन दस्तावेज़ीकरण का उपयोग नीति एक्सेस भाषा भी देख सकते हैं।

उपयोगकर्ता बनाएं और समूह में जोड़ें

एक नया उपयोगकर्ता बनाने और उन्हें पहुंच प्रदान करने के लिए समूह में जोड़ने की प्रक्रिया में कुछ कदम शामिल हैं।

• उपयोगकर्ता बनाने के लिए वाक्यविन्यास iam-usercreate -u USERNAME [-p पथ] [-g GROUPS ...] [-k] [-v] जहां -p, -g, -k और -v विकल्प हैं। कमांड लाइन इंटरफेस पर पूर्ण दस्तावेज एडब्ल्यूएस डॉक्स पर उपलब्ध है।
• यदि आप उपयोगकर्ता "बॉब" बनाना चाहते हैं, तो आप कमांड प्रॉम्प्ट पर iam-usercreate -u bob -g awesomeusers दर्ज करेंगे।
• आप यह जांच सकते हैं कि उपयोगकर्ता कमांड प्रॉम्प्ट पर iam-grouplistusers -g awesomeusers दर्ज करके सही ढंग से बनाया गया था। यदि आपने केवल इस उपयोगकर्ता को बनाया था, तो आउटपुट "arn: aws: iam :: 123456789012: user / bob" जैसा होगा, जहां आपका एडब्ल्यूएस खाता संख्या है।

लॉगऑन प्रोफाइल बनाएं और कुंजी बनाएं

इस बिंदु पर, आपने एक उपयोगकर्ता बनाया है लेकिन आपको उन्हें S3 से ऑब्जेक्ट्स को वास्तव में जोड़ने और निकालने का तरीका प्रदान करना होगा।

आईएएम का उपयोग कर अपने उपयोगकर्ताओं को एस 3 तक पहुंच प्रदान करने के लिए 2 विकल्प उपलब्ध हैं। आप एक लॉगिन प्रोफाइल बना सकते हैं और अपने उपयोगकर्ताओं को पासवर्ड के साथ प्रदान कर सकते हैं। वे अमेज़ॅन एडब्ल्यूएस कंसोल में लॉग इन करने के लिए अपने क्रेडेंशियल्स का उपयोग कर सकते हैं। दूसरा विकल्प आपके उपयोगकर्ताओं को एक एक्सेस कुंजी और एक गुप्त कुंजी देना है। वे इन चाबियों का उपयोग तीसरे पक्ष के उपकरण जैसे एस 3 फॉक्स, क्लाउडबेरी एस 3 एक्सप्लोरर या एस 3 ब्राउज़र में कर सकते हैं।

लॉगिन प्रोफाइल बनाएँ

अपने एस 3 उपयोगकर्ताओं के लिए एक लॉगिन प्रोफाइल बनाना उन्हें उपयोगकर्ता नाम और पासवर्ड प्रदान करता है जिसे वे अमेज़ॅन एडब्ल्यूएस कंसोल में लॉगिन करने के लिए उपयोग कर सकते हैं।

• लॉगिन प्रोफ़ाइल बनाने के लिए वाक्यविन्यास iam-useraddloginprofile -u USERNAME -p पासवर्ड है। कमांड लाइन इंटरफेस पर पूर्ण दस्तावेज एडब्ल्यूएस डॉक्स पर उपलब्ध है।
• यदि आप उपयोगकर्ता "बॉब" के लिए लॉगिन प्रोफ़ाइल बनाना चाहते हैं, तो आप कमांड प्रॉम्प्ट पर iam-useraddloginprofile -u bob -p पासवर्ड को दर्ज करेंगे।

• आप यह जांच सकते हैं कि कमांड प्रॉम्प्ट पर iam-usergetloginprofile -u bob दर्ज करके लॉगिन प्रोफ़ाइल सही ढंग से बनाई गई थी। यदि आपने बॉब के लिए लॉगिन प्रोफ़ाइल बनाई है, तो आउटपुट कुछ ऐसा होगा जैसे "लॉग इन प्रोफाइल उपयोगकर्ता बॉब के लिए मौजूद है"।

कुंजी बनाएं

एक एडब्ल्यूएस गुप्त एक्सेस कुंजी और संबंधित एडब्ल्यूएस एक्सेस कुंजी आईडी बनाना आपके उपयोगकर्ताओं को पहले बताए गए तृतीय पक्ष सॉफ़्टवेयर का उपयोग करने की अनुमति देगा। ध्यान रखें कि एक सुरक्षा उपाय के रूप में, आप उपयोगकर्ता प्रोफ़ाइल जोड़ने की प्रक्रिया के दौरान केवल इन चाबियाँ प्राप्त कर सकते हैं। सुनिश्चित करें कि आप कमांड प्रॉम्प्ट से आउटपुट कॉपी और पेस्ट करें और टेक्स्ट फ़ाइल में सेव करें। आप फ़ाइल को अपने उपयोगकर्ता को भेज सकते हैं।

• उपयोगकर्ता के लिए कुंजी जोड़ने के लिए वाक्यविन्यास iam-useraddkey [-u USERNAME] है I कमांड लाइन इंटरफेस पर पूर्ण दस्तावेज एडब्ल्यूएस डॉक्स पर उपलब्ध है।
• यदि आप उपयोगकर्ता "बॉब" के लिए कुंजी बनाना चाहते हैं, तो आप कमांड प्रॉम्प्ट पर iam-useraddkey -u bob दर्ज करेंगे।
• आदेश कुंजी को आउटपुट करेगा जो इस तरह कुछ दिखाई देगा:
  AKIACOOB5BQVEXAMPLE
  BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  
  पहली पंक्ति एक्सेस कुंजी आईडी है और दूसरी पंक्ति गुप्त पहुंच कुंजी है। आपको तीसरे पक्ष के सॉफ्टवेयर के लिए दोनों की जरूरत है।

टेस्ट एक्सेस

अब जब आपने आईएएम समूह / उपयोगकर्ता बनाए हैं और समूहों को नीतियों का उपयोग करके एक्सेस किया है, तो आपको पहुंच का परीक्षण करने की आवश्यकता है।

कंसोल एक्सेस

आपके उपयोगकर्ता AWS कंसोल में लॉगिन करने के लिए अपने उपयोगकर्ता नाम और पासवर्ड का उपयोग कर सकते हैं। हालांकि, यह नियमित कंसोल लॉगिन पृष्ठ नहीं है जिसका उपयोग मुख्य एडब्ल्यूएस खाते के लिए किया जाता है।

एक विशेष यूआरएल है जिसका आप उपयोग कर सकते हैं जो केवल आपके अमेज़ॅन एडब्ल्यूएस खाते के लिए लॉगिन फॉर्म प्रदान करेगा। अपने आईएएम उपयोगकर्ताओं के लिए एस 3 में लॉगिन करने के लिए यूआरएल यहां दिया गया है।

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

एडब्ल्यूएस-खाता-NUMBER आपका नियमित एडब्ल्यूएस खाता संख्या है। आप इसे अमेज़ॅन वेब सेवा साइन इन फॉर्म में लॉग इन करके प्राप्त कर सकते हैं। लॉगिन करें और खाता पर क्लिक करें खाता संबंधी काम। आपका खाता नंबर ऊपरी दाएं कोने में है। सुनिश्चित करें कि आप डैश को हटा दें। यूआरएल कुछ ऐसा दिखाई देगा जैसे https://123456789012.signin.aws.amazon.com/console/s3।

एक्सेस कुंजी का उपयोग करना

आप इस आलेख में पहले से उल्लिखित किसी भी तृतीय पक्ष टूल को डाउनलोड और इंस्टॉल कर सकते हैं। तृतीय पक्ष टूल दस्तावेज़ों के अनुसार अपनी एक्सेस कुंजी आईडी और गुप्त पहुंच कुंजी दर्ज करें।

मैं दृढ़ता से अनुशंसा करता हूं कि आप प्रारंभिक उपयोगकर्ता बनाएं और उस उपयोगकर्ता को पूरी तरह से परीक्षण करें कि वे S3 में जो कुछ भी करने की ज़रूरत है वह कर सकते हैं। अपने उपयोगकर्ताओं में से एक को सत्यापित करने के बाद, आप अपने सभी S3 उपयोगकर्ताओं को सेट अप करने के साथ आगे बढ़ सकते हैं।

साधन

पहचान और एक्सेस प्रबंधन (आईएएम) की बेहतर समझ देने के लिए यहां कुछ संसाधन दिए गए हैं।

• आईएएम के साथ शुरू करना
• आईएएम कमांड लाइन टूलकिट
• अमेज़ॅन एडब्ल्यूएस कंसोल
• एडब्ल्यूएस पॉलिसी जेनरेटर
• एडब्ल्यूएस पहचान और एक्सेस प्रबंधन का उपयोग करना

• आईएएम रिलीज नोट्स
• आईएएम चर्चा मंच
• आईएएम अकसर किये गए सवाल