AWS شناخت ۽ رسائي جي انتظام

حصو 1 جو 3

2011 ۾، ايم ايم ايز CloudFront لاء اي ايس ايس سڃاڻپ ۽ رسائي جي انتظام (IAM) جي سهولت جي دستيابي جو اعلان ڪيو. IAM 2010 ۾ شروع ڪئي وئي ۽ S3 جي مدد شامل ڪئي وئي. AWS شناخت ۽ رسائي جي انتظام (IAM) توهان کي هڪ AWS اڪائونٽ ۾ گهڻن صارفين جي قابل بنائي ٿو. جيڪڏهن توهان ايم ڊي جي ويب سروسز (AWS) استعمال ڪيو آهي، توهان کي خبر آهي ته AWS ۾ مواد کي منظم ڪرڻ جو واحد رستو توهان جي صارف جو نالو ۽ پاسورڊ يا رسائي جي رسائي شامل ڪرڻ ۾ شامل آهي.

اهو اسان جي گهڻائي جي حقيقي حفاظت آهي. IAM کي پاسورڊ ۽ رسائي جي رسائي حصن جي ضرورت ختم ڪري ٿي.

مسلسل مسلسل اسان جي مکيه AWS پاسورڊ يا نئين ڪيچايون ٺاهي صرف هڪ گندي حل آهي جڏهن اسٽاف ڪارڪن اسان جي ٽيم کي ڇڏي ويندي. اي ايس سڃاڻپ ۽ رسائي جي انتظام (IAM) هڪ سٺي شروعات هئي جنهن جي ذاتي فرد جي اڪائونٽن جي انفرادي چئلينس سان گڏ. جڏهن ته، اسان هڪ S3 / CloudFront صارف آهيو، انهي ڪري اسان اسان کي CloudFront لاء ڏسي رهيا آهيو IAM ۾ شامل ڪيو ويو جيڪو آخرڪار ٿيو.

مون هن دستاويز تي دستاويز ڏٺا ته ٿوري دير پکيڙي ٿي. ڪجھه ٽي پارٽي جي پراڊڪٽس آهن جيڪي هڪ سڃاڻپ جي سڃاڻپ ۽ شناخت واري انتظام (IAM) جي حمايت ڪن ٿا. پر ڊولپر اڪثر ڪري خطرناڪ آهن ڇو ته مون پنهنجي ايم ڊي ايس S3 خدمت سان آء ايم جي انتظام ڪرڻ لاء آزاد حل ڪيو.

اهو آرٽيڪل عمل جي ذريعي هلندڙ ڪمان لائن لائن انٽرفيس کي ترتيب ڏئي ٿو جيڪو IAM جي حمايت ڪري ٿو ۽ S3 رسائي سان گڏ ھڪڙو گروپ / صارف قائم ڪري ٿو. توهان کي هڪ ايم ايس ايس ايس S3 اڪائونٽ سيٽ ڪرڻ جي ضرورت آهي ته توهان پهريان کان سڃاڻپ شروع ڪريو شناخت ۽ رسائي جي انتظام (IAM).

منهنجو مضمون، ايم ڊي ايڪس ايڪس اسٽوري اسٽوريج سروس (S3) استعمال ڪندي، توهان کي AWS S3 اڪائونٽ ترتيب ڏيڻ جي عمل ذريعي هلندو.

هتي آء ايم ۾ صارف ۽ اپيل کي ترتيب ڏيڻ ۾ شامل ڪيل قدم آهن. اهو ونڊوز لاء لکيو ويو آهي پر توهان لينڪس، يونيڪس ۽ / يا Mac OSX ۾ استعمال لاء ٽائيڪ ڪري سگهو ٿا.

1. ڪمان لائن لائن انٽرنيٽ (CLI) کي انسٽال ڪريو ۽ ترتيب ڏيو

1. هڪ گروپ ٺاهيو
2. گروپ کي رسائي S3 بالٽ ۽ CloudFront تائين ڏيو
3. صارف ٺاهيو ۽ گروپ ۾ شامل ڪريو
4. لاگ ان پروفائل کي ٺاهيو ۽ چيڪ ٺاھيو
5. ٽيسٽ رسائي

ڪمان لائن لائن انٽرنيٽ (CLI) کي انسٽال ڪريو ۽ ترتيب ڏيو

IAM Command Command Line Toolit ھڪڙو جاوا پروگرام آھي جو ايم ڪيو ايم جي اي ايس ڊي ڊولپرز ٽولز ۾ موجود آھن. اوزار توهان کي شيل افاديت (DOS for Windows) مان IAM API حڪم جاري ڪرڻ جي اجازت ڏئي ٿو.

• توهان کي 1.6 يا مٿي کان وڌيڪ هلڻ جي ضرورت آهي. توهان Java.com کان تازي ورڊ ڊائون لوڊ ڪري سگهو ٿا. ڏسڻ لاء توهان جو ونڊوز سسٽم تي ڪهڙو نسخو نصب ڪيو ويو آهي، ڪنڊر پروپپ کوليو ۽ جاوا -ورڪر ۾ ٽائپ ڪريو. اهو فرض ڪري ٿو ته java.exe توهان جي پيٿ ۾ آهي.
• توهان جي مقامي ڊرائيو تي IAM CLI ٽوللوٽ ڊائونلوڊ ڪريو ۽ انٽرويو ڪريو.
• هتي 2 فائلون روٽ جي CLI ٽول بار ۾ آهن جيڪي توهان کي تازه ڪاري ڪرڻ جي ضرورت آهي.
  • aws-credential.template: ھي فائل توھان جو AWS اسناد آھي. پنهنجو AWSAccessKeyId ۽ توهان جي AWSSecretKey شامل ڪريو، فائل محفوظ ۽ بند ڪريو.
  • client-config.template : توهان پروسي سرور جي ضرورت آهي جيڪڏهن توهان صرف هن فائل کي اپڊيٽ ڪرڻ جي ضرورت آهي. # نشانين کي هٽايو ۽ ڪلائنٽ پروسيڪ هسٽ، ClientProxyPort، ClientProxyUsername ۽ ClientProxyPassword کي تازه ڪاري ڪريو. محفوظ ڪريو ۽ فائل بند ڪريو.
• ايندڙ قدم ۾ ماحولياتي ڪيبلبل شامل ڪرڻ شامل آهي. ڪنٽرول پينل ڏانھن وڃو سسٽم جي ملڪيت ڳوڙھي سسٽم جي سيٽنگون ماحولياتي وسيلن. هيٺيان ڪيبل شامل ڪريو:
  • AWS_IAM_HOME : هي متغير ڊائريڪٽر کي سيٽ ڪريو جيڪو ڪلڪ ڪيو ويو جتي توهان CLI ٽولڪ کٽ ڪيو. جيڪڏهن توهان ونڊوز هلائيندا آهيو ۽ پنهنجي سي ڊرائيو جي ريٽ تي انزال ڪيو آهي، متغير هجي C: \ IAMCli-1.2.0.
  • JAVA_HOME : هي متغير ڊائريڪٽر کي سيٽ ڪريو جتي جاوا نصب ٿيل آهي. هي جاني.exe فائل جو مقام هوندو. عام طور تي ونڊوز 7 ايڪا جاوا انسٽاليشن ۾، هي ڪجهه سي وانگر هوندو: \ پروگرام فائيل (x86) \ جاوا جري 6.
  • AWS_CREDENTIAL_FILE : ڊيٽابيس جي رستي ۽ فائيل جو نالو هي متغير مقرر ڪريو جيڪو توهان مٿان اپڊيٽ ڪيو آهي. جيڪڏهن توهان ونڊوز هلائيندا آهيو ۽ پنهنجي سي ڊرائيو جي ريٽ تي انزال ڪيو، متغير هجي C: \ IAMCli-1.2.0 \ aws-credential.template.
  • CLIENT_CONFIG_FILE : جيڪڏهن توهان پروسي سرور جي ضرورت هوندي آهي ته توهان صرف هن ماحول جي متحرڪ کي شامل ڪرڻ جي ضرورت آهي. جيڪڏهن توهان ونڊوز هلائيندا آهيو ۽ پنهنجي سي ڊرائيو جي ريٽ تي انزال ڪيو، متغير هجي C: \ IAMCli-1.2.0 \ client- config.template. هي متغير شامل نه ڪريو جيستائين توهان کي ضرورت ناهي.

• اڳوڻي حڪم تي وڃڻ سان انسٽاليشن کي جاچ ڪريو ۽ آء ايسٽ يوزرسٽ بيبيڪاٽ داخل ڪري. جيستائين جيستائين توهان کي غلطي ڪونه ملي، توهان کي وڃڻ سٺو آهي.

سڀ IAM حڪمن کي ڪنڊ پروٽين کان هلائي سگھجي ٿو. مڙني حڪمن سان گڏ "آئون"

هڪ گروپ ٺاهيو

هر AWS اڪائونٽ لاء تيار ڪيل 100 کان وڌيڪ گروپ آهن. جڏهن توهان صارف جي سطح تي IAM ۾ اجازت مقرر ڪري سگهو ٿا، گروپن کي بهترين طريقي سان استعمال ڪندي. هتي IAM ۾ هڪ گروپ ٺاهڻ لاء عمل آهي.

• هڪ گروپ ٺاهڻ لاء نحو آئي ايم گروپڪريٽ -g GROUPNAME آهي [-p پيٿ] [-v] جتي اختيارن جا-پي ۽-اختيار آهن. مڪمل دستاويز لائن جي انٽرنيٽ تي مڪمل دستاويز AWS ڊيڪم تي دستياب آهي.

• جيڪڏهن توهان چاهيو ته "awesomeusers" نالي هڪ گروهه ٺاهي سگهو ٿا، توهان حڪم ڪري سگهو ٿا، iam-groupcreate -g کي حڪم تڪڙو ۾ خوفناڪ آهي.
• توهان اهو ڳولي سگهو ٿا ته گروپ ائام گراپلسٽ بيبٿوٿ کي ڪنڊر پروٽين ۾ داخل ڪندي صحيح طور ٺاهي وئي. جيڪڏهن توهان صرف هن گروپ کي ٺاهي ڇڏيو آهي، انٽرويو جهڙوڪ ڪجهه شي "آرٽ: ايز: ايام :: 123456789012: گروپ / خوفزادو"، جتي نمبر توهان جو AWS اڪائونٽ نمبر آهي.

گروپ کي رسائي S3 بالٽ ۽ CloudFront تائين ڏيو

پاليسي جيڪو توهان جي گروپ S3 يا CloudFront ۾ ڪرڻ جي قابل آهي، سنڀاليندو آهي. ڊفالٽ طور، توهان جي گروپ AWS ۾ ڪنهن به شيء تائين رسائي نه هوندي. مون پاليسين تي دستاويز ڳولي سگهجن ته ٺيڪ ٿي پر پاليسين جي هٿيار ٺاهڻ ۾، مون کي آزمائشي ۽ آزمائشي طريقي سان ڪم ڪرڻ جو غلط طريقو حاصل ڪيو هو، جنهن کي آئون ڪم ڪرڻ چاهيندا.

پاليسيون ٺاهڻ لاء توهان جا ڪجهه اختيار آهن.

هڪ اختيار اهو آهي ته توهان انهن کي سڌو سنئون پريسٽ ۾ داخل ڪري سگهو ٿا. ڇاڪاڻ ته اهو توهان جي پاليسي ۽ ٽائيپ کي ٺاهڻ کان وٺي، مون لاء هن پاليسي کي متن فائل ۾ شامل ڪرڻ آسان بڻائي رهيو هو ۽ متن فائل کي امام-گروپ اپ لوڊپوليس سان پيراڊميٽ طور اپ لوڊ ڪرڻ آسان ٿي لڳي. هتي هڪ ٽيڪسٽ فائل استعمال ڪندي ۽ IAM ڏانهن اپلوڊ طريقو آهي.

• نوٽس پائي وانگر ڪجهه استعمال ڪريو ۽ هيٺ ڏنل متن داخل ڪريو ۽ فائل محفوظ ڪريو:
  
  {
  "بيان": [{
  "اثر": "اجازت"،
  "عمل": "s3: *"،
  "وسائل": [
  "آرٽ: ڪامز: s3 ::: BUCKETNAME"،
  "آرٽ: آڇ: s3 ::: BUCKETNAME / *"]
  }،
  {
  "اثر": "اجازت"،
  "ڪاروائي": "s3: ListAllMyBuckets"،
  "وسائل": "آرٽ: آڇ: s3 ::: *"
  }،
  {
  "اثر": "اجازت"،
  "عمل": ["cloudfront: *"]،
  "وسائل": "*"
  }
  ]
  }
  
• ھن پاليسي تائين 3 سيڪشن آھن. اثر کي استعمال ڪرڻ يا ڪجهه قسم جي رسائي کي رد ڪرڻ لاء استعمال ٿيندو آهي. عمل اهو خاص شين آهي جيڪو گروپ ڪري سگهن ٿا. انفرادي بالٽ تائين پهچڻ لاء وسيلا استعمال ڪيا ويندا.

• توهان انفرادي طور ڪم ڪري سگھون ٿا. هن مثال ۾، "هڪ عمل": ["s3: GetObject"، "s3: ListBucket"، "s3: GetObjectVersion"]، گروهه بطور جي مواد کي فهرست ڪرڻ ۽ شيون ڊائون لوڊ ڪري سگهندا.
• پهريون حصو "اجازت" جو گروپ بالٽ "BUCKETNAME" لاء سڀني S3 ڪارناما انجام ڏيڻ لاء.
• سيڪشن جو سيڪشن "آڇ" کي S3 ۾ سڀني بالٽ جي فهرست جو نالو ڏئي ٿو. توهان کي اها ضرورت آهي ته توهان اصل ۾ بالٽ جي لسٽ ڏسي سگهو ٿا جيڪڏهن توهان AWS ڪنسول وانگر ڪجهه استعمال ڪريو ٿا.

• ٽيون حصو گروپ گروپ کي مڪمل طور تي پهچائي ٿو.

IAM پاليسينن تي اچي ويندا آهن. ايم ڊي ايس جي پاليسي جنريٽر کي ايم ڊي جو هڪ بهترين طريقو آهي. هي اوزار هڪ GUI مهيا ڪندو آهي جتي توهان پنهنجي پاليسين ٺاهي سگهو ٿا ۽ پاليسين کي لاڳو ڪرڻ لاء حقيقي ڪوڊ ٺاهيو ٿا. توهان پڻ اي سي سڃاڻپ ۽ رسائي واري انتظام جي آن لائن دستاويزن کي استعمال ڪندي جي رسائي واري پاليسي جي سيڪشن جي جانچ ڪري سگهو ٿا.

صارف ٺاهيو ۽ گروپ ۾ شامل ڪريو

هڪ نئون صارف ٺاهڻ ۽ انهن کي رسائي ڏيڻ لاء هڪ گروپ کي شامل ڪرڻ جي عمل ۾ ڪجهه قدم شامل آهن.

• صارف ٺاهڻ لاء نحو آهي آء ايم-اي سگريٽ -u USERNAME [پي پي پي] [-g GROUPS ...] [-k] [-v] اختيارن جي چونڊيل آهي -p، -g، -k ۽ -v آهن. مڪمل دستاويز لائن جي انٽرنيٽ تي مڪمل دستاويز AWS ڊيڪم تي دستياب آهي.
• جيڪڏهن توهان چاهيو ته "بوب" وارو صارف ٺاهي سگهو ٿا، توهان کي داخل ڪري سگهون ٿا، آئون-انڪريٽ -u bob-g ڪنٽر پروٽين تي خوفناک.
• توهان اها پڪ ڪري سگهو ٿا ته صارف ائام-گراپلسٽسرس -g داخل ڪري سگهندڙ خوفن جي ڀڃڪڙي کي ترتيب ڏيندي هئي. جيڪڏهن توهان صرف هن صارف کي پيدا ڪيو هو، انٽرويو جهڙوڪ ڪجھ "آرٽ: ايز: ايام :: 123456789012: صارف / بوب" هوندو، جتي نمبر توهان جو AWS اڪائونٽ نمبر آهي.

Logon پروفائل ٺاھڻ ۽ چني ٺاھڻ

هن نقطي تي، توهان هڪ صارف ٺاهيو آهي پر توهان انهن کي اصل ۾ S3 کان شيون شامل ڪرڻ ۽ هٽائڻ جو رستو مهيا ڪرڻ جي ضرورت آهي.

توهان جي استعمال ڪندڙن کي SI استعمال ڪندي S3 تائين رسائي مهيا ڪرڻ لاء 2 اختيار موجود آهن. توهان هڪ لاگ ان پروفائل ٺاهي سگهو ٿا ۽ پنهنجي صارفين کي پاس ورڊ سان گڏ مهيا ڪري سگهو ٿا. اهي ايونٽ اي ايس ايس ڪنسول ۾ لاگ ان ڪرڻ لاء انهن جي صحيح استعمال ڪري سگهن ٿا. ٻيو اختيار اهو آهي ته توهان جي صارفين کي رسائي ۽ ڪيڏي چڪي کي ڏيو. اهي انهن چيڪين کي ٽئين پارٽي اوزار جهڙوڪ S3 فاکس، CloudBerry S3 Explorer يا S3 برائوزر ۾ استعمال ڪري سگهن ٿيون.

لاگ ان جي پروفائيل ٺاھيو

توهان جي S3 صارفين لاء هڪ لاگ ان پروفائل ٺاهي انهن صارف جو نالو ۽ پاسورڊ سان مهيا ڪري ٿي جيڪا اهي ايم ڊي اي ايس کنسول ۾ لاگ ان ڪرڻ لاء استعمال ڪري سگهن ٿا.

• لاگ ان پروفائل ٺاھڻ لاء نحو آء ايم يوزرڊلاگلاگ پروپوفائل -u USERNAME-P پاسورڊ آھي. مڪمل دستاويز لائن جي انٽرنيٽ تي مڪمل دستاويز AWS ڊيڪم تي دستياب آهي.
• جيڪڏهن توهان چاهيو ته صارف "بوب" لاء هڪ لاگ ان پروفائل ٺاهيو، توهان کي داخل ڪري سگهندو آهيان، مان توهان کي استعمال ڪري سگهندو آهيان، Iam-useraddloginprofile -u bob -p PASSWORD.

• توهان اهو ڳولي سگهو ٿا ته لاگ ان پروفائل درست ڪري صحيح حڪم ٺاهي وئي جيڪا ايام-usergetloginprofile -u bob کي ڪنٽر پروٽين تي داخل ڪندي. جيڪڏهن توهان بيب لاء هڪ لاگ ان پروفائل ٺاهي ڇڏيو، انٽرويو ڪجهه شي وانگر هوندو "لاگ ان جي پروفائل صارف بوڪ لاء موجود آهي".

چيڪ ٺاهيو

AWS خفیہ رسائي ڪيڀ ۽ ترتيب سان لاڳاپيل AWS رسائي ڪيلي شئي توهان جي صارفين کي ٽئين پارٽي سافٽ ويئر استعمال ڪرڻ جي اجازت ڏين ٿا جهڙوڪ جيڪي اڳ ذڪر ڪيل آهن. انهي کي ياد رکو ته سيڪيورٽي ماپ جي طور تي، توهان صارف پروفائل کي شامل ڪرڻ جي عمل جي دوران صرف انهن چابمن کي حاصل ڪري سگهو ٿا. پڪ ڪريو ته توهان پيسٽش پروپ کان مان ڪاپي ۽ پيسٽ ڪريو ۽ متن فائل ۾ محفوظ ڪريو. توهان پنهنجي يوزر کي فائيل موڪلي سگهو ٿا.

• صارف لاء ڪيچ شامل ڪرڻ لاء نحو آء ايم يوزرڊڊ [-u USERNAME] آهي. مڪمل دستاويز لائن جي انٽرنيٽ تي مڪمل دستاويز AWS ڊيڪم تي دستياب آهي.
• جيڪڏهن توهان چاهيو ته "بوب" صارف لاء ڪيچ ٺاهي سگهو ٿا، توهان کي حڪم پروپ تي ايام-يوزرڊڊ -u ببي داخل ڪيو هو.
• حڪم ڏيندو انهي ڪيان جيڪي هن جهڙو ڪجھ نظر ايندا.
  ايڪو ايڪو ڪي اي بي ايڪس ايم پي ايم
  عرصي جي اي پي جي ايم پي جي ايم پي ايڇ ڊي ڊي پي ڪ6 ايل8ngoX4PTEXAMPLE
  
  پهرين لڪير ۾ رسائي جي اهم شناخت آهي ۽ ٻيو لڪير رازڪ رسائي چابي آهي. توهان کي ٽئين پارٽي جي سافٽ ويئر لاء ٻنهي جي ضرورت آهي.

ٽيسٽ رسائي

هاڻي ته توهان IAM گروپن / صارفين کي ٺاهيو آهي ۽ انهن کي گروپن پاليسين جي استعمال جي رسائي حاصل ڪئي آهي، توهان کي رسائي جي جانچ ڪرڻ جي ضرورت آهي.

کنسول جي رسائي

توهان جو صارف AWS ڪنسول ۾ لاگ ان ڪرڻ لاء پنهنجي صارف جو نالو ۽ پاسورڊ استعمال ڪري سگهو ٿا. بهرحال، اهو باقاعده ڪنسول لاگ ان وارو صفحو ڪونه آهي جيڪو بنيادي AWS اڪائونٽ لاء استعمال ڪيو ويندو آهي.

هتي هڪ خاص URL آهي، جيڪا توهان استعمال ڪري سگهو ٿا جيڪي توهان جي ايم ڊي اي ايس اڪائونٽ تي صرف هڪ لاگ ان بڻجي سگهندا. هتي توهان جي IAM صارفين لاء S3 تي لاگ ان ڪرڻ لاء URL آهي.

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER توهان جو باقاعده AWS اڪائونٽ نمبر آهي. توهان ايم ايڪس ويب سروسز سائن ان فارم ۾ لاگ ان ڪندي حاصل ڪري سگهو ٿا. لاگ ان ۽ کاتو تي ڪلڪ ڪريو اڪائونٽ سرگرمي. توهان جو اڪائونٽ نمبر اوپري ساڄي ڪنڊ ۾ آهي. پڪ ڪريو ته ڊاھي ختم ڪريو. يو آر ايل جي اهڙي طرح نظر ايندي، https://123456789012.signin.aws.amazon.com/console/s3.

رسائي ڪيچ استعمال ڪندي

توهان هن مضمون ۾ اڳئين ٽئين پارٽي ٽئين پارٽي جا اوزار ڊائونلوڊ ۽ انسٽال ڪري سگهو ٿا. پنهنجي رسائي جي سڃاڻپ شناخت ۽ ٽئين پارٽي جي ٽولن جي سيڪريٽري رسائي ڪياني داخل ڪريو دستاويز.

مون کي مشورو ڏيو ته توهان هڪ شروعاتي صارف ٺاهيو ۽ انهي صارف کي مڪمل طور تي امتحان ڏئي ٿو ته اهي اهي سڀ شيون جيڪي S3 ۾ ڪرڻ گهرجن ٿيون. توهان جي هڪ صارفين جي تصديق ڪرڻ کان پوء، توهان پنهنجي S3 صارفين کي ترتيب ڏيڻ لاء اڳتي وڌائي سگهو ٿا.

ذريعا

هتي ڪجھه ذريعا آهن توهان کي سڃاڻپ ۽ رسائي جي انتظام (IAM) جي بهتر سمجهڻ ڏي.

• IAM سان شروع ڪيو
• IAM ڪمان لائن لائنڪٽ
• ايم ڊي اي ڊي جا ڪنسول
• AWS پاليسي جنريٽر
• AWS سڃاڻپ ۽ رسائي جي انتظام استعمال ڪندي

• آئي اي ايم رائيڊ جا نوٽيس
• IAM بحث فورم
• IAM سوالن جا