Пошто АВС пружа неколико услуга и огромне предности, природно је да су ИТ стручњаци изнели забринутост у вези са безбедношћу. Да би решио ове безбедносне проблеме, АВС је увео ИАМ услугу. АВС ИАМ је једна од кључних веб услуга која омогућава корисницима да обезбеде АВС ресурсе. ИАМ обезбеђује функционалност централног управљања приступом АВС услугама дефинисањем дозвола за различите кориснике.
Куицк Оутлине
У овом чланку ћете научити о:
Шта је АВС ИАМ улога?
Која је улога преузимања у АВС-у?
Како преузети ИАМ улогу користећи АВС ЦЛИ?
Са ИАМ улогама и дозволама, можемо утврдити аутентификован и овлашћен приступ АВС услугама. Ове улоге и дозволе може да додели само основни корисник (власник) АВС налога.
Шта је АВС ИАМ улога?
ИАМ улога је идентитет који је креирао роот корисник у оквиру АВС налога. Овом идентитету се додељују посебне дозволе које дефинишу обим приступа ИАМ улоге АВС ресурсима. Овим дозволама може управљати АВС или их може дефинисати роот корисник.
ИАМ улога је веома слична ИАМ кориснику осим што је ИАМ улога идентитет са одређеним дозволама, док корисник може преузети ове улоге да би обављао одређене функције. Дозволе које су додељене улози дефинишу које радње се могу предузети са овим идентитетом (ИАМ улога).
Која је улога преузимања у АВС-у?
Претпоставимо да је улога једна од функционалности АВС ИАМ услуге која омогућава кориснику да делује са АВС услугама иако дозволе за приступ или манипулацију ресурсом у оквиру услуге нису додељене кориснику. Ове дозволе се индиректно додељују кориснику када се преузме улога. Скуп привремених акредитива заједно са пријавом заснованом на сесији се користи за приступ АВС ресурсима.
Ови привремени акредитиви укључују тајни приступни кључ, ИД кључа за приступ и сигурносни токен. ИАМ улоге које је креирао АВС роот корисник могу преузети други корисници у оквиру АВС налога или они корисници чији се АРН помиње у политици улоге. Политика која садржи АРН корисника или ресурса позната је као Политика поверења .
Која је разлика између политике дозвола и политике поверења?
Пре имплементације функције преузимања улоге путем различитих метода, постоје два основна концепта која корисник мора да разуме. Постоје две врсте смерница у ИАМ сервису:
-
- Политика поверења: Политика поверења одређује ко може да преузме одређену улогу ИАМ-а. Да би улогу преузео корисник, АРН корисника се помиње у политици поверења ИАМ улоге. Ова политика поверења одређује да ли је корисник или ресурси ентитет од поверења за преузимање ове улоге.
- Политика дозвола: Ова политика одређује шта корисник може да уради или које радње могу да се изврше са улогом.
Како преузети ИАМ улогу користећи АВС ЦЛИ?
Преузети улогу је слично као да се прерушите у другог корисника који је аутентификован и овлашћен да изврши одређене радње. Док преузима идентитет, АВС је обезбедио да безбедност остане нетакнута.
Хајде да разумемо рад функције Претпоставке улоге тако што ћемо размотрити следећи пример.
На пример, постоји корисник у оквиру АВС налога коме нису додељене никакве дозволе за С3 сегмент. Тхе „Приступ само за читање“ назива се политика дозвола која је повезана са ИАМ улогом. Да би корисник преузео ову улогу, АРН корисника се помиње у политици ИАМ улоге. Ова политика се сада зове као 'политика поверења' и разликује се од политике дозвола. Политика поверења је кључна јер помаже АВС-у да утврди да ли је корисник овлашћено лице или не.
Имајте на уму да се АРН помиње у политици поверења, а не у политици дозвола ИАМ улоге. Преузимањем улоге, корисник може да изврши неколико административних радњи дефинисаних политиком дозвола улоге. Ове радње укључују додавање, брисање, измену или враћање ресурса итд.
Следе три метода за преузимање улоге са АВС ЦЛИ:
Метод 1: Коришћење СТС (услуга безбедносних токена)
Корисници могу преузети улогу извршавањем команди у одељку СТС (Сецуре Токен Сервице) који враћа скуп привремених акредитива. Привремени акредитиви се користе за успостављање пријаве засноване на сесији за упућивање АПИ позива ресурсима. Међутим, постоје два изузетка док користите СТС, тј. ГетФедератионТокен и ГетСессионТокен.
Кориснику је забрањен приступ овим токенима како би осигурао поверљиве информације токена сесије и федерације. Тако да безбедност ни под којим околностима није угрожена. Преузимајући улогу, корисник може да подигне своје додељене привилегије.
У овом одељку чланка, захтеваћемо скуп привремених акредитива помоћу СТС команди. Испод су кораци:
-
- Корак 1: Креирајте корисничку и корисничку политику
- Корак 2: Приложите смернице са корисником
- Корак 3: Креирајте политику поверења и ИАМ улогу
- Корак 4: Креирајте приступне кључеве
- Корак 5: Конфигуришите приступни кључ и потврдите ИАМ корисника
- Корак 6: Преузмите улогу ИАМ-а
- Корак 7: Конфигуришите променљиве окружења
- Бонус савет: Поништите подешавања променљивих окружења
Корак 1: Креирајте корисничку и корисничку политику
Прво, хоћемо креирајте ИАМ корисника без икаквих дозвола. У ту сврху отворите ЦМД из Старт менија Виндовс-а:
Само роот корисник моћи Креирај ан ИАМ корисник у оквиру АВС налога. Стога се пријавите на АВС основни налог користећи следећу команду:
Акредитиви су већ конфигурисани унутар ЦЛИ за ову демонстрацију као што је приказано у излазу команде:
Сазнајте више:
До креирајте ИАМ корисника , обезбедите следећу команду за ЦЛИ:
авс иам цреате-усер --корисничко име демо-корисник
Заменити демо-корисник са својим ИАМ корисничко име.
Спасити „Арн” дато у излазу команде како ће бити потребан када стварајући тхе Политика поверења :
Опширније:
Следећи корак је да дозвола корисник (демо-корисник ) до преузети улогу . У ту сврху креирајте а ЈСОН фајл користећи било који текст едитор преферирате. За овај демо смо користили Нотепад као што је наведено у доле наведеној команди:
За Виндовс
нотепад усер-полици.јсон
Заменити корисничка политика са именом ваше ИАМ политике.
За Линук ОС
јер усер-полици.јсон
Тренутно користимо Виндовс оперативни систем за ову демонстрацију:
Ово ће отворити бележницу. Налепите следећу политику у бележницу и притисните „ЦТРЛ + С“ са тастатуре да бисте сачували промене:
'Верзија' : '2012-10-17' ,
'Изјава' : [
{
'Ефекат' : 'Дозволи' ,
'Поступак' : [
'ец2:Опиши*' ,
'иам:ЛистРолес' ,
'стс:АссумеРоле'
] ,
'Ресурс' : '*'
}
]
}
У наставку је дат кратак опис наведене политике:
-
- ец2:Опиши: Ова дозвола наводи да корисник може да види или наведе све АМИ, снимке или ЕЦ2 инстанце
- иам:ЛистРолес: Ова дозвола наводи да корисник може навести све улоге у оквиру ИАМ услуге.
- стс:Претпостављање улоге: Ова дозвола представља да корисник може преузети улогу дефинисану у оквиру ИАМ услуге.
Овде је политика измењена у оквиру бележнице и сачувана:
Сваки АВС ресурс се додељује ан Назив ресурса приступа (АРН) која јединствено идентификује ресурса. Да бисте одредили АРН политике, користите доле наведену команду.
У горе поменутој команди:
-
- –назив-политике: Замените вредност „корисничка политика“ са било којим називом политике по вашем избору.
- –политички документ: У овом пољу замените „ усер-полици.јсон” са именом јсон датотеке која садржи смернице за корисника.
Излаз горе поменуте команде је следећи. Спасити „Арн” споменуто у излазу политике јер ће бити потребно када се ова политика приложи кориснику:
Корак 2: Приложите смернице са корисником
Ова политика ће омогућити кориснику да наведе ЕЦ2 инстанце , Пријатељи , итд. Када корисник преузме улогу са другом дозволом, корисник ће моћи да изврши само ту специфичну радњу како то дозвољава политика дозвола.
Да бисте приложили смернице са корисником креираним раније у овом одељку, користите следећу команду:
авс иам аттацх-усер-полици --корисничко име демо-корисник --полици-арн 'арн:авс:иам::123456789:полици/усер-полици'
У горе поменутој команди:
-
- -корисничко име: Заменити „демо-корисник“ у -корисничко име поље са вашим ИАМ корисничким именом.
- –полици-арн: Слично томе, у –полици-арн, специфицирати „Арн” из излаза претходне команде, тј. –цреате-полици.
Извршавањем команде након уношења потребних измена, политика је успешно повезана са корисником:
Да бисте проверили да ли су смернице приложене кориснику, обезбедите следећу команду ЦЛИ:
Заменити демо-корисник са својим ИАМ корисничко име наведен приликом креирања корисника.
Излаз следеће команде потврђује да је политика успешно прикључена кориснику:
Корак 3: Креирајте политику поверења и улогу ИАМ
Однос поверења се успоставља када је ресурс или АРН корисника наведен у политици. Ова функционалност затим омогућава корисницима или ентитету да изводе одређене радње пошто их политика сматра поузданим.
У овом кораку ћемо креирати политику која успоставља однос поверења између ИАМ улоге и корисника. Ова политика поверења ће бити повезана са улогом ИАМ. ИАМ улогу ће тада преузети корисник који ће индиректно дозволити кориснику да изврши радње наведене у политици.
Да бисте креирали политику поверења, команде су дате на следећи начин:
За Виндовс
нотепад труст-роле-полици.јсон
Заменити труст-роле-полици.јсон са именом по вашем избору за полису.
За Линук ОС
јер труст-роле-полици.јсон
Заменити труст-роле-полици.јсон са именом по вашем избору за полису.
Политика поверења прати ЈСОН формат како је наведено у .јсон проширење у следећој команди:
Ово ће отворити бележницу. Залепите Следећи политика унутар бележнице и притисните „ЦТРЛ + С“ дугме са тастатуре да бисте сачували промене. АРН корисника се такође може копирати са корисничке контролне табле на ИАМ конзоли. У ту сврху посетите ИАМ контролну таблу и кликните на име корисника. Из приказане конфигурације копирајте АРН корисника који је приказан у одељку Резиме.:
'Верзија' : '2012-10-17' ,
'Изјава' : {
'Ефекат' : 'Дозволи' ,
'Главни' : {
'АВС' : 'арн:авс:иам::123456789012:усер/екампле-усер'
} ,
'Поступак' : 'стс:АссумеРоле'
}
}
У горе наведеној политици:
-
- АВС: Заменити Вредност поља АВС „арн:авс:иам::123456789012:усер/екампле-усер ”са АРН корисника који је приказан у излазу команде –цреате-усер.
Корисник може ограничити друге кориснике да преузму улогу ИАМ-а тако што ће навести АРН корисника у „АВС“ поље:
Опширније:
Сада креирајте ИАМ улогу и приложите политику поверења са њом. Да бисте креирали ИАМ улогу, користите доле наведену команду:
авс иам креирати улогу --име-улоге корисничка улога --преузми-улогу-политику-документ фајл: // труст-роле-полици.јсон
Следи опис горе наведених поља:
-
- –име-улоге: Ово поље се користи за унос имена које ће бити додељено овој ИАМ улози. Замените вредност „улога корисника“ именом ИАМ улоге по вашем избору.
- –документ-политике-преузете улоге: У овом пољу наведите путању као што је дато у команди. Замените труст-роле-полици.јсон именом политике како сте навели у претходном одељку.
Извршавањем ове команде, вратиће неколико информација у излазу, нпр. АРН, путања, ИД, итд:
Опширније:
По преузимању ове улоге, корисник ће моћи да изврши „Приступ само за читање“ акција са С3 кашиком. Команда се даје на следећи начин:
авс иам аттацх-роле-полици --име-улоге корисничка улога --полици-арн 'арн:авс:иам::авс:полици/АмазонС3РеадОнлиАццесс'
У горњој команди:
-
- –име-улоге: Заменити ' корисничка улога” у пољу –име-улоге са Име ИАМ улоге које сте раније навели у овом водичу.
- –полици-арн: Арн наведен у –полици-арн се односи на дозволу РеадОнлиАццесс за С3 сегмент.
На овој слици, улози је додељена дозвола РеадОнлиАццесс за С3 корпу:
Да бисте проверили да ли је дозвола додељена улози или не користите следећу команду:
Заменити „улога корисника“ са именом вашег ИАМ улоге.
Тхе „АмазонС3РеадОнлиАццесс“ дозвола је придружена улози ИАМ. Излаз команде је дат на следећи начин:
Корак 4: Креирајте приступне кључеве
У овом одељку ћемо креирати приступне кључеве за корисника. Приступни кључеви ће се користити за пријаву на АВС налог:
авс иам цреате-аццесс-кеи --корисничко име демо-корисник
Заменити демо-корисник са вашим ИАМ корисничким именом датим у тренутку креирања корисника.
Овде је команда вратила скуп парова приступних кључева (АццессКеиИд и Сецрет Аццесс Кеи) са додатним детаљима као што су датум креирања, статус итд. сачувати АццессКеиИд и СецретАццессКеи као што су потребни касније у водичу:
Опширније:
Корак 5: Конфигуришите приступни кључ и потврдите ИАМ корисника
Да бисте конфигурисали приступни кључ, унесите следећу команду за ЦМД, а затим унесите ИД приступног кључа и тајни приступни кључ:
авс цонфигуре
Наведите ИД приступног кључа и тајни приступни кључ за ЦЛИ који су креирани у 4. кораку овог одељка. За регион смо задржали подразумевана подешавања. Корисници могу да конфигуришу било који излазни формат за подразумевани излазни формат. За овај демо смо навели ЈСОН формат:
Да бисте проверили да ли је ИАМ корисник конфигурисан, обезбедите следећу команду ЦЛИ:
Излаз наредбе показује да је „демо-корисник“ је успешно конфигурисан и тренутно је пријављен на АВС налог:
Да бисте утврдили да ИАМ корисник може да наведе ЕЦ2 инстанце и да тренутно нема приступ С3 буцкету, користите следећу команду:
Излаз команде је дат на следећи начин:
Сада наведите следећу команду да бисте проверили да ли корисник може да приступи С3 канти:
Ово ће приказати 'Приступ забрањен' грешка која указује да кориснику није дозвољен приступ С3 буцкету:
Корак 6: Преузмите улогу ИАМ-а
Корисник има дозволу да наведе ИАМ улоге у оквиру АВС налога. Стога, да бисмо преузели улогу, прво ћемо добити потребне информације као што је АРН извршавањем следеће команде:
авс иам листа-улога --упит „Ролес[?РолеНаме == 'усер-роле'].[РолеНаме, Арн]“
Замените „улогу корисника“ именом ИАМ улоге у пољу „Назив улоге“.
АРН је дат у излазу горе поменуте команде:
Сада када имамо АРН улоге ИАМ, можемо преузети улогу користећи следећу команду:
У горњој команди:
-
- –роле-арн: Замените поменуту вредност за –роле-арн АРН-ом ИАМ улоге.
- –име-сесије-улоге: Корисник може дати било које жељено име за ово поље.
Извршавањем горе наведене команде враћен је скуп привремених акредитива. Ови привремени акредитиви ће се користити за преузимање ИАМ улоге са жељеном дозволом, тј. РеадОнлиАццесс. АццессКеиИд и СецретАццессКеи ће се користити приликом конфигурисања ових привремених акредитива:
Ево кратког описа излаза команде:
-
- СессионТокен: Токен сесије се користи за креирање пријаве засноване на сесији. Сачувајте вредност овог поља јер ће бити потребна током конфигурисања акредитива.
- Истицање: Токен сесије има датум и време истека. Токен неће бити од користи након наведеног времена и корисник неће моћи да преузме улогу.
Корак 7: Конфигуришите променљиву окружења
Да бисмо конфигурисали привремене акредитиве, користићемо команду „сет“ за Виндовс, а затим обезбедити вредност ИД-а приступног кључа, тајног приступног кључа, токена сесије, итд:
За Виндовс
комплет АВС_АЦЦЕСС_КЕИ_ИД =РолеАццессКеиИД
Замените РолеАццессКеиИД ИД-ом приступног кључа који је враћен наредбом у кораку 6.
За Линук ОС
извоз АВС_АЦЦЕСС_КЕИ_ИД =РолеАццессКеиИД
Замените РолеАццессКеиИД ИД-ом приступног кључа који је враћен наредбом у кораку 6.
Приступни кључ је конфигурисан:
Затим ћемо конфигурисати тајни приступни кључ користећи команду „сет“ за Виндовс:
За Виндовс
комплет АВС_СЕЦРЕТ_АЦЦЕСС_КЕИ =РолеСецретКеи
Замените РолеСецретКеи вредношћу тајног приступног кључа коју је вратила команда у кораку 6.
За Линук ОС
извоз АВС_СЕЦРЕТ_АЦЦЕСС_КЕИ =РолеСецретКеи
Замените АВС_СЕЦРЕТ_АЦЦЕСС_КЕИ са тајним приступним кључем који је враћен наредбом у кораку 6.
Тајни приступни кључ је успешно конфигурисан:
На крају, конфигурисаћемо токен сесије да успостави пријаву засновану на сесији. У ту сврху користите доле наведену команду:
За Виндовс
комплет АВС_СЕССИОН_ТОКЕН =РолеСессионТокен
Замените РолеСессионТокен вредношћу токена сесије коју је вратила команда у кораку 6.
За Линук ОС
извоз АВС_СЕССИОН_ТОКЕН =РолеСессионТокен
Замените РолеСессионТокен вредношћу токена сесије коју је вратила команда у кораку 6.
Вредност токена сесије је успешно конфигурисана:
Да бисте копирали вредност токена сесије из ЦМД-а, притисните „ЦТРЛ + СХИФТ+ Ц“ .
Након конфигурисања променљивих окружења, проверите коришћењем следеће команде да ли је ту улогу преузео корисник:
авс стс гет-цаллер-идентити
Излаз команде потврђује да је ИАМ улога била успешно претпостављено од стране корисника као што је АРН повратак „арн:авс:стс::123456789012:претпостављена-улога/улога-корисника/АВСЦЛИ-сесија” уместо “арн:авс:иам::123456789012:усер/демо-усер”:
Пошто улога садржи дозволу РеадОнлиАццесс, корисник би сада требало да буде у могућности да пријави групе. У ту сврху, наведите следећу команду за ЦЛИ:
Излаз команде успешно укључује сву С3 канту која је тренутно конфигурисана у оквиру АВС налога:
Међутим, корисник неће моћи да приступи ЕЦ2 услузи јер преузета улога нема дозволу за ЕЦ2 услугу. Да бисте ово проверили, користите следећу команду:
Раније је корисник могао да приступи информацијама о ЕЦ2 сервису. Међутим, након извршења горе наведене команде, ан 'Приступ забрањен' дошло је до грешке. Корисник је успешно преузео ИАМ улогу:
Ово је све из овог одељка.
Бонус савет: Поништите подешавања променљивих окружења
Да би се вратио ИАМ кориснику, тј. демо кориснику, корисник може уклонити променљиве окружења тако што ће променљиве окружења поставити на празне стрингове. Следеће су дате команде:
За Виндовс
КОМПЛЕТ АВС_АЦЦЕСС_КЕИ_ИД =КОМПЛЕТ АВС_СЕЦРЕТ_АЦЦЕСС_КЕИ =
КОМПЛЕТ АВС_СЕССИОН_ТОКЕН =
За Линук
Користите доле наведену команду:
унсет AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN
Горе поменуте команде ће поништити варијабле окружења:
Након извршења горњих команди, конзола би сада требало да врати „демо-корисник“ као тренутно пријављен корисник уместо претпостављене улоге, тј. корисничке улоге. У ту сврху користићемо следећу команду:
Излаз команде показује да је тренутно пријављен корисник демо-корисник:
Слично томе, да бисте се пријавили као роот корисник, пратите „Ц:\Усерс%УСЕРПРОФИЛЕ%.авс” путању и кликните на датотеку акредитива:
У датотеци акредитива замените вредности приступног кључа и тајног приступног кључа са приступним и тајним приступним кључем роот корисника:
Дајте следећу команду ЦЛИ да бисте проверили да ли су акредитиви исправно конфигурисани:
Овде, на слици испод, можемо видети да су приступни кључ и тајни приступни кључ роот корисника успешно конфигурисани:
То је све из овог одељка туторијала.
Метод 2: Коришћење параметра –профиле
Други метод преузимања улоге је коришћење поља „–профил“ у ЦЛИ. Овај одељак чланка представља практичну примену преузимања улоге у АВС-у преко –профила. У наставку су кораци за то:
Корак 1: Креирајте ИАМ корисника
Да бисте креирали ИАМ корисника, пријавите се на основни кориснички налог преко ЦЛИ користећи следећу команду:
авс цонфигуре
Акредитиви су већ конфигурисани унутар ЦЛИ за ову демонстрацију као што је приказано у излазу команде:
Сазнајте више:
Да бисте креирали ИАМ корисника, обезбедите следећу команду ЦЛИ:
авс иам цреате-усер --корисничко име профил-корисник
Корисник је успешно креиран. Сачувајте АРН корисника као што је приказано на доњој слици. АРН овог ИАМ корисника ће се користити касније у овом водичу. Тренутно не постоје дозволе повезане са овим ИАМ корисником:
Опширније:
Корак 2: Креирајте приступни кључ
У АВС-у, сваком кориснику је додељен пар приступних кључева за пријаву. Да бисте креирали приступне кључеве за овог корисника, обезбедите му следећу команду:
авс иам цреате-аццесс-кеи --корисничко име профил-корисник
Ова команда враћа скуп приступних кључева. сачувати тхе АццессКеиИд и СецретАццессКеи јер ће бити потребно приликом пријављивања на АВС налог:
Сада ако се пријавимо на АВС ЦЛИ користећи ове АццессКеиИд и СецретАццессКеи и приступимо било ком ресурсу, нпр. С3 канта, 'Приступ забрањен' доћи ће до грешке. То је зато што тренутно не постоје дозволе повезане са ИАМ корисником. Да бисте се пријавили на АВС ЦЛИ, користите следећу команду и наведите ИД приступног кључа и тајни приступни кључ као што су претходно креирани:
Заменити „профил-корисник“ са ИАМ корисничким именом које сте навели приликом креирања корисника.
Овде смо се успешно пријавили на АВС ЦЛИ као ИАМ корисник:
Да бисте проверили да ли овај корисник има било какве дозволе само за читање за С3 корпу, наведите следећу команду ЦЛИ:
Замените корисника профила ИАМ корисничким именом које сте навели приликом креирања корисника.
Пошто овом кориснику није додељена никаква дозвола од стране роот корисника, то ће резултирати „ Приступ забрањен ” грешка:
Корак 3: Креирајте политику поверења и ИАМ улогу
Политика поверења одређује да ли је корисник или АВС ресурс поуздан ентитет за преузимање улоге и стицање дозвола. Овај однос поверења се креира навођењем АРН-а ИАМ корисника или АВС ресурса у оквиру смерница за дозволе.
Да бисте креирали политику поверења унутар ИАМ-а, обезбедите следећу команду ЦЛИ-у:
За Виндовс
нотепад труст-полици.јсон
Заменити труст-полици.јсон са именом по вашој жељи за полису.
За Линук ОС
јер труст-роле-полици.јсон
Заменити труст-полици.јсон са именом по вашој жељи за полису.
Корисници могу да користе било који уређивач текста по свом избору. За ову демонстрацију користимо нотепад:
Ово ће отворити бележницу за креирање политике поверења. Налепите следећу политику у бележницу и притисните „ЦТРЛ + С“ са тастатуре да примените и сачувате промене:
'Верзија' : '2012-10-17' ,
'Изјава' : {
'Ефекат' : 'Дозволи' ,
'Главни' : {
'АВС' : 'арн:авс:иам::012345678910:усер/профиле-усер'
} ,
'Поступак' : 'стс:АссумеРоле'
}
}
У горњој политици: АВС: Замените вредност „арн:авс:иам::012345678910:усер/полици-усер“ са АРН корисника ИАМ-а креираним раније у овом одељку.
Политика је измењена у оквиру бележнице:
Затим ћемо креирати ИАМ улогу и на њу приложити горњу политику поверења. Користите следећу команду да креирате ИАМ улогу:
У горе поменутој команди:
-
- –име-улоге: Заменити 'моја улога' са именом улоге ИАМ по вашем избору.
- –документ-политике-преузете улоге: У овом пољу замените термин “труст-полици.јсон” са именом ваше ИАМ политике поверења
ИАМ улога је успешно креирана. Сачувајте ИАМ улогу. Сачувајте АРН улоге ИАМ као што је истакнуто на следећој слици. Овај АРН ће се користити приликом конфигурисања профила корисника:
Политика поверења везана за ИАМ идентификује да ли корисник има поверења или не за преузимање улоге. Политика дозвола одређује да ли улога ИАМ-а има потребну дозволу да изврши одређену радњу са АВС услугама или не.
Пошто је политика поверења везана за ИАМ улогу, следећи корак је прикључивање политике дозвола за ИАМ улогу. Доле поменута команда ће се користити за прикључивање политике дозвола за ИАМ улогу:
авс иам аттацх-роле-полици --име-улоге моја улога --полици-арн 'арн:авс:иам::авс:полици/АмазонС3РеадОнлиАццесс'
Овде је политика дозвола придружена ИАМ улози преко ЦЛИ:
Корак 4: Конфигуришите профил
Да би корисник преузео ову улогу, прво ћемо конфигурисати овај профил у оквиру акредитива АВС-а. Да бисте приложили ове привремене акредитиве, наведите следећу команду:
нотепад ~ / .авс / цонфиг
Бонус савет: Решите „Путања није наведена“ у Нотепад-у
Конфигурациони фајл ће садржати [подразумевано] поставку АВС ЦЛИ. Међутим, ако нотепад приказује „Систем не може да пронађе наведену путању“, унесите доле наведену команду:
нотепад .авс / цонфиг
Корисници Линук-а могу да користе 'јер' едитор за конфигурисање профила. Корисници могу да користе било који уређивач по свом избору да отворе конфигурациону датотеку АВС-а на локалној машини:
Унутар конфигурационе датотеке отворене у Нотепад-у, уредите следеће промене:
роле_арн = арн:авс:иам::012345678910:улога / моја улога
изворни профил =профил-корисник
У горњем исечку:
-
- роле_арн: Замените вредност „арн:авс:иам::012345678910:роле/мироле“ са АРН-ом ИАМ улоге.
- изворни профил: У овом пољу наведите име ИАМ корисника који је креиран у 1. кораку ове методе.
Након што извршите потребне промене, притисните „ЦТРЛ + С“ са тастатуре да примените и сачувате промене:
Сада, да бисте проверили да ли корисник сада може да наведе С3 канте или не, обезбедите следећу команду ЦЛИ-у:
У горњој команди: –профил-корисник: У овом пољу замените вредност „профиле-усе“ именом које сте навели у конфигурационој датотеци.
Пошто смо навели „профил-корисник“ у конфигурационој датотеци, стога ћемо користити исто име са командом у ЦЛИ. Раније корисник није могао да приступи С3 сервису АВС-а јер му нису додељене дозволе. ИАМ улога има дозволу „РеадОнлиАццесс“ за С3 сегмент и стога, преузимањем ове улоге, корисник може да наведе сегменте са С3 контролне табле:
То је све из ове методе туторијала.
Метод 3: Коришћење МФА (вишефакторска аутентификација)
Омогућавањем вишефакторске аутентификације, корисник може да конфигурише додатни ниво безбедности за кориснички налог. Када је МФА омогућена, неовлашћени корисници не могу приступити корисничком налогу чак и ако дају лозинку и корисничко име. МФА је шестоцифрени код потребан за пријаву на налог. Да бисте сазнали више о вишефакторској аутентификацији, погледајте овај чланак:
Следе кораци за преузимање улоге у МФА преко ЦЛИ:
Корак 1: Креирајте ИАМ корисника и омогућите МФА
За овај корак, корисник може користити ЦЛИ за креирање корисника или приступити АВС конзоли за управљање. Пријавите се на основни кориснички налог користећи следећу команду:
авс цонфигуре
Излаз команде је дат на следећи начин:
Да бисте креирали корисника, обезбедите следећу команду ЦЛИ:
У горњој команди: -корисничко име: Заменити “мфа-усер” са ИАМ корисничким именом по вашем избору.
Корисник је успешно креиран. Сачувајте АРН корисника јер ће то бити потребно касније у овом одељку. Тренутно овом кориснику нису додељене никакве дозволе:
Да бисте омогућили МФА, посетите АВС Манагемент Цонсоле и потражите ИАМ услугу. Кликните на њега из приказаних резултата:
Кликните на опцију Корисници у левом окну за навигацију ИАМ услуге. На контролној табли корисника кликните на корисничко име да бисте конфигурисали МФА:
На следећем интерфејсу, додирните „Безбедносни акредитиви“ опција:
Померите се надоле до Вишефакторска аутентификација одељак и кликните на „Додели МФА уређај“ дугме:
Обезбеди смислено име у Име уређаја текстуално поље на приказаном интерфејсу:
Померите се надоле до одељка МФА уређај. Кориснику су представљене различите опције за омогућавање МФА као што је скенирање КР кода, преко безбедносног кључа или хардверског ТОТП токена. За ову демонстрацију, изаберите „Апликација Аутхентицатор“ опција:
Додирните 'Следећи' дугме на дну интерфејса да бисте наставили даље:
Кликните „Прикажи КР код“ као што је приказано на слици испод:
Покрените апликацију на свом мобилном или лаптопу за скенирање КР кода. Додирните “+” опција из Симантец ВИП интерфејса:
У Плаи продавници, Симантец ВИП је назван као ВИП приступ.
На следећем интерфејсу Симантец ВИП-а кликните на Скенирање КР код дугме на дну интерфејса:
Скенирајте КР код са АВС МФА Интерфејс апликације Аутхентицатор приказати. Овај код ће генерисати низ кодова који ће бити потребни за пријављивање на ИАМ корисничку конзолу:
Симантец ВИП апликација ће се генерисати шестоцифрени ОТП након скенирања КР кода. Ови кодови ће наставити да долазе након сваког 30 секунди . Снимак екрана испод показује два кода која се генеришу:
Дајте кодове за МИП шифра 1 и МИП шифра 2 текстуална поља на интерфејсу апликације Аутхентицатор МФА. Кликните „Додај МФА“ дугме након тога да бисте омогућили функционалност:
МФА је успешно омогућена за ИАМ корисника. Ово се може потврдити помоћу „Вишефакторска аутентификација (МФА)“ одељак на „Безбедносни акредитиви“ таб оф тхе ИАМ корисник . Из овог одељка сачувајте вредност идентификатора јер ће бити потребна док преузимате улогу:
Корак 2: Приложите смернице са корисником
Да би корисник преузео улогу, корисник мора бити у стању да наведе ИАМ улогу да одреди коју улогу да преузме и дозволу за преузимање улоге. Да бисте кориснику дали потребну дозволу, следите Методе 1 у овом водичу
Корак 3: Креирајте политику поверења и улогу ИАМ
Следећи корак је креирање политике поверења како би се утврдило да ли је корисник поуздан ентитет или не. Ова политика поверења ће тада бити придружена улози ИАМ-а. Да бисте креирали политику поверења и ИАМ улогу, идите до командне линије и пратите 1. методе у овом чланку.
Корак 4: Креирајте приступни кључ
Да би корисник био ауторизован и аутентификован, генерише се пар приступних кључева који су глобално јединствени на АВС платформи. Ови парови кључева се користе у тренутку пријављивања на АВС налог. Да бисте креирали приступне кључеве за ИАМ корисника, следите Методе 1 у овом чланку.
Корак 5: Конфигуришите акредитиве
АВС корисник може приступити АВС ресурсима и услугама само ако су акредитиви исправно конфигурисани. У овом одељку Методе, конфигурисаћемо акредитиве ИАМ корисника тако што ћемо обезбедити приступни кључ и тајни приступни кључ интерфејсу командне линије. У ту сврху пратите метода 1 овог упутства.
Корак 6: Преузмите улогу ИАМ-а
Након успешног повезивања ИАМ улоге и имплементације политике поверења, корисник сада може преузети улогу ИАМ-а. У ту сврху, обезбедите следећу команду ЦЛИ:
авс иам цреате-аццесс-кеи --корисничко име мфа-усер
Овде је кључ успешно креиран за ИАМ корисника. Сачувајте АццессКеиИд и СецретАццессКеи јер ће они бити потребни за пријављивање на АВС налог:
Следећи корак је конфигурисање приступних кључева у оквиру АВС ЦЛИ. Користите доле наведену команду за конфигурисање ЦЛИ:
Обезбедите приступни кључ и тајни приступни кључ за ЦЛИ за конфигурације:
Да бисте проверили да ли се ИАМ корисник пријавио на АВС ЦЛИ, користите следећу команду:
Излаз команде је дат на следећи начин што указује да се корисник успешно пријавио на АВС конзолу:
Корисник има дозволу да наведе ИАМ улоге у оквиру АВС налога. Команда дата у наставку се користи за листање ИАМ улога:
У горњој команди: Име улоге: Унутар овог поља замените вредност „мфа-роле“ именом своје ИАМ улоге.
Излаз команде је дат на следећи начин:
Да бисте преузели улогу ИАМ-а са МФА, користите команду преузимања улоге са додатним параметрима као што су серијски број и код токена. Дајте следећу команду ЦЛИ:
У горњој команди:
-
- –роле-арн: Замените вредност овог поља АРН-ом ваше ИАМ улоге.
- –име-сесије-улоге: У овом пољу, корисник може дати било које име сесије по избору.
- -серијски број: Замените вредност овог поља вредношћу идентификатора из МФА интерфејса која је раније сачувана.
- –токен-цоде: Ову вредност треба заменити тренутним кодом приказаним у Симантец ВИП интерфејсу.
Тренутни код приказан у Симантец ВИП-у је дат на следећи начин. Исти код ће се користити у вредности –токен-цоде команде:
Излаз команде ће садржати привремене акредитиве као што су токен сесије, приступни кључ, тајни приступни кључ, итд:
Корак 7: Конфигуришите променљиве окружења
Приступни кључеви и враћени токен сесије ће се сада користити за успостављање пријаве засноване на сесији и преузимање улоге. Детаљна имплементација за конфигурисање окружења је разматрана у метода 1.
Последње мисли
Да бисте преузели улогу користећи ЦЛИ, постоје три методе, тј. преко СТС-а (услуга безбедносних токена), параметра –профила или МФА (вишефакторска аутентификација). Да би корисник преузео улогу, прво се мора успоставити политика поверења. Ова политика поверења одређује да ли је корисник поуздан ентитет или не. Ова функционалност је неопходна јер се бави безбедносним проблемима ИТ стручњака и појединаца. Штавише, корисник може преузети улогу само ако има потребне дозволе.
Када корисник преузме улогу у АВС-у, креира се пријављивање засновано на сесији да би се кориснику са жељеним дозволама омогућио временски ограничени приступ. Генерише се токен који истиче након одређеног времена и стога корисник више не може да обавља административни задатак са АВС ресурсима. Овај чланак пружа практичну примену три методе за преузимање улоге у АВС ЦЛИ.