Πώς να αναλάβετε έναν ρόλο IAM χρησιμοποιώντας το AWS CLI;

Καθώς το AWS παρέχει πολλές υπηρεσίες και τεράστια οφέλη, είναι φυσικό οι ανησυχίες για την ασφάλεια να τέθηκαν από τους ειδικούς πληροφορικής. Για την αντιμετώπιση αυτών των προβλημάτων ασφαλείας, η υπηρεσία IAM εισήχθη από την AWS. Το AWS IAM είναι μία από τις βασικές υπηρεσίες web που επιτρέπουν στους χρήστες να ασφαλίζουν πόρους AWS. Το IAM παρέχει τη λειτουργικότητα της κεντρικής διαχείρισης πρόσβασης των υπηρεσιών AWS ορίζοντας τα δικαιώματα για διαφορετικούς χρήστες.

Γρήγορο περίγραμμα

Σε αυτό το άρθρο, θα μάθετε για:

Ποιος είναι ο ρόλος του AWS IAM;
Τι είναι το Assume Role στο AWS;
Πώς να αναλάβετε έναν ρόλο IAM χρησιμοποιώντας το AWS CLI;

• • Μέθοδος 1: Χρήση του STS (Security Token Service)
  • Μέθοδος 2: Χρήση παραμέτρου –profile
  • Μέθοδος 3: Χρήση MFA (Επαλήθευση πολλαπλών παραγόντων)

Τελικές σκέψεις

Με τους ρόλους και τα δικαιώματα του IAM, μπορούμε να προσδιορίσουμε την επαληθευμένη και εξουσιοδοτημένη πρόσβαση στις υπηρεσίες AWS. Αυτοί οι ρόλοι και τα δικαιώματα μπορούν να εκχωρηθούν μόνο από τον ριζικό χρήστη (κάτοχο) του λογαριασμού AWS.

Ποιος είναι ο ρόλος του AWS IAM;

Ο ρόλος IAM είναι μια ταυτότητα που δημιουργείται από τον χρήστη root εντός του λογαριασμού AWS. Σε αυτήν την ταυτότητα εκχωρούνται συγκεκριμένα δικαιώματα που ορίζουν το εύρος πρόσβασης του ρόλου IAM σε πόρους AWS. Αυτά τα δικαιώματα μπορούν είτε να διαχειρίζονται AWS είτε να ορίζονται προσαρμοσμένα από τον χρήστη root.

Ένας ρόλος IAM είναι πολύ παρόμοιος με τον χρήστη IAM, εκτός από το ότι ο ρόλος IAM είναι μια ταυτότητα με συγκεκριμένα δικαιώματα, ενώ ο χρήστης μπορεί να αναλάβει αυτούς τους ρόλους για να εκτελέσει ορισμένες λειτουργίες. Τα δικαιώματα που χορηγούνται στον ρόλο καθορίζουν ποιες ενέργειες μπορούν να γίνουν με αυτήν την ταυτότητα (ρόλος IAM).

Τι είναι το Assume Role στο AWS;

Το Assume Role είναι μία από τις λειτουργίες της υπηρεσίας AWS IAM που επιτρέπει στο χρήστη να ενεργεί με υπηρεσίες AWS, αν και τα δικαιώματα πρόσβασης ή χειρισμού του πόρου εντός της υπηρεσίας δεν έχουν εκχωρηθεί στον χρήστη. Αυτά τα δικαιώματα εκχωρούνται έμμεσα στον χρήστη όταν αναλαμβάνεται ένας ρόλος. Ένα σύνολο προσωρινών διαπιστευτηρίων μαζί με μια σύνδεση που βασίζεται σε περίοδο λειτουργίας χρησιμοποιείται για την πρόσβαση στους πόρους AWS.

Αυτά τα προσωρινά διαπιστευτήρια περιλαμβάνουν μυστικό κλειδί πρόσβασης, αναγνωριστικό κλειδιού πρόσβασης και διακριτικό ασφαλείας. Οι ρόλοι IAM που δημιουργούνται από τον ριζικό χρήστη AWS μπορούν να αναληφθούν από τους άλλους χρήστες του λογαριασμού AWS ή από εκείνους τους χρήστες των οποίων το ARN αναφέρεται στην πολιτική του ρόλου. Η πολιτική που περιέχει το ARN των χρηστών ή των πόρων είναι γνωστή ως το Πολιτική εμπιστοσύνης .

Ποια είναι η διαφορά μεταξύ της Πολιτικής αδειών και της Πολιτικής εμπιστοσύνης;

Πριν από την εφαρμογή της λειτουργικότητας του υποθέτου ρόλου μέσω διαφορετικών μεθόδων, υπάρχουν δύο βασικές έννοιες που πρέπει να γίνουν κατανοητές από τον χρήστη. Υπάρχουν δύο είδη πολιτικών στην υπηρεσία IAM:

• • Πολιτική εμπιστοσύνης: Μια πολιτική εμπιστοσύνης καθορίζει ποιος μπορεί να αναλάβει έναν συγκεκριμένο ρόλο IAM. Για να αναλάβει ένας ρόλος ένας χρήστης, το ARN του χρήστη αναφέρεται στην πολιτική εμπιστοσύνης του ρόλου IAM. Αυτή η πολιτική εμπιστοσύνης καθορίζει εάν ο χρήστης ή οι πόροι είναι μια αξιόπιστη οντότητα για την ανάληψη αυτού του ρόλου.
  • Πολιτική άδειας: Αυτή η πολιτική καθορίζει τι μπορεί να κάνει ένας χρήστης ή ποιες ενέργειες μπορούν να εκτελεστούν με τον ρόλο.

Πώς να αναλάβετε έναν ρόλο IAM χρησιμοποιώντας το AWS CLI;

Η ανάληψη ενός ρόλου είναι παρόμοιο με το να μεταμφιέζεστε ως άλλος χρήστης που έχει πιστοποιηθεί και εξουσιοδοτηθεί να εκτελεί ορισμένες ενέργειες. Αν και υποθέτει μια ταυτότητα, το AWS έχει εξασφαλίσει ότι η ασφάλεια παραμένει ανέπαφη.

Ας κατανοήσουμε τη λειτουργία της λειτουργικότητας Assume-role εξετάζοντας το ακόλουθο παράδειγμα.

Για παράδειγμα, υπάρχει ένας χρήστης στον λογαριασμό AWS στον οποίο δεν έχουν εκχωρηθεί δικαιώματα για τον κάδο S3. ο 'Πρόσβαση μόνο για ανάγνωση' ονομάζεται η πολιτική άδειας που συνδέεται με έναν ρόλο IAM. Για να αναλάβει ο χρήστης αυτόν τον ρόλο, το ARN του χρήστη αναφέρεται στην πολιτική του ρόλου IAM. Αυτή η πολιτική ονομάζεται πλέον ως «Πολιτική εμπιστοσύνης» και είναι διαφορετικό από την πολιτική αδειών. Η πολιτική εμπιστοσύνης είναι ζωτικής σημασίας, καθώς βοηθά το AWS να προσδιορίσει εάν ο χρήστης είναι εξουσιοδοτημένη οντότητα ή όχι.

Λάβετε υπόψη ότι το ARN αναφέρεται στην πολιτική εμπιστοσύνης και όχι στην πολιτική αδειών του ρόλου IAM. Με την ανάληψη ενός ρόλου, ο χρήστης μπορεί να εκτελέσει μερικές διαχειριστικές ενέργειες που ορίζονται από την πολιτική αδειών του ρόλου. Αυτές οι ενέργειες περιλαμβάνουν την προσθήκη, τη διαγραφή, την τροποποίηση ή την επαναφορά ενός πόρου κ.λπ.

Ακολουθούν οι τρεις μέθοδοι για την ανάληψη ρόλου με το AWS CLI:

• • Μέθοδος 1: Χρήση του STS (Security Token Service)
  • Μέθοδος 2: Χρήση παραμέτρου –profile
  • Μέθοδος 3: Χρήση MFA (Επαλήθευση πολλαπλών παραγόντων)

Μέθοδος 1: Χρήση του STS (Security Token Service)

Οι χρήστες μπορούν να αναλάβουν έναν ρόλο εκτελώντας τις εντολές στην ενότητα STS (Secure Token Service) που επιστρέφει ένα σύνολο προσωρινών διαπιστευτηρίων. Τα προσωρινά διαπιστευτήρια χρησιμοποιούνται για τη δημιουργία μιας σύνδεσης βάσει περιόδου σύνδεσης για την πραγματοποίηση κλήσεων API στους πόρους. Ωστόσο, υπάρχουν δύο εξαιρέσεις ενώ χρησιμοποιείτε το STS, π.χ. GetFederationToken και GetSessionToken.

Ο χρήστης δεν έχει πρόσβαση σε αυτά τα διακριτικά προκειμένου να διασφαλίσει τις εμπιστευτικές πληροφορίες των Session και Federation Tokens. Για να μην διακυβεύεται η ασφάλεια σε καμία περίπτωση. Με την ανάληψη ενός ρόλου, ένας χρήστης μπορεί να αυξήσει τα προνόμια που του έχουν εκχωρηθεί.

Σε αυτήν την ενότητα του άρθρου, θα ζητήσουμε ένα σύνολο προσωρινών διαπιστευτηρίων χρησιμοποιώντας τις εντολές STS. Παρακάτω είναι τα βήματα:

• • Βήμα 1: Δημιουργήστε μια πολιτική χρήστη και χρήστη
  • Βήμα 2: Επισύναψη πολιτικής με τον χρήστη
  • Βήμα 3: Δημιουργήστε μια πολιτική εμπιστοσύνης και έναν ρόλο IAM
  • Βήμα 4: Δημιουργήστε τα κλειδιά πρόσβασης
  • Βήμα 5: Διαμορφώστε το κλειδί πρόσβασης και επαληθεύστε τον χρήστη IAM
  • Βήμα 6: Αναλάβετε τον ρόλο IAM
  • Βήμα 7: Διαμόρφωση μεταβλητών περιβάλλοντος
  • Συμβουλή μπόνους: Καταργήστε τη ρύθμιση των μεταβλητών περιβάλλοντος

Βήμα 1: Δημιουργήστε μια πολιτική χρήστη και χρήστη

Πρώτον, θα το κάνουμε δημιουργήστε έναν χρήστη IAM χωρίς άδειες. Για το σκοπό αυτό, ανοίξτε το CMD από το μενού Έναρξη των Windows:

Μόνο το χρήστης root μπορώ δημιουργώ ένα χρήστη IAM εντός του λογαριασμού AWS. Επομένως, συνδεθείτε στον ριζικό λογαριασμό AWS χρησιμοποιώντας την ακόλουθη εντολή:

Τα διαπιστευτήρια έχουν ήδη ρυθμιστεί στο CLI για αυτήν την επίδειξη, όπως φαίνεται στην έξοδο της εντολής:

Μάθε περισσότερα:

Προς την δημιουργήστε έναν χρήστη IAM , δώστε την ακόλουθη εντολή στο CLI:

Αντικαταστήστε το επίδειξης χρήστη με το δικό σου Όνομα χρήστη IAM.

Αποθηκεύστε το 'Αρν' δίνεται στην έξοδο της εντολής όπως θα είναι απαιτείται πότε δημιουργώντας ο Πολιτική Εμπιστοσύνης :

Διαβάστε περισσότερα:

Το επόμενο βήμα είναι να άδεια ο χρήστης (demo-user ) προς την αναλάβουν ρόλο . Για το σκοπό αυτό, δημιουργήστε ένα αρχείο JSON χρησιμοποιώντας οποιοδήποτε επεξεργαστής κειμένου προτιμάς. Για αυτό το demo χρησιμοποιήσαμε Μπλοκ ΣΗΜΕΙΩΣΕΩΝ όπως ορίζεται στην παρακάτω εντολή:

Για Windows

Αντικαταστήστε το πολιτική χρήστη με το όνομα της πολιτικής σας IAM.

Για λειτουργικό σύστημα Linux

Προς το παρόν, χρησιμοποιούμε το λειτουργικό σύστημα Windows για αυτήν την επίδειξη:

Αυτό θα ανοίξει το σημειωματάριο. Επικολλήστε την ακόλουθη πολιτική στο σημειωματάριο και πατήστε 'CTRL + S' από το πληκτρολόγιο για να αποθηκεύσετε τις αλλαγές:

Παρακάτω δίνεται μια σύντομη περιγραφή της πολιτικής που προσδιορίζεται:

• • ec2: Περιγράψτε: Αυτό το δικαίωμα καθορίζει ότι ο χρήστης μπορεί να προβάλλει ή να παραθέτει όλα τα AMI, στιγμιότυπα ή παρουσίες EC2
  • iam:ListRoles: Αυτό το δικαίωμα καθορίζει ότι ο χρήστης μπορεί να παραθέσει όλους τους ρόλους εντός της υπηρεσίας IAM.
  • sts:AssumeRole: Αυτό το δικαίωμα αντιπροσωπεύει ότι ο χρήστης μπορεί να αναλάβει έναν ρόλο που ορίζεται στην υπηρεσία IAM.

Εδώ, η πολιτική έχει τροποποιηθεί στο σημειωματάριο και αποθηκεύεται:

Κάθε AWS πόρος ανατίθεται ένα Access-Resource Name (ARN) οι οποίες προσδιορίζει μοναδικά τον πόρο. Για να προσδιορίσετε το ARN της πολιτικής, χρησιμοποιήστε την παρακάτω εντολή.

Στην παραπάνω εντολή:

• • –policy-name: Αντικαταστήστε την τιμή 'πολιτική χρήστη' με οποιοδήποτε όνομα πολιτικής της προτίμησής σας.
  • – έγγραφο πολιτικής: Σε αυτό το πεδίο, αντικαταστήστε το ' user-policy.json' με το όνομα του αρχείου json που περιέχει την πολιτική για τον χρήστη.

Η έξοδος της παραπάνω εντολής είναι η εξής. Αποθηκεύστε το 'Αρν' αναφέρεται στην έξοδο της πολιτικής, καθώς θα απαιτείται κατά την επισύναψη αυτής της πολιτικής με τον χρήστη:

Βήμα 2: Επισυνάψτε Πολιτική με τον Χρήστη

Αυτή η πολιτική θα επιτρέψει στον χρήστη να καταχωρήσει το Περιπτώσεις EC2 , Οι φιλοι , κ.λπ. Όταν ο χρήστης αναλαμβάνει έναν ρόλο με διαφορετικό δικαίωμα, ο χρήστης θα μπορεί να εκτελέσει μόνο τη συγκεκριμένη ενέργεια όπως επιτρέπεται από την πολιτική αδειών.

Για να επισυνάψετε την πολιτική με τον χρήστη που δημιουργήθηκε νωρίτερα σε αυτήν την ενότητα, χρησιμοποιήστε την ακόλουθη εντολή:

Στην παραπάνω εντολή:

• • –όνομα χρήστη: Αντικαταστήστε το 'demo-χρήστης' στο –όνομα χρήστη πεδίο με το όνομα χρήστη IAM σας.
  • –policy-arn: Ομοίως, στο –policy-arn, καθορίστε το 'Αρν' από την έξοδο της προηγούμενης εντολής, δηλαδή –create-policy.

Εκτελώντας την εντολή μετά την πραγματοποίηση των απαιτούμενων αλλαγών, η πολιτική έχει επισυναφθεί με επιτυχία στον χρήστη:

Για να επαληθεύσετε εάν η πολιτική έχει επισυναφθεί στον χρήστη, δώστε την ακόλουθη εντολή στο CLI:

Αντικαταστήστε το επίδειξης χρήστη με το IAM σας όνομα χρήστη καθορίζεται κατά τη δημιουργία του χρήστη.

Η έξοδος της ακόλουθης εντολής επαληθεύει ότι η πολιτική έχει συνδεθεί με επιτυχία στον χρήστη:

Βήμα 3: Δημιουργήστε μια πολιτική εμπιστοσύνης και έναν ρόλο IAM

Μια σχέση εμπιστοσύνης δημιουργείται όταν ένας πόρος ή το ARN ενός χρήστη καθορίζεται σε μια πολιτική. Αυτή η λειτουργία επιτρέπει στη συνέχεια στους χρήστες ή την οντότητα να εκτελούν ορισμένες ενέργειες, καθώς θεωρούνται αξιόπιστες από την πολιτική.

Σε αυτό το βήμα, θα δημιουργήσουμε μια πολιτική που καθιερώνει τη σχέση εμπιστοσύνης μεταξύ του ρόλου IAM και του χρήστη. Αυτή η πολιτική εμπιστοσύνης θα συνδέεται με τον ρόλο του IAM. Ο ρόλος IAM θα ​​αναληφθεί στη συνέχεια από τον χρήστη, ο οποίος θα επιτρέψει έμμεσα στον χρήστη να εκτελέσει τις ενέργειες που καθορίζονται στην πολιτική.

Για να δημιουργήσετε μια πολιτική εμπιστοσύνης, δίνονται οι εντολές ως εξής:

Για Windows

Αντικαταστήστε το trust-role-policy.json με το όνομα της προτίμησής σας για την πολιτική.

Για λειτουργικό σύστημα Linux

Αντικαταστήστε το trust-role-policy.json με το όνομα της προτίμησής σας για την πολιτική.

Η πολιτική εμπιστοσύνης ακολουθεί το Μορφή JSON όπως ορίζεται από το .json επέκταση στην ακόλουθη εντολή:

Αυτό θα ανοίξει το σημειωματάριο. Επικόλληση το ακόλουθο πολιτική μέσα στο σημειωματάριο και πατήστε το 'CTRL + S' κουμπί από το πληκτρολόγιο για αποθήκευση των αλλαγών. Το ARN του χρήστη μπορεί επίσης να αντιγραφεί από τον πίνακα εργαλείων χρήστη της κονσόλας IAM. Για το σκοπό αυτό, επισκεφτείτε τον πίνακα ελέγχου IAM και κάντε κλικ στο όνομα του χρήστη. Από την εμφανιζόμενη διαμόρφωση, αντιγράψτε το ARN του χρήστη που εμφανίζεται στην ενότητα Σύνοψη.:

Στην προαναφερθείσα πολιτική:

• • AWS: Αντικαταστήστε το Τιμή πεδίου AWS 'arn:aws:iam::123456789012:user/example-user 'με το ARN του χρήστη που εμφανιζόταν στην έξοδο της εντολής –create-user.

Ο χρήστης μπορεί να περιορίσει άλλους χρήστες από την ανάληψη του ρόλου IAM, προσδιορίζοντας το ARN του χρήστη στο 'AWS' πεδίο:

Διαβάστε περισσότερα:

Τώρα, δημιουργήστε έναν ρόλο IAM και επισυνάψτε την πολιτική εμπιστοσύνης μαζί του. Για να δημιουργήσετε έναν ρόλο IAM, χρησιμοποιήστε την παρακάτω εντολή:

Ακολουθεί η περιγραφή των προαναφερθέντων πεδίων:

• • -όνομα ρόλου: Αυτό το πεδίο χρησιμοποιείται για την εισαγωγή του ονόματος που θα εκχωρηθεί σε αυτόν τον ρόλο IAM. Αντικαταστήστε την τιμή 'role-user' με το όνομα ρόλου IAM της επιλογής σας.
  • –ssume-role-policy-document: Σε αυτό το πεδίο καθορίστε τη διαδρομή όπως δίνεται στην εντολή. Αντικαταστήστε το trust-role-policy.json με το όνομα πολιτικής όπως καθορίσατε στην προηγούμενη ενότητα.

Με την εκτέλεση αυτής της εντολής, θα επιστρέψει αρκετές πληροφορίες στην έξοδο, π.χ., ARN, Path, ID, κ.λπ.

Διαβάστε περισσότερα:

Με την ανάληψη αυτού του ρόλου, ο χρήστης θα μπορεί να εκτελέσει το 'ReadOnlyAccess' δράση με τον κάδο S3. Η εντολή δίνεται ως εξής:

Στην παραπάνω εντολή:

• • -όνομα ρόλου: Αντικατάσταση ' ρόλος χρήστη» στο πεδίο –role-name με το Όνομα ρόλου IAM που καθορίσατε νωρίτερα σε αυτό το σεμινάριο.
  • –policy-arn: Το arn που καθορίζεται στο –policy-arn αναφέρεται στο δικαίωμα ReadOnlyAccess για τον κάδο S3.

Σε αυτήν την εικόνα, ο ρόλος έχει εκχωρηθεί το δικαίωμα ReadOnlyAccess για τον κάδο S3:

Για να επαληθεύσετε εάν η άδεια έχει εκχωρηθεί στον ρόλο ή όχι, χρησιμοποιήστε την ακόλουθη εντολή:

Αντικαταστήστε το 'ρόλος χρήστη' με το όνομα του ρόλου σας IAM.

ο “AmazonS3ReadOnlyAccess” άδεια έχει επισυναφθεί στον ρόλο του IAM. Η έξοδος της εντολής δίνεται ως εξής:

Βήμα 4: Δημιουργήστε τα κλειδιά πρόσβασης

Σε αυτήν την ενότητα, θα δημιουργήσουμε τα κλειδιά πρόσβασης για τον χρήστη. Τα κλειδιά πρόσβασης θα χρησιμοποιηθούν για τη σύνδεση στον λογαριασμό AWS:

Αντικαταστήστε το επίδειξης χρήστη με το όνομα χρήστη IAM που δόθηκε τη στιγμή της δημιουργίας ενός χρήστη.

Εδώ, η εντολή έχει επιστρέψει ένα σύνολο ζευγών κλειδιών Access (AccessKeyId και Secret Access Key)  με πρόσθετες λεπτομέρειες όπως ημερομηνία δημιουργίας, κατάσταση κ.λπ. Αποθηκεύσετε το AccessKeyId και το SecretAccessKey όπως απαιτούνται αργότερα στο σεμινάριο:

Διαβάστε περισσότερα:

Βήμα 5: Διαμορφώστε το κλειδί πρόσβασης και επαληθεύστε τον χρήστη IAM

Για να διαμορφώσετε το κλειδί πρόσβασης, δώστε την ακόλουθη εντολή στο CMD και, στη συνέχεια, εισαγάγετε το αναγνωριστικό κλειδιού πρόσβασης και το μυστικό κλειδί πρόσβασης:

Δώστε το αναγνωριστικό κλειδιού πρόσβασης και το μυστικό κλειδί πρόσβασης στο CLI που δημιουργήθηκαν στο Βήμα 4 αυτής της ενότητας. Για την περιοχή, έχουμε διατηρήσει τις προεπιλεγμένες ρυθμίσεις. Οι χρήστες μπορούν να διαμορφώσουν οποιαδήποτε μορφή εξόδου για την προεπιλεγμένη μορφή εξόδου. Για αυτήν την επίδειξη, έχουμε καθορίσει το JSON μορφή:

Για να επαληθεύσετε εάν ο χρήστης IAM έχει ρυθμιστεί, δώστε την ακόλουθη εντολή στο CLI:

Η έξοδος της εντολής δείχνει ότι το 'demo-χρήστης' έχει διαμορφωθεί με επιτυχία και αυτή τη στιγμή είναι συνδεδεμένο στον λογαριασμό AWS:

Για να προσδιορίσετε ότι ο χρήστης IAM μπορεί να παραθέσει τις παρουσίες EC2 και δεν έχει πρόσβαση στον κάδο S3 αυτήν τη στιγμή, χρησιμοποιήστε την ακόλουθη εντολή:

Η έξοδος της εντολής δίνεται ως εξής:

Τώρα, δώστε την ακόλουθη εντολή για να επαληθεύσετε εάν ο χρήστης μπορεί να έχει πρόσβαση στον κάδο S3:

Αυτό θα εμφανίσει το 'Δεν επιτρέπεται η πρόσβαση' σφάλμα που υποδεικνύει ότι ο χρήστης δεν επιτρέπεται να έχει πρόσβαση στον κάδο S3:

Βήμα 6: Αναλάβετε τον ρόλο IAM

Ο χρήστης έχει δικαίωμα να παραθέσει τους ρόλους IAM εντός του λογαριασμού AWS. Επομένως, για να αναλάβουμε τον ρόλο, θα αποκτήσουμε πρώτα τις απαραίτητες πληροφορίες, όπως το ARN, εκτελώντας την ακόλουθη εντολή:

Αντικαταστήστε το 'role-user' με το όνομα ρόλου IAM στο πεδίο 'RoleName'.

Το ARN έχει δοθεί στην έξοδο της παραπάνω εντολής:

Τώρα που έχουμε το ARN του ρόλου IAM, μπορούμε να υποθέσουμε τον ρόλο χρησιμοποιώντας την ακόλουθη εντολή:

Στην παραπάνω εντολή:

• • –role-arn: Αντικαταστήστε την αναφερόμενη τιμή για το –role-arn με το ARN του ρόλου IAM.
  • –role-session-name: Ο χρήστης μπορεί να δώσει οποιοδήποτε όνομα προτίμησης για αυτό το πεδίο.

Με την εκτέλεση της προαναφερθείσας εντολής, έχει επιστραφεί ένα σύνολο προσωρινών διαπιστευτηρίων. Αυτά τα προσωρινά διαπιστευτήρια θα χρησιμοποιηθούν για την ανάληψη του ρόλου IAM με την επιθυμητή άδεια, π.χ. ReadOnlyAccess. Το AccessKeyId και το SecretAccessKey θα χρησιμοποιηθούν κατά τη διαμόρφωση αυτών των προσωρινών διαπιστευτηρίων:

Ακολουθεί μια σύντομη περιγραφή της εξόδου της εντολής:

• • SessionToken: Το διακριτικό Session χρησιμοποιείται για τη δημιουργία της σύνδεσης που βασίζεται σε συνεδρία. Αποθηκεύστε την τιμή αυτού του πεδίου όπως θα απαιτείται κατά τη διαμόρφωση των διαπιστευτηρίων.
  • Λήξη: Το διακριτικό περιόδου λειτουργίας έχει ημερομηνία και ώρα λήξης. Το Token δεν θα είναι χρήσιμο μετά την καθορισμένη ώρα και ο χρήστης δεν θα μπορεί να αναλάβει το ρόλο.

Βήμα 7: Διαμόρφωση της μεταβλητής περιβάλλοντος

Για να διαμορφώσουμε τα προσωρινά διαπιστευτήρια, θα χρησιμοποιήσουμε την εντολή 'set' για τα Windows και στη συνέχεια θα δώσουμε την τιμή του Access Key ID, Secret Access Key, Session Token κ.λπ.

Για Windows

Αντικαταστήστε το RoleAccessKeyID με το Access Key ID που έχει επιστραφεί από την εντολή στο Βήμα 6.

Για λειτουργικό σύστημα Linux

Αντικαταστήστε το RoleAccessKeyID με το Access Key ID που έχει επιστραφεί από την εντολή στο Βήμα 6.

Το κλειδί πρόσβασης έχει διαμορφωθεί:

Στη συνέχεια, θα διαμορφώσουμε το μυστικό κλειδί πρόσβασης χρησιμοποιώντας την εντολή 'set' για Windows:

Για Windows

Αντικαταστήστε το RoleSecretKey με την τιμή Secret Access Key που έχει επιστραφεί από την εντολή στο Βήμα 6.

Για λειτουργικό σύστημα Linux

Αντικαταστήστε το AWS_SECRET_ACCESS_KEY με το μυστικό κλειδί πρόσβασης που έχει επιστραφεί από την εντολή στο Βήμα 6.

Το μυστικό κλειδί πρόσβασης διαμορφώθηκε με επιτυχία:

Τέλος, θα διαμορφώσουμε το διακριτικό συνεδρίας για να δημιουργήσουμε τη σύνδεση βάσει συνεδρίας. Για το σκοπό αυτό, χρησιμοποιήστε την παρακάτω εντολή:

Για Windows

Αντικαταστήστε το RoleSessionToken με την τιμή Session Token που έχει επιστραφεί από την εντολή στο Βήμα 6.

Για λειτουργικό σύστημα Linux

Αντικαταστήστε το RoleSessionToken με την τιμή Session Token που έχει επιστραφεί από την εντολή στο Βήμα 6.

Η τιμή του Session Token έχει διαμορφωθεί με επιτυχία:

Για να αντιγράψετε την τιμή του Session Token από το CMD, πατήστε 'CTRL + SHIFT + C' .

Αφού διαμορφώσετε τις μεταβλητές περιβάλλοντος, επαληθεύστε χρησιμοποιώντας την ακόλουθη εντολή εάν ο ρόλος έχει αναλάβει ο χρήστης:

Η έξοδος της εντολής επαληθεύει ότι ο ρόλος IAM ήταν ανατέθηκε με επιτυχία από τον χρήστη όπως είναι η επιστροφή ARN 'arn:aws:sts::123456789012:assumed-role/user-role/AWSCLI-Session' αντί 'arn:aws:iam::123456789012:user/demo-user':

Καθώς ο ρόλος περιέχει το δικαίωμα ReadOnlyAccess, ο χρήστης θα πρέπει να μπορεί να καταχωρήσει τους κάδους τώρα. Για το σκοπό αυτό, δώστε την ακόλουθη εντολή στο CLI:

Η έξοδος της εντολής περιλαμβάνει με επιτυχία όλο τον κάδο S3 που έχει ρυθμιστεί αυτήν τη στιγμή στον λογαριασμό AWS:

Ωστόσο, ο χρήστης δεν θα μπορεί να έχει πρόσβαση στην υπηρεσία EC2, καθώς ο ρόλος που έχει αναλάβει δεν έχει άδεια για την υπηρεσία EC2. Για να το επιβεβαιώσετε, χρησιμοποιήστε την ακόλουθη εντολή:

Προηγουμένως, ο χρήστης είχε πρόσβαση στις πληροφορίες υπηρεσίας EC2. Ωστόσο, κατά την εκτέλεση της προαναφερθείσας εντολής, ένα 'Δεν επιτρέπεται η πρόσβαση' προέκυψε σφάλμα. Ο χρήστης έχει αναλάβει με επιτυχία το ρόλο IAM:

Όλα αυτά προέρχονται από αυτήν την ενότητα.

Συμβουλή μπόνους: Καταργήστε τη ρύθμιση των μεταβλητών περιβάλλοντος

Για να επιστρέψει στον χρήστη IAM, δηλαδή στον χρήστη επίδειξης, ο χρήστης μπορεί να αφαιρέσει τις μεταβλητές περιβάλλοντος ορίζοντας τις μεταβλητές περιβάλλοντος σε κενές συμβολοσειρές. Ακολουθούν οι εντολές που δίνονται:

Για Windows

Για Linux

Χρησιμοποιήστε την παρακάτω εντολή:

Οι προαναφερθείσες εντολές θα καταργήσουν τις μεταβλητές περιβάλλοντος:

Μετά την εκτέλεση των παραπάνω εντολών, η κονσόλα θα πρέπει τώρα να επιστρέψει το 'demo-χρήστης' ως ο τρέχων συνδεδεμένος χρήστης αντί για τον ρόλο που έχει αναλάβει, π.χ., ρόλος χρήστη. Για το σκοπό αυτό, θα χρησιμοποιήσουμε την ακόλουθη εντολή:

Η έξοδος της εντολής υποδεικνύει ότι ο χρήστης που είναι συνδεδεμένος αυτήν τη στιγμή είναι επίδειξης:

Ομοίως, για να συνδεθείτε ως χρήστης root, ακολουθήστε το 'C:\Users%USERPROFILE%.aws' διαδρομή και κάντε κλικ στο αρχείο διαπιστευτηρίων:

Μέσα στο αρχείο διαπιστευτηρίων, αντικαταστήστε τις τιμές του κλειδιού πρόσβασης και του μυστικού κλειδιού πρόσβασης με το κλειδί πρόσβασης και μυστικής πρόσβασης του χρήστη root:

Δώστε την ακόλουθη εντολή στο CLI για να επαληθεύσετε εάν τα διαπιστευτήρια έχουν ρυθμιστεί σωστά:

Εδώ, στην παρακάτω εικόνα, μπορούμε να δούμε ότι το κλειδί πρόσβασης και το κλειδί μυστικής πρόσβασης του χρήστη root έχουν διαμορφωθεί με επιτυχία:

Αυτό είναι όλο από αυτήν την ενότητα του σεμιναρίου.

Μέθοδος 2: Χρήση παραμέτρου –profile

Μια άλλη μέθοδος ανάληψης του ρόλου είναι η χρήση του πεδίου «–προφίλ» στο CLI. Αυτή η ενότητα του άρθρου παρουσιάζει την πρακτική εφαρμογή της ανάληψης ρόλου στο AWS μέσω –profile. Παρακάτω είναι τα βήματα για αυτό:

• • Βήμα 1: Δημιουργήστε έναν χρήστη IAM
  • Βήμα 2: Δημιουργία κλειδιού πρόσβασης
  • Βήμα 3: Δημιουργήστε μια πολιτική εμπιστοσύνης και έναν ρόλο IAM
  • Βήμα 4: Διαμόρφωση προφίλ

Βήμα 1: Δημιουργήστε έναν χρήστη IAM

Για να δημιουργήσετε έναν χρήστη IAM, συνδεθείτε στον λογαριασμό χρήστη root μέσω CLI χρησιμοποιώντας την ακόλουθη εντολή:

Τα διαπιστευτήρια έχουν ήδη ρυθμιστεί στο CLI για αυτήν την επίδειξη, όπως φαίνεται στην έξοδο της εντολής:

Μάθε περισσότερα:

Για να δημιουργήσετε έναν χρήστη IAM, δώστε την ακόλουθη εντολή στο CLI:

Ο χρήστης δημιουργήθηκε με επιτυχία. Αποθηκεύστε το ARN του χρήστη όπως φαίνεται στην παρακάτω εικόνα. Το ARN αυτού του χρήστη IAM θα ​​χρησιμοποιηθεί αργότερα σε αυτό το σεμινάριο. Προς το παρόν, δεν υπάρχουν δικαιώματα που να σχετίζονται με αυτόν τον χρήστη IAM:

Διαβάστε περισσότερα:

Βήμα 2: Δημιουργία κλειδιού πρόσβασης

Στο AWS, σε κάθε χρήστη εκχωρείται ένα ζεύγος κλειδιών Access για σύνδεση. Για να δημιουργήσετε τα κλειδιά πρόσβασης για αυτόν τον χρήστη, δώστε του την ακόλουθη εντολή:

Αυτή η εντολή επιστρέφει ένα σύνολο πλήκτρων πρόσβασης. Αποθηκεύσετε ο AccessKeyId και SecretAccessKey όπως θα απαιτηθεί κατά τη σύνδεση στον λογαριασμό AWS:

Τώρα, αν συνδεθούμε στο AWS CLI χρησιμοποιώντας αυτά τα AccessKeyId και SecretAccessKey και αποκτήσουμε πρόσβαση σε οποιονδήποτε πόρο π.χ. κάδος S3, ο 'Δεν επιτρέπεται η πρόσβαση' θα προκύψει σφάλμα. Αυτό συμβαίνει επειδή προς το παρόν δεν υπάρχουν δικαιώματα που να σχετίζονται με τον χρήστη IAM. Για να συνδεθείτε στο AWS CLI, χρησιμοποιήστε την ακόλουθη εντολή και δώστε το αναγνωριστικό κλειδιού πρόσβασης και το μυστικό κλειδί πρόσβασης όπως δημιουργήθηκαν νωρίτερα:

Αντικαταστήστε το 'προφίλ-χρήστης' με το όνομα χρήστη IAM που δώσατε κατά τη δημιουργία του χρήστη.

Εδώ, έχουμε συνδεθεί με επιτυχία στο AWS CLI ως χρήστης IAM:

Για να επαληθεύσετε εάν αυτός ο χρήστης έχει δικαιώματα μόνο για ανάγνωση για τον κάδο S3, δώστε την ακόλουθη εντολή στο CLI:

Αντικαταστήστε το προφίλ-χρήστη με το όνομα χρήστη IAM που δώσατε κατά τη δημιουργία του χρήστη.

Καθώς σε αυτόν τον χρήστη δεν έχει εκχωρηθεί καμία άδεια από τον χρήστη root, θα έχει ως αποτέλεσμα το ' Δεν επιτρέπεται η πρόσβαση ' λάθος:

Βήμα 3: Δημιουργήστε μια πολιτική εμπιστοσύνης και έναν ρόλο IAM

Μια πολιτική εμπιστοσύνης καθορίζει εάν ένας χρήστης ή ένας πόρος AWS είναι μια αξιόπιστη οντότητα για την ανάληψη του ρόλου και την απόκτηση των δικαιωμάτων. Αυτή η σχέση εμπιστοσύνης δημιουργείται με τον καθορισμό του ARN του χρήστη IAM ή του πόρου AWS εντός της Πολιτικής αδειών.

Για να δημιουργήσετε μια πολιτική εμπιστοσύνης εντός του IAM, δώστε την ακόλουθη εντολή στο CLI:

Για Windows

Αντικαταστήστε το trust-policy.json με το όνομα της προτίμησής σας για την πολιτική.

Για λειτουργικό σύστημα Linux

Αντικαταστήστε το trust-policy.json με το όνομα της προτίμησής σας για την πολιτική.

Οι χρήστες μπορούν να χρησιμοποιήσουν οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου της προτίμησής τους. Για αυτήν την επίδειξη, χρησιμοποιούμε το σημειωματάριο:

Αυτό θα ανοίξει το σημειωματάριο για τη δημιουργία της πολιτικής εμπιστοσύνης. Επικολλήστε την ακόλουθη πολιτική στο σημειωματάριο και πατήστε 'CTRL + S' από το πληκτρολόγιο για να εφαρμόσετε και να αποθηκεύσετε τις αλλαγές:

Στην παραπάνω πολιτική: AWS: Αντικαταστήστε την τιμή 'arn:aws:iam::012345678910:user/policy-user' με το ARN του χρήστη IAM που δημιουργήθηκε νωρίτερα σε αυτήν την ενότητα.

Η πολιτική έχει τροποποιηθεί στο σημειωματάριο:

Στη συνέχεια, θα δημιουργήσουμε έναν ρόλο IAM και θα επισυνάψουμε την παραπάνω πολιτική εμπιστοσύνης σε αυτόν. Χρησιμοποιήστε την ακόλουθη εντολή για να δημιουργήσετε έναν ρόλο IAM:

Στην παραπάνω εντολή:

• • -όνομα ρόλου: Αντικαταστήστε το 'ο ρόλος μου' με το όνομα ρόλου IAM της επιλογής σας.
  • –ssume-role-policy-document: Σε αυτό το πεδίο, αντικαταστήστε τον όρο “trust-policy.json” με το όνομα της πολιτικής καταπιστεύματός σας IAM

Ο ρόλος IAM δημιουργήθηκε με επιτυχία. Αποθηκεύστε τον ρόλο του IAM. Αποθηκεύστε το ARN του ρόλου IAM όπως επισημαίνεται στην παρακάτω εικόνα. Αυτό το ARN θα χρησιμοποιηθεί κατά τη διαμόρφωση του προφίλ του χρήστη:

Η πολιτική εμπιστοσύνης που επισυνάπτεται στο IAM προσδιορίζει εάν ο χρήστης είναι αξιόπιστος ή όχι για την ανάληψη του ρόλου. Η Πολιτική αδειών καθορίζει εάν ο ρόλος IAM έχει την απαιτούμενη άδεια για την εκτέλεση μιας συγκεκριμένης ενέργειας με τις υπηρεσίες AWS ή όχι.

Καθώς η πολιτική εμπιστοσύνης έχει προσαρτηθεί στον ρόλο IAM, το επόμενο βήμα είναι να επισυνάψετε την πολιτική αδειών στον ρόλο IAM. Η παρακάτω εντολή θα χρησιμοποιηθεί για την επισύναψη της πολιτικής αδειών στον ρόλο IAM:

Εδώ, η πολιτική αδειών έχει προσαρτηθεί στον ρόλο IAM μέσω CLI:

Βήμα 4: Διαμόρφωση προφίλ

Για να αναλάβει ο χρήστης αυτόν τον ρόλο, θα διαμορφώσουμε πρώτα αυτό το προφίλ στα διαπιστευτήρια του AWS. Για να επισυνάψετε αυτά τα προσωρινά διαπιστευτήρια, δώστε την ακόλουθη εντολή:

Συμβουλή μπόνους: Επιλύστε το 'Διαδρομή που δεν καθορίστηκε' στο Σημειωματάριο

Το αρχείο διαμόρφωσης θα περιέχει την [προεπιλογή] ρύθμιση του AWS CLI. Ωστόσο, εάν το σημειωματάριο εμφανίζει την ένδειξη 'Το σύστημα δεν μπορεί να βρει τη διαδρομή που καθορίστηκε', εισαγάγετε την παρακάτω εντολή:

Οι χρήστες Linux μπορούν να χρησιμοποιήσουν το 'επειδή' πρόγραμμα επεξεργασίας για τη διαμόρφωση του προφίλ. Οι χρήστες μπορούν να χρησιμοποιήσουν οποιοδήποτε πρόγραμμα επεξεργασίας της προτίμησής τους για να ανοίξουν το αρχείο ρυθμίσεων του AWS στον τοπικό υπολογιστή:

Μέσα στο αρχείο ρυθμίσεων που ανοίγει στο Σημειωματάριο, επεξεργαστείτε τις ακόλουθες αλλαγές:

Στο παραπάνω απόσπασμα:

• • role_arn: Αντικαταστήστε την τιμή 'arn:aws:iam::012345678910:role/myrole' με το ARN του ρόλου IAM.
  • πηγή_προφίλ: Σε αυτό το πεδίο, καταχωρίστε το όνομα του χρήστη IAM που δημιουργήθηκε στο Βήμα 1 αυτής της μεθόδου.

Αφού κάνετε τις απαιτούμενες αλλαγές, πατήστε 'CTRL + S' από το πληκτρολόγιο για να εφαρμόσετε και να αποθηκεύσετε τις αλλαγές:

Τώρα, για να επαληθεύσετε εάν ο χρήστης μπορεί τώρα να παραθέσει τους κάδους S3 ή όχι, δώστε την ακόλουθη εντολή στο CLI:

Στην παραπάνω εντολή: –προφίλ-χρήστης: Σε αυτό το πεδίο, αντικαταστήστε την τιμή 'profile-use' με το όνομα που καθορίζετε στο αρχείο διαμόρφωσης.

Καθώς έχουμε ορίσει 'profile-user' στο αρχείο ρυθμίσεων, ως εκ τούτου, θα χρησιμοποιήσουμε το ίδιο όνομα με την εντολή στο CLI. Προηγουμένως ο χρήστης δεν μπορούσε να έχει πρόσβαση στην υπηρεσία S3 του AWS καθώς δεν του είχαν εκχωρηθεί δικαιώματα. Ο ρόλος IAM έχει την άδεια 'ReadOnlyAccess' του κάδου S3 και επομένως, με την ανάληψη αυτού του ρόλου, ο χρήστης μπορεί να παραθέσει τους κάδους από τον πίνακα ελέγχου S3:

Αυτό είναι όλο από αυτήν τη μέθοδο του σεμιναρίου.

Μέθοδος 3: Χρήση MFA (Επαλήθευση πολλαπλών παραγόντων)

Ενεργοποιώντας τον έλεγχο ταυτότητας πολλαπλών παραγόντων, ο χρήστης μπορεί να διαμορφώσει ένα πρόσθετο επίπεδο ασφάλειας στο λογαριασμό του χρήστη. Με ενεργοποιημένο το MFA, οι μη εξουσιοδοτημένοι χρήστες δεν μπορούν να έχουν πρόσβαση στο λογαριασμό ενός χρήστη ακόμα κι αν παρέχουν κωδικό πρόσβασης και όνομα χρήστη. Το MFA είναι ένας εξαψήφιος κωδικός που απαιτείται για τη σύνδεση στο λογαριασμό. Για να μάθετε περισσότερα σχετικά με τον έλεγχο ταυτότητας πολλαπλών παραγόντων, ανατρέξτε σε αυτό το άρθρο:

Ακολουθούν τα βήματα για να αναλάβετε ρόλο στο MFA μέσω CLI:

• • Βήμα 1: Δημιουργήστε έναν χρήστη IAM και ενεργοποιήστε το MFA
  • Βήμα 2: Επισύναψη πολιτικής με χρήστη
  • Βήμα 3: Δημιουργήστε Πολιτική Εμπιστοσύνης και Ρόλο IAM
  • Βήμα 4: Δημιουργήστε ένα κλειδί πρόσβασης
  • Βήμα 5: Διαμόρφωση διαπιστευτηρίων
  • Βήμα 6: Αναλάβετε τον ρόλο IAM
  • Βήμα 7: Διαμόρφωση μεταβλητών περιβάλλοντος

Βήμα 1: Δημιουργήστε έναν χρήστη IAM και ενεργοποιήστε το MFA

Για αυτό το βήμα, ο χρήστης μπορεί είτε να χρησιμοποιήσει το CLI για τη δημιουργία του χρήστη είτε να αποκτήσει πρόσβαση στην Κονσόλα διαχείρισης AWS. Συνδεθείτε στον λογαριασμό χρήστη root χρησιμοποιώντας την ακόλουθη εντολή:

Η έξοδος της εντολής δίνεται ως εξής:

Για να δημιουργήσετε έναν χρήστη, δώστε την ακόλουθη εντολή στο CLI:

Στην παραπάνω εντολή: –όνομα χρήστη: Αντικαταστήστε το 'mfa-user' με το όνομα χρήστη IAM της επιλογής σας.

Ο χρήστης δημιουργήθηκε με επιτυχία. Αποθηκεύστε το ARN του χρήστη όπως θα απαιτηθεί αργότερα σε αυτήν την ενότητα. Προς το παρόν, σε αυτόν τον χρήστη δεν έχουν εκχωρηθεί δικαιώματα:

Για να ενεργοποιήσετε το MFA, επισκεφτείτε την Κονσόλα διαχείρισης AWS και αναζητήστε την υπηρεσία IAM. Κάντε κλικ σε αυτό από τα αποτελέσματα που εμφανίζονται:

Κάντε κλικ στην επιλογή Χρήστες από το αριστερό παράθυρο πλοήγησης της υπηρεσίας IAM. Από τον πίνακα ελέγχου χρηστών, κάντε κλικ στο όνομα χρήστη για να διαμορφώσετε το MFA:

Στην επόμενη διεπαφή, πατήστε το “Διαπιστευτήρια ασφαλείας” επιλογή:

Κάντε κύλιση προς τα κάτω στο Έλεγχος ταυτότητας πολλαπλών παραγόντων ενότητα και κάντε κλικ στο 'Ανάθεση συσκευής MFA' κουμπί:

Παρέχουν μια όνομα με νόημα στο Ονομα της συσκευής πεδίο κειμένου στη διεπαφή που εμφανίζεται:

Κάντε κύλιση προς τα κάτω στην ενότητα της συσκευής MFA. Παρουσιάζονται στον χρήστη διάφορες επιλογές για την ενεργοποίηση του MFA, όπως με σάρωση του κωδικού QR, μέσω του κλειδιού ασφαλείας ή του διακριτικού TOTP υλικού. Για αυτήν την επίδειξη, επιλέξτε το 'Εφαρμογή ελέγχου ταυτότητας' επιλογή:

Πατήστε το 'Επόμενο' κουμπί στο κάτω μέρος της διεπαφής για να προχωρήσετε περαιτέρω:

Κάντε κλικ στο 'Εμφάνιση κωδικού QR' όπως φαίνεται στην παρακάτω εικόνα:

Εκκινήστε το εφαρμογή στο κινητό ή το φορητό υπολογιστή σας για να σαρώσετε τον κωδικό QR. Πατήστε το '+' επιλογή από τη διεπαφή VIP της Symantec:

Στο Play store, το Symantec VIP ονομάζεται VIP Access.

Στην επόμενη διεπαφή του Symantec VIP, κάντε κλικ στο Σάρωση κωδικού QR κουμπί στο κάτω μέρος της διεπαφής:

Σαρώστε τον κωδικό QR από το AWS MFA Διεπαφή εφαρμογής του Authenticator εκτεθειμένος. Αυτός ο κωδικός θα δημιουργήσει μια σειρά κωδικών που θα απαιτηθούν για τη σύνδεση στην κονσόλα του χρήστη IAM:

Η εφαρμογή VIP της Symantec θα δημιουργήσει εξαψήφιο OTP μετά τη σάρωση του κωδικού QR. Αυτοί οι κωδικοί θα συνεχίσουν να έρχονται μετά από κάθε 30 δευτερόλεπτα . Το παρακάτω στιγμιότυπο οθόνης δείχνει τους δύο κωδικούς που δημιουργούνται:

Δώστε τους κωδικούς στο Κωδικός MFA 1 και Κωδικός MFA 2 πεδία κειμένου στη διεπαφή εφαρμογής Authenticator του MFA. Κάντε κλικ στο 'Προσθήκη MFA' κουμπί στη συνέχεια για να ενεργοποιήσετε τη λειτουργία:

Το MFA έχει ενεργοποιηθεί με επιτυχία για τον χρήστη IAM. Αυτό μπορεί να επαληθευτεί από το 'Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA)' τμήμα του “Διαπιστευτήρια ασφαλείας” καρτέλα του χρήστη IAM . Από αυτήν την ενότητα, αποθηκεύστε την τιμή του Identifier όπως απαιτείται κατά την ανάληψη του ρόλου:

Βήμα 2: Επισύναψη πολιτικής με χρήστη

Για να αναλάβει ένας χρήστης έναν ρόλο, ο χρήστης πρέπει να μπορεί να παραθέσει τον ρόλο IAM για να καθορίσει ποιον ρόλο θα αναλάβει και την άδεια για την ανάληψη του ρόλου. Για να εξοπλίσετε τον χρήστη με την απαιτούμενη άδεια, ακολουθήστε της Μεθόδου 1 σε αυτό το σεμινάριο

Βήμα 3: Δημιουργία Πολιτικής Εμπιστοσύνης και ρόλου IAM

Το επόμενο βήμα είναι να δημιουργήσετε μια πολιτική εμπιστοσύνης για να προσδιορίσετε εάν ο χρήστης είναι αξιόπιστη οντότητα ή όχι. Αυτή η Πολιτική Εμπιστοσύνης θα προσαρτηθεί στη συνέχεια στον ρόλο του IAM. Για να δημιουργήσετε την πολιτική εμπιστοσύνης και τον ρόλο IAM, μεταβείτε στη Γραμμή εντολών και ακολουθήστε της μεθόδου  1 σε αυτό το άρθρο.

Βήμα 4: Δημιουργήστε ένα κλειδί πρόσβασης

Για να εξουσιοδοτηθεί και να πιστοποιηθεί ο χρήστης, δημιουργείται ένα ζεύγος κλειδιών πρόσβασης που είναι μοναδικά παγκοσμίως στην πλατφόρμα AWS. Αυτά τα ζεύγη κλειδιών χρησιμοποιούνται κατά τη στιγμή της σύνδεσης στον λογαριασμό AWS. Για να δημιουργήσετε τα κλειδιά πρόσβασης για τον χρήστη IAM, ακολουθήστε τα της μεθόδου 1 σε αυτό το άρθρο.

Βήμα 5: Διαμόρφωση διαπιστευτηρίων

Ο χρήστης AWS μπορεί να έχει πρόσβαση στους πόρους και τις υπηρεσίες AWS μόνο εάν τα διαπιστευτήρια έχουν ρυθμιστεί σωστά. Σε αυτήν την ενότητα της μεθόδου, θα διαμορφώσουμε τα διαπιστευτήρια του χρήστη IAM παρέχοντας το κλειδί πρόσβασης και το μυστικό κλειδί πρόσβασης στη διεπαφή της γραμμής εντολών. Για το σκοπό αυτό, ακολουθήστε το της μεθόδου 1 αυτού του σεμιναρίου.

Βήμα 6:  Αναλάβετε τον ρόλο του IAM

Μετά την επιτυχή προσάρτηση του ρόλου IAM και την εφαρμογή της πολιτικής εμπιστοσύνης, ο χρήστης μπορεί πλέον να αναλάβει τον ρόλο του IAM. Για το σκοπό αυτό, δώστε την ακόλουθη εντολή στο CLI:

Εδώ το κλειδί δημιουργήθηκε με επιτυχία για τον χρήστη IAM. Αποθηκεύστε τα AccessKeyId και SecretAccessKey καθώς θα απαιτηθούν για τη σύνδεση στον λογαριασμό AWS:

Το επόμενο βήμα είναι να διαμορφώσετε τα κλειδιά πρόσβασης στο AWS CLI. Χρησιμοποιήστε την παρακάτω εντολή για τη διαμόρφωση του CLI:

Δώστε το κλειδί πρόσβασης και το μυστικό κλειδί πρόσβασης στο CLI για διαμορφώσεις:

Για να επαληθεύσετε εάν ο χρήστης IAM έχει συνδεθεί στο AWS CLI, χρησιμοποιήστε την ακόλουθη εντολή:

Η έξοδος της εντολής δίνεται ως εξής, η οποία υποδεικνύει ότι ο χρήστης έχει συνδεθεί με επιτυχία στην κονσόλα AWS:

Ο χρήστης έχει το δικαίωμα να παραθέτει τους ρόλους IAM εντός του λογαριασμού AWS. Η εντολή που δίνεται παρακάτω χρησιμοποιείται για τη λίστα των ρόλων IAM:

Στην παραπάνω εντολή: Όνομα ρόλου: Σε αυτό το πεδίο, αντικαταστήστε την τιμή 'mfa-role' με το όνομα του ρόλου σας IAM.

Η έξοδος της εντολής δίνεται ως εξής:

Για να αναλάβετε τον ρόλο του IAM με το MFA, χρησιμοποιήστε την εντολή assume role με πρόσθετες παραμέτρους όπως ο σειριακός αριθμός και ο κωδικός διακριτικού. Δώστε την ακόλουθη εντολή στο CLI:

Στην παραπάνω εντολή:

• • –role-arn: Αντικαταστήστε την τιμή αυτού του πεδίου με το ARN του ρόλου σας IAM.
  • –role-session-name: Σε αυτό το πεδίο, ο χρήστης μπορεί να δώσει οποιοδήποτε όνομα συνεδρίας της επιλογής του.
  • -σειριακός αριθμός: Αντικαταστήστε την τιμή αυτού του πεδίου με την τιμή Identifier από τη διεπαφή MFA που είχε αποθηκευτεί νωρίτερα.
  • –token-code: Αυτή η τιμή πρέπει να αντικατασταθεί από τον τρέχοντα κωδικό που εμφανίζεται στη διεπαφή VIP της Symantec.

Ο τρέχων κωδικός που εμφανίζεται στο Symantec VIP δίνεται ως εξής. Ο ίδιος κωδικός θα χρησιμοποιηθεί στην τιμή –token-code της εντολής:

Η έξοδος της εντολής θα περιέχει τα προσωρινά διαπιστευτήρια όπως Session Token, Access Key, Secret Access, κ.λπ.

Βήμα 7: Διαμόρφωση μεταβλητών περιβάλλοντος

Τα κλειδιά πρόσβασης και το διακριτικό περιόδου λειτουργίας που επιστράφηκε θα χρησιμοποιούνται τώρα για τη δημιουργία της σύνδεσης βάσει συνεδρίας και για την ανάληψη του ρόλου. Η λεπτομερής υλοποίηση για τη διαμόρφωση του περιβάλλοντος συζητείται στο της μεθόδου 1.

Τελικές σκέψεις

Για να αναλάβετε έναν ρόλο χρησιμοποιώντας το CLI, υπάρχουν τρεις μέθοδοι, δηλαδή μέσω του STS (υπηρεσία διακριτικού ασφαλείας), -παραμέτρου προφίλ ή MFA (Επαλήθευση πολλαπλών παραγόντων). Για να αναλάβει ένας χρήστης έναν ρόλο, πρέπει πρώτα να δημιουργηθεί μια πολιτική εμπιστοσύνης. Αυτή η πολιτική αξιοπιστίας καθορίζει εάν ο χρήστης είναι αξιόπιστη οντότητα ή όχι. Αυτή η λειτουργικότητα είναι απαραίτητη καθώς αντιμετωπίζει τις ανησυχίες για την ασφάλεια των ειδικών και των ατόμων στον τομέα της πληροφορικής. Επιπλέον, ο χρήστης μπορεί να αναλάβει το ρόλο μόνο εάν διαθέτει τα απαιτούμενα δικαιώματα.

Όταν ένας χρήστης αναλαμβάνει έναν ρόλο στο AWS, δημιουργείται μια σύνδεση που βασίζεται σε περίοδο λειτουργίας για να παρέχει πρόσβαση περιορισμένου χρόνου στον χρήστη με τα επιθυμητά δικαιώματα. Δημιουργείται ένα διακριτικό που λήγει μετά από ένα συγκεκριμένο χρονικό διάστημα και έτσι, ο χρήστης δεν μπορεί πλέον να εκτελέσει τη διαχειριστική εργασία με πόρους AWS. Αυτό το άρθρο παρέχει μια πρακτική εφαρμογή των τριών μεθόδων για την ανάληψη ρόλου στο AWS CLI.