د 3 برخه برخه
په 2011 کې، ایمیزون د CloudFront لپاره د AWS Identity & Access Management (IAM) مالتړ شتون ته اعالن وکړ. IAM په 2010 کې پیل او په S3 کې یې شامل شو. د AWS پېژندل او د لاسرسي مدیریت (IAM) تاسو ته د دې توان ورکوي چې د AWS حساب کې ګڼ شمیر کاروونکي ولري. که تاسو د ایمیزون ویب خدماتو (AWS) کارولی، نو تاسو پوهیږئ چې په AWS کې د محتوا اداره کولو یوازینۍ لاره ستاسو د کارن نوم او پاسورډ یا د لاس رسی کیدلو په اړه ښکیل دي.
دا د موږ لپاره د ریښتینې امنیت اندیښنه ده. IAM د پاسپورتونو او لاسرسي کیدلو لپاره اړتیا ختموي.
په منظمه توګه زموږ اصلي AWS پاسورډ بدلول یا نوې کلیدونه یوازې یوه خرابه حل دی کله چې د کارمندانو غړي زموږ ټیم پریږدي. د AWS پیژندنه او لاسرسي مدیریت (IAM) یو ښه پیل و چې انفرادي کاروونکو ته د انفرادي کیلي سره حساب ورکول اجازه ورکوي. که څه هم، موږ یو S3 / CloudFront کارن یاست، نو موږ د IAM کې اضافه کولو لپاره CloudFront ته ګورو چې وروستی پیښه شوې.
ما په دې خدمت کې اسناد وموندل چې یو څه ویجاړ شوي وي. د دریم ډلې تولیدات شتون لري چې د پېژندنې او لاسرسی مدیریت (IAM) لپاره یو لړ ملاتړ وړاندې کوي. مګر پرمخ تلونکي ډیریږي ځکه چې ما د خپل ایمیزون S3 خدمت سره د IAM اداره کولو لپاره وړیا حل غوښتنه کړې.
دا مقاله د پروسې له الرې پرمخ ځي چې د کمانډ کرښه انټرفیس جوړ کړي کوم چې IAM یې مالتړ کوي او د S3 لاسرسی سره یو ګروپ / کارن جوړوي. تاسو باید د ایمیزون AWS S3 حساب جوړونې ته اړتیا لرئ مخکې له دې چې تاسو د پېژندنې او لاسرسی مدیریت (IAM) تنظیمولو پیل کولو کې پیل کړئ.
زما مقاله، د ایمیزونیا ساده ذخیره کولو خدمت (S3) کارول به تاسو ته د AWS S3 حساب جوړولو لپاره د پروسې له لارې تلل.
دلته هغه ګامونه دي چې IAM کې د یو کاروونکي تنظیم او پلي کول پکې شامل دي. دا د وینډوز لپاره لیکل شوی مګر تاسو لینکس، UNIX او / یا Mac OSX کې د کارولو لپاره کوالی شئ.
- د کمانډ انټرفیس (CLI) نصب او تنظیم کړئ
- ډله جوړه کړئ
- ګروپ ته لاسرسی S3 بالټ او کلاډ فورت ته ورکړئ
- کارن جوړ کړئ او په ګروپ کې شامل کړئ
- د ننوتنې پېژندڅېره جوړه کړه او کیلي جوړې کړئ
- ازموینه لاس رسی
د کمانډ انټرفیس (CLI) نصب او تنظیم کړئ
د IAM کمانډ لیک لینټیک د جاوا پروګرام دی چې د ایمیزون د AWS پراختیایی وسیلو کې شتون لري. دا وسیله تاسو ته اجازه درکوي چې د شیل فابریکه څخه د IAM API حکمونو پلي کول (DOS لپاره وینډوز).
- تاسو اړتیا لرئ چې جاوا 1.6 یا لوړ وي. تاسو کولی شئ د جاوا اس آژانس څخه وروستي نسخه ډاونلوډ کړئ. د دې لپاره چې وګورئ کوم کوم نسخه ستاسو په وینډوز سیسټم کې نصب شوی، د کمان پروپټ پرانیزئ او د جاوا ویژن کې ټایپ کړئ. دا په ډاګه کوي چې java.exe ستاسو په PATH کې دی.
- د IAM CLI toolkit ډاونلوډ کړئ او په خپل ځای کې په نورو ځایونو کې انډول کړئ.
- د CLI د توککټ په جریان کې دوه فایلونه شتون لري چې تاسو ته اړتیا لرئ.
- د باور وړ سند: دا فایل ستاسو د AWS سندونه لري. خپل AWSAccessKeyI او ستاسو AWSSecretKey اضافه کړئ، فایل فایل کړئ او بند کړئ.
- د مراجعینو-config.template : تاسو یواځې د دې دوتنې تازه کولو ته اړتیا لرئ که تاسو د پراکسي سرور ته اړتیا لرئ. # نښان لیرې کړئ او د مراجعینو پروسیف هستسټ، کلینګ پروسيکورټ، کلینټ پروکسیومسینټ او ClientProxyPassword تازه کړئ. دوتنه خوندي او بند کړئ.
- په بل ګام کې د چاپیریال متغیرات شامل دي. کنټرول پینل ته لاړ شئ | د سیستم ځانتياوې | پرمختللي سیسټم ترتیبات | د چاپیریال متغیرات. لاندې متغیرات شامل کړئ:
- AWS_IAM_HOME : دا متغیر ډیری ډایرکټر ته وټاکئ چیرې چې تاسو د CLI تالیفیت نه پریښود. که تاسو وینډوز چلولی شئ او دا د ستاسو د ډرائیو د جریان کې ناباوره کړئ، متغیر به C: \ IAMCli-1.2.0 وي.
- JAVA_HOME : دا متغیر ډیری ډایرکټور ته چېرې چې جاوا نصب شوی وي مقرر کړئ. دا به د java.exe فایل ځای وي. په یو عادي وینډوز 7 جاوا نصب کولو کې، دا به د C: \ Program Files (x86) \ Java \ jre6 په څیر وي.
- AWS_CREDENTIAL_FILE : دا متغیر د aws-credential.template د لار او فایل نوم ته وټاکئ چې تاسو یې پورته تازه کړی. که تاسو د وینډوز چلول یاست او دا د ستاسو د ډرائیو د جریان کې ناباوره کړئ، متغیر به C: \ IAMCli-1.2.0 \ aws-credential.template وي.
- CLIENT_CONFIG_FILE : تاسو یواځې د دې چاپیریال متغیر کولو ته اړتیا لرئ که تاسو د پراکسي سرور ته اړتیا ولرئ. که تاسو د وينډوز چلول ياست او دا د ستاسو سي ډرائيو په ريښه کې ناباوره کړئ، متغير به د C: \ IAMCli-1.2.0 \ د مراجعينو-config.template وي. دا متغیر مه کوئ چې تاسو ورته اړتیا لرئ.
- د کمانټ پرپټ ته لاړ او د ایام کارن کارنبایباټ ته ننوتلو انسٹال نصب کړئ. تر هغه چې تاسو کومه ستونزه نده ترلاسه کړې، تاسو باید ښه شي.
د IAM ټولو قوماندې کیدای شي د کمانټ پرپټ څخه کار واخلئ. ټول حکمونه د "ام" سره پیل کیږي.
ډله جوړه کړئ
د هر AWS حساب لپاره ډیری 100 ډلې جوړیږي. پداسې حال کې چې تاسو د کارونې په کچه د IAM کې اجازې ټاکلی شئ، نو د ډلې کار به ترټولو ښه عمل وي. دلته د IAM په ډله کې د یوې ډلې د جوړولو پروسه ده.
- د ګروپ جوړونې لپاره نخشه ایام ګروپ ګروپ - g GROUPNAME [-PATH] [-v] چیرته چې APP-OP او OP دي. د کمانډ کرښه په انټرفیس باندې بشپړ اسناد د AWS ډارونو کې موجود دي.
- که تاسو غواړئ چې "awesomeusers" په نامه یو ګروپ جوړ کړئ، نو تاسو به داخل شي، iam-groupcreate -g د کټګوریوټران په کمانټ پریمټ کې.
- تاسو کولی شئ دا وګورئ چې دا ډله په کمانټ پرپټ کې د ایام ګلوپلسټب باپټ په ننوتلو سره سم په سمه توګه رامینځ ته شوی. که تاسو یواځې دا ګروپ رامینځ ته کړی، محصول به د "شیان: aws: iam :: 123456789012: ډلې / awesomeusers" په څیر وي، چیرته ستاسو نمبر د AWS حساب شمیرل کیږي.
ګروپ ته لاسرسی S3 بالټ او کلاډ فورت ته ورکړئ
پالیسي کنترول کوي چې ستاسو ګروپ په S3 یا CloudFront کې څه کولی شي. په ډیفالټ کې، ستاسو ډله به AWS کې هیڅ شی نه لري. ما د پالیسیو په اړه اسناد موندلی چې سم وي مګر د یو شمیر پالیسیو په جوړولو کې، ما لږ محاکمه کړې او غلطي یې کوله چې هغه کار ترسره کړي چې زه یې غوښتل کار وکړم.
تاسو د پالیسیو جوړولو لپاره یو څو اختیارونه لرئ.
یو انتخاب تاسو کولی شئ په مستقیم ډول د کمانټ پرپټ ته داخل کړئ. د دې لپاره چې تاسو یوه پالیسي جوړه کړئ او دا یې ټیک کړئ، ځکه چې دا پالیسي د متن دوتنې کې نوره هم آسانه کوله او بیا د متن دوتنې د امیم ګروپ ګروپ اپلوپولس سره د پیرامیټ په توګه پورته کول. دلته دا پروسه ده چې د متن فایل څخه کار اخیستل او IAM ته اپیل کول دي.
- د نوپوپډ په څیر کار واخلئ او لاندې متن وليکئ او فایل یې وساتئ:
{
"بیان": [{
"اغیز": "اجازه"
"عمل": "s3: *"،
"سرچینه": [
"arn: aws: s3 ::: buckketNAME"،
"آرن: aws: s3 ::: بیککټینټ / *"]
}،
{
"اغیز": "اجازه"
"عمل": "s3: listAllMyBuckets"،
"سرچینه": "آرن: aws: s3 ::: *"
}،
{
"اغیز": "اجازه"
"عمل": ["بادغیس: *"]،
"سرچینه": "*"
}
]
} - پدې پالیسي کې درې برخې شتون لري. اغېزمنې ته اجازه ورکول کیږي یا د ځینې ډول لاسرسي رد کول. عمل ځانګړي شیان دي چې ډلې کولی شي. سرچینې به د انفرادي بالټونو ته د لاسرسي لپاره کارول کیږي.
- تاسو کولی شئ چې په انفرادي ډول فعالیتونه محدود کړئ. په دې مثال کې، "عمل": ["s3: GetObject"، "s3: ListBucket"، "s3: GetObjectVersion"]، دا ډله به وکوالی شي د بالټ مواد لیست او توکي په ډاګه کړي.
- لومړۍ برخه "اجازه ورکوي" ډله ډله د Sucket "BUCKETNAME" لپاره ټول S3 فعالیتونه ترسره کوي.
- دویمه برخه "اجازه ورکوي" ګروپ ته د S3 په ټولو بالټونو کې لیست ورکړي. تاسو دې ته اړتیا لرئ نو تاسو د باس بالټ لیست وګورئ که تاسو د AWS کنسول په څیر یو څه کاروئ.
- دریم برخه ګروپ ګروپ ته CloudFront ته بشپړ لاسرسي برابروي.
د IAM د پالیسیو ته راځي کله چې ډیرې لارې شتون لري. ایمیزون د AWS پالیسۍ جنریټر په نوم یو ښه ټیلیفون شتون لري. دا وسیله یو GUI چمتو کوي چیرې چې تاسو کولی شئ خپلې پالیسۍ جوړه کړئ او د پالیسۍ پلي کولو لپاره تاسو ته اړین سمه کوډ پیدا کړئ. تاسو کولی شئ د السرسۍ د ژبې ژبې برخه وګورئ د AWS شناخت او د الس رسي مدیریت د انلاین اسنادو کارول.
کارن جوړ کړئ او په ګروپ کې شامل کړئ
د نوي کاروونکي د جوړولو بهیر او د دوی د لاسرسي لپاره یو ګروپ ته زیاتوالی یو څو ګامونه لري.
- د کاروونکي د جوړولو لپاره نخشه د ام- کاروټ -U USERNAME [-PATH] [-g GROUPS ...] [-k] [-v] په کوم ځای کې the -p، -g، -k and -v اختیارونه دي. د کمانډ کرښه په انټرفیس باندې بشپړ اسناد د AWS ډارونو کې موجود دي.
- که تاسو غواړئ چې "کارن" جوړ کړئ، نو تاسو به داخل شي، iam-usercreate -u bob-g awesomeusers د قوماندې پرمهال کې.
- تاسو کولی شئ دا وګورئ چې کارن د ایمام ګلوپلسټرسانو په داخلولو سره سم په سمه توګه رامینځ ته شوی -g awesomeusers د قوماندې پرمهال کې. که تاسو یواځې دا کارن پیدا کړی، محصول به د "آرن: aws: iam :: 123456789012: کارن / bob" په څیر وي، چیرته چې ستاسو د AWS حساب شمیره شمیرل کیږي.
د لوډون پېژندڅېره جوړه کړه او کیلي جوړې کړئ
په دې وخت کې، تاسو یو کاروونکي رامینځ ته کړی مګر تاسو اړتیا لرئ چې په حقیقت کې د S3 څخه شیان اضافه کړئ او لرې کولو لپاره لاره چمتو کړئ.
د IAM په کارولو سره د S3 ته د لاسرسۍ چمتو کولو لپاره دوه اختیارونه موجود دي. تاسو کولی شئ د بریښنالیک پروفایل رامنځته کړئ او خپل کارنان د پاسورډ سره برابر کړئ. دوی کولی شي د خپل اعتبار څخه کار واخلي ترڅو د ایمیزون AWS کنسول ته ننوتل. بله لاره دا ده چې ستاسو کاروونکو ته د لاسرسی کیلي او یو پټ کلی ورکړي. دوی کولی شي دا کلیدونه د دریمې ډلې وسیلو لکه S3 فاکس، CloudBerry S3 Explorer یا S3 Browser کې استعمال کړي.
د ننوتنې پېژندڅېره جوړه کړه
د S3 کاروونکو لپاره د بریښناليک جوړول دوی ته د یو کارن نوم او پټنوم وړاندې کوي چې دوی کولی شي د ایمیزون AWS کنسول ته د ننوتلو لپاره وکاروي.
- د ننوتنې پېښلیک د جوړولو لپاره نخښه د ام کارن کارنالین پروپیلیل -u USERNAME-P پاسورډ دی. د کمانډ کرښه په انټرفیس باندې بشپړ اسناد د AWS ډارونو کې موجود دي.
- که تاسو غواړئ د "Bob" کارن لپاره د ننوتنې پروفایل جوړ کړئ، نو تاسو به د ایموم کارن کارنloginprofile -u BOB-P پاسورډ په قوماندې پرمهال کې داخل کړئ.
- تاسو کولی شئ وګورئ چې د بریښناليک پروفیسر په سمه توګه د امام د کارمندانو پروپوزل -bOB په کمانټ پرپټ کې ننوتلو سره سم په سمه توګه رامینځ ته شوی. که تاسو د بو لپاره د ننوتنې پروفایل جوړ کړی وي، نو محصول به داسی شي وي لکه د کارن بکس لپاره د ننوتنې پېښلیک شتون لري.
کیلي جوړې کړئ
د AWS پټ لاس رسی کیدلو او اړوند AWS لاسرسی کیلي پېژندل به ستاسو کاروونکو ته اجازه ورکړي چې د دریم اړخ سافټویر استعمال کړي لکه مخکې چې ذکر شوي. په پام کې ونیسئ چې د امنیتي اندازې په توګه، تاسو کولی شئ یوازې د دې کاروونکي د کاروونکي پروفائل د اضافه کولو په بهیر کې ترلاسه کړئ. ډاډ ترلاسه کړئ چې دا محصول د کمانډ پریمټ څخه کاپي او کاپي کړئ او د متن دوتنې کې خوندي کړئ. تاسو کولی شئ فایل خپل کارن ته واستوئ.
- د کاروونکي لپاره د کوډونو د زیاتوالي لپاره نخښه د ام-کارنډاکر [-u USERNAME] دی. د کمانډ کرښه په انټرفیس باندې بشپړ اسناد د AWS ډارونو کې موجود دي.
- که تاسو غواړئ د "بوب" کارن لپاره کابینونه جوړ کړئ، نو تاسو به د کمانډ پرپټ کې د iam-useraddkey -u bob داخل کړئ.
- قومانده به هغه کلیدي محصول تولید کړي کوم چې د دې شیانو په څیر ښکاري:
AKIACOOB5BQVEXAMPLE
BvQW1IqqZzRdbwPUirD3pK6L8ngoX4PEXEXPLE
لومړنۍ کرښه د لاسرسي کیدونکي ID دی او دویمه کرښه د پټی لاس رسی دی. تاسو د دریم ګوند سافټویر لپاره اړتیا لرئ.
ازموینه لاس رسی
اوس چې تاسو د IAM ګروپونو / کارنانو رامینځته کړی او ګروپونو ته یې د پالیسیو په کارولو لاسرسی ورکړی، تاسو اړتیا لرئ چې لاسرسی ازمايښت کړئ.
کنسول لاسرسی
ستاسو کاروونکي کولی شي د خپل کارن نوم او پټنوم د AWS کنسول ننوتل لپاره کاروي. په هرصورت، دا د منظم کنسول د ننوت پاڼې نه ده چې د AWS اصلي اصلي حساب لپاره کارول کیږي.
دلته یو ځانګړی یو آر ایل دی چې تاسو کولی شئ د Amazon Amazon AWS حساب لپاره د کاروونکي فارم چمتو کړئ. دلته دلته د IAM کاروونکو لپاره S3 ته د ننوتلو لپاره URL دی.
https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3
د AWS-ACCOUNT-NUMBER ستاسو منظم منظم حساب شمیرل کیږي. تاسو کولی شئ دا د ایمیزون ویب ویب سایټ ته د ننوتلو له لارې ترلاسه کړئ. ننوتل او په اکاونټ کلیک وکړئ د محاسبې فعالیت. ستاسو د حساب شمیر په ښي ښی ګوټ کې دی. ډاډ ترلاسه کړئ چې فاشونه لرې کړئ. دا به یو څه وګورئ لکه څنګه چې https://123456789012.signin.aws.amazon.com/console/s3.
د لاسرسۍ کیلي کارول
تاسو کولی شئ په دې مقاله کې ذکر شوي دریم ټیم وسایل نصب او نصب کړئ. د دریمې ډلې د وسیلو سندونو ته د لاسرسي شناخت او د پټ لاس لاس کیدنه درج کړئ.
زه په کلکه سپارښتنه کوم چې تاسو یو ابتدايي کاروونکی جوړ کړئ او دا کاروونکي په بشپړ ډول ازموینه کوي چې دوی کولی شي په S3 کې هغه څه وکړي چې کولی شي. کله چې تاسو د یو کاروونکو تاییدولو وروسته، تاسو کولی شئ د ټولو S3 کاروونکو ټولونه تنظیم کړئ.
سرچینې
دلته ځینې سرچینې دي چې تاسو ته د پېژندنې او لاس رسی مدیریت (IAM) ښه پوهیږئ.
- د IAM سره پیل کول
- د IAM کمانډ لیک لینکټ
- د Amazon AWS کنسول
- د AWS پالیسي جنریټر
- د AWS پېژندل او د لاسرسي مدیریت کارول
- د IAM ریلیز یادښتونه
- IAM د بحث فورمونه
- IAM FAQs