AWS అనేక సేవలు మరియు అపారమైన ప్రయోజనాలను అందిస్తుంది కాబట్టి, IT నిపుణులచే భద్రతాపరమైన సమస్యలు తలెత్తడం సహజం. ఈ భద్రతా సమస్యలను పరిష్కరించడానికి, AWS ద్వారా IAM సేవను ప్రవేశపెట్టారు. AWS వనరులను సురక్షితంగా ఉంచడానికి వినియోగదారులను అనుమతించే ప్రధాన వెబ్ సేవల్లో AWS IAM ఒకటి. వివిధ వినియోగదారుల కోసం అనుమతులను నిర్వచించడం ద్వారా AWS సేవల యొక్క సెంట్రల్ యాక్సెస్ మేనేజ్మెంట్ యొక్క కార్యాచరణను IAM అందిస్తుంది.
త్వరిత రూపురేఖలు
ఈ వ్యాసంలో, మీరు దీని గురించి నేర్చుకుంటారు:
AWS IAM పాత్ర ఏమిటి?
AWSలో ఊహించు పాత్ర ఏమిటి?
AWS CLIని ఉపయోగించి IAM పాత్రను ఎలా ఊహించుకోవాలి?
IAM పాత్రలు మరియు అనుమతులతో, మేము AWS సేవలకు ప్రామాణీకరించబడిన మరియు అధీకృత ప్రాప్యతను గుర్తించగలము. ఈ పాత్రలు మరియు అనుమతులు AWS ఖాతా యొక్క మూల వినియోగదారు (యజమాని) ద్వారా మాత్రమే కేటాయించబడతాయి.
AWS IAM పాత్ర ఏమిటి?
IAM పాత్ర అనేది AWS ఖాతాలో రూట్ వినియోగదారుచే సృష్టించబడిన గుర్తింపు. ఈ గుర్తింపుకు AWS వనరులకు IAM పాత్ర యొక్క యాక్సెస్ పరిధిని నిర్వచించే నిర్దిష్ట అనుమతులు కేటాయించబడ్డాయి. ఈ అనుమతులు AWS-నిర్వహించవచ్చు లేదా రూట్ వినియోగదారు ద్వారా అనుకూల-నిర్వచించబడతాయి.
IAM పాత్ర IAM వినియోగదారుకు చాలా పోలి ఉంటుంది, అయితే IAM పాత్ర అనేది నిర్దిష్ట అనుమతులతో కూడిన గుర్తింపుగా ఉంటుంది, అయితే వినియోగదారు నిర్దిష్ట కార్యాచరణలను నిర్వహించడానికి ఈ పాత్రలను స్వీకరించవచ్చు. పాత్రకు మంజూరైన అనుమతులు ఈ గుర్తింపుతో (IAM పాత్ర) ఎలాంటి చర్యలు తీసుకోవచ్చో నిర్వచించాయి.
AWSలో ఊహించు పాత్ర ఏమిటి?
సేవలోని వనరును యాక్సెస్ చేయడానికి లేదా మార్చడానికి అనుమతులు వినియోగదారుకు కేటాయించబడనప్పటికీ, AWS సేవలతో పని చేయడానికి వినియోగదారుని అనుమతించే AWS IAM సేవ యొక్క కార్యాచరణలలో పాత్రను ఊహించండి. పాత్రను ఊహించినప్పుడు ఈ అనుమతులు పరోక్షంగా వినియోగదారుకు కేటాయించబడతాయి. AWS వనరులను యాక్సెస్ చేయడానికి సెషన్-ఆధారిత లాగిన్తో పాటు తాత్కాలిక ఆధారాల సమితి ఉపయోగించబడుతుంది.
ఈ తాత్కాలిక ఆధారాలలో సీక్రెట్ యాక్సెస్ కీ, యాక్సెస్ కీ ID మరియు సెక్యూరిటీ టోకెన్ ఉన్నాయి. AWS రూట్ వినియోగదారు సృష్టించిన IAM పాత్రలను AWS ఖాతాలోని ఇతర వినియోగదారులు లేదా పాత్ర యొక్క విధానంలో ARN పేర్కొనబడిన వినియోగదారులు ఊహించవచ్చు. వినియోగదారులు లేదా వనరుల ARNని కలిగి ఉన్న విధానాన్ని అంటారు ట్రస్ట్ విధానం .
పర్మిషన్ పాలసీ మరియు ట్రస్ట్ పాలసీ మధ్య తేడా ఏమిటి?
వివిధ పద్ధతుల ద్వారా ఊహ-పాత్ర కార్యాచరణను అమలు చేయడానికి ముందు, వినియోగదారు అర్థం చేసుకోవలసిన రెండు ప్రధాన అంశాలు ఉన్నాయి. IAM సేవలో రెండు రకాల విధానాలు ఉన్నాయి:
-
- ట్రస్ట్ పాలసీ: నిర్దిష్ట IAM పాత్రను ఎవరు చేపట్టవచ్చో విశ్వసనీయ విధానం నిర్ణయిస్తుంది. వినియోగదారు భావించే పాత్ర కోసం, IAM పాత్ర యొక్క విశ్వసనీయ విధానంలో వినియోగదారు యొక్క ARN పేర్కొనబడింది. ఈ విశ్వసనీయ విధానం వినియోగదారు లేదా వనరులు ఈ పాత్రను స్వీకరించడానికి విశ్వసనీయ ఎంటిటీని నిర్ణయిస్తుంది.
- అనుమతి విధానం: ఈ విధానం వినియోగదారు ఏమి చేయగలరో లేదా పాత్రతో ఎలాంటి చర్యలు చేయవచ్చో నిర్ణయిస్తుంది.
AWS CLIని ఉపయోగించి IAM పాత్రను ఎలా ఊహించుకోవాలి?
ఒక పాత్రను ఊహించడం అనేది నిర్ధిష్ట చర్యలను చేయడానికి ప్రమాణీకరించబడిన మరియు అధికారం కలిగిన మరొక వినియోగదారు వలె మిమ్మల్ని మీరు మారువేషంలో ఉంచుకోవడం లాంటిది. గుర్తింపును పొందుతున్నప్పుడు, AWS భద్రత చెక్కుచెదరకుండా ఉండేలా చూసింది.
కింది ఉదాహరణను పరిగణనలోకి తీసుకోవడం ద్వారా ఊహ-పాత్ర కార్యాచరణ యొక్క పనిని అర్థం చేసుకుందాం.
ఉదాహరణకి, S3 బకెట్కు ఎటువంటి అనుమతులు కేటాయించబడని వినియోగదారు AWS ఖాతాలో ఉన్నారు. ది “చదవడానికి మాత్రమే యాక్సెస్” IAM పాత్రకు జోడించబడిన అనుమతి విధానం అని పిలుస్తారు. వినియోగదారు ఈ పాత్రను స్వీకరించడానికి, వినియోగదారు యొక్క ARN IAM పాత్ర విధానంలో పేర్కొనబడింది. ఈ విధానాన్ని ఇప్పుడు అంటారు 'విశ్వాస విధానం' మరియు ఇది అనుమతి విధానానికి భిన్నంగా ఉంటుంది. ట్రస్ట్ విధానం కీలకమైనది, ఎందుకంటే ఇది వినియోగదారు అధీకృత ఎంటిటీ కాదా అని నిర్ధారించడానికి AWSకి సహాయపడుతుంది.
ARN ట్రస్ట్ పాలసీలో పేర్కొనబడిందని మరియు IAM పాత్ర యొక్క అనుమతి విధానంలో కాదని గమనించండి. పాత్రను ఊహించడం ద్వారా, వినియోగదారు పాత్ర యొక్క అనుమతి విధానం ద్వారా నిర్వచించబడిన కొన్ని అడ్మినిస్ట్రేటివ్ చర్యలను చేయవచ్చు. ఈ చర్యలలో వనరును జోడించడం, తొలగించడం, సవరించడం లేదా పునరుద్ధరించడం మొదలైనవి ఉంటాయి.
AWS CLIతో పాత్రను స్వీకరించడానికి క్రింది మూడు పద్ధతులు ఉన్నాయి:
విధానం 1: STS (సెక్యూరిటీ టోకెన్ సర్వీస్)ని ఉపయోగించడం
తాత్కాలిక ఆధారాల సమితిని అందించే STS విభాగంలో (సెక్యూర్ టోకెన్ సర్వీస్) ఆదేశాలను అమలు చేయడం ద్వారా వినియోగదారులు పాత్రను స్వీకరించవచ్చు. వనరులకు API కాల్లు చేయడానికి సెషన్-ఆధారిత లాగిన్ను ఏర్పాటు చేయడానికి తాత్కాలిక ఆధారాలు ఉపయోగించబడతాయి. అయితే, ఉన్నాయి రెండు మినహాయింపులు STSని ఉపయోగిస్తున్నప్పుడు, అనగా GetFederationToken మరియు GetSessionToken.
సెషన్ మరియు ఫెడరేషన్ టోకెన్ల యొక్క రహస్య సమాచారాన్ని భద్రపరచడానికి వినియోగదారు ఈ టోకెన్లను యాక్సెస్ చేయకుండా పరిమితం చేయబడ్డారు. తద్వారా భద్రత విషయంలో ఎట్టిపరిస్థితుల్లోనూ రాజీ పడకూడదన్నారు. ఒక పాత్రను స్వీకరించడం ద్వారా, వినియోగదారు తమకు కేటాయించిన అధికారాలను పెంచుకోవచ్చు.
వ్యాసంలోని ఈ విభాగంలో, మేము STS ఆదేశాలను ఉపయోగించి తాత్కాలిక ఆధారాల సమితిని అభ్యర్థిస్తాము. క్రింద దశలు ఉన్నాయి:
-
- దశ 1: వినియోగదారు మరియు వినియోగదారు విధానాన్ని సృష్టించండి
- దశ 2: వినియోగదారుతో పాలసీని అటాచ్ చేయండి
- దశ 3: ట్రస్ట్ పాలసీ మరియు IAM పాత్రను సృష్టించండి
- దశ 4: యాక్సెస్ కీలను సృష్టించండి
- దశ 5: యాక్సెస్ కీని కాన్ఫిగర్ చేయండి మరియు IAM వినియోగదారుని ధృవీకరించండి
- దశ 6: IAM పాత్రను ఊహించండి
- దశ 7: ఎన్విరాన్మెంట్ వేరియబుల్స్ని కాన్ఫిగర్ చేయండి
- బోనస్ చిట్కా: ఎన్విరాన్మెంట్ వేరియబుల్స్ని అన్సెట్ చేయండి
దశ 1: వినియోగదారు మరియు వినియోగదారు విధానాన్ని సృష్టించండి
మొదట, మేము చేస్తాము IAM వినియోగదారుని సృష్టించండి అనుమతులు లేకుండా. ఈ ప్రయోజనం కోసం, తెరవండి CMD Windows యొక్క ప్రారంభ మెను నుండి:
మాత్రమే రూట్ వినియోగదారు చెయ్యవచ్చు సృష్టించు ఒక IAM వినియోగదారు AWS ఖాతాలో. కాబట్టి, కింది ఆదేశాన్ని ఉపయోగించి AWS రూట్ ఖాతాకు సైన్ ఇన్ చేయండి:
కమాండ్ అవుట్పుట్లో చూపిన విధంగా ఈ డెమో కోసం ఆధారాలు ఇప్పటికే CLIలో కాన్ఫిగర్ చేయబడ్డాయి:
ఇంకా నేర్చుకో:
కు IAM వినియోగదారుని సృష్టించండి , CLIకి కింది ఆదేశాన్ని అందించండి:
aws iam క్రియేట్-యూజర్ --యూజర్-పేరు డెమో-యూజర్
భర్తీ చేయండి డెమో-యూజర్ మీతో IAM వినియోగదారు పేరు.
సేవ్ 'ఆర్న్' కమాండ్ యొక్క అవుట్పుట్లో అది ఉంటుంది అవసరం ఎప్పుడు సృష్టించడం ది ట్రస్ట్ పాలసీ :
ఇంకా చదవండి:
తదుపరి దశ అనుమతి వినియోగదారు (డెమో-యూజర్ ) కు ఒక పాత్రను స్వీకరించండి . ఈ ప్రయోజనం కోసం, సృష్టించు a JSON ఫైల్ ఏదైనా ఉపయోగించి టెక్స్ట్ ఎడిటర్ మీరు ఇష్టపడతారు. ఈ డెమో కోసం, మేము ఉపయోగించాము నోట్ప్యాడ్ క్రింద పేర్కొన్న ఆదేశంలో పేర్కొన్న విధంగా:
Windows కోసం
నోట్ప్యాడ్ user-policy.json
భర్తీ చేయండి వినియోగదారు విధానం మీ IAM పాలసీ పేరుతో.
Linux OS కోసం
ఎందుకంటే user-policy.json
ప్రస్తుతానికి, మేము ఈ డెమో కోసం Windows ఆపరేటింగ్ సిస్టమ్ని ఉపయోగిస్తున్నాము:
ఇది నోట్ప్యాడ్ను తెరుస్తుంది. కింది విధానాన్ని నోట్ప్యాడ్లో అతికించి, నొక్కండి 'CTRL + S' మార్పులను సేవ్ చేయడానికి కీబోర్డ్ నుండి:
'సంస్కరణ: Telugu' : '2012-10-17' ,
'ప్రకటన' : [
{
'ప్రభావం' : 'అనుమతించు' ,
'యాక్షన్' : [
'ec2:వర్ణించు*' ,
'iam:ListRoles' ,
'sts:AssumeRole'
] ,
'వనరు' : '*'
}
]
}
క్రింద పేర్కొన్న విధానం యొక్క సంక్షిప్త వివరణ ఇవ్వబడింది:
-
- ec2:వర్ణించండి: ఈ అనుమతి వినియోగదారు అన్ని AMIలు, స్నాప్షాట్లు లేదా EC2 దృష్టాంతాలను వీక్షించవచ్చని లేదా జాబితా చేయగలరని నిర్దేశిస్తుంది
- iam:జాబితా పాత్రలు: ఈ అనుమతి వినియోగదారు IAM సేవలోని అన్ని పాత్రలను జాబితా చేయగలరని నిర్దేశిస్తుంది.
- sts:AssumeRole: IAM సేవలో నిర్వచించబడిన పాత్రను వినియోగదారు తీసుకోవచ్చని ఈ అనుమతి సూచిస్తుంది.
ఇక్కడ, విధానం నోట్ప్యాడ్లో సవరించబడింది మరియు సేవ్ చేయబడింది:
ప్రతి AWS వనరు ఒక కేటాయించబడింది యాక్సెస్-రిసోర్స్ పేరు (ARN) ఏది ప్రత్యేకంగా గుర్తిస్తుంది వనరు. విధానం యొక్క ARNని నిర్ణయించడానికి, దిగువ పేర్కొన్న ఆదేశాన్ని ఉపయోగించండి.
పైన పేర్కొన్న ఆదేశంలో:
-
- -పాలసీ పేరు: విలువను భర్తీ చేయండి 'వినియోగదారు విధానం' మీ ప్రాధాన్యతకు సంబంధించిన ఏదైనా పాలసీ పేరుతో.
- -విధాన పత్రం: ఈ ఫీల్డ్లో, 'ని భర్తీ చేయండి user-policy.json” json ఫైల్ పేరుతో వినియోగదారు కోసం విధానాన్ని కలిగి ఉంటుంది.
పైన పేర్కొన్న ఆదేశం యొక్క అవుట్పుట్ క్రింది విధంగా ఉంది. సేవ్ 'ఆర్న్' వినియోగదారుతో ఈ పాలసీని జోడించేటప్పుడు ఇది అవసరం కాబట్టి పాలసీ అవుట్పుట్లో పేర్కొనబడింది:
దశ 2: వినియోగదారుతో పాలసీని అటాచ్ చేయండి
ఈ విధానం వినియోగదారుని జాబితా చేయడానికి అనుమతిస్తుంది EC2 ఉదంతాలు , స్నేహితులు , మొదలైనవి. వినియోగదారు వేరే అనుమతితో పాత్రను స్వీకరించినప్పుడు, వినియోగదారు అనుమతి విధానం ద్వారా అనుమతించబడిన నిర్దిష్ట చర్యను మాత్రమే చేయగలరు.
ఈ విభాగంలో ముందుగా సృష్టించిన వినియోగదారుతో విధానాన్ని జోడించడానికి, కింది ఆదేశాన్ని ఉపయోగించండి:
aws iam అటాచ్-యూజర్-పాలసీ --యూజర్-పేరు డెమో-యూజర్ --విధానం-అర్న్ 'arn:aws:iam::123456789:విధానం/యూజర్-విధానం'
పైన పేర్కొన్న ఆదేశంలో:
-
- - వినియోగదారు పేరు: భర్తీ చేయండి 'డెమో-యూజర్' లో - వినియోగదారు పేరు మీ IAM వినియోగదారు పేరుతో ఫీల్డ్.
- -విధానం: అదేవిధంగా, లో -విధానం, పేర్కొనండి 'ఆర్న్' మునుపటి కమాండ్ అవుట్పుట్ నుండి, అంటే, -create-policy.
అవసరమైన మార్పులు చేసిన తర్వాత ఆదేశాన్ని అమలు చేయడం ద్వారా, విధానం విజయవంతంగా వినియోగదారుకు జోడించబడింది:
విధానం వినియోగదారుకు జోడించబడిందో లేదో ధృవీకరించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
భర్తీ చేయండి డెమో-యూజర్ మీ IAMతో వినియోగదారు పేరు వినియోగదారుని సృష్టించేటప్పుడు పేర్కొనబడింది.
కింది ఆదేశం యొక్క అవుట్పుట్ విధానం విజయవంతంగా వినియోగదారుకు జోడించబడిందని ధృవీకరిస్తుంది:
దశ 3: ట్రస్ట్ పాలసీ మరియు IAM పాత్రను సృష్టించండి
విధానంలో వనరు లేదా వినియోగదారు యొక్క ARN పేర్కొనబడినప్పుడు విశ్వసనీయ సంబంధం ఏర్పడుతుంది. ఈ ఫంక్షనాలిటీ వినియోగదారులు లేదా ఎంటిటీని పాలసీ ద్వారా విశ్వసనీయంగా పరిగణించినందున నిర్దిష్ట చర్యలను చేయడానికి వీలు కల్పిస్తుంది.
ఈ దశలో, మేము IAM పాత్ర మరియు వినియోగదారు మధ్య విశ్వసనీయ సంబంధాన్ని ఏర్పరిచే విధానాన్ని రూపొందిస్తాము. ఈ ట్రస్ట్ పాలసీ IAM పాత్రకు జోడించబడుతుంది. IAM పాత్ర అప్పుడు వినియోగదారుచే ఊహించబడుతుంది, ఇది విధానంలో పేర్కొన్న చర్యలను చేయడానికి వినియోగదారుని పరోక్షంగా అనుమతిస్తుంది.
విశ్వసనీయ విధానాన్ని రూపొందించడానికి, కింది విధంగా ఆదేశాలు ఇవ్వబడ్డాయి:
Windows కోసం
notepad trust-role-policy.json
భర్తీ చేయండి Trust-role-policy.json పాలసీ కోసం మీ ప్రాధాన్యత పేరుతో.
Linux OS కోసం
ఎందుకంటే Trust-role-policy.json
భర్తీ చేయండి Trust-role-policy.json పాలసీ కోసం మీ ప్రాధాన్యత పేరుతో.
ట్రస్ట్ విధానం అనుసరిస్తుంది JSON ఫార్మాట్ ద్వారా పేర్కొన్న విధంగా .json కింది ఆదేశంలో పొడిగింపు:
ఇది నోట్ప్యాడ్ను తెరుస్తుంది. అతికించండి క్రింది విధానం నోట్ప్యాడ్లో మరియు నొక్కండి 'CTRL + S' మార్పులను సేవ్ చేయడానికి కీబోర్డ్ నుండి బటన్. వినియోగదారు యొక్క ARNని IAM కన్సోల్ యొక్క వినియోగదారు డాష్బోర్డ్ నుండి కూడా కాపీ చేయవచ్చు. ఈ ప్రయోజనం కోసం, IAM డాష్బోర్డ్ని సందర్శించి, వినియోగదారు పేరుపై క్లిక్ చేయండి. ప్రదర్శించబడిన కాన్ఫిగరేషన్ నుండి, సారాంశం విభాగంలో ప్రదర్శించబడే వినియోగదారు యొక్క ARNని కాపీ చేయండి.:
'సంస్కరణ: Telugu' : '2012-10-17' ,
'ప్రకటన' : {
'ప్రభావం' : 'అనుమతించు' ,
'ప్రధాన' : {
'AWS' : 'arn:aws:iam::123456789012:user/example-user'
} ,
'యాక్షన్' : 'sts:AssumeRole'
}
}
పైన పేర్కొన్న విధానంలో:
-
- AWS: భర్తీ చేయండి AWS ఫీల్డ్ విలువ “arn:aws:iam::123456789012:user/example-user ”తో వినియోగదారు యొక్క ARN ఇది –create-user కమాండ్ అవుట్పుట్లో ప్రదర్శించబడుతుంది.
వినియోగదారు యొక్క ARNని పేర్కొనడం ద్వారా IAM పాత్రను స్వీకరించకుండా ఇతర వినియోగదారులను వినియోగదారు నియంత్రించవచ్చు “AWS” ఫీల్డ్:
ఇంకా చదవండి:
ఇప్పుడు, IAM రోల్ని సృష్టించండి మరియు దానితో ట్రస్ట్ పాలసీని జత చేయండి. IAM పాత్రను సృష్టించడానికి, దిగువ పేర్కొన్న ఆదేశాన్ని ఉపయోగించండి:
aws iam సృష్టించు-పాత్ర --పాత్ర-పేరు వినియోగదారు పాత్ర --ఊహించండి-పాత్ర-విధాన-పత్రం ఫైల్: // Trust-role-policy.json
పైన పేర్కొన్న ఫీల్డ్ల వివరణ క్రింది విధంగా ఉంది:
-
- -పాత్ర పేరు: ఈ IAM పాత్రకు కేటాయించబడే పేరును ఇన్పుట్ చేయడానికి ఈ ఫీల్డ్ ఉపయోగించబడుతుంది. 'యూజర్-రోల్' విలువను మీకు నచ్చిన IAM రోల్ పేరుతో భర్తీ చేయండి.
- –ఊహించండి-పాత్ర-విధానం-పత్రం: ఈ ఫీల్డ్లో కమాండ్లో ఇచ్చిన విధంగా మార్గాన్ని పేర్కొనండి. Trust-role-policy.jsonని మునుపటి విభాగంలో మీరు పేర్కొన్న పాలసీ పేరుతో భర్తీ చేయండి.
ఈ ఆదేశాన్ని అమలు చేయడం ద్వారా, ఇది అవుట్పుట్లో అనేక సమాచారాన్ని అందిస్తుంది ఉదా., ARN, Path, ID, మొదలైనవి:
ఇంకా చదవండి:
ఈ పాత్రను స్వీకరించిన తర్వాత, వినియోగదారు దానిని నిర్వహించగలరు “చదవడానికి మాత్రమే యాక్సెస్” S3 బకెట్తో చర్య. ఆదేశం క్రింది విధంగా ఇవ్వబడింది:
aws iam అటాచ్-రోల్-పాలసీ --పాత్ర-పేరు వినియోగదారు పాత్ర --విధానం-అర్న్ 'arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess'
పై ఆదేశంలో:
-
- -పాత్ర పేరు: భర్తీ' వినియోగదారు పాత్ర' -రోల్-నేమ్ ఫీల్డ్లో IAM పాత్ర పేరు మీరు ఈ ట్యుటోరియల్లో ముందుగా పేర్కొన్నది.
- -విధానం: –policy-arnలో పేర్కొన్న ఆర్న్ S3 బకెట్ కోసం ReadOnlyAccess అనుమతిని సూచిస్తుంది.
ఈ చిత్రంలో, పాత్రకు S3 బకెట్ కోసం ReadOnlyAccess అనుమతి కేటాయించబడింది:
పాత్రకు అనుమతి కేటాయించబడిందా లేదా కింది ఆదేశాన్ని ఉపయోగించకూడదో ధృవీకరించడానికి:
భర్తీ చేయండి 'వినియోగదారు పాత్ర' మీ IAM పాత్ర పేరుతో.
ది “AmazonS3ReadOnlyAccess” IAM పాత్రకు అనుమతి జోడించబడింది. కమాండ్ యొక్క అవుట్పుట్ క్రింది విధంగా ఇవ్వబడింది:
దశ 4: యాక్సెస్ కీలను సృష్టించండి
ఈ విభాగంలో, మేము వినియోగదారు కోసం యాక్సెస్ కీలను సృష్టిస్తాము. AWS ఖాతాలోకి లాగిన్ చేయడానికి యాక్సెస్ కీలు ఉపయోగించబడతాయి:
aws iam క్రియేట్-యాక్సెస్-కీ --యూజర్-పేరు డెమో-యూజర్
భర్తీ చేయండి డెమో-యూజర్ వినియోగదారుని సృష్టించే సమయంలో ఇచ్చిన మీ IAM వినియోగదారు పేరుతో.
ఇక్కడ, కమాండ్ సృష్టించిన తేదీ, స్థితి మొదలైన అదనపు వివరాలతో యాక్సెస్ కీ జతల (AccessKeyId మరియు సీక్రెట్ యాక్సెస్ కీ) సెట్ను అందించింది. సేవ్ చేయండి AccessKeyId మరియు SecretAccessKey తరువాత ట్యుటోరియల్లో అవసరం కాబట్టి:
ఇంకా చదవండి:
దశ 5: యాక్సెస్ కీని కాన్ఫిగర్ చేయండి మరియు IAM వినియోగదారుని ధృవీకరించండి
యాక్సెస్ కీని కాన్ఫిగర్ చేయడానికి, CMDకి కింది ఆదేశాన్ని అందించి, ఆపై యాక్సెస్ కీ ID మరియు సీక్రెట్ యాక్సెస్ కీని నమోదు చేయండి:
aws కాన్ఫిగర్ చేస్తుంది
ఈ విభాగం యొక్క దశ 4లో సృష్టించబడిన CLIకి యాక్సెస్ కీ ID మరియు రహస్య యాక్సెస్ కీని అందించండి. ప్రాంతం కోసం, మేము డిఫాల్ట్ సెట్టింగ్లను ఉంచాము. వినియోగదారులు డిఫాల్ట్ అవుట్పుట్ ఫార్మాట్ కోసం ఏదైనా అవుట్పుట్ ఆకృతిని కాన్ఫిగర్ చేయవచ్చు. ఈ డెమో కోసం, మేము పేర్కొన్నాము JSON ఆకృతి:
IAM వినియోగదారు కాన్ఫిగర్ చేయబడిందో లేదో ధృవీకరించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
కమాండ్ యొక్క అవుట్పుట్ సూచిస్తుంది 'డెమో-యూజర్' విజయవంతంగా కాన్ఫిగర్ చేయబడింది మరియు ప్రస్తుతం AWS ఖాతాలోకి లాగిన్ చేయబడింది:
IAM వినియోగదారు EC2 దృష్టాంతాలను జాబితా చేయగలరని మరియు ప్రస్తుతం S3 బకెట్కు ప్రాప్యత లేదని నిర్ధారించడానికి, కింది ఆదేశాన్ని ఉపయోగించండి:
కమాండ్ యొక్క అవుట్పుట్ క్రింది విధంగా ఇవ్వబడింది:
ఇప్పుడు, వినియోగదారు S3 బకెట్ను యాక్సెస్ చేయగలరో లేదో ధృవీకరించడానికి కింది ఆదేశాన్ని అందించండి:
ఇది ప్రదర్శిస్తుంది 'అనుమతి నిరాకరించడం అయినది' S3 బకెట్ను యాక్సెస్ చేయడానికి వినియోగదారుకు అనుమతి లేదని సూచించే లోపం:
దశ 6: IAM పాత్రను ఊహించండి
AWS ఖాతాలో IAM పాత్రలను జాబితా చేయడానికి వినియోగదారుకు అనుమతి ఉంది. కాబట్టి, పాత్రను స్వీకరించడానికి, మేము మొదట కింది ఆదేశాన్ని అమలు చేయడం ద్వారా ARN వంటి అవసరమైన సమాచారాన్ని పొందుతాము:
aws iam జాబితా-పాత్రలు --ప్రశ్న 'పాత్రలు[?RoleName == 'user-role'].[RoleName, Arn]'
'RoleName' ఫీల్డ్లో IAM పాత్ర పేరుతో 'యూజర్-రోల్'ని భర్తీ చేయండి.
పైన పేర్కొన్న ఆదేశం యొక్క అవుట్పుట్లో ARN ఇవ్వబడింది:
ఇప్పుడు మనం IAM పాత్ర యొక్క ARNని కలిగి ఉన్నాము, కింది ఆదేశాన్ని ఉపయోగించడం ద్వారా మనం పాత్రను స్వీకరించవచ్చు:
పై ఆదేశంలో:
-
- -పాత్ర-అర్న్: -role-arn కోసం పేర్కొన్న విలువను IAM పాత్ర యొక్క ARNతో భర్తీ చేయండి.
- -పాత్ర-సెషన్ పేరు: వినియోగదారు ఈ ఫీల్డ్కు ప్రాధాన్యత గల ఏదైనా పేరును అందించవచ్చు.
పైన పేర్కొన్న ఆదేశాన్ని అమలు చేయడం ద్వారా, తాత్కాలిక ఆధారాల సమితి తిరిగి ఇవ్వబడింది. ఈ తాత్కాలిక ఆధారాలు కోరుకున్న అనుమతితో IAM పాత్రను స్వీకరించడానికి ఉపయోగించబడతాయి, అనగా ReadOnlyAccess. ఈ తాత్కాలిక ఆధారాలను కాన్ఫిగర్ చేస్తున్నప్పుడు AccessKeyId మరియు SecretAccessKey ఉపయోగించబడతాయి:
కమాండ్ యొక్క అవుట్పుట్ యొక్క సంక్షిప్త వివరణ ఇక్కడ ఉంది:
-
- సెషన్ టోకెన్: సెషన్-ఆధారిత లాగిన్ని సృష్టించడానికి సెషన్ టోకెన్ ఉపయోగించబడుతుంది. ఆధారాలను కాన్ఫిగర్ చేస్తున్నప్పుడు ఈ ఫీల్డ్ విలువను సేవ్ చేయండి.
- గడువు: సెషన్ టోకెన్ గడువు తేదీ మరియు సమయాన్ని కలిగి ఉంది. పేర్కొన్న సమయం తర్వాత టోకెన్ ఉపయోగం ఉండదు మరియు వినియోగదారు పాత్రను స్వీకరించలేరు.
దశ 7: ఎన్విరాన్మెంట్ వేరియబుల్ను కాన్ఫిగర్ చేయండి
తాత్కాలిక ఆధారాలను కాన్ఫిగర్ చేయడానికి, మేము Windows కోసం “సెట్” ఆదేశాన్ని ఉపయోగిస్తాము మరియు యాక్సెస్ కీ ID, సీక్రెట్ యాక్సెస్ కీ, సెషన్ టోకెన్ మొదలైన వాటి విలువను అందిస్తాము:
Windows కోసం
సెట్ AWS_ACCESS_KEY_ID =RoleAccessKeyID
దశ 6లోని కమాండ్ ద్వారా అందించబడిన యాక్సెస్ కీ IDతో RoleAccessKeyIDని భర్తీ చేయండి.
Linux OS కోసం
ఎగుమతి AWS_ACCESS_KEY_ID =RoleAccessKeyID
దశ 6లోని కమాండ్ ద్వారా అందించబడిన యాక్సెస్ కీ IDతో RoleAccessKeyIDని భర్తీ చేయండి.
యాక్సెస్ కీ కాన్ఫిగర్ చేయబడింది:
తరువాత, మేము Windows కోసం 'సెట్' ఆదేశాన్ని ఉపయోగించి సీక్రెట్ యాక్సెస్ కీని కాన్ఫిగర్ చేస్తాము:
Windows కోసం
సెట్ AWS_SECRET_ACCESS_KEY = రోల్ సీక్రెట్ కీ
దశ 6లోని కమాండ్ ద్వారా అందించబడిన రహస్య యాక్సెస్ కీ విలువతో RoleSecretKeyని భర్తీ చేయండి.
Linux OS కోసం
ఎగుమతి AWS_SECRET_ACCESS_KEY = రోల్ సీక్రెట్ కీ
AWS_SECRET_ACCESS_KEYని స్టెప్ 6లో కమాండ్ ద్వారా అందించిన సీక్రెట్ యాక్సెస్ కీతో భర్తీ చేయండి.
సీక్రెట్ యాక్సెస్ కీ విజయవంతంగా కాన్ఫిగర్ చేయబడింది:
చివరగా, సెషన్-ఆధారిత లాగిన్ను స్థాపించడానికి మేము సెషన్ టోకెన్ను కాన్ఫిగర్ చేస్తాము. ఈ ప్రయోజనం కోసం, క్రింద పేర్కొన్న ఆదేశాన్ని ఉపయోగించండి:
Windows కోసం
సెట్ AWS_SESSION_TOKEN =పాత్ర సెషన్ టోకెన్
RoleSessionTokenని స్టెప్ 6లో కమాండ్ ద్వారా అందించిన సెషన్ టోకెన్ విలువతో భర్తీ చేయండి.
Linux OS కోసం
ఎగుమతి AWS_SESSION_TOKEN =పాత్ర సెషన్ టోకెన్
RoleSessionTokenని స్టెప్ 6లో కమాండ్ ద్వారా అందించిన సెషన్ టోకెన్ విలువతో భర్తీ చేయండి.
సెషన్ టోకెన్ విలువ విజయవంతంగా కాన్ఫిగర్ చేయబడింది:
CMD నుండి సెషన్ టోకెన్ విలువను కాపీ చేయడానికి, నొక్కండి “CTRL + SHIFT+ C” .
ఎన్విరాన్మెంట్ వేరియబుల్స్ను కాన్ఫిగర్ చేసిన తర్వాత, వినియోగదారు పాత్రను ఊహించినట్లయితే కింది ఆదేశాన్ని ఉపయోగించడం ద్వారా ధృవీకరించండి:
aws sts గెట్-కాలర్-గుర్తింపు
కమాండ్ యొక్క అవుట్పుట్ IAM పాత్ర ఉందని ధృవీకరిస్తుంది విజయవంతంగా ఊహించబడింది ARN రిటర్న్ వలె వినియోగదారు ద్వారా “arn:aws:sts::123456789012:అస్సూమ్డ్-రోల్/యూజర్-రోల్/AWSCLI-సెషన్” బదులుగా “arn:aws:iam::123456789012:user/demo-user”:
పాత్ర ReadOnlyAccess అనుమతిని కలిగి ఉన్నందున, వినియోగదారు ఇప్పుడు బకెట్లను నమోదు చేయగలగాలి. ఈ ప్రయోజనం కోసం, CLIకి కింది ఆదేశాన్ని అందించండి:
కమాండ్ యొక్క అవుట్పుట్ ప్రస్తుతం AWS ఖాతాలో కాన్ఫిగర్ చేయబడిన అన్ని S3 బకెట్లను విజయవంతంగా నమోదు చేస్తుంది:
అయితే, ఊహించిన పాత్రకు EC2 సేవకు అనుమతి లేనందున వినియోగదారు EC2 సేవను యాక్సెస్ చేయలేరు. దీన్ని ధృవీకరించడానికి, కింది ఆదేశాన్ని ఉపయోగించండి:
గతంలో, వినియోగదారు EC2 సేవా సమాచారాన్ని యాక్సెస్ చేయగలిగారు. అయితే, పైన పేర్కొన్న ఆదేశాన్ని అమలు చేసిన తర్వాత, an 'అనుమతి నిరాకరించడం అయినది' లోపం సంభవించింది. వినియోగదారు విజయవంతంగా IAM పాత్రను స్వీకరించారు:
ఇదంతా ఈ విభాగం నుండి.
బోనస్ చిట్కా: ఎన్విరాన్మెంట్ వేరియబుల్స్ని అన్సెట్ చేయండి
IAM యూజర్కి తిరిగి రావడానికి అంటే డెమో-యూజర్కి, వినియోగదారు ఎన్విరాన్మెంట్ వేరియబుల్స్ని ఖాళీ స్ట్రింగ్లకు సెట్ చేయడం ద్వారా ఎన్విరాన్మెంట్ వేరియబుల్స్ను తీసివేయవచ్చు. కింది ఆదేశాలు ఇవ్వబడ్డాయి:
Windows కోసం
సెట్ AWS_ACCESS_KEY_ID =సెట్ AWS_SECRET_ACCESS_KEY =
సెట్ AWS_SESSION_TOKEN =
Linux కోసం
క్రింద పేర్కొన్న ఆదేశాన్ని ఉపయోగించండి:
సెట్ చేయబడలేదు AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN
పైన పేర్కొన్న ఆదేశాలు పర్యావరణ వేరియబుల్లను అన్సెట్ చేస్తాయి:
పై ఆదేశాలను అమలు చేసిన తర్వాత, కన్సోల్ ఇప్పుడు తిరిగి ఇవ్వాలి 'డెమో-యూజర్' ఊహించిన పాత్రకు బదులుగా ప్రస్తుతం లాగిన్ అయిన వినియోగదారుగా, అనగా వినియోగదారు పాత్ర. ఈ ప్రయోజనం కోసం, మేము ఈ క్రింది ఆదేశాన్ని ఉపయోగిస్తాము:
కమాండ్ యొక్క అవుట్పుట్ ప్రస్తుతం లాగిన్ చేసిన వినియోగదారు డెమో-యూజర్ అని సూచిస్తుంది:
అదేవిధంగా, రూట్ యూజర్గా లాగిన్ చేయడానికి, అనుసరించండి “C:\Users%USERPROFILE%.aws” మార్గం మరియు ఆధారాల ఫైల్పై క్లిక్ చేయండి:
ఆధారాల ఫైల్లో, యాక్సెస్ కీ మరియు సీక్రెట్ యాక్సెస్ కీ విలువలను రూట్ యూజర్ యాక్సెస్ మరియు సీక్రెట్ యాక్సెస్ కీతో భర్తీ చేయండి:
ఆధారాలు సరిగ్గా కాన్ఫిగర్ చేయబడి ఉన్నాయో లేదో ధృవీకరించడానికి CLIకి కింది ఆదేశాన్ని అందించండి:
ఇక్కడ, దిగువ చిత్రంలో, రూట్ యూజర్ యొక్క యాక్సెస్ కీ మరియు సీక్రెట్ యాక్సెస్ కీ విజయవంతంగా కాన్ఫిగర్ చేయబడిందని మనం చూడవచ్చు:
ట్యుటోరియల్ యొక్క ఈ విభాగం నుండి అంతే.
విధానం 2: ప్రొఫైల్ పరామితిని ఉపయోగించడం
CLIలోని “–ప్రొఫైల్” ఫీల్డ్ని ఉపయోగించడం ద్వారా పాత్రను ఊహించడం మరొక పద్ధతి. వ్యాసంలోని ఈ విభాగం AWSలో -ప్రొఫైల్ ద్వారా పాత్రను స్వీకరించే ఆచరణాత్మక అమలును అందిస్తుంది. దాని కోసం క్రింది దశలు ఉన్నాయి:
దశ 1: IAM వినియోగదారుని సృష్టించండి
IAM వినియోగదారుని సృష్టించడానికి, కింది ఆదేశాన్ని ఉపయోగించి CLI ద్వారా రూట్ వినియోగదారు ఖాతాకు లాగిన్ చేయండి:
aws కాన్ఫిగర్ చేస్తుంది
కమాండ్ అవుట్పుట్లో చూపిన విధంగా ఈ డెమో కోసం ఆధారాలు ఇప్పటికే CLIలో కాన్ఫిగర్ చేయబడ్డాయి:
ఇంకా నేర్చుకో:
IAM వినియోగదారుని సృష్టించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
aws iam క్రియేట్-యూజర్ --యూజర్-పేరు ప్రొఫైల్-యూజర్
వినియోగదారు విజయవంతంగా సృష్టించబడ్డారు. దిగువ చిత్రంలో ప్రదర్శించబడినట్లుగా వినియోగదారు యొక్క ARNని సేవ్ చేయండి. ఈ IAM వినియోగదారు యొక్క ARN ఈ ట్యుటోరియల్లో తర్వాత ఉపయోగించబడుతుంది. ప్రస్తుతం, ఈ IAM వినియోగదారుతో అనుబంధించబడిన అనుమతులు ఏవీ లేవు:
ఇంకా చదవండి:
దశ 2: యాక్సెస్ కీని సృష్టించండి
AWSలో, లాగిన్ కోసం ప్రతి వినియోగదారుకు ఒక జత యాక్సెస్ కీలు కేటాయించబడతాయి. ఈ వినియోగదారు కోసం యాక్సెస్ కీలను సృష్టించడానికి, దానికి కింది ఆదేశాన్ని అందించండి:
aws iam క్రియేట్-యాక్సెస్-కీ --యూజర్-పేరు ప్రొఫైల్-యూజర్
ఈ ఆదేశం యాక్సెస్ కీల సమితిని అందిస్తుంది. సేవ్ చేయండి ది AccessKeyId మరియు SecretAccessKey AWS ఖాతాలోకి లాగిన్ చేస్తున్నప్పుడు ఇది అవసరం అవుతుంది:
ఇప్పుడు మనం ఈ AccessKeyId మరియు SecretAccessKeyని ఉపయోగించి AWS CLIకి లాగిన్ చేసి, ఏదైనా వనరును యాక్సెస్ చేస్తే ఉదా. S3 బకెట్, ది 'అనుమతి నిరాకరించడం అయినది' లోపం ఏర్పడుతుంది. ఎందుకంటే ప్రస్తుతం IAM వినియోగదారుతో అనుబంధించబడిన అనుమతులు లేవు. AWS CLIకి లాగిన్ అవ్వడానికి, కింది ఆదేశాన్ని ఉపయోగించండి మరియు ముందుగా సృష్టించిన విధంగా యాక్సెస్ కీ ID మరియు సీక్రెట్ యాక్సెస్ కీని అందించండి:
భర్తీ చేయండి 'ప్రొఫైల్-యూజర్' వినియోగదారుని సృష్టించేటప్పుడు మీరు అందించిన IAM వినియోగదారు పేరుతో.
ఇక్కడ, మేము IAM వినియోగదారుగా AWS CLIకి విజయవంతంగా లాగిన్ చేసాము:
ఈ వినియోగదారుకు S3 బకెట్ కోసం ఏదైనా చదవడానికి మాత్రమే అనుమతులు ఉన్నాయో లేదో ధృవీకరించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
వినియోగదారుని సృష్టించేటప్పుడు మీరు అందించిన IAM వినియోగదారు పేరుతో ప్రొఫైల్-వినియోగదారుని భర్తీ చేయండి.
ఈ వినియోగదారుకు రూట్ వినియోగదారు ఎటువంటి అనుమతిని కేటాయించనందున, ఇది “ అనుమతి నిరాకరించడం అయినది ” లోపం:
దశ 3: ట్రస్ట్ పాలసీ మరియు IAM పాత్రను సృష్టించండి
ఒక వినియోగదారు లేదా AWS వనరు పాత్రను స్వీకరించడం మరియు అనుమతులను పొందడం కోసం విశ్వసనీయ సంస్థ కాదా అనేది విశ్వసనీయ విధానం నిర్ణయిస్తుంది. అనుమతి విధానంలో IAM వినియోగదారు లేదా AWS వనరు యొక్క ARNని పేర్కొనడం ద్వారా ఈ విశ్వసనీయ సంబంధం సృష్టించబడుతుంది.
IAMలో విశ్వసనీయ విధానాన్ని రూపొందించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
Windows కోసం
notepad trust-policy.json
భర్తీ చేయండి Trust-policy.json పాలసీ కోసం మీ ప్రాధాన్యత పేరుతో.
Linux OS కోసం
ఎందుకంటే Trust-role-policy.json
భర్తీ చేయండి Trust-policy.json పాలసీ కోసం మీ ప్రాధాన్యత పేరుతో.
వినియోగదారులు తమ ప్రాధాన్యత గల ఏదైనా టెక్స్ట్ ఎడిటర్ని ఉపయోగించవచ్చు. ఈ డెమో కోసం, మేము నోట్ప్యాడ్ని ఉపయోగిస్తున్నాము:
ఇది విశ్వసనీయ విధానాన్ని రూపొందించడానికి నోట్ప్యాడ్ను తెరుస్తుంది. కింది విధానాన్ని నోట్ప్యాడ్లో అతికించి, నొక్కండి 'CTRL + S' మార్పులను వర్తింపజేయడానికి మరియు సేవ్ చేయడానికి కీబోర్డ్ నుండి:
'సంస్కరణ: Telugu' : '2012-10-17' ,
'ప్రకటన' : {
'ప్రభావం' : 'అనుమతించు' ,
'ప్రధాన' : {
'AWS' : 'arn:aws:iam::012345678910:user/profile-user'
} ,
'యాక్షన్' : 'sts:AssumeRole'
}
}
పై పాలసీలో: AWS: “arn:aws:iam::012345678910:user/policy-user” విలువను ఈ విభాగంలో ముందుగా సృష్టించిన IAM వినియోగదారు యొక్క ARNతో భర్తీ చేయండి.
విధానం నోట్ప్యాడ్లో సవరించబడింది:
తర్వాత, మేము IAM రోల్ని క్రియేట్ చేస్తాము మరియు పైన ఉన్న ట్రస్ట్ పాలసీని దానికి జోడిస్తాము. IAM పాత్రను సృష్టించడానికి కింది ఆదేశాన్ని ఉపయోగించండి:
పైన పేర్కొన్న ఆదేశంలో:
-
- -పాత్ర పేరు: భర్తీ చేయండి 'మైరోల్' మీకు నచ్చిన IAM పాత్ర పేరుతో.
- –ఊహించండి-పాత్ర-విధానం-పత్రం: ఈ ఫీల్డ్లో, పదాన్ని భర్తీ చేయండి “trust-policy.json” మీ IAM ట్రస్ట్ పాలసీ పేరుతో
IAM పాత్ర విజయవంతంగా సృష్టించబడింది. IAM పాత్రను సేవ్ చేయండి. కింది చిత్రంలో హైలైట్ చేసిన విధంగా IAM పాత్ర యొక్క ARNని సేవ్ చేయండి. వినియోగదారు ప్రొఫైల్ను కాన్ఫిగర్ చేస్తున్నప్పుడు ఈ ARN ఉపయోగించబడుతుంది:
IAMకి జోడించబడిన విశ్వసనీయ విధానం వినియోగదారుని విశ్వసించాలా లేదా పాత్రను స్వీకరించడం కోసం గుర్తిస్తుంది. AWS సేవలతో నిర్దిష్ట చర్యను నిర్వహించడానికి IAM పాత్రకు అవసరమైన అనుమతి ఉందా లేదా అనేది అనుమతి విధానం నిర్ణయిస్తుంది.
IAM పాత్రకు ట్రస్ట్ పాలసీ జోడించబడినందున, IAM పాత్రకు అనుమతి విధానాన్ని జోడించడం తదుపరి దశ. IAM పాత్రకు అనుమతి విధానాన్ని జోడించడానికి దిగువ పేర్కొన్న ఆదేశం ఉపయోగించబడుతుంది:
aws iam అటాచ్-రోల్-పాలసీ --పాత్ర-పేరు మైరోల్ --విధానం-అర్న్ 'arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess'
ఇక్కడ, అనుమతి విధానం CLI ద్వారా IAM పాత్రకు జోడించబడింది:
దశ 4: ప్రొఫైల్ను కాన్ఫిగర్ చేయండి
వినియోగదారు ఈ పాత్రను స్వీకరించడానికి, మేము ముందుగా ఈ ప్రొఫైల్ను AWS యొక్క ఆధారాలలో కాన్ఫిగర్ చేస్తాము. ఈ తాత్కాలిక ఆధారాలను జోడించడానికి, కింది ఆదేశాన్ని అందించండి:
నోట్ప్యాడ్ ~ / .అవ్స్ / config
బోనస్ చిట్కా: నోట్ప్యాడ్లో “పాత్ పేర్కొనబడలేదు” అని పరిష్కరించండి
కాన్ఫిగరేషన్ ఫైల్ AWS CLI యొక్క [డిఫాల్ట్] సెట్టింగ్ని కలిగి ఉంటుంది. అయితే, నోట్ప్యాడ్ “సిస్టమ్ పేర్కొన్న మార్గాన్ని కనుగొనలేదు” అని ప్రదర్శిస్తే, దిగువ పేర్కొన్న ఆదేశాన్ని నమోదు చేయండి:
నోట్ప్యాడ్ .aws / config
Linux వినియోగదారులు ఉపయోగించవచ్చు 'ఎందుకంటే' ప్రొఫైల్ను కాన్ఫిగర్ చేయడానికి ఎడిటర్. స్థానిక మెషీన్లో AWS యొక్క కాన్ఫిగరేషన్ ఫైల్ను తెరవడానికి వినియోగదారులు తమ ప్రాధాన్యతకు సంబంధించిన ఏదైనా ఎడిటర్ని ఉపయోగించవచ్చు:
నోట్ప్యాడ్లో తెరిచిన కాన్ఫిగరేషన్ ఫైల్లో, కింది మార్పులను సవరించండి:
పాత్ర_అర్న్ = arn:aws:iam::012345678910:పాత్ర / మైరోల్
source_profile =ప్రొఫైల్-యూజర్
పై స్నిప్పెట్లో:
-
- పాత్ర_అర్న్: 'arn:aws:iam::012345678910:role/myrole' విలువను IAM పాత్ర యొక్క ARNతో భర్తీ చేయండి.
- source_profile: ఈ ఫీల్డ్లో, ఈ పద్ధతి యొక్క దశ 1లో సృష్టించబడిన IAM వినియోగదారు పేరును అందించండి.
అవసరమైన మార్పులు చేసిన తర్వాత, నొక్కండి 'CTRL + S' మార్పులను వర్తింపజేయడానికి మరియు సేవ్ చేయడానికి కీబోర్డ్ నుండి:
ఇప్పుడు, వినియోగదారు ఇప్పుడు S3 బకెట్లను జాబితా చేయగలరో లేదో ధృవీకరించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
పై ఆదేశంలో: -ప్రొఫైల్-యూజర్: ఈ ఫీల్డ్లో, మీరు కాన్ఫిగర్ ఫైల్లో పేర్కొన్న పేరుతో “ప్రొఫైల్-యూజ్” విలువను భర్తీ చేయండి.
మేము config ఫైల్లో “ప్రొఫైల్-యూజర్” అని పేర్కొన్నందున, మేము CLIలోని కమాండ్తో అదే పేరును ఉపయోగిస్తాము. AWS యొక్క S3 సేవకు ఎటువంటి అనుమతులు కేటాయించబడనందున మునుపు వినియోగదారు దానిని యాక్సెస్ చేయలేకపోయారు. IAM పాత్ర S3 బకెట్ యొక్క “రీడ్ఓన్లీ యాక్సెస్” అనుమతిని కలిగి ఉంది మరియు అందువల్ల, ఈ పాత్రను ఊహించడం ద్వారా, వినియోగదారు S3 డాష్బోర్డ్ నుండి బకెట్లను జాబితా చేయవచ్చు:
ట్యుటోరియల్ యొక్క ఈ పద్ధతి నుండి అంతే.
విధానం 3: MFAని ఉపయోగించడం (మల్టీ-ఫాక్టర్ అథెంటికేషన్)
బహుళ-కారకాల ప్రమాణీకరణను ప్రారంభించడం ద్వారా, వినియోగదారు వినియోగదారు ఖాతాకు అదనపు భద్రతా పొరను కాన్ఫిగర్ చేయవచ్చు. MFA ప్రారంభించబడితే, అనధికార వినియోగదారులు పాస్వర్డ్ మరియు వినియోగదారు పేరును అందించినప్పటికీ వినియోగదారు ఖాతాను యాక్సెస్ చేయలేరు. MFA అనేది ఖాతాలోకి లాగిన్ చేయడానికి అవసరమైన ఆరు అంకెల కోడ్. బహుళ-కారకాల ప్రమాణీకరణ గురించి మరింత తెలుసుకోవడానికి, ఈ కథనాన్ని చూడండి:
CLI ద్వారా MFAతో పాత్రను స్వీకరించడానికి క్రింది దశలు ఉన్నాయి:
దశ 1: IAM వినియోగదారుని సృష్టించండి మరియు MFAని ప్రారంభించండి
ఈ దశ కోసం, వినియోగదారుని సృష్టించడం కోసం CLIని ఉపయోగించవచ్చు లేదా AWS మేనేజ్మెంట్ కన్సోల్ను యాక్సెస్ చేయవచ్చు. కింది ఆదేశాన్ని ఉపయోగించి రూట్ వినియోగదారు ఖాతాలోకి లాగిన్ చేయండి:
aws కాన్ఫిగర్ చేస్తుంది
కమాండ్ యొక్క అవుట్పుట్ క్రింది విధంగా ఇవ్వబడింది:
వినియోగదారుని సృష్టించడానికి, CLIకి కింది ఆదేశాన్ని అందించండి:
పై ఆదేశంలో: - వినియోగదారు పేరు: భర్తీ చేయండి 'mfa-యూజర్' మీకు నచ్చిన IAM వినియోగదారు పేరుతో.
వినియోగదారు విజయవంతంగా సృష్టించబడ్డారు. వినియోగదారు యొక్క ARNని సేవ్ చేయండి ఎందుకంటే ఇది ఈ విభాగంలో తర్వాత అవసరం అవుతుంది. ప్రస్తుతం, ఈ వినియోగదారుకు ఎలాంటి అనుమతులు కేటాయించబడలేదు:
MFAని ప్రారంభించడానికి, AWS మేనేజ్మెంట్ కన్సోల్ని సందర్శించండి మరియు IAM సేవ కోసం శోధించండి. ప్రదర్శించబడిన ఫలితాల నుండి దానిపై క్లిక్ చేయండి:
IAM సేవ యొక్క ఎడమ నావిగేషన్ పేన్ నుండి వినియోగదారుల ఎంపికపై క్లిక్ చేయండి. వినియోగదారుల డాష్బోర్డ్ నుండి, MFAని కాన్ఫిగర్ చేయడానికి వినియోగదారు పేరును క్లిక్ చేయండి:
తదుపరి ఇంటర్ఫేస్లో, నొక్కండి 'భద్రతా ఆధారాలు' ఎంపిక:
క్రిందికి స్క్రోల్ చేయండి బహుళ-కారకాల ప్రమాణీకరణ విభాగం మరియు క్లిక్ చేయండి “MFA పరికరాన్ని కేటాయించండి” బటన్:
అందించండి a అర్థవంతమైన పేరు లో పరికరం పేరు ప్రదర్శించబడే ఇంటర్ఫేస్లో టెక్స్ట్ ఫీల్డ్:
MFA పరికర విభాగానికి క్రిందికి స్క్రోల్ చేయండి. భద్రతా కీ లేదా హార్డ్వేర్ TOTP టోకెన్ ద్వారా QR కోడ్ని స్కాన్ చేయడం ద్వారా MFAని ప్రారంభించడం కోసం వినియోగదారుకు వివిధ ఎంపికలు అందించబడతాయి. ఈ డెమో కోసం, ఎంచుకోండి “ప్రామాణీకరణ అనువర్తనం” ఎంపిక:
నొక్కండి 'తరువాత' తదుపరి కొనసాగడానికి ఇంటర్ఫేస్ దిగువన ఉన్న బటన్:
క్లిక్ చేయండి 'QR కోడ్ చూపించు' దిగువ చిత్రంలో చూపిన విధంగా:
ప్రారంభించండి QR కోడ్ని స్కాన్ చేయడానికి మీ మొబైల్ లేదా ల్యాప్టాప్లో అప్లికేషన్. నొక్కండి “+” సిమాంటెక్ VIP ఇంటర్ఫేస్ నుండి ఎంపిక:
ప్లే స్టోర్లో, సిమాంటెక్ VIPకి VIP యాక్సెస్ అని పేరు పెట్టారు.
సిమాంటెక్ VIP యొక్క తదుపరి ఇంటర్ఫేస్లో, క్లిక్ చేయండి QR కోడ్ని స్కాన్ చేయండి ఇంటర్ఫేస్ దిగువన బటన్:
AWS MFA నుండి QR కోడ్ని స్కాన్ చేయండి Authenticator యాప్ ఇంటర్ఫేస్ ప్రదర్శించబడుతుంది. ఈ కోడ్ IAM వినియోగదారు కన్సోల్లోకి లాగిన్ చేయడానికి అవసరమైన కోడ్ల శ్రేణిని రూపొందిస్తుంది:
Symantec VIP యాప్ ఉత్పత్తి చేస్తుంది ఆరు అంకెల OTP QR కోడ్ని స్కాన్ చేసిన తర్వాత. ఈ కోడ్లు ప్రతి తర్వాత వస్తూనే ఉంటాయి 30 సెకన్లు . దిగువ స్క్రీన్షాట్ రూపొందించబడిన రెండు కోడ్లను ప్రదర్శిస్తుంది:
కు కోడ్లను అందించండి MFA కోడ్ 1 మరియు MFA కోడ్ 2 MFA యొక్క Authenticator యాప్ ఇంటర్ఫేస్లో టెక్స్ట్ ఫీల్డ్లు. క్లిక్ చేయండి 'MFAని జోడించు' కార్యాచరణను ప్రారంభించడానికి బటన్ తర్వాత:
IAM వినియోగదారు కోసం MFA విజయవంతంగా ప్రారంభించబడింది. దీని ద్వారా ధృవీకరించవచ్చు “మల్టీ ఫ్యాక్టర్ అథెంటికేషన్ (MFA)” యొక్క విభాగం 'భద్రతా ఆధారాలు' యొక్క ట్యాబ్ IAM వినియోగదారు . ఈ విభాగం నుండి, ఐడెంటిఫైయర్ విలువను సేవ్ చేయవలసి ఉంటుంది, ఎందుకంటే ఇది పాత్రను స్వీకరించేటప్పుడు అవసరం అవుతుంది:
దశ 2: వినియోగదారుతో పాలసీని అటాచ్ చేయండి
వినియోగదారు ఒక పాత్రను స్వీకరించాలంటే, ఏ పాత్రను స్వీకరించాలో మరియు పాత్రను స్వీకరించడానికి అనుమతిని నిర్ణయించడానికి వినియోగదారు తప్పనిసరిగా IAM పాత్రను జాబితా చేయగలగాలి. అవసరమైన అనుమతితో వినియోగదారుని సన్నద్ధం చేయడానికి, అనుసరించండి ఈ ట్యుటోరియల్లో పద్ధతి 1
దశ 3: ట్రస్ట్ పాలసీ మరియు IAM పాత్రను సృష్టించండి
వినియోగదారు విశ్వసనీయ ఎంటిటీ కాదా అని నిర్ధారించడానికి విశ్వసనీయ విధానాన్ని రూపొందించడం తదుపరి దశ. ఈ ట్రస్ట్ పాలసీ తర్వాత IAM పాత్రకు జోడించబడుతుంది. ట్రస్ట్ విధానం మరియు IAM పాత్రను సృష్టించడానికి, కమాండ్ ప్రాంప్ట్కి నావిగేట్ చేసి, అనుసరించండి ఈ వ్యాసంలో పద్ధతి 1.
దశ 4: యాక్సెస్ కీని సృష్టించండి
వినియోగదారు అధికారం మరియు ప్రామాణీకరణ కోసం, AWS ప్లాట్ఫారమ్లో ప్రపంచవ్యాప్తంగా ప్రత్యేకంగా ఉండే ఒక జత యాక్సెస్ కీలు రూపొందించబడతాయి. AWS ఖాతాకు లాగిన్ చేసే సమయంలో ఈ కీ జతలు ఉపయోగించబడతాయి. IAM వినియోగదారు కోసం యాక్సెస్ కీలను సృష్టించడానికి, అనుసరించండి ఈ వ్యాసంలో పద్ధతి 1.
దశ 5: ఆధారాలను కాన్ఫిగర్ చేయండి
ఆధారాలు సరిగ్గా కాన్ఫిగర్ చేయబడితే మాత్రమే AWS వినియోగదారు AWS వనరులు మరియు సేవలను యాక్సెస్ చేయగలరు. మెథడ్ యొక్క ఈ విభాగంలో, మేము కమాండ్ లైన్ ఇంటర్ఫేస్కు యాక్సెస్ కీ మరియు సీక్రెట్ యాక్సెస్ కీని అందించడం ద్వారా IAM యూజర్ యొక్క ఆధారాలను కాన్ఫిగర్ చేస్తాము. ఈ ప్రయోజనం కోసం, అనుసరించండి ఈ ట్యుటోరియల్ యొక్క పద్ధతి 1.
దశ 6: IAM పాత్రను ఊహించండి
IAM పాత్రను విజయవంతంగా జోడించి, ట్రస్ట్ విధానాన్ని అమలు చేసిన తర్వాత, వినియోగదారు ఇప్పుడు IAM పాత్రను స్వీకరించవచ్చు. ఈ ప్రయోజనం కోసం, CLIకి కింది ఆదేశాన్ని అందించండి:
aws iam క్రియేట్-యాక్సెస్-కీ --యూజర్-పేరు mfa-వినియోగదారు
ఇక్కడ కీ IAM వినియోగదారు కోసం విజయవంతంగా సృష్టించబడింది. AWS ఖాతాలోకి లాగిన్ అవ్వడానికి AccessKeyId మరియు SecretAccessKey అవసరం కాబట్టి వాటిని సేవ్ చేయండి:
AWS CLIలో యాక్సెస్ కీలను కాన్ఫిగర్ చేయడం తదుపరి దశ. CLIని కాన్ఫిగర్ చేయడానికి క్రింద పేర్కొన్న ఆదేశాన్ని ఉపయోగించండి:
కాన్ఫిగరేషన్ల కోసం CLIకి యాక్సెస్ కీ మరియు సీక్రెట్ యాక్సెస్ కీని అందించండి:
IAM వినియోగదారు AWS CLIకి లాగిన్ అయ్యారో లేదో ధృవీకరించడానికి, కింది ఆదేశాన్ని ఉపయోగించండి:
కమాండ్ యొక్క అవుట్పుట్ క్రింది విధంగా ఇవ్వబడింది, ఇది వినియోగదారు AWS కన్సోల్లోకి విజయవంతంగా లాగిన్ అయినట్లు సూచిస్తుంది:
AWS ఖాతాలో IAM పాత్రలను జాబితా చేయడానికి వినియోగదారుకు అనుమతి ఉంది. IAM పాత్రలను జాబితా చేయడానికి క్రింద ఇవ్వబడిన ఆదేశం ఉపయోగించబడుతుంది:
పై ఆదేశంలో: పాత్ర పేరు: ఈ ఫీల్డ్లో, 'mfa-role' విలువను మీ IAM పాత్ర పేరుతో భర్తీ చేయండి.
కమాండ్ యొక్క అవుట్పుట్ క్రింది విధంగా ఇవ్వబడింది:
MFAతో IAM పాత్రను స్వీకరించడానికి, సీరియల్ నంబర్ మరియు టోకెన్ కోడ్ వంటి అదనపు పారామితులతో రోల్ కమాండ్ను ఊహించుకోండి. CLIకి కింది ఆదేశాన్ని అందించండి:
పై ఆదేశంలో:
-
- -పాత్ర-అర్న్: ఈ ఫీల్డ్ విలువను మీ IAM పాత్ర యొక్క ARNతో భర్తీ చేయండి.
- -పాత్ర-సెషన్ పేరు: ఈ ఫీల్డ్లో, వినియోగదారు ఎంపిక చేసుకున్న ఏదైనా సెషన్ పేరును అందించవచ్చు.
- -క్రమ సంఖ్య: ఈ ఫీల్డ్ విలువను ముందుగా సేవ్ చేసిన MFA ఇంటర్ఫేస్ నుండి ఐడెంటిఫైయర్ విలువతో భర్తీ చేయండి.
- -టోకెన్-కోడ్: ఈ విలువను సిమాంటెక్ VIP ఇంటర్ఫేస్లో ప్రదర్శించబడే ప్రస్తుత కోడ్తో భర్తీ చేయాలి.
సిమాంటెక్ VIPలో చూపబడిన ప్రస్తుత కోడ్ క్రింది విధంగా ఇవ్వబడింది. అదే కోడ్ కమాండ్ యొక్క –టోకెన్-కోడ్ విలువలో ఉపయోగించబడుతుంది:
కమాండ్ యొక్క అవుట్పుట్ సెషన్ టోకెన్, యాక్సెస్ కీ, సీక్రెట్ యాక్సెస్ కీ మొదలైన తాత్కాలిక ఆధారాలను కలిగి ఉంటుంది:
దశ 7: ఎన్విరాన్మెంట్ వేరియబుల్స్ని కాన్ఫిగర్ చేయండి
సెషన్-ఆధారిత లాగిన్ను స్థాపించడానికి మరియు పాత్రను స్వీకరించడానికి యాక్సెస్ కీలు మరియు తిరిగి వచ్చిన సెషన్ టోకెన్ ఇప్పుడు ఉపయోగించబడుతుంది. పర్యావరణాన్ని కాన్ఫిగర్ చేయడానికి వివరణాత్మక అమలులో చర్చించబడింది పద్ధతి 1.
తుది ఆలోచనలు
CLIని ఉపయోగించి పాత్రను స్వీకరించడానికి, STS (సెక్యూరిటీ టోకెన్ సర్వీస్), –ప్రొఫైల్ పరామితి లేదా MFA (మల్టీ-ఫాక్టర్ అథెంటికేషన్) ద్వారా మూడు పద్ధతులు ఉన్నాయి. వినియోగదారు పాత్రను స్వీకరించాలంటే, ముందుగా ట్రస్ట్ విధానాన్ని ఏర్పాటు చేయాలి. ఈ విశ్వసనీయ విధానం వినియోగదారు విశ్వసనీయ ఎంటిటీ కాదా అని నిర్ణయిస్తుంది. ఇది IT నిపుణులు మరియు వ్యక్తుల భద్రతా సమస్యలను పరిష్కరిస్తుంది కాబట్టి ఈ కార్యాచరణ అవసరం. ఇంకా, అవసరమైన అనుమతులు కలిగి ఉంటే మాత్రమే వినియోగదారు పాత్రను స్వీకరించగలరు.
AWSలో వినియోగదారు పాత్రను స్వీకరించినప్పుడు, కావలసిన అనుమతులతో వినియోగదారుకు పరిమిత-సమయ ప్రాప్యతను అందించడానికి సెషన్-ఆధారిత లాగిన్ సృష్టించబడుతుంది. ఒక నిర్దిష్ట సమయం తర్వాత గడువు ముగిసే టోకెన్ ఉత్పత్తి చేయబడుతుంది మరియు ఆ విధంగా, వినియోగదారు ఇకపై AWS వనరులతో అడ్మినిస్ట్రేటివ్ పనిని నిర్వహించలేరు. ఈ కథనం AWS CLIలో పాత్రను స్వీకరించడానికి మూడు పద్ధతుల యొక్క ఆచరణాత్మక అమలును అందిస్తుంది.