AWS আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট

২011 সালে, অ্যামাজন ক্লাউডফ্রন্টের জন্য AWS আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট (আইএ্যাম) এর উপলব্ধতা ঘোষণা করে। আইএএম ২010 সালে চালু হয়েছিল এবং এস 3 সমর্থন অন্তর্ভুক্ত ছিল। AWS আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট (আইএএম) আপনাকে একটি AWS অ্যাকাউন্টের মধ্যে একাধিক ব্যবহারকারীদের সক্ষম করতে সক্ষম করে। আপনি যদি অ্যামাজন ওয়েব পরিষেবাদি ব্যবহার করেন (AWS), আপনি সচেতন যে AWS এ সামগ্রী পরিচালনা করার একমাত্র উপায় আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড বা অ্যাক্সেস কীগুলি অন্তর্ভুক্ত করে। এটি আমাদের অধিকাংশের জন্য একটি প্রকৃত নিরাপত্তা উদ্বেগ। IAM পাসওয়ার্ড এবং অ্যাক্সেস কীগুলি ভাগ করে নেওয়ার প্রয়োজনীয়তাকে বাদ দেয়।

স্টাফ সদস্য আমাদের দল ছেড়ে চলে গেলে আমাদের প্রধান AWS পাসওয়ার্ড পরিবর্তন বা নতুন কীগুলি জেনারেট করা কেবল একটি নোংরা সমাধান। এডব্লিউএস আইডেন্টিটি অ্যান্ড অ্যাক্সেস ম্যানেজমেন্ট (আইএএম) একটি ভাল শুরু যা পৃথক কীগুলির সাথে পৃথক ব্যবহারকারী অ্যাকাউন্টগুলিকে অনুমতি দেয়। যাইহোক, আমরা একটি S3 / ক্লাউডফ্রন্ট ব্যবহারকারী তাই আমরা ক্লাউডফ্রন্টের জন্য আইএমএতে যুক্ত হওয়ার জন্য পর্যবেক্ষক হয়েছি যা অবশেষে ঘটেছে।

আমি এই বিট বিচূর্ণ হতে এই ডকুমেন্টেশন পাওয়া যায়। কিছু তৃতীয় পক্ষের পণ্য রয়েছে যা আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট (আইএএম) এর জন্য একটি পরিসীমা সরবরাহ করে। কিন্তু ডেভেলপাররা সাধারণত ত্রৈমাসিক হয় তাই আমি আমাজন এস 3 পরিষেবা দিয়ে আইএএম পরিচালনার জন্য একটি মুক্ত সমাধান চাই।

এই নিবন্ধটি কমান্ড লাইন ইন্টারফেস স্থাপনের প্রক্রিয়াটি পরিচালনা করে যা IAM সমর্থন করে এবং S3 অ্যাক্সেস সহ একটি গোষ্ঠী / ব্যবহারকারী সেট আপ করে। পরিচয় এবং অ্যাক্সেস ম্যানেজমেন্ট (আইএএম) কনফিগার করা শুরু করার আগে আপনার একটি অ্যামাজন AWS S3 অ্যাকাউন্ট সেটআপ থাকতে হবে। আমার নিবন্ধটি, আমাজন সিম্পল স্টোরেজ সার্ভিস (S3) ব্যবহার করে, আপনাকে একটি AWS S3 অ্যাকাউন্ট সেটআপ করার প্রক্রিয়া চলবে।

আইএএমে একটি ব্যবহারকারী সেট আপ এবং বাস্তবায়ন জড়িত পদক্ষেপ এখানে। উইন্ডোজ এর জন্য এটি লেখা আছে তবে আপনি লিনাক্স, ইউনিক্স এবং / অথবা ম্যাক OSX এ ব্যবহারের জন্য টুইক করতে পারেন।

1. কমান্ড লাইন ইন্টারফেস ইনস্টল এবং কনফিগার করুন (CLI)
2. একটি দল গঠণ কর
3. S3 বালতি এবং CloudFront গ্রুপ এক্সেস দিন
4. ব্যবহারকারী তৈরি করুন এবং গ্রুপ যোগ করুন
5. লগইন প্রোফাইল তৈরি করুন এবং কী তৈরি করুন
6. টেস্ট এক্সেস

কমান্ড লাইন ইন্টারফেস ইনস্টল এবং কনফিগার করুন (CLI)

আইএএম কমান্ড লাইন টুলকিট একটি জাভা প্রোগ্রাম যা আমাজন এর AWS ডেভেলপার সরঞ্জামগুলিতে উপলব্ধ। টুলটি আপনাকে শেল ইউটিলিটি (উইন্ডোজের জন্য DOS) থেকে আইএএম API কমান্ড চালানোর অনুমতি দেয়।

• আপনি জাভা 1.6 বা তার বেশি চলমান হতে হবে। আপনি java.com থেকে সর্বশেষ সংস্করণ ডাউনলোড করতে পারেন। আপনার উইন্ডোজ সিস্টেমে কোন সংস্করণটি ইনস্টল করা আছে তা দেখতে, কমান্ড প্রম্পটটি খুলুন এবং java -version টাইপ করুন। এটি অনুমান করে যে java.exe আপনার PATH এ রয়েছে।
• IAM CLI Toolkit ডাউনলোড করুন এবং আপনার স্থানীয় ড্রাইভে কোথাও আনজিপ করুন।
• CLI টুলকিটের রুটটিতে 2 টি ফাইল রয়েছে যা আপনাকে আপডেট করতে হবে।
  • আউস-credential.template: এই ফাইল আপনার AWS প্রমাণপত্রাদি ঝুলিতে। আপনার AWSAccessKeyId এবং আপনার AWSSecretKey যুক্ত করুন, ফাইল সংরক্ষণ করুন এবং বন্ধ করুন।
  • ক্লায়েন্ট-config.template: যদি আপনার প্রক্সি সার্ভারের প্রয়োজন হয় তবে আপনাকে কেবল এই ফাইলটি আপডেট করতে হবে। ক্লায়েন্টপ্রক্সি হোস্ট, ক্লায়েন্টProxyPort, ক্লায়েন্টProxy ব্যবহারকারী নাম এবং ক্লায়েন্টProxyPassword # লক্ষণ এবং আপডেট সরান। সংরক্ষণ করুন এবং ফাইলটি বন্ধ করুন।
• পরবর্তী ধাপে পরিবেশের পরিবর্তনশীল যোগ করা জড়িত। কন্ট্রোল প্যানেলে যান | সিস্টেম বৈশিষ্ট্য | উন্নত সিস্টেম সেটিংস | পরিবেশ ভেরিয়েবল। নিম্নলিখিত ভেরিয়েবল যোগ করুন:
  • AWS_IAM_HOME: এই পরিবর্তনশীল ডিরেক্টরিটি সিলেক্ট করুন যেখানে আপনি CLI টুলকিটটি আনজপ করেছেন। যদি আপনি উইন্ডোজ চালাচ্ছেন এবং আপনার সি ড্রাইভের রুট এ আনজিপ করেছেন, তাহলে পরিবর্তনশীলটি C: IAMCli-1.2.0 হবে।
  • JAVA_HOME: এই পরিবর্তনশীল ডিরেক্টরি যেখানে জাভা ইনস্টল করা হয় সেট করুন। এটি java.exe ফাইলের অবস্থান হবে। স্বাভাবিক উইন্ডোজ 7 জাভা ইনস্টলেশনের মধ্যে, এটি সি: প্রোগ্রাম ফাইল (x86) Java jre6 এর মতো কিছু হবে।
  • AWS_CREDENTIAL_FILE: এই ভেরিয়েবলকে আপনি উপরে আপডেট করা aws-credential.template এর পাথ এবং ফাইলের নামটিতে সেট করুন। যদি আপনি উইন্ডোজ চালাচ্ছেন এবং আপনার সি ড্রাইভের রুট এ আনজিপ করেছেন, তাহলে পরিবর্তনশীলটি C: IAMCli-1.2.0 aws-credential.template হবে।
  • CLIENT_CONFIG_FILE: যদি আপনি প্রক্সি সার্ভারের প্রয়োজন হয় তবে আপনাকে শুধুমাত্র এই পরিবেশ পরিবর্তনশীল যুক্ত করতে হবে। আপনি যদি উইন্ডোজ চালাচ্ছেন এবং আপনার সি ড্রাইভের রুট এ আনজিপ করেছেন, তাহলে পরিবর্তনশীলটি C: IAMCli-1.2.0 client-config.template হবে। আপনি এটি প্রয়োজন না হওয়া পর্যন্ত এই পরিবর্তনশীল যোগ করবেন না।
• কমান্ড প্রম্পটে গিয়ে এবং iam-userlistbypath এ প্রবেশ করে ইনস্টলেশন পরীক্ষা করুন। যতক্ষণ না আপনি একটি ত্রুটি পাবেন না, আপনি যেতে ভাল হতে হবে।

আইএম কমান্ডের সব কমান্ড প্রম্পট থেকে চালানো যেতে পারে। সমস্ত কমান্ড "iam-" দিয়ে শুরু হয়।

একটি দল গঠণ কর

প্রতিটি AWS অ্যাকাউন্টের জন্য সর্বাধিক 100 গোষ্ঠী তৈরি করা যেতে পারে। আপনি ব্যবহারকারী পর্যায়ে আইএএম-এ অনুমতিগুলি সেট করতে পারেন, গোষ্ঠীগুলি ব্যবহার করে সেরা অনুশীলন হবে। এখানে আইএএমএ একটি গ্রুপ তৈরি করার প্রক্রিয়া।

• একটি গ্রুপ তৈরির সিনট্যাক্স iam-groupcreate -g GROUPNAME -p PATH -v যেখানে -p এবং -v বিকল্পগুলি। কমান্ড লাইন ইন্টারফেসের সম্পূর্ণ ডকুমেন্টেশন AWS ডক্সে উপলব্ধ।
• আপনি যদি "দুর্দান্ত ব্যবহারকারী" নামে একটি গোষ্ঠী তৈরি করতে চেয়েছিলেন, তবে আপনি কমান্ড প্রম্পটে আইএম-গ্রুপক্রিকেট-গ awesomeusers প্রবেশ করবেন।
• কমান্ড প্রম্পটে iam-grouplistbypath প্রবেশ করে গোষ্ঠীটি সঠিকভাবে তৈরি করা হয়েছে তা পরীক্ষা করে দেখুন। আপনি শুধুমাত্র এই গোষ্ঠীটি তৈরি করলে, আউটপুটটি "আরএন: অ্যাম: আইএম :: 123456789012: গ্রুপ / সন্ত্রস্ত ব্যবহারকারীর" মত হবে, যেখানে নম্বরটি আপনার AWS অ্যাকাউন্ট নম্বর।

S3 বালতি এবং CloudFront গ্রুপ এক্সেস দিন

নীতিগুলি আপনার গ্রুপটি S3 বা CloudFront এ কী করতে সক্ষম তা নিয়ন্ত্রণ করে। ডিফল্টরূপে, আপনার গ্রুপটি AWS এ কোনও অ্যাক্সেসের অ্যাক্সেস পাবে না।নীতিগুলি সম্পর্কে ডকুমেন্টেশনটি ঠিক আছে তবে কিছুটা নীতিমালা তৈরির ক্ষেত্রে আমি কিছুটা পরীক্ষা এবং ত্রুটি করেছি যা আমি তাদের কাজ করার জন্য যেভাবে কাজ করতে চাই তা পেতে।

নীতিগুলি তৈরি করার জন্য আপনার কাছে কয়েকটি বিকল্প রয়েছে। এক বিকল্প আপনি সরাসরি কমান্ড প্রম্পটে তাদের প্রবেশ করতে পারেন। যেহেতু আপনি একটি নীতি তৈরি করছেন এবং এটি পরিবর্তন করতে পারেন, আমার জন্য একটি পাঠ্য ফাইলে নীতি যুক্ত করা সহজ ছিল এবং তারপর iam-groupuploadpolicy কমান্ডের সাহায্যে পাঠ্য ফাইলটি প্যারামিটার হিসাবে আপলোড করুন। এখানে একটি টেক্সট ফাইল ব্যবহার করে এবং আইএএম আপলোড আপ প্রক্রিয়া।

• নোটপ্যাডের মতো কিছু ব্যবহার করুন এবং নিম্নোক্ত পাঠ্যটি প্রবেশ করুন এবং ফাইলটি সংরক্ষণ করুন:
  • {
  • "বিবৃতি": {
  • "প্রভাব": "অনুমোতি"
  • "ক্রিয়ার": "S3: *",
  • "রিসোর্স":
  • "Arn: আওস: S3 ::: BUCKETNAME",
  • "Arn: আওস: S3 ::: BUCKETNAME / *"
  • },
  • {
  • "প্রভাব": "অনুমোতি"
  • "ক্রিয়ার": "S3: ListAllMyBuckets",
  • "রিসোর্স": "arn: আওস: S3 ::: *"
  • },
  • {
  • "প্রভাব": "অনুমোতি"
  • "ক্রিয়ার": "cloudfront: *",
  • "রিসোর্স": "*"
  • }
  • }
• এই নীতিতে 3 বিভাগ আছে। প্রভাবটি কোনও ধরনের অ্যাক্সেসের অনুমতি বা অস্বীকার করার জন্য ব্যবহৃত হয়। অ্যাকশন নির্দিষ্ট জিনিস যা গ্রুপ করতে পারেন। সম্পদ পৃথক buckets অ্যাক্সেস দিতে ব্যবহার করা হবে।
• আপনি পৃথকভাবে কর্ম সীমাবদ্ধ করতে পারেন। এই উদাহরণে, "অ্যাকশন": "s3: GetObject", "s3: list bucket", "s3: GetObjectVersion", গোষ্ঠী একটি বালতি সামগ্রী এবং বস্তু ডাউনলোড করতে সক্ষম হবে।
• প্রথম বিভাগটি "BUCKETNAME" বালতির জন্য সমস্ত S3 ক্রিয়াকলাপ সম্পাদন করার জন্য "অনুমতি দেয়"।
• দ্বিতীয় বিভাগটি "S3" তে সমস্ত বালতি তালিকাবদ্ধ করার জন্য "অনুমতি দেয়"। আপনি এটি প্রয়োজন হলে আপনি AWS কনসোলের মতো কিছু ব্যবহার করলে আপনি আসলে বালতিগুলির তালিকা দেখতে পারেন।
• তৃতীয় বিভাগটি ক্লাউডফ্রন্টে গোষ্ঠীটিকে সম্পূর্ণ অ্যাক্সেস দেয়।

IAM নীতিগুলিতে আসে এমন অনেকগুলি বিকল্প রয়েছে। অ্যামাজন একটি সত্যিই শীতল টুল উপলব্ধ AWS নীতি জেনারেটর বলা হয়। এই সরঞ্জামটি একটি GUI সরবরাহ করে যেখানে আপনি আপনার নীতিগুলি তৈরি করতে পারেন এবং নীতিটি বাস্তবায়ন করার জন্য আপনার প্রয়োজনীয় প্রকৃত কোড তৈরি করতে পারেন। আপনি AWS আইডেন্টিটি এবং অ্যাক্সেস ম্যানেজমেন্ট অনলাইন ডকুমেন্টেশন ব্যবহার করে অ্যাক্সেস পলিসি ভাষা বিভাগটিও পরীক্ষা করতে পারেন।

ব্যবহারকারী তৈরি করুন এবং গ্রুপ যোগ করুন

একটি নতুন ব্যবহারকারী তৈরি করার এবং তাদের অ্যাক্সেস প্রদানের জন্য একটি গোষ্ঠীতে যোগ করার প্রক্রিয়াটি কয়েকটি পদক্ষেপ অন্তর্ভুক্ত।

• ব্যবহারকারী তৈরির সিনট্যাক্স iam-usercreate -u USERNAME -p PATH -g GROUPS … -k -v যেখানে -p, -g, -k এবং -v বিকল্পগুলি রয়েছে। কমান্ড লাইন ইন্টারফেসের সম্পূর্ণ ডকুমেন্টেশন AWS ডক্সে উপলব্ধ।
• যদি আপনি একটি ব্যবহারকারী "বব" তৈরি করতে চেয়েছিলেন, তবে আপনি কমান্ড প্রম্পটে iam-usercreate -u bob-g দুর্দান্ত ব্যবহারকারীদের প্রবেশ করবেন।
• কমান্ড প্রম্পটে Iam-grouplistusers-g awesomeusers প্রবেশ করে ব্যবহারকারী সঠিকভাবে তৈরি করা হয়েছে তা পরীক্ষা করে দেখতে পারেন। যদি আপনি এই ব্যবহারকারীটি তৈরি করেন তবে আউটপুটটি "arn: aws: iam :: 123456789012: ব্যবহারকারী / বব" এর মতো কিছু হবে, যেখানে নম্বরটি আপনার AWS অ্যাকাউন্ট নম্বর।

লগন প্রোফাইল তৈরি করুন এবং কী তৈরি করুন

এই মুহুর্তে, আপনি একটি ব্যবহারকারী তৈরি করেছেন তবে আপনাকে অবশ্যই S3 থেকে বস্তুগুলিকে যুক্ত করতে এবং অপসারণ করার উপায় সরবরাহ করতে হবে। আইএমএ ব্যবহার করে আপনার ব্যবহারকারীদের S3 অ্যাক্সেস প্রদানের জন্য 2 টি বিকল্প উপলব্ধ রয়েছে। আপনি একটি লগইন প্রোফাইল তৈরি করতে এবং আপনার ব্যবহারকারীদের একটি পাসওয়ার্ড দিয়ে প্রদান করতে পারেন। তারা আমাজন AWS কনসোল লগ ইন করতে তাদের শংসাপত্র ব্যবহার করতে পারেন। অন্য বিকল্পটি আপনার ব্যবহারকারীদের অ্যাক্সেস কী এবং একটি গোপন কী দিতে হয়। তারা এই কীগুলি তৃতীয় পক্ষের সরঞ্জামগুলিতে ব্যবহার করতে পারেন যেমন S3 ফক্স, ক্লাউডবেরি S3 এক্সপ্লোরার বা S3 ব্রাউজার।

লগইন প্রোফাইল তৈরি করুন

আপনার S3 ব্যবহারকারীদের জন্য একটি লগইন প্রোফাইল তৈরি করা তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড সরবরাহ করে যা তারা আমাজন এডাব্লিউ কনসোলে লগইন করতে ব্যবহার করতে পারে।

• লগইন প্রোফাইল তৈরির জন্য সিনট্যাক্স iam-useraddloginprofile -u USERNAME-PA পাসওয়ার্ড। কমান্ড লাইন ইন্টারফেসের সম্পূর্ণ ডকুমেন্টেশন AWS ডক্সে উপলব্ধ।
• যদি আপনি ব্যবহারকারীর জন্য "লগ" ব্যবহারকারীর জন্য লগইন প্রোফাইল তৈরি করতে চান, তবে আপনি কমান্ড প্রম্পটে আইএম-ব্যবহারকারী অ্যাড-লোগিন প্রোফাইলে -u bob -p পাসওয়ার্ড লিখুন।
• আপনি কমান্ড প্রম্পটে iam-usergetloginprofile -u bob প্রবেশ করে লগইন প্রোফাইলটি সঠিকভাবে তৈরি করেছেন তা পরীক্ষা করতে পারেন। আপনি যদি Bob এর জন্য একটি লগইন প্রোফাইল তৈরি করেন তবে আউটপুটটি "লগইন প্রোফাইল ব্যবহারকারী ববের জন্য বিদ্যমান" এর মত হবে।

কী তৈরি করুন

একটি AWS সিক্রেট অ্যাক্সেস কী এবং সংশ্লিষ্ট AWS অ্যাক্সেস কী আইডি তৈরি করা আপনার ব্যবহারকারীদের পূর্বে উল্লেখিত তৃতীয় পক্ষের সফ্টওয়্যার ব্যবহার করার অনুমতি দেবে। মনে রাখবেন যে একটি সুরক্ষা পরিমাপ হিসাবে, আপনি কেবল ব্যবহারকারীর প্রোফাইল যুক্ত করার প্রক্রিয়ার সময় এই কীগুলি পেতে পারেন। নিশ্চিত করুন যে আপনি কমান্ড প্রম্পট থেকে আউটপুট অনুলিপি এবং পেস্ট করুন এবং একটি পাঠ্য ফাইলে সংরক্ষণ করুন। আপনি আপনার ব্যবহারকারী ফাইল পাঠাতে পারেন।

• ব্যবহারকারীর জন্য কী যোগ করার সিনট্যাক্স iam-useraddkey -U USERNAME। কমান্ড লাইন ইন্টারফেসের সম্পূর্ণ ডকুমেন্টেশন AWS ডক্সে উপলব্ধ।
• যদি আপনি ব্যবহারকারী "বব" ব্যবহারকারীর জন্য কী তৈরি করতে চান, তবে আপনি কমান্ড প্রম্পটে আইএম-ব্যবহারকারীডাকি-ই বোব প্রবেশ করবেন।
• কমান্ডটি এমন কীগুলি আউটপুট করবে যা এইরকম কিছু দেখতে পাবে:
  • AKIACOOB5BQVEXAMPLE
  • BvQW1IpqVzRdbwPUirD3pK6L8ngoX4PTEXAMPLE
  • প্রথম লাইন অ্যাক্সেস কী আইডি এবং দ্বিতীয় লাইনটি সিক্রেট অ্যাক্সেস কী। আপনি তৃতীয় পক্ষের সফ্টওয়্যার উভয় প্রয়োজন।

টেস্ট এক্সেস

এখন আপনি আইএএম গ্রুপ / ব্যবহারকারী তৈরি করেছেন এবং নীতিগুলি ব্যবহার করে গোষ্ঠী অ্যাক্সেস দিয়েছেন, আপনাকে অ্যাক্সেস পরীক্ষা করতে হবে।

কনসোল অ্যাক্সেস

আপনার ব্যবহারকারীরা তাদের ব্যবহারকারী নাম এবং পাসওয়ার্ডটি AWS কনসোলে লগইন করতে ব্যবহার করতে পারে। তবে, এটি নিয়মিত কনসোল লগইন পৃষ্ঠা নয় যা প্রধান AWS অ্যাকাউন্টের জন্য ব্যবহার করা হয়। একটি বিশেষ URL রয়েছে যা আপনি ব্যবহার করতে পারেন যা শুধুমাত্র আপনার আমাজন AWS অ্যাকাউন্টের জন্য লগইন ফর্ম সরবরাহ করবে। এখানে আপনার আইএএম ব্যবহারকারীদের জন্য S3 এ লগইন করার URL টি রয়েছে।

https://AWS-ACCOUNT-NUMBER.signin.aws.amazon.com/console/s3

AWS-ACCOUNT-NUMBER আপনার নিয়মিত AWS অ্যাকাউন্ট নম্বর। আপনি আমাজন ওয়েব সার্ভিস সাইন ইন ফর্ম এ লগ ইন করে এটি পেতে পারেন। লগইন করুন এবং একাউন্টে ক্লিক করুন অ্যাকাউন্ট কার্যকলাপ। আপনার অ্যাকাউন্ট নম্বর উপরের ডান কোণায় হয়। আপনি ড্যাশ অপসারণ নিশ্চিত করুন। ইউআরএল কিছু দেখতে চাইবে https://123456789012.signin.aws.amazon.com/console/s3।

অ্যাক্সেস কী ব্যবহার করে

আপনি এই নিবন্ধটি ইতিমধ্যে উল্লেখ করা তৃতীয় পক্ষের সরঞ্জাম ডাউনলোড এবং ইনস্টল করতে পারেন। আপনার অ্যাক্সেস কী আইডি এবং তৃতীয় পক্ষের সরঞ্জাম ডকুমেন্টেশন প্রতি সিক্রেট অ্যাক্সেস কী লিখুন।

আমি দৃঢ়ভাবে সুপারিশ করি যে আপনি একটি প্রাথমিক ব্যবহারকারী তৈরি করুন এবং সেই ব্যবহারকারীটি সম্পূর্ণরূপে পরীক্ষা করুন যে তারা S3 এ যা করতে হবে তা তারা করতে পারে। আপনি আপনার ব্যবহারকারীদের মধ্যে একটি যাচাই করার পরে, আপনি আপনার সমস্ত S3 ব্যবহারকারীদের সেট আপ সঙ্গে এগিয়ে যেতে পারেন।