دست به راهنمای نقش و مجوزهای AWS (نقش فرض STS)

مرجع
توسط جوزف Ndambombi Honpah
7 ساعت پیش
🔑 نقش فرض چیست؟
AWS STS فرض می کند که نقش به شما امکان می دهد اعتبار موقت و محدودیت محدود را به کاربران یا برنامه های کاربردی اعطا کنید. این امر به ویژه برای سناریوهایی مانند اعطای دسترسی به نمونه های EC2 به منابع AWS بدون کدگذاری سخت اعتبار طولانی مدت مفید است.
💡 چرا از نقش فرض برای دسترسی EC2 استفاده می کنیم؟
1⃣امنیت پیشرفته: از ذخیره اعتبار بلند مدت در موارد خود خودداری کنید.
2مجوزهای دانه ای: فقط مجوزهای مورد نیاز برای کارهای خاص را اختصاص دهید.
3⃣قابلیت حسابرسی: برای رعایت بهتر ، اعتبار موقت را پیگیری و نظارت کنید.
– در این نسخه ی نمایشی ، شما می خواهید حساب مدیریت شما فقط اعتبار کوتاه مدت برای دسترسی EC2 به کاربر IAM تازه ایجاد شده خود ، برای انجام اقدامات در کنسول EC2 اعطا کند.
📝پیش نیاز برای این نسخه ی نمایشی.
1⃣two AWS IAM حساب های کاربری ایجاد شده با پیمایش به کنسول مدیریت AWS
پد 2 برای نوشتن.
cost برای این نسخه ی نمایشی صفر $ است ، مگر اینکه شما تصمیم بگیرید که نمونه های EC2 را بچرخانید که ممکن است برخی از هزینه ها را متحمل شود یا به جز اینکه در ردیف آزاد هستید.
1⃣ ایجاد یک کاربر جدید IAM فقط برای نسخه ی نمایشی ، اگر یکی از آنها را تنظیم کرده اید می توانید از این بخش استفاده کنید.
- برای حساب مدیریت و جستجوی IAM به کنسول مدیریت بروید و روی آن کلیک کنید.
- به کاربران بروید و بر روی ایجاد کاربر کلیک کنید.
به نام کاربری IAM (Demo-Sts) بدهید ، دسترسی کاربر را بررسی کنید و یک جعبه کاربر IAM ایجاد کنید.
- رمز عبور خود را ایجاد کنید و همه چیز را به صورت پیش فرض بگذارید ، به پایین بروید و روی Next کلیک کنید
- همه چیز را به صورت پیش فرض بگذارید و روی Next کلیک کنید
- جزئیات خود را مرور کرده و به پایین بروید و روی ایجاد کلیک کنید.
- جزئیات را بازیابی کرده و برای مرجع در صفحه یادداشت ذخیره کنید.
- در یک مرورگر جدید ، جزئیات ورود به سیستم کنسول را کپی و چسبانده و با جزئیات جمع آوری شده در بالا وارد کاربر IAM تازه ایجاد شده شوید.
- پس از ورود به کاربر جدید (کاربر Demo-Sts) ، به کنسول EC2 بروید و هیچ مجوز اعطا شده برای حساب ندارید.
2⃣ ایجاد STS نقش را فرض کنید و مجوزهای EC2 را به آن نقش اضافه کنید تا حساب تازه ایجاد شده برای استفاده از سرویس EC2.
- بازگشت به حساب مدیریت ، در کنسول IAM روی نقش ها کلیک کرده و نقش ایجاد کنید.
- روی کادر چک ☑ Trusted Entity AWS حساب و این حساب کلیک کنید ، به پایین بروید و Next را کلیک کنید.
- با جستجوی Amazonec2FullAccess مجوزها را اضافه کنید. پس از انتخاب ، به پایین بروید و روی Next کلیک کنید.
- نام نقش (EC2-FULL-ACCESS-STS) را ارائه دهید ، تا ایجاد کنید و به پایین بروید.
- هنوز هم در حساب مدیریت ، روی نقش ها کلیک کرده و بر روی نقشی که در بالا ایجاد شده است کلیک کنید تا نقش ARN را بازیابی کنید و پیوند دهید تا نقش ها را به کنسول تغییر دهید که در قسمت بعدی این نسخه ی نمایشی استفاده می شود.
- بر روی کاربر جدید IAM (Demo-Sts) ایجاد شده کلیک کنید. روی افزودن مجوزها به پایین و ایجاد خط مشی Inline کلیک کنید.
- بر روی JSON کلیک کرده و عمل را به “stsassumerole” ویرایش کنید ، و منبع باید یک نقش نقش ایجاد شده در بالا “(EC2-Full-Accesssts)” باشد و روی Next کلیک کنید.
- نام خط مشی (EC2-FULL-ACCESS-STS) را بررسی کنید ، به پایین بروید و روی ایجاد خط مشی کلیک کنید.
- برای تأیید اینکه پس از ایجاد خط مشی درون خطی ، هنوز EC2 به کاربر جدید IAM (Demo-Sts) دسترسی ندارد.
- شما باید این کار را با حرکت به نقش های موجود در حساب مدیریت انجام دهید ، بر روی نقش ایجاد شده (EC2-FUL-ACCESSSTS) کلیک کنید و “نقش سوئیچ لینک را در کنسول” به یک مرورگر جدید کپی کرده و Enter را فشار دهید.
3⃣ بررسی اینکه آیا نقش فرض ایجاد شده است و می تواند توسط کاربر جدید IAM (Demo-Sts) استفاده شود.
- با استفاده از نقش های سوئیچ لینک در کنسول در یک مرورگر جدید و با کاربر جدید IAM (Demo-Sts) وارد شوید و روی نقش سوئیچ کلیک کنید.
- می توانید کاربر جدید IAM (Demo-Sts) را مشاهده کنید که اکنون فقط به خدمات EC2 دسترسی کامل دارد.
- سعی کنید یک سطل S3 را با همان کاربر بررسی کنید و خواهید دید که دسترسی به خدمات S3 ندارد. می گوید دسترسی انکار شده است ، زیرا ما S3AccessPolicy را به نقش IAM حساب مدیریت وصل نکردیم.
- کشویی را انتخاب کرده و روی سیستم ثبت نام فعلی کلیک کنید
- اکنون شما به مجوزهای اصلی برای نسخه های نمایشی که دسترسی به EC2 ندارد ، بازگشتید.
4⃣ تمیز کردن محیط خود.
- ابتدا روی نقش ها کلیک کرده و نقش را حذف کنید (EC2-Full-Accesssts). بعدی روی کاربران کلیک کرده و کاربر IAM تازه ایجاد شده (Demo-Sts) را حذف کنید.
🥳👏🏾well انجام شد ، ما فقط یک نقش STS را انجام دادیم و اگر دوست دارید محتوای من را دوست داشته باشید ، دوست دارید ، آنچه را که درباره STS فکر می کنید و آنچه را که دوست دارید محتوای بعدی را ببینید ، به اشتراک بگذارید و اظهار نظر کنید ، درک شما اولویت من است 💟
🔗 LinkedIn: https://www.linkedin.com/in/joseph-ndambombi-honpah-2044b5277
جوزف من تا به حال honnpah بوده ام