2011年3月14日月曜日

IAMでアカウントを作成するときの流れ(AWS)

スズキです。

開発パートナーさんなどが、AWSを制限付きで使えるように、
と、下記のようにいろいろ実験していたのですが、

▼ "IAM Command Line Toolkit"を使ってELBで利用したSSL証明書の確認
http://blog.suz-lab.com/2011/01/iam-command-line-toolkitielbssl.html

▼ IAMでユーザを作成し"AWS Management Console"でS3を利用
http://blog.suz-lab.com/2011/03/iamaws-management-consoles3.html

▼ "AWS Management Console (S3)"を制限付きで利用
http://blog.suz-lab.com/2011/03/aws-management-console-s3.html

最終的に下記の流れ(手順)かなー、といった感じです。

(1) ユーザーの作成

$ iam-usercreate --aws-credential-file credentials.txt \
> -u suzuki

(2) パスワードの設定

$ iam-useraddloginprofile --aws-credential-file credentials.txt \
> -u suzuki \
> -p password

ここまでで、下記のような"AWS Management Console"にログインできます。

https://000000000000.signin.aws.amazon.com/console/s3
(000000000000はアカウント番号)

(3) ACCESS KEY/SECRET KEYの発行

$ iam/bin/iam-useraddkey --aws-credential-file credentials.txt \
> -u suzuki
--------
AAAAAAAAAAAAAAAAAAAA // ACCESS KEY
ssssssssssssssssssssssssssssssssssssssss // SECRET KEY

※ ユーザーを指定しないと、親ユーザーのものが発行されます。

上記のキーで、APIや下記のようなツールが利用出来ます。

▼ S3Fox Organizer
http://www.s3fox.net/

▼ CLOUDBERRY S3 EXPLORER
http://cloudberrylab.com/?page=cloudberry-explorer-amazon-s3

... (他にもいろいろあります)

(4) グループの作成

$ iam-groupcreate --aws-credential-file credentials.txt \
> -g suz-lab

(5) グループとユーザーの関連付け

$ iam-groupadduser --aws-credential-file credentials.txt \
> -g suz-lab \
> -u suzuki

(6) グループにポリシーの設定

$ iam-groupaddpolicy --aws-credential-file credentials.txt \
-g suz-lab \
-p policy01 \
-a s3:ListAllMyBuckets \
-e Allow \
-r arn:aws:s3:::*

... (必要なポリシーを設定していきます)

あとは、ポリシーとの戦いです…
--------
http://www.suz-lab.com

0 コメント: