Cách quản lý AWS IAM bằng aws-cli

theanh

theanh

Administrator
Nhân viên
Quản lý Người dùng, Nhóm và Vai trò IAM từ thiết bị đầu cuối của bạn thật dễ dàng và thú vị, bạn chỉ cần thực hiện các lệnh để hoàn thành nhiệm vụ. Trong bài viết này, chúng ta sẽ xem các lệnh để tạo Người dùng, Nhóm và Vai trò. Chúng ta cũng sẽ thấy các lệnh để đính kèm và tách chính sách với người dùng, nhóm và vai trò IAM mà chúng ta tạo. Hướng dẫn này sẽ giúp bạn bắt đầu quản lý tài nguyên IAM từ thiết bị đầu cuối.

Trước khi tiến hành, chúng tôi giả định rằng bạn đã quen thuộc với Người dùng, Nhóm, Vai trò, Chính sách IAM.

Sau đây là một số lệnh mà chúng tôi đã đề cập trong bài viết này.
  1. list-users: Lấy danh sách những người dùng hiện có.
  2. list-groups: Lấy danh sách những nhóm hiện có.
  3. list-roles: Lấy danh sách những vai trò hiện có.
  4. create-user: Tạo người dùng mới.
  5. create-group: Tạo nhóm mới.
  6. create-role: Tạo vai trò mới.
  7. add-user-to-group: Thêm người dùng vàonhóm hiện tại.
  8. get-group: Lấy danh sách người dùng có trong nhóm
  9. attach-user-policy: Đính kèm chính sách được quản lý vào người dùnghiện tại.
  10. attach-group-policy: Đính kèm chính sách được quản lý vào nhómhiện tại.
  11. attach-role-policy: Đính kèm chính sách được quản lý vào vai tròhiện tại.
  12. list-attached-user-policies: Liệt kê các chính sách được đính kèm vào người dùng.
  13. list-attached-group-policies: Liệt kê các chính sách được đính kèm vào thegroup.
  14. list-attached-role-policies: Liệt kê các chính sách được đính kèm vào therole.
  15. detach-user-policy: Xóa chính sách được quản lý khỏi người dùng hiện tại.
  16. detach-group-policy: Xóa chính sách được quản lý khỏi nhóm hiện tại.
  17. detach-user-policy: Xóa chính sách được quản lý khỏi vai trò hiện tại.
  18. remove-user-from-group: Xóa người dùng khỏi nhóm
  19. delete-user: Xóa người dùng IAM.
  20. delete-group: Xóa IAM nhóm.
  21. delete-role:Xóa một IAMrole
Truy cập tài liệu chính thức của AWStại đây để biết tất cả các lệnh aws-cli dành cho IAM.

Điều kiện tiên quyết​

  1. Tài khoản AWS (Tạo nếu bạn chưa có).
  2. Hiểu biết cơ bản về IAM (Nhấp vào ở đây để tìm hiểu cách tạo người dùng, nhóm, vai trò IAM từ AWS Console).
  3. Người dùng AWS IAM có AdministratorAccesschính sách được đính kèm vào chính sách đó cùng với khóa truy cập và khóa bí mật của chính sách đó (Nhấp vào đây để tìm hiểu cách tạo Người dùng IAM).
  4. AWS CLI được cài đặt trên máy cục bộ của bạn.

Chúng ta sẽ làm gì?​

  1. Kiểm tra aws cli và xuất AWS access & khóa bí mật trên máy cục bộ của bạn.
  2. Quản lý IAM bằng aws-cli

Kiểm tra aws cli và xuất quyền truy cập AWS & khóa bí mật trên máy cục bộ của bạn.​

Kiểm tra xem bạn đã cài đặt aws-cli trên máy cục bộ của mình chưa.
Mã: 
aws --version #aws-cli/2.0.0 Python/3.8.2 Darwin/19.2.0 botocore/2.0.0dev7
Bước tiếp theo là xuất quyền truy cập người dùng AWS và khóa bí mật của bạn trong thiết bị đầu cuối. Các khóa sẽ khác nhau đối với bạn, không sử dụng các khóa được đề cập bên dưới.
Mã: 
export AWS_ACCESS_KEY_ID=
Mã: 
export AWS_SECRET_ACCESS_KEY=
Thực hiện lệnh sau để kiểm tra danh tính của người dùng mà bạn đã xuất khóa.
Mã: 
aws sts get-caller-identity

Quản lý IAM bằng aws-cli​

Để bắt đầu với IAM, trước tiên hãy kiểm tra người dùng, nhóm và vai trò IAM hiện có trong tài khoản.
Mã: 
aws iam list-users
Mã: 
aws iam list-groups
Mã: 
aws iam list-roles


Để tạo Người dùng IAM, hãy thực hiện lệnh sau.
Mã: 
aws iam create-user --user-name test-user
Chúng ta hãy tạo một Nhóm IAM.
Mã: 
aws iam create-group --group-name test-group
Trong khi tạo vai trò, chúng ta cũng cần đính kèm một mối quan hệ tin cậy. Đối với điều này, chúng ta cần một chính sách.

Tạo một tệp trên hệ thống cục bộ của bạn với nội dung sau, đặt tên tệp là "trust-relationship-policy.json". Chính sách sau cho phép dịch vụ EC2 đảm nhiệm vai trò.
Mã: 
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Service": "ec2.amazonaws.com"}, "Action": "sts:AssumeRole" }}
Bây giờ, chúng ta đã sẵn sàng để tạo vai trò IAM.
Mã: 
aws iam create-role --role-name test-role --assume-role-policy-document file://trust-relationship-policy.json


Cho đến thời điểm này, chúng ta có Người dùng, Nhóm và Vai trò IAM.

Bây giờ, chúng ta có thể thêm người dùng vào nhóm đã tạo bằng lệnh sau.
Mã: 
aws iam add-user-to-group --user-name test-user --group-name test-group
Kiểm tra thông tin chi tiết của nhóm sau khi thêm người dùng vào nhóm.
Mã: 
aws iam get-group --group-name test-group


Hãy thêm chính sách "ReadOnlyAccess" vào Người dùng, Nhóm và Vai trò mà chúng ta đã tạo.
Mã: 
aws iam attach-user-policy --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess --user-name test-user
Mã: 
aws iam attach-group-policy --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess --group-name test-group
Mã: 
aws iam attach-role-policy --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess --role-name test-role


Xác minh nếu chính sách được thêm vào người dùng, Nhóm và Vai trò.
Mã: 
aws iam list-attached-user-policies --user-name test-user
Mã: 
aws iam list-attached-group-policies --group-name test-group
Mã: 
aws iam list-attached-role-policies --role-name test-role


Theo cách chúng tôi thêm chính sách vào Người dùng, Nhóm và Vai trò, chúng tôi cũng có thể tách chính sách đó.

Để tách chính sách, chúng tôi cần truyền arn của chính sách đó cho lệnh.
Mã: 
aws iam detach-user-policy --user-name test-user --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess
Mã: 
aws iam detach-group-policy --group-name Testers --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess
Mã: 
aws iam detach-group-policy --group-name test-group --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess
Mã: 
aws iam detach-role-policy --role-name test-role --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess
Sau khi tách chính sách, chúng ta có thể đảm bảo rằng chính sách không còn được gắn với Người dùng, Nhóm và Vai trò nữa.
Mã: 
aws iam list-attached-user-policies --user-name test-user
Mã: 
aws iam list-attached-group-policies --group-name test-group
Mã: 
aws iam list-attached-role-policies --role-name test-role


Nếu chúng ta không còn cần Người dùng, Nhóm và Vai trò đã tạo, chúng ta có thể xóa chúng bằng cách thực hiện lệnh sau.
Mã: 
aws iam delete-user --user-name test-user
Lưu ý rằng trước khi xóa Người dùng, bạn cần xóa Người dùng đó khỏi Nhóm mà Người dùng đó đã được thêm vào.
Mã: 
aws iam remove-user-from-group --user-name test-user --group-name test-group
Mã: 
aws iam delete-user --user-name test-user
Mã: 
aws iam delete-group --group-name test-group
Mã: 
aws iam delete-role --role-name test-role

Kết luận​

Trong bài viết này, chúng ta đã xem lệnh quản lý Người dùng, Nhóm và Vai trò IAM. Đầu tiên chúng tôi tạo các tài nguyên IAM này và sau đó thêm các chính sách do IAM quản lý vào chúng. Chúng tôi cũng thấy cách các chính sách có thể được tách khỏi người dùng, Nhóm và Vai trò. Sau đó, chúng tôi cũng thấy lệnh xóa các tài nguyên IAM mà chúng tôi đã tạo. Bây giờ bạn có thể thử các lệnh khác và quản lý IAM bằng aws-cli.
 
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.

Chủ đề tương tự

M
Hỏi / Đáp Lỗi con trỏ
Trả lời
0
Xem
1
macaron22
M
theanh
Spider-Noir: Đoạn giới thiệu đầu tiên cho bộ phim phụ Spider-Verse của Prime Video đã được tung ra
Trả lời
0
Xem
1
theanh
theanh
theanh
Apple đang thực hiện một 'cuộc cách mạng sản phẩm' cho năm 2027 — đây là những sản phẩm tiềm năng mà tôi mong đợi nhất
Trả lời
0
Xem
1
theanh
theanh
theanh
Tôi kiểm tra loa Bluetooth để kiếm sống — và đây là lựa chọn của tôi so với mọi thứ khác
Trả lời
0
Xem
1
theanh
theanh
theanh
Tôi đã khám phá ra điều tuyệt vời nhất về nấu ăn bằng cảm ứng — và bạn phải tự mình thử điều này
Trả lời
0
Xem
1
theanh
theanh
Back
Bên trên