問題タブ [amazon-iam]

SSOについては前に説明しました。最近の新たな展開を踏まえ、定義された要件で会話をさらに充実させたいと思います。

先週、私は次の重要な問題に対する答えを探して市場調査を行ってきました。

プロジェクトは次のようになります。

要件

• Webアプリケーション用のSSOソリューション。
• 既存の開発製品に統合します。
• ポリシーベースのパスワードセキュリティ（長さ、複雑さ、期間など）があります
• セキュリティポリシーは、Webインターフェイスを使用して管理できます。
• カスタマイズ可能なユーザーインターフェイス（パスワードプロンプトと共同画面）。
• 高可用性（99.9％）
• スケーラブル。
• RedHatLinuxで実行されます。

あった方がよい

• ユーザーグループとロールが含まれます。
• Javaで書かれています。
• 自由ソフトウェア（オープンソース）ソリューション。

これまでに出てきたソリューションはどれも「キラーチョイス」ではないため、いくつかのプロジェクト（OWASP、AcegiSecurity + X ??）をツール化することになると思います。したがって、このディスカッションを行います。

私たちは、フロントエンドとバックエンドのアプリケーションスイートを提供するISVです。フロントエンドはいくつかのモジュールに分割されており、自律ユニットとして機能する必要があります。クライアントの観点からは、彼は「アプリケーション」を使用します。これにより、SSOのグレードアップに関するこの議論につながります。

適切な解決策に関する経験とアイデアを共有していただければ幸いです。

いくつかの解決策は興味深い

• CAS
• Sun OpenSSO Enterprise
• JBoss Identity IDM
• JOSSO
• Tivoli Access Manager for Enterpriseシングル・サインオン

またはより一般的に言えば、このリスト

ありがとう、マキシム。

IAM または m2eclipse をインストールしようとしましたが、成功しませんでした。どちらも org.eclipse.team.cvs.ssh バンドルが必要ですが、Eclipse Helios はリポジトリが見つからないと文句を言います。その後、その単一のバンドルをインストールしようとしましたが、成功しませんでした。

「Helios - http://download.eclipse.org/releases/helios」リポジトリを選択し、「cvs」を検索します。これにより、「Eclipse CVS クライアント」が返されます。次に、インストールを試みます。Eclipse は既にインストールされているため、インストールされているソフトウェアのリストを更新するだけです。[完了] をクリックすると、次のエラーが表示されます。

何か案は？

別のアカウントで新しいAmazonAIMAPIを使用してセットアップしたユーザーにAmazonS3アカウントバケット（ACL設定で共有）を公開することは可能ですか？

単一のアカウントに属するユーザーとオブジェクトに関連する場合、有効なIAMポリシーを作成できます。ただし、アカウント2がアカウント1のバケットに直接アクセスできるにもかかわらず、2つの異なるアカウントが関係している場合はこれが機能しなくなったようです。

サンプルポリシーは次のとおりです。

この場合、AIMユーザーはtest.doomバケット（同じAWSアカウントが所有）をリストできますが、'test1234.doom'バケット（別のAWSアカウントが所有）はリストできません。これは、一方のアカウントがもう一方のバケットにアクセスするための正しいACL権限を持っているにもかかわらずです。

グループがあり、以下のポリシーをグループに適用しました。グループにユーザーを追加し、ユーザーのアクセス キーを作成しました。「mybucket」から取得できますが、「mybucket」にプットできません。Put しようとすると、「アクセスが拒否されました」と表示されます。誰が私が間違っているのか教えてもらえますか。私にお知らせください。

編集: 誰かが私にポリシーの目標を述べるように頼んだ. 指定したバケットのグループに PUT および GET 権限のみを「許可」したい。指定されていないすべてのリソース (NotResource) について、グループに対する他のすべてのアクセス許可を明示的に「拒否」したいと考えています。AWS が投稿した記事に基づいて、明示的な「拒否」を追加しました。これは、そうすることをお勧めします。

STS を使用して作成された連合ユーザーの正規ユーザー ID は存在しますか? boto を使用する場合、バケットにアクセス許可を付与するには正規のユーザー ID が必要です。

これが私のコードの簡単なツアーです：

1. boto の STS モジュール (「マスター」アカウントを使用) を使用して一時的な資格情報を正常に作成しました。

   • federated_user_arn
   • federated_user_id
   • pack_policy_size
   • アクセスキー
   • secret_key
   • session_token
   • 有効期限

2. 次に、boto を使用してバケットを作成します。

   バケット = self.s3_connection.create_bucket('%s_store' % (app_id))

3. アクセス許可を付与したいのですが、boto には次の 2 つの選択肢があります。

   add_email_grant(パーミッション, email_address, recursive=False, headers=None)

   add_user_grant(permission, user_id, recursive=False, headers=None, display_name=None)

フェデレーション ユーザーに電子メールが添付されていないため、最初の方法はオプションではありません。そのため、2 番目の方法を検討します。ここで、2 番目のパラメーター ("userid") は、"アクセス許可を付与する AWS アカウントに関連付けられた正規ユーザー ID" になります。しかし、連合ユーザーのためにこれを実現する方法を見つけることができないようです。

フェデレーテッド・ユーザー用の正規ユーザー ID は存在しますか? フェデレーション ユーザーにアクセス許可を付与する簡単な方法を見落としていませんか?

次の権限を持つユーザー foo がいます (グループのメンバーではありません)。

ただし、そのユーザーは、認証されたユーザーにフルアクセスを許可するまで、アップロードしたり、ほとんどのことを実行したりできないようです (これは誰にでも適用される可能性があります)。do を実行しようとすると、アップロード後にbotoがエラーをスローするため、これでもユーザーは許可を変更できませんkey.set_acl('public-read')。

理想的には、このユーザーはbarバケットへのフル アクセス権を持ち、それ以外には何もアクセスできません。何が間違っているのでしょうか?

これは実際には 2 つの部分からなる質問です。

AWS コンソール内で S3 アクセス許可を編集するための「Grantee」ドロップダウンに、何人かのユーザーが表示されます。

1. それらのユーザーはどこから来たのですか?
2. どうすれば削除できますか?

それらは IAM にないので、どこから来たのかよくわかりません。

S3オブジェクトへの読み取り専用アクセス権を持つグループを作成し、そのグループ内に新しいユーザーを追加しました。

ファイルのURLを理解するのに問題があります。私はこれまでのところリンクを持っています：

ある種のパスを渡して、そのグループの人々がアクセスできるようにする必要がありidますkeyか？それらのパラメータは何ですか？値はどこにありますか？

AWS Identity and Access Management を通じて、私は CTO (いくらかのお金が入金されている) の AWS アカウントへのユーザー アカウントを持っています。

この IAM ユーザー アカウントを使用して、独自のインスタンスをセットアップして SSH 接続し、BeautifulSoup Python スクリプトを実行したいと考えていました。

ただし、このチュートリアルに従って、セキュリティ資格情報ページに移動する必要がある部分にたどり着くと、このページにアクセスできず、表示する権限がないと言われます。

IAM Manager で自分の権限を確認したところ、可能な限り最高のクリアランスである管理者権限を持っています (そう思われます)。

この X.509 証明書を取得するにはどうすればよいですか?