AWS - Роли доступа для EC2 - IAM Roles Буду рад паре баксов, можно даже Канадских :) www.paypal.me/DenisAstahov
Жүктеу.....
Пікірлер: 70
@user-xu1bx4lj7m5 жыл бұрын
чувак, у тебя талант делать уроки, спасибо за труд!
@McMeil6 жыл бұрын
спасибо клевый4увак, большую работу сделал)
@liamray20102 жыл бұрын
4:54 это בדיוק то, что нужно : D
@chip0k3 жыл бұрын
все как всегда, легко просто и доходчиво рассказал, без воды, спасибо за труд)))
@AntonioStudioOfficial10 ай бұрын
7:50 - лучше бы конечно было замочить, и сделать новые. Новый урок - новые инстансы, да и вообще все новое. Я так с предыдущих уроков по твоему совету все мочу, чтоб не набежала оплата)
@WiRtalik2 жыл бұрын
תודה! (;
@MaximRozhkov13 жыл бұрын
Шикарную работу проделал. Спасибо.
@fkyduckwarsaw6912 жыл бұрын
Первое что пришло в голову: Офигеть как круто! жаль что под санкциями не могу сам потыкать,пока Read only режим)) но скоро сменю регион свой и будет Full-access,смогу потыкать в AWS ручками. За Видео огромное спасибо,UI будет меняться,но это мелочи. Главное что в голове есть картинка,того как это работает.
@onemasterlomaster18296 жыл бұрын
все круто проолжай, полезная инфа!
@cyme557 Жыл бұрын
Спасибо, за урок, водопад огонь)))
@antonmitin53054 жыл бұрын
Спасибо шикарная подача.
@Buffon_deadly3 жыл бұрын
Спасибо, смотрю с удовольствием
@annasokolov431 Жыл бұрын
Спасибо, за урок🙏
@aleksandrrozumenko6282 жыл бұрын
Спасибо тебе, добрый человек.
@ibalrog17536 жыл бұрын
Спасибо!
@glebmirosnikovs67224 жыл бұрын
Спасибо сэр, уроки бомба! Поддержал тебя на Paypal ;)
@ADV-IT
4 жыл бұрын
Спасибо!!
@exsklon3 жыл бұрын
Amazing automatisation!
@vladimirkulakov61262 жыл бұрын
О крутой лайфхак! Спасибо!
@romantsyupryk30095 жыл бұрын
Thank you so much.
@dmytrolivitskyi63783 жыл бұрын
классный урок, спасибо огромное! но перед началом обьяснения про роли, наверное стоит сказать что на инстанс нужно поставить awscli чтобы иметь возможность работать с бакетами.
@MaksimKovtun-gm4pd
Жыл бұрын
он стоит по умолчанию, если брать AMI от Amazon
@valerayatskevich32932 жыл бұрын
Величайший!
@alexanderandrejtschenko39336 жыл бұрын
respect you
@ADV-IT
6 жыл бұрын
Alexander Andrejtschenko Thanks
@user-pt8qo4vr3b4 жыл бұрын
Теперь перед "Next:Review" надо добавить "Add tags"
@ADV-IT
4 жыл бұрын
Можно не добавляя продолжать
@damirmanyapov4 жыл бұрын
@ADV-IT подскажи, а как сделать доступ юзеру только к определенному бакету, то есть у меня например несколько серверов за пределами AWS и мне с них нужно делать бэкапы в S3, но так как конторы разные не хочу чтоб они могли почитать данные друг друга?
@ADV-IT
4 жыл бұрын
Два варианта: 1. Сделать свою IAM Policy c доступом только определенному бакету и приатачить этот Policy к юзеру. 2. Сделать Bucket Policy на самом бакете и указать кто может и что делать в этом бакете. На сайте AWS есть куча примеров как это делается
@xeonxeon11506 ай бұрын
Здравствуйте. Позвольте спросить. Есть инстансы в ec2, и как известно, при создании машин ubuntu создаётся key pair с УЗ ubuntu. Как регулировать доступ к одной и той же машине среди команд - кому-то полные root права а кому-то read only. Или что посоветуете?
@ADV-IT
6 ай бұрын
При создании EC2 ты указываешь какой sshkey будет админом. А дальше просто логинишся и создаёшь юзеров и раздаешь им права как обычно.
@ADV-IT
6 ай бұрын
Или лучше делаеш это через Ansible
@xeonxeon1150
6 ай бұрын
@@ADV-ITспасибо. А как сделать так, чтобы в любой момент я бы мог дать определённой УЗ root права и также одним щелчком мог это убрать? Да, я понимаю, что в терминале я это могу регулировать, но согласитесь, это слишком неудобно. К примеру пользователь просит у меня root права на инсталляцию, я даю ему временно root, а потом вновь убираю. Скажем в IAM это можно регулировать?
@OlgaLazarenko2 жыл бұрын
ГДЕ пофиксить?: An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied
@ADV-IT
2 жыл бұрын
AccessDenied значит нету доступа. добавь Policy S3 Read Only
@fancystacy Жыл бұрын
Кроме ролей, там есть еще instance profile. Не могли бы вы пояснить, что это такое?
@ADV-IT
Жыл бұрын
Это тоже самое, просто для EC2
@alextimezero6 жыл бұрын
А можно ли примонтировать s3bucket к машине на UBUNTU и использовать его на прямую как файловое хранилище, не используя дисковое пространство самой машины?
@ADV-IT
6 жыл бұрын
Можно! s3fs проэкт называется github.com/s3fs-fuse/s3fs-fuse Я его один раз использовал.
@alextimezero
6 жыл бұрын
То есть в данном случае все файлы можно будет сохранять на s3 минуя жесткий диск инстанса? И кстати удачно ли получилось примонтировать s3 к машине, я 4 раза с нуля на разных машинах делал, но хоть убей не монтируется и все. Может ли это кстати быть связано с тем что у меня пробная учетная запись?
@ADV-IT
6 жыл бұрын
Ага минуя диск. У меня получилось монтировать даже несколько одновременно успешно и работает вроде неплохо. На халявном аккаунтевсе работает. Я пробовал на Ubuntu и на Amazon Linux.
@alextimezero
6 жыл бұрын
Спасибо большое!
@user-tg3xs6mh7q
4 жыл бұрын
@@ADV-IT Я правильно понимаю, что зависит от ОС? У меня red hat при атаче ни в какую роли не видит.
@pitonic746 жыл бұрын
Security Assertion Markup Language (SAML) is a standard protocol for web browser Single Sign-On (SSO) using secure tokens. Some info from AWS .... " Microsoft Active Directory Federation Service (AD FS, part of Windows Server) or another compatible SAML 2.0 provider." docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html
@praporcheg3 жыл бұрын
Это в рамках одного аккаунта. А если в процессе развертывания ес2 в другом акке надо стянуть инсталяшки с первого аккаунта, то какой вариант будет лучше?
@ADV-IT
3 жыл бұрын
Всё что Cross Account делается через IAM Roles
@Alex_La4 жыл бұрын
Role ReadOnly не позволила просмотреть каталог S3. Получилось при создании роли AdminAccess.
@Danilkim2310
4 жыл бұрын
смори, чтобы Рид они прописался. в случае если у тебя на весь пакет стоит Block access, но никакие добавления Рид полиси применяться не будут. Я это тоже во время урока заметил и расковырял, почему же не применяется Рид акксесс.
@dmitriisafronov76706 жыл бұрын
Расскажи как-нибудь про MFA. Как сделать виртуальный или физический токен?
@ADV-IT
6 жыл бұрын
А я обяснил и даже показал про MFA. kzread.info/dash/bejne/gHZ2q8x_hbSYh5M.html смотри с 7:37
@otkchk4 жыл бұрын
Клево. Единственное что не ясно - каким образом утилита aws на сервере понимает что у нее есть роль? Допустим, если ты пропишешь что-то в ~/.aws/credentials, она считает ключи, и будет юзать их при каждом запросе на s3 ендпоинт. а вот если ключей нету - S3 как-то сам понимает от куда идет запрос, и по правилам роли просто не требует авторизацию?
@ADV-IT
4 жыл бұрын
IAM Role даёт временные credentials для доступа. Не парься на этом, просто: IAM Role даёт права доступа серверу к которому она прикреплена.
@pitonic746 жыл бұрын
+
@ADV-IT
6 жыл бұрын
Сорри за отмененную рыбалку :)
@pitonic74
6 жыл бұрын
;)
@MrAbbassakka5 жыл бұрын
Я уже тут!!)
@AntonioStudioOfficial10 ай бұрын
Попробовал потренироваться и сделать, при изменении или добавлении файлов на s3 - ничего не происходит, не подхватывает изменения, зашел по ssh на сервер - и увидел, что там все старое, попробовал перезапустить сервер, чтобы скрипт скопировал новые файлы, но нет, тоже не вышло... Как тогда быть? Спасибо
@ADV-IT
10 ай бұрын
Добавил файлы, ничего не происхоит? Происходит конечно: добавились файлы.
@AntonioStudioOfficial
10 ай бұрын
@@ADV-IT ну, они добавились на s3, а на инстансе они не появились, и поэтому отображается старая версия сайта
@ADV-IT
10 ай бұрын
@@AntonioStudioOfficial запусти aws s3 ls s3://bucket_name и увидишь
@maliy_ct4 жыл бұрын
что происходит, если инстансу дать роль amazon EC2 ReadOnly Access?
@ADV-IT
4 жыл бұрын
У иснстанса будет подступ к сервису EC2 в привилегиями ReadOnly
@maliy_ct
4 жыл бұрын
@@ADV-IT можно пример) то я что-то туплю....я создал инстанс, даю ему роль ReadOnly и... Про S3 было понятно, а здесь не совсем Буду очень благодарен!
@ADV-IT
4 жыл бұрын
Ну теперь если запустить команду aws ec2 describe-instances с сервера с IAM Role то получишь список серверов с их данными, а если запустить это БЕЗ приаттаченной IAM Role то получишь ошибку
@nextgeneration99072 жыл бұрын
у меня нет четкого понимания что такое роль. Это набор permissions для программ которые даются вместо создания юзера?
@ADV-IT
2 жыл бұрын
Да!
@ResulevArif Жыл бұрын
Как часто он меняет клавиатуру?_ так ебошит по клавише Enter )))
@ADV-IT
Жыл бұрын
Всё работает уже много лет!
@botiyava2 жыл бұрын
Большое спасибо за урок! Я правильно понимаю, что самый простой и оптимальный способ автоматически закидывать файлы из S3 в инстанс по мере и появления это создать cron job типа "aws sync s3://bucket /path/to/folder"?
@ADV-IT
2 жыл бұрын
Да, это оптимальный и самый простой. Сложный это сделать trigger на появление нового файла в бакете и запуска SSM RunCommand на сервере aws sync s3://bucket /path/to/folder
Пікірлер: 70
чувак, у тебя талант делать уроки, спасибо за труд!
спасибо клевый4увак, большую работу сделал)
4:54 это בדיוק то, что нужно : D
все как всегда, легко просто и доходчиво рассказал, без воды, спасибо за труд)))
7:50 - лучше бы конечно было замочить, и сделать новые. Новый урок - новые инстансы, да и вообще все новое. Я так с предыдущих уроков по твоему совету все мочу, чтоб не набежала оплата)
תודה! (;
Шикарную работу проделал. Спасибо.
Первое что пришло в голову: Офигеть как круто! жаль что под санкциями не могу сам потыкать,пока Read only режим)) но скоро сменю регион свой и будет Full-access,смогу потыкать в AWS ручками. За Видео огромное спасибо,UI будет меняться,но это мелочи. Главное что в голове есть картинка,того как это работает.
все круто проолжай, полезная инфа!
Спасибо, за урок, водопад огонь)))
Спасибо шикарная подача.
Спасибо, смотрю с удовольствием
Спасибо, за урок🙏
Спасибо тебе, добрый человек.
Спасибо!
Спасибо сэр, уроки бомба! Поддержал тебя на Paypal ;)
@ADV-IT
4 жыл бұрын
Спасибо!!
Amazing automatisation!
О крутой лайфхак! Спасибо!
Thank you so much.
классный урок, спасибо огромное! но перед началом обьяснения про роли, наверное стоит сказать что на инстанс нужно поставить awscli чтобы иметь возможность работать с бакетами.
@MaksimKovtun-gm4pd
Жыл бұрын
он стоит по умолчанию, если брать AMI от Amazon
Величайший!
respect you
@ADV-IT
6 жыл бұрын
Alexander Andrejtschenko Thanks
Теперь перед "Next:Review" надо добавить "Add tags"
@ADV-IT
4 жыл бұрын
Можно не добавляя продолжать
@ADV-IT подскажи, а как сделать доступ юзеру только к определенному бакету, то есть у меня например несколько серверов за пределами AWS и мне с них нужно делать бэкапы в S3, но так как конторы разные не хочу чтоб они могли почитать данные друг друга?
@ADV-IT
4 жыл бұрын
Два варианта: 1. Сделать свою IAM Policy c доступом только определенному бакету и приатачить этот Policy к юзеру. 2. Сделать Bucket Policy на самом бакете и указать кто может и что делать в этом бакете. На сайте AWS есть куча примеров как это делается
Здравствуйте. Позвольте спросить. Есть инстансы в ec2, и как известно, при создании машин ubuntu создаётся key pair с УЗ ubuntu. Как регулировать доступ к одной и той же машине среди команд - кому-то полные root права а кому-то read only. Или что посоветуете?
@ADV-IT
6 ай бұрын
При создании EC2 ты указываешь какой sshkey будет админом. А дальше просто логинишся и создаёшь юзеров и раздаешь им права как обычно.
@ADV-IT
6 ай бұрын
Или лучше делаеш это через Ansible
@xeonxeon1150
6 ай бұрын
@@ADV-ITспасибо. А как сделать так, чтобы в любой момент я бы мог дать определённой УЗ root права и также одним щелчком мог это убрать? Да, я понимаю, что в терминале я это могу регулировать, но согласитесь, это слишком неудобно. К примеру пользователь просит у меня root права на инсталляцию, я даю ему временно root, а потом вновь убираю. Скажем в IAM это можно регулировать?
ГДЕ пофиксить?: An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied
@ADV-IT
2 жыл бұрын
AccessDenied значит нету доступа. добавь Policy S3 Read Only
Кроме ролей, там есть еще instance profile. Не могли бы вы пояснить, что это такое?
@ADV-IT
Жыл бұрын
Это тоже самое, просто для EC2
А можно ли примонтировать s3bucket к машине на UBUNTU и использовать его на прямую как файловое хранилище, не используя дисковое пространство самой машины?
@ADV-IT
6 жыл бұрын
Можно! s3fs проэкт называется github.com/s3fs-fuse/s3fs-fuse Я его один раз использовал.
@alextimezero
6 жыл бұрын
То есть в данном случае все файлы можно будет сохранять на s3 минуя жесткий диск инстанса? И кстати удачно ли получилось примонтировать s3 к машине, я 4 раза с нуля на разных машинах делал, но хоть убей не монтируется и все. Может ли это кстати быть связано с тем что у меня пробная учетная запись?
@ADV-IT
6 жыл бұрын
Ага минуя диск. У меня получилось монтировать даже несколько одновременно успешно и работает вроде неплохо. На халявном аккаунтевсе работает. Я пробовал на Ubuntu и на Amazon Linux.
@alextimezero
6 жыл бұрын
Спасибо большое!
@user-tg3xs6mh7q
4 жыл бұрын
@@ADV-IT Я правильно понимаю, что зависит от ОС? У меня red hat при атаче ни в какую роли не видит.
Security Assertion Markup Language (SAML) is a standard protocol for web browser Single Sign-On (SSO) using secure tokens. Some info from AWS .... " Microsoft Active Directory Federation Service (AD FS, part of Windows Server) or another compatible SAML 2.0 provider." docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html
Это в рамках одного аккаунта. А если в процессе развертывания ес2 в другом акке надо стянуть инсталяшки с первого аккаунта, то какой вариант будет лучше?
@ADV-IT
3 жыл бұрын
Всё что Cross Account делается через IAM Roles
Role ReadOnly не позволила просмотреть каталог S3. Получилось при создании роли AdminAccess.
@Danilkim2310
4 жыл бұрын
смори, чтобы Рид они прописался. в случае если у тебя на весь пакет стоит Block access, но никакие добавления Рид полиси применяться не будут. Я это тоже во время урока заметил и расковырял, почему же не применяется Рид акксесс.
Расскажи как-нибудь про MFA. Как сделать виртуальный или физический токен?
@ADV-IT
6 жыл бұрын
А я обяснил и даже показал про MFA. kzread.info/dash/bejne/gHZ2q8x_hbSYh5M.html смотри с 7:37
Клево. Единственное что не ясно - каким образом утилита aws на сервере понимает что у нее есть роль? Допустим, если ты пропишешь что-то в ~/.aws/credentials, она считает ключи, и будет юзать их при каждом запросе на s3 ендпоинт. а вот если ключей нету - S3 как-то сам понимает от куда идет запрос, и по правилам роли просто не требует авторизацию?
@ADV-IT
4 жыл бұрын
IAM Role даёт временные credentials для доступа. Не парься на этом, просто: IAM Role даёт права доступа серверу к которому она прикреплена.
+
@ADV-IT
6 жыл бұрын
Сорри за отмененную рыбалку :)
@pitonic74
6 жыл бұрын
;)
Я уже тут!!)
Попробовал потренироваться и сделать, при изменении или добавлении файлов на s3 - ничего не происходит, не подхватывает изменения, зашел по ssh на сервер - и увидел, что там все старое, попробовал перезапустить сервер, чтобы скрипт скопировал новые файлы, но нет, тоже не вышло... Как тогда быть? Спасибо
@ADV-IT
10 ай бұрын
Добавил файлы, ничего не происхоит? Происходит конечно: добавились файлы.
@AntonioStudioOfficial
10 ай бұрын
@@ADV-IT ну, они добавились на s3, а на инстансе они не появились, и поэтому отображается старая версия сайта
@ADV-IT
10 ай бұрын
@@AntonioStudioOfficial запусти aws s3 ls s3://bucket_name и увидишь
что происходит, если инстансу дать роль amazon EC2 ReadOnly Access?
@ADV-IT
4 жыл бұрын
У иснстанса будет подступ к сервису EC2 в привилегиями ReadOnly
@maliy_ct
4 жыл бұрын
@@ADV-IT можно пример) то я что-то туплю....я создал инстанс, даю ему роль ReadOnly и... Про S3 было понятно, а здесь не совсем Буду очень благодарен!
@ADV-IT
4 жыл бұрын
Ну теперь если запустить команду aws ec2 describe-instances с сервера с IAM Role то получишь список серверов с их данными, а если запустить это БЕЗ приаттаченной IAM Role то получишь ошибку
у меня нет четкого понимания что такое роль. Это набор permissions для программ которые даются вместо создания юзера?
@ADV-IT
2 жыл бұрын
Да!
Как часто он меняет клавиатуру?_ так ебошит по клавише Enter )))
@ADV-IT
Жыл бұрын
Всё работает уже много лет!
Большое спасибо за урок! Я правильно понимаю, что самый простой и оптимальный способ автоматически закидывать файлы из S3 в инстанс по мере и появления это создать cron job типа "aws sync s3://bucket /path/to/folder"?
@ADV-IT
2 жыл бұрын
Да, это оптимальный и самый простой. Сложный это сделать trigger на появление нового файла в бакете и запуска SSM RunCommand на сервере aws sync s3://bucket /path/to/folder