IAM Identity Center: differenze tra le versioni
Nessun oggetto della modifica |
|||
| (23 versioni intermedie di un altro utente non mostrate) | |||
| Riga 1: | Riga 1: | ||
Creare gli utenti con '''IAM Identity Center''' | <!-- {{#breadcrumb: Amazon_Web_Services | IAM Identity Center}} --> | ||
Creare gli utenti con '''IAM Identity Center''' (NON usare il servizio <del>IAM</del>). | |||
* Creare gli utenti | * Creare gli utenti | ||
* Creare i gruppi | * Creare i gruppi | ||
| Riga 7: | Riga 8: | ||
Modificare il nome dello '''Start Url''' e poi andarci dentro.<br/> | Modificare il nome dello '''Start Url''' e poi andarci dentro.<br/> | ||
https://webmobili.awsapps.com/start/<br/><br/> | |||
Si apre una pagina che mostra | Si apre una pagina che mostra | ||
* AdministratorAccess | * AdministratorAccess | ||
| Riga 17: | Riga 20: | ||
Fonte: https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html<br/><br/> | Fonte: https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html<br/><br/> | ||
aprire la precedente '''StartUrl'' => '''AccessKeys''' e guardando la opzione 2<br/> | aprire la precedente '''StartUrl'' => '''AccessKeys''', tab ''Windows'', e guardando la ''opzione 2''<br/> | ||
bisogna andare in <code>%USERPROFILE%\.aws\</code> e creare un file <code>credentials</code> e copiare e incollare il testo dell'opzione.<br/> | bisogna andare in <code>%USERPROFILE%\.aws\</code> e creare un file <code>credentials</code> e copiare e incollare il testo dell'opzione.<br/> | ||
<br/> | <br/> | ||
| Riga 25: | Riga 28: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
Rispondere correttamente alle domande | Rispondere correttamente alle domande | ||
specificando come '''sso-session name''': <code>designbest-sso</code><br/> | |||
Alla fine chiederà ancora | Alla fine chiederà ancora | ||
<pre> | <pre> | ||
| Riga 32: | Riga 37: | ||
CLI profile name [123456789011_ReadOnly]: nomecognome-dev | CLI profile name [123456789011_ReadOnly]: nomecognome-dev | ||
</pre> | </pre> | ||
Rispondere con <code>json</code> e ricordarsi il '''profile name''' per le chiamate successive. | Rispondere con <code>json</code> e ricordarsi il '''profile name''' per le chiamate successive.<br/><br/> | ||
Per verificare che funzioni la configurazione provare questo comando: | |||
<syntaxhighlight lang="bash"> | |||
aws ec2 describe-instances --profile nomecognome-dev | |||
</syntaxhighlight> | |||
Ogni giorno di lavoro sarà necessario refreshare il token con il comando | |||
<syntaxhighlight lang="bash"> | |||
aws sso login --sso-session designbest-sso | |||
</syntaxhighlight> | |||
=== Assegnare Ruolo IAM alle istanze EC2 === | === Assegnare Ruolo IAM alle istanze EC2 === | ||
| Riga 43: | Riga 57: | ||
=> Modifica Ruolo IAM | => Modifica Ruolo IAM | ||
</pre> | </pre> | ||
e selezionare ''Crea nuovo ruolo IAM'' | e selezionare | ||
* ''Crea nuovo ruolo IAM'' | |||
* ''Servizio AWS'' | |||
* ''Caso d'uso'' => EC2 Role for AWS Systems Manager | |||
* Proseguire fino al '''nome''' (es. ''EC2FromSystemManager'' ) | |||
Verificare che l'istanza abbia il nuovo nome come ''Ruolo IAM'' | |||
=== Port Forwarding con SessionManager === | |||
Serve per collegarsi a servizi presenti su istanze (con ruolo IAM) private e non raggiungibili pubblicamente dal web.<br/> | |||
(es. SqlServer o MySql tramite SqlManagement e Workbench)<br/> | |||
* Installare il '''plugin SessionManager''' https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html | |||
* Mettere il suo percorso nella '''variabile d'ambiente locale PATH''' => <code>C:\Program Files\Amazon\SessionManagerPlugin\bin\</code> | |||
* Chiudere e riaprire il terminale per avere la modifica applicata | |||
A questo punto, tramite la seguente formula magica, è possibile creare un '''tunnel''' che collega il nostro pc all'istanza privata<br/> | |||
Sarà necessario specificare <code>id istanza</code>, <code>regione</code> e <code>nome del profilo</code> | |||
<syntaxhighlight lang="bash"> | |||
aws ssm start-session --target i-0e3054879b4466f03 --document-name AWS-StartPortForwardingSession --parameters "portNumber"=["3306"],"localPortNumber"=["3306"] --region us-east-1 --profile simonevincenzi-dev | |||
</syntaxhighlight> | |||
Se tutto è andato bene è possibile collegarsi a ''Workbench/SqlManagement'' utilizzando <code>localhost</code> come host del database. | |||
[[Category:AWS]] | |||
Versione attuale delle 09:51, 10 lug 2025
Creare gli utenti con IAM Identity Center (NON usare il servizio IAM).
- Creare gli utenti
- Creare i gruppi
- Creare il Set di autorizzazioni assegnando
AdministratorAccess
Vengono forniti diversi parametri
Modificare il nome dello Start Url e poi andarci dentro.
https://webmobili.awsapps.com/start/
Si apre una pagina che mostra
- AdministratorAccess
- AccessKeys
Entrare nel secondo per avere tutti i parametri necessari a configurare aws cli.
AWS CLI
[modifica]Un bel casino, installare da https://aws.amazon.com/it/cli/
Fonte: https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html
aprire la precedente StartUrl => AccessKeys', tab Windows, e guardando la opzione 2
bisogna andare in %USERPROFILE%\.aws\ e creare un file credentials e copiare e incollare il testo dell'opzione.
Successivamente si lancia la configurazione che genererà anche il file config
aws configure sso
Rispondere correttamente alle domande
specificando come sso-session name: designbest-sso
Alla fine chiederà ancora
CLI default client Region [None]: us-east-1 CLI default output format [None]: json CLI profile name [123456789011_ReadOnly]: nomecognome-dev
Rispondere con json e ricordarsi il profile name per le chiamate successive.
Per verificare che funzioni la configurazione provare questo comando:
aws ec2 describe-instances --profile nomecognome-dev
Ogni giorno di lavoro sarà necessario refreshare il token con il comando
aws sso login --sso-session designbest-sso
Assegnare Ruolo IAM alle istanze EC2
[modifica]Per potersi collegare alle istanze è necessario assegnare un Ruolo IAM (IAM Profile) ad ognuna.
Entrare sull'istanza EC2 in questione, usare il menu
Operazioni
=> Sicurezza
=> Modifica Ruolo IAM
e selezionare
- Crea nuovo ruolo IAM
- Servizio AWS
- Caso d'uso => EC2 Role for AWS Systems Manager
- Proseguire fino al nome (es. EC2FromSystemManager )
Verificare che l'istanza abbia il nuovo nome come Ruolo IAM
Port Forwarding con SessionManager
[modifica]Serve per collegarsi a servizi presenti su istanze (con ruolo IAM) private e non raggiungibili pubblicamente dal web.
(es. SqlServer o MySql tramite SqlManagement e Workbench)
- Installare il plugin SessionManager https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html
- Mettere il suo percorso nella variabile d'ambiente locale PATH =>
C:\Program Files\Amazon\SessionManagerPlugin\bin\ - Chiudere e riaprire il terminale per avere la modifica applicata
A questo punto, tramite la seguente formula magica, è possibile creare un tunnel che collega il nostro pc all'istanza privata
Sarà necessario specificare id istanza, regione e nome del profilo
aws ssm start-session --target i-0e3054879b4466f03 --document-name AWS-StartPortForwardingSession --parameters "portNumber"=["3306"],"localPortNumber"=["3306"] --region us-east-1 --profile simonevincenzi-dev
Se tutto è andato bene è possibile collegarsi a Workbench/SqlManagement utilizzando localhost come host del database.
