Creazione e utilizzo di un profilo dell'istanza per gestire le credenziali temporanee Creazione e archiviazione di credenziali di accesso permanenti in un ambiente

Chiamata Servizi AWS da un ambiente in AWS Cloud9

È possibile chiamare Servizi AWS da un ambiente di AWS Cloud9 sviluppo. Ad esempio, puoi eseguire le operazioni seguenti:

Caricare e scaricare i dati nei bucket Amazon Simple Storage Service (Amazon S3).
Invia notifiche di trasmissione tramite argomenti di Amazon Simple Notification Service (AmazonSNS).
Leggere e scrivere i dati nei database Amazon DynamoDB (DynamoDB).

Puoi chiamare Servizi AWS dal tuo ambiente in diversi modi. Ad esempio, è possibile utilizzare il AWS Command Line Interface (AWS CLI) o il AWS CloudShell per eseguire comandi da una sessione terminale. Puoi anche chiamare i Servizi AWS dal codice che esegui all'interno del tuo ambiente. È possibile farlo utilizzando linguaggi AWS SDKs di programmazione come JavaScript, Python, Ruby, PHP, Goe C++. Per ulteriori informazioni, consulta aws-shell Sample, la Guida per l'AWS Command Line Interface utente e il.AWS CLI AWS SDKs

Ogni volta che il AWS CLI AWS CloudShell, il o il tuo codice chiama un Servizio AWS, il AWS CLI AWS CloudShell, o il tuo codice deve fornire un set di credenziali di AWS accesso insieme alla chiamata. Tali credenziali servono a determinare se l'intermediario dispone delle autorizzazioni appropriate per effettuare la chiamata. Se le credenziali non coprono le autorizzazioni appropriate, la chiamata ha esito negativo.

Ci sono diversi modi per fornire le credenziali per l'ambiente. La tabella seguente descrive alcuni approcci.

Tipo di ambiente	Approccio
EC2	Utilizza credenziali temporanee AWS gestite. Consigliamo questo approccio per un EC2 ambiente. AWS credenziali temporanee gestite gestisci le credenziali di AWS accesso in un EC2 ambiente per tuo conto, seguendo anche le migliori pratiche AWS di sicurezza. Se utilizzi un EC2 ambiente, puoi saltare il resto di questo argomento. Questo perché le credenziali temporanee AWS gestite sono già configurate per te nell'ambiente. Per ulteriori informazioni, consulta AWS Credenziali temporanee gestite da .
EC2	Associa un profilo di IAM istanza all'istanza. Utilizza questo approccio solo se per qualche motivo non puoi utilizzare credenziali temporanee AWS gestite. Analogamente alle credenziali temporanee AWS gestite, un profilo di istanza gestisce le credenziali di AWS accesso per conto dell'utente. Tuttavia, devi creare, gestire e collegare tu stesso il profilo dell'istanza all'EC2istanza Amazon. Per istruzioni, consulta la sezione relativa alla creazione e utilizzo di un profilo dell'istanza per gestire credenziali temporanee.
EC2oppure SSH	Archivia le tue credenziali di AWS accesso permanenti all'interno dell'ambiente. Questo approccio è meno sicuro rispetto all'utilizzo di credenziali di AWS accesso temporanee. Tuttavia, è l'unico approccio supportato per un SSH ambiente. Per istruzioni, consulta la sezione relativa alla creazione e archivio delle credenziali di accesso permanenti in un ambiente.
EC2oppure SSH	Inserisci le tue credenziali di AWS accesso permanenti direttamente nel codice. Sconsigliamo questo approccio perché non segue le migliori pratiche AWS di sicurezza. Siccome scoraggiamo questo approccio, non lo affrontiamo in questo argomento.

Creazione e utilizzo di un profilo dell'istanza per gestire le credenziali temporanee

Nota

Non è possibile utilizzare questa procedura per un ambiente di AWS Cloud9 SSH sviluppo. Invece, passa a Creazione e archivio delle credenziali di accesso permanenti in un ambiente.

Si consiglia di utilizzare credenziali temporanee AWS gestite anziché un profilo di istanza. Segui queste istruzioni solo se per qualche motivo non puoi utilizzare credenziali temporanee AWS gestite. Per ulteriori informazioni, consulta AWS Credenziali temporanee gestite da .

Questa procedura utilizza IAM Amazon EC2 per creare e collegare un profilo di IAM istanza all'EC2istanza Amazon che si connette al tuo ambiente. Il profilo dell'istanza gestisce le credenziali temporanee per tuo conto. Questa procedura presuppone che tu abbia già creato un ambiente in AWS Cloud9. Per creare un ambiente, consulta Creazione di un ambiente.

Puoi completare queste attività con le EC2console IAM e Amazon o l'interfaccia a riga di AWS comando (AWS CLI).

Crea un profilo di istanza con la console IAM

Nota

Se disponi già di un IAM ruolo che contiene un profilo di istanza, vai avanti a Allegare un profilo di istanza a un'istanza con la EC2 console Amazon.

Accedi alla IAM console, all'indirizzo https://console.aws.amazon.com/iam.

Per questa fase consigliamo di effettuare l'accesso utilizzando le credenziali a livello di amministratore nell' Account AWS. Se non si è in grado di eseguire questa operazione, contattare l'amministratore dell' Account AWS .
Nella barra di navigazione, scegli Ruoli.

Nota
Non è possibile utilizzare la IAM console per creare un profilo di istanza da sola. È necessario creare un IAM ruolo che contenga un profilo di istanza.
Scegliere Crea ruolo.
Nella pagina Seleziona il tipo di entità affidabile, se l'opzione è Servizio AWSgià selezionata, per Scegli il servizio che utilizzerà questo ruolo, scegli EC2.
Per Seleziona il tuo caso d'uso, scegli EC2.
Scegli Successivo: autorizzazioni.
Nella pagina Allega criteri di autorizzazione, nell'elenco dei criteri, seleziona la casella accanto a AdministratorAccess, quindi scegli Avanti: revisione.

Nota
La AdministratorAccesspolicy consente l'accesso illimitato a tutte le AWS azioni e le risorse del tuo. Account AWS Usala solo per scopi di sperimentazione. Per ulteriori informazioni, consulta la sezione IAMPolitiche nella Guida per l'IAMutente.
Nella pagina Review (Verifica), per Role Name (Nome ruolo), immetti il nome del ruolo, ad esempio my-demo-cloud9-instance-profile.
Selezionare Create Role (Crea ruolo).

Vai avanti per collegare un profilo di istanza a un'istanza con la EC2 console Amazon.

Creazione di un profilo dell'istanza con la AWS CLI

Nota

Se disponi già di un IAM ruolo che contiene un profilo di istanza, vai avanti a Allegare un profilo di istanza a un'istanza con. AWS CLI

Per questo argomento, ti consigliamo di configurare l' AWS CLI utilizzo di credenziali a livello di amministratore nel tuo. Account AWS Se non si è in grado di eseguire questa operazione, contattare l'amministratore dell' Account AWS .

Nota

Se utilizzi credenziali temporanee AWS gestite, non puoi utilizzare una sessione terminale AWS Cloud9 IDE per eseguire alcuni o tutti i comandi di questa sezione. Per rispettare le migliori pratiche AWS di sicurezza, le credenziali temporanee AWS gestite non consentono l'esecuzione di alcuni comandi. È invece possibile eseguire tali comandi da un'installazione separata di AWS Command Line Interface (AWS CLI).

Definite una relazione di fiducia AWS per il IAM ruolo richiesto del profilo di istanza. Per eseguire questa operazione, devi creare un file con i seguenti contenuti (ad esempio, my-demo-cloud9-instance-profile-role-trust.json).


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilizzando il terminale o il prompt dei comandi, passa alla directory dove hai già salvato questo file.
Crea un IAM ruolo per il profilo dell'istanza. Per fare ciò, esegui il IAM create-role comando. Quando lo fai, specifica un nome per il nuovo IAM ruolo (ad esempio,my-demo-cloud9-instance-profile-role) e il nome del file che hai appena salvato.
```
aws iam create-role --role-name my-demo-cloud9-instance-profile-role --assume-role-policy-document file://my-demo-cloud9-instance-profile-role-trust.json
```
AWS Associa le autorizzazioni di accesso al IAM ruolo del profilo dell'istanza. Per fare ciò, esegui il IAM attach-role-policy comando. Specificare il nome del IAM ruolo esistente e l'Amazon Resource Name (ARN) della policy AWS gestita denominataAdministratorAccess.
```
aws iam attach-role-policy --role-name my-demo-cloud9-instance-profile-role --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
Nota
La AdministratorAccesspolicy consente l'accesso illimitato a tutte le AWS azioni e le risorse del tuo Account AWS. Usala solo per scopi di sperimentazione. Per ulteriori informazioni, consulta la sezione IAMPolitiche nella Guida per l'IAMutente.
Crea il profilo dell'istanza. A tale scopo, eseguite il IAM create-instance-profile comando, specificando un nome per il nuovo profilo di istanza (ad esempio,my-demo-cloud9-instance-profile).
```
aws iam create-instance-profile --instance-profile-name my-demo-cloud9-instance-profile
```
Associate il IAM ruolo al profilo dell'istanza. A tale scopo, eseguite il IAMadd-role-to-instance-profile, specificando i nomi del IAM ruolo e del profilo di istanza esistenti.
```
aws iam add-role-to-instance-profile --role-name my-demo-cloud9-instance-profile-role --instance-profile-name my-demo-cloud9-instance-profile
```

Passa a Creazione di un profilo dell'istanza con la AWS CLI.

Associa un profilo di istanza a un'istanza con la EC2 console Amazon

Accedi alla EC2 console Amazon, all'indirizzo https://console.aws.amazon.com/ec2.

Per questa fase consigliamo di effettuare l'accesso utilizzando le credenziali a livello di amministratore nell' Account AWS. Se non si è in grado di eseguire questa operazione, contattare l'amministratore dell' Account AWS .
Nella barra di navigazione, assicurati che il selettore della regione visualizzi la Regione AWS che corrisponde a quella dell'ambiente. Ad esempio, se hai creato l'ambiente nella regione Stati Uniti orientali (Ohio), scegli US East (Ohio) (Stati Uniti orientali (Ohio)) anche nel selettore della regione.
Scegliere il link Running Instances (Istanze in esecuzione) oppure, nel riquadro di navigazione, espandere Instances (Istanze) e selezionare Instances (Istanze).
Nell'elenco delle istanze, scegli l'istanza con il Name (Nome) che include il nome dell'ambiente. Ad esempio, se il nome dell'ambiente èmy-demo-environment, scegli l'istanza con il nome che include. my-demo-environment
Scegli Azioni, Sicurezza, Modifica IAM ruolo.

Nota
Nonostante tu stia collegando un ruolo all'istanza, il ruolo contiene un profilo dell'istanza.
Nella pagina Modifica IAM ruolo, per IAMruolo, scegli il nome del ruolo che hai identificato o creato nella procedura precedente, quindi scegli Applica.
Tornando all'ambiente, utilizzate il AWS CLI per eseguire il aws configure comando o il AWS CloudShell per eseguire il configure comando. Non specificare alcun valore per AWS Access Key ID (ID chiave di accesso AWS ) o AWS Secret Access Key (Chiave di accesso segreta AWS ) e premi Enter dopo ognuno di questi prompt. Per il nome predefinito della regione, specifica la regione Regione AWS più vicina a te o la regione in cui si trovano le AWS risorse. Ad esempio, per la regione Stati Uniti orientali (Ohio) utilizzare us-east-2. Per un elenco delle regioni, consulta Regioni AWS ed Endpoints in. Riferimenti generali di Amazon Web Services Opzionalmente, specifica un valore per Default output format (Formato di output predefinito) (ad esempio, json).

Ora puoi iniziare a chiamare Servizi AWS dal tuo ambiente. Per utilizzare il AWS CLI, il aws-shell, o entrambi da chiamare Servizi AWS, vedi aws-shell Sample.AWS CLI Per chiamare i Servizi AWS dal codice, consulta i nostri tutorial ed esempi.

Allega un profilo di istanza a un'istanza con il AWS CLI

Nota

Se utilizzi credenziali temporanee AWS gestite, non puoi utilizzare una sessione di terminale AWS Cloud9 IDE per eseguire alcuni o tutti i comandi di questa sezione. Per rispettare le migliori pratiche AWS di sicurezza, le credenziali temporanee AWS gestite non consentono l'esecuzione di alcuni comandi. È invece possibile eseguire tali comandi da un'installazione separata di AWS Command Line Interface (AWS CLI).

Esegui il EC2 associate-iam-instance-profile comando Amazon. Specificare il nome del profilo dell'istanza e l' Regione AWS ID e l'ID dell'EC2istanza Amazon per l'ambiente.
```
aws ec2 associate-iam-instance-profile --iam-instance-profile Name=my-demo-cloud9-instance-profile --region us-east-2 --instance-id i-12a3b45678cdef9a0
```
Nel comando precedente, sostituisci us-east-2 con l'ID della Regione AWS per l'istanza e i-12a3b45678cdef9a0 con l'ID dell'istanza.

Per ottenere l'ID dell'istanza, puoi, ad esempio, eseguire il EC2 describe-instances comando Amazon, specificando il nome e l' Regione AWS ID dell'ambiente.
```
aws ec2 describe-instances --region us-east-2 --filters Name=tag:Name,Values=*my-environment* --query "Reservations[*].Instances[*].InstanceId" --output text
```
Nel comando precedente, sostituisci us-east-2 con l'ID della Regione AWS per l'istanza e my-environment con il nome dell'ambiente.
Tornato nell'ambiente, usa il AWS CLI per eseguire il aws configure comando o aws-shell per eseguire il configure comando. Non specificare alcun valore per AWS Access Key ID (ID chiave di accesso AWS ) o AWS Secret Access Key (Chiave di accesso segreta AWS ). Premi Enter dopo ciascuno di questi prompt. Per il nome predefinito della regione, specifica la regione Regione AWS più vicina a te o la regione in cui si trovano le AWS risorse. Ad esempio, per la regione Stati Uniti orientali (Ohio) utilizzare us-east-2. Per un elenco delle regioni, consulta AWS Regioni ed endpoint in. Riferimenti generali di Amazon Web Services Opzionalmente, specifica un valore per Default output format (Formato di output predefinito) (ad esempio, json).

Creazione e archiviazione di credenziali di accesso permanenti in un ambiente

Nota

Se utilizzi un ambiente di AWS Cloud9 EC2 sviluppo, ti consigliamo di utilizzare credenziali temporanee AWS gestite anziché credenziali di accesso AWS permanenti. Per utilizzare credenziali temporanee AWS gestite, consulta. AWS credenziali temporanee gestite

In questa sezione, si utilizza AWS Identity and Access Management (IAM) per generare un set di credenziali permanenti. Il AWS CLI, il aws-shell, oppure il codice può utilizzare questo set di credenziali durante la chiamata Servizi AWS. Questo set include un ID della chiave di AWS accesso e una chiave di accesso AWS segreta, che sono unici per l'utente del tuo Account AWS. Se disponi già di un ID di chiave di AWS accesso e di una chiave di accesso AWS segreta, annota tali credenziali, quindi vai avanti a Archivia le credenziali di accesso permanenti in un ambiente.

Puoi creare un set di credenziali permanenti con la console o ilIAM. AWS CLI

Concessione dell'accesso programmatico

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Crea credenziali di accesso permanenti con AWS CLI

Nota

Per questa sezione, ti consigliamo di configurare l' AWS CLI utilizzo di credenziali a livello di amministratore nel tuo. Account AWS Se non riesci a farlo, contatta il tuo amministratore. Account AWS

Nota

Eseguite il IAM create-access-key comando per creare una nuova chiave di AWS accesso e la corrispondente chiave di accesso AWS segreta per l'utente.


aws iam create-access-key --user-name MyUser

Nel comando precedente, sostituisci MyUser con il nome dell'utente.

In un posto sicuro, salva i valori AccessKeyId e SecretAccessKey visualizzati. Dopo aver eseguito il IAM create-access-key comando, questa è l'unica volta che è possibile utilizzare il AWS CLI per visualizzare la chiave di accesso AWS segreta dell'utente. Per generare una nuova chiave di accesso AWS segreta per l'utente in un secondo momento, se necessario, consulta Creazione, modifica e visualizzazione delle chiavi di accesso (API,CLI, PowerShell) nella Guida per l'IAMutente.

Archivio delle credenziali di accesso permanenti in un ambiente

In questa procedura, si utilizza AWS Cloud9 IDE per archiviare le credenziali di AWS accesso permanenti nel proprio ambiente. Questa procedura presuppone che tu abbia già creato un ambiente in AWS Cloud9, aperto l'ambiente e che lo stia visualizzando AWS Cloud9 IDE nel tuo browser web. Per ulteriori informazioni, consulta Creazione di un ambiente e Apertura di un ambiente.

Nota

La procedura seguente mostra come archiviare le proprie credenziali di accesso permanenti utilizzando variabili di ambiente. Se avete il AWS CLI o il aws-shell installato nel proprio ambiente, è possibile utilizzare il aws configurecomando for AWS CLI o il configurecomando per aws-shell per memorizzare invece le credenziali di accesso permanenti. Per istruzioni, consulta la sezione Configurazione rapida nella Guida per l'utente di AWS Command Line Interface .

Con l'ambiente aperto AWS Cloud9 IDE, avvia una nuova sessione di terminale, se non è già stata avviata. Per avviare una nuova sessione del terminale, dalla barra dei menu, selezionare Window (Finestra), New Terminal (Nuovo terminale).
Esegui ciascuno dei seguenti comandi, un comando alla volta, per impostare le variabili di ambiente locale che rappresentano le tue credenziali di accesso permanenti. In questi comandi, dopoAWS_ACCESS_KEY_ID:, inserisci l'ID della tua chiave di AWS accesso. DopoAWS_SECRET_ACCESS_KEY, inserisci la tua chiave di accesso AWS segreta. SuccessivamenteAWS_DEFAULT_REGION_ID, inserisci l' Regione AWS identificatore associato a quello Regione AWS più vicino a te (o il tuo preferito Regione AWS). Per un elenco degli identificatori disponibili, consulta Regioni AWS ed Endpoints in. Riferimenti generali di Amazon Web Services Ad esempio, per la regione Stati Uniti orientali (Ohio) utilizza us-east-2.
```
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=
```
Nota che le variabili di ambiente precedenti sono valide solo per la sessione terminale corrente. Per rendere queste variabili di ambiente disponibili tra le sessioni del terminale, devi aggiungerle al tuo file di profilo shell come variabili di utente di ambiente, come segue.
1. Nella finestra Ambiente diIDE, scegli l'icona a forma di ingranaggio, quindi scegli Mostra Home nei Preferiti. Ripetere questa fase e selezionare anche Show Hidden Files (Mostra file nascosti).
2. Apri il file ~/.bashrc.
3. Immetti o incolla il codice seguente alla fine del file. In questi comandi, dopoAWS_ACCESS_KEY_ID:, inserisci l'ID della tua chiave di AWS accesso. DopoAWS_SECRET_ACCESS_KEY, inserisci la tua chiave di accesso AWS segreta. SuccessivamenteAWS_DEFAULT_REGION_ID, inserisci l' Regione AWS identificatore associato a quello Regione AWS più vicino a te (o il tuo preferito Regione AWS). Per un elenco degli identificatori disponibili, consulta Regioni AWS ed Endpoints in. Riferimenti generali di Amazon Web Services Ad esempio, per la regione Stati Uniti orientali (Ohio) utilizza us-east-2.
```
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=
```
4. Salvare il file.
5. Crea il file ~/.bashrc per caricare queste nuove variabili di ambiente.
```
. ~/.bashrc
```

Ora puoi iniziare a chiamare Servizi AWS dal tuo ambiente. Per utilizzare il AWS CLI o il aws-shell per chiamare Servizi AWS, vedi aws-shell Sample.AWS CLI Per chiamare i Servizi AWS dal codice, consulta i nostri tutorial ed esempi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Apertura di un ambiente

Modifica delle impostazioni dell'ambiente