Wiki SGY.io

Outils pour utilisateurs

Outils du site

Piste :
cloud:aws:toc

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
Dernière révisionLes deux révisions suivantes
cloud:aws:toc [2019/10/11 05:50] – créée sgariepycloud:aws:toc [2022/03/29 19:27] – [Login par requêtes directes] sgariepy
Ligne 1: Ligne 1:
 ====== AWS ====== ====== AWS ======
  
 +AWS est le service cloud d'Amazon.
  
 +====== CLI ======
 +
 +Pour configurer un compte avec un access key et secret:
 +
 +  $ aws configure
 +
 +===== Variables d'environnement =====
 +
 +<code>
 +$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
 +$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
 +$ export AWS_DEFAULT_REGION=us-west-2
 +</code>
 +
 +Dans le cas d'utilisation d'un session token, on peut ajouter:
 +
 +<code>
 +AWS_SESSION_TOKEN
 +</code>
 +
 +===== Utiliser un rôle qui requiert un MFA =====
 +
 +
 +Dans le fichier ''~/.aws/credentials'', ajouter par exemple les credentials nécessaires:
 +
 +<code>
 +[aws_account_name_or_username]
 +aws_access_key_id = AKIAQ75CXLP2PEXAMPLE
 +aws_secret_access_key = wxVqab73fiHctn3py4/C09tRGQQHq+DFalS3/K3y                               
 +</code>
 +
 +Après dans le fichier ''~/.aws/config'' ajouter un profil:
 +
 +<code>
 +[profile nom_du_profil]
 +output = json
 +region = us-east-1
 +role_arn = arn:aws:iam::976567865786:role/super_duper_power_users
 +source_profile = aws_account_name
 +mfa_serial=arn:aws:iam::987653456789:mfa/myusername
 +</code>
 +La valeur de ''source_profile'' fait référence au nom de la section dans le fichier ''credential'', dans l'exemple plus haut c'est ''aws_account_name_or_username'' (qui est lui-même un exemple bidon).
 +
 +
 +
 +Outils qui peuvent aider à gérer ça:
 +
 +  * [[https://github.com/rik2803/aws-sts-assumerole|assumerole]]
 +
 +Exemple:
 +
 +  $  aws sts assume-role --role-arn arn:aws:iam::XXXXXXXXXXXX:role/org-super_users --role-session-name "RoleSessionName1" --profile org-super_users --output json > assume-role-output.txt
 +
 +Source: [[https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html|Using an IAM role in the AWS CLI]]
 +
 +===== Sortie au stdout =====
 +
 +Les sorties de commandes peuvent se faire dans nano, ce qui n'est pas idéal pour copier les informations.  L'option ''cli_pager='' (avec aucune valeur) dans le ''~/.aws/config'' ''[default]'' ne semble pas fonctionner, comme la [[https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output.html|documentation le suggère]].
 +
 +Plutôt faire avec un export:
 +
 +
 +  $ export AWS_PAGER=
 +
 +
 +
 +
 +====== IAM ======
 +
 +Créer un rôle IAM:
 +
 +
 +<code>
 +aws iam create-role --role-name SomeRoleName --assume-role-policy-document file://./subdir/some-file.json
 +</code>
 +
 +
 +Attach to policy:
 +
 +<code>
 +aws iam attach-role-policy --role-name SomeRoleName --policy-arn arn:aws:iam::aws:policy/GameLiftGameServerGroupPolicy
 +</code>
 +
 +====== Cognito ======
 +
 +===== Login par requêtes directes =====
 +
 +Les requêtes ci-dessous sont effectuées avec **REST Client**, extension de VS Code.
 +
 +Prérequis:
 +
 +  * L'application dans le User Pool n'a pas de Client Secret de configuré
 +  * L'utilisateur existe dans le user pool.  Il peut y avoir un mot de passe initial avec le statut //Force change password//.
 +
 +Pour effectuer des tests, par exemple pour obtenir un JWT d'identification, il faut appeler le service IDP de Cognito avec un initAuth:
 +
 +<code>
 +POST https://cognito-idp.us-east-1.amazonaws.com/
 +Content-Type: application/x-amz-json-1.1
 +X-Amz-Target: AWSCognitoIdentityProviderService.InitiateAuth
 +
 +{
 +    "AuthParameters" : {
 +        "USERNAME" : "test@domain",
 +        "PASSWORD" : "initialPassword"
 +    },
 +    "AuthFlow" : "USER_PASSWORD_AUTH",
 +    "ClientId" : "{{cognitoClientId}}"
 +}
 +</code>
 +
 +Si la réponse retourne un challenge ''NEW_PASSWORD_REQUIRED'', il faut envoyer une requête ''RespondToAuthChallenge'':
 +
 +<code>
 +POST https://cognito-idp.us-east-1.amazonaws.com/
 +Content-Type: application/x-amz-json-1.1
 +X-Amz-Target: AWSCognitoIdentityProviderService.RespondToAuthChallenge
 +
 +{
 +    "ChallengeName": "NEW_PASSWORD_REQUIRED",
 +    "ChallengeResponses": {
 +      "USERNAME" : "test@domain",
 +      "NEW_PASSWORD" : "newPassword"
 +    },
 +    "ClientId": "{{cognitoClientId}}",
 +    "Session": "{{initAuth.response.body.Session}}"
 +}
 +</code>
 +
 +La réponse au challenge retourne le id token si ça a bien fonctionné.
 +
 +
 +Obtenir un id token avec un refresh token:
 +
 +<code>
 +POST https://cognito-idp.us-east-1.amazonaws.com/
 +Content-Type: application/x-amz-json-1.1
 +X-Amz-Target: AWSCognitoIdentityProviderService.InitiateAuth
 +
 +{
 +    "AuthParameters" : {
 +        "REFRESH_TOKEN" : "{{normalAuth.response.body.AuthenticationResult.RefreshToken}}"
 +    },
 +    "AuthFlow" : "REFRESH_TOKEN_AUTH",
 +    "ClientId" : "{{cognitoClientId}}"
 +}
 +</code> 
 +
 +
 +
 +===== Ressources =====
 +
 +
 +  * [[https://www.npmjs.com/package/amazon-cognito-identity-js|Amazon Cognito Identity SDK for JavaScript]] (package npm)
 +  * [[https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-verifying-a-jwt.html|Verifying a JSON Web Token]]
 +  * [[https://github.com/amazon-archives/amazon-cognito-identity-js|amazon-archives/amazon-cognito-identity-js]] (repo GitHub archivé)
 +  * [[https://adayinthelifeof.nl/2020/05/20/aws.html|Description des services en une phrase]]
  
  
cloud/aws/toc.txt · Dernière modification : 2022/12/10 14:46 de sgariepy