Wiki SGY.io

Outils pour utilisateurs

Outils du site

Piste :
cloud:aws:toc

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Dernière révisionLes deux révisions suivantes
cloud:aws:toc [2020/04/29 22:56] – créée sgariepycloud:aws:toc [2022/03/29 19:27] – [Login par requêtes directes] sgariepy
Ligne 1: Ligne 1:
 ====== AWS ====== ====== AWS ======
  
-  * [[Cognito]]+AWS est le service cloud d'Amazon. 
 + 
 +====== CLI ====== 
 + 
 +Pour configurer un compte avec un access key et secret: 
 + 
 +  $ aws configure 
 + 
 +===== Variables d'environnement ===== 
 + 
 +<code> 
 +$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE 
 +$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY 
 +$ export AWS_DEFAULT_REGION=us-west-2 
 +</code> 
 + 
 +Dans le cas d'utilisation d'un session token, on peut ajouter: 
 + 
 +<code> 
 +AWS_SESSION_TOKEN 
 +</code> 
 + 
 +===== Utiliser un rôle qui requiert un MFA ===== 
 + 
 + 
 +Dans le fichier ''~/.aws/credentials'', ajouter par exemple les credentials nécessaires: 
 + 
 +<code> 
 +[aws_account_name_or_username] 
 +aws_access_key_id = AKIAQ75CXLP2PEXAMPLE 
 +aws_secret_access_key = wxVqab73fiHctn3py4/C09tRGQQHq+DFalS3/K3y                                
 +</code> 
 + 
 +Après dans le fichier ''~/.aws/config'' ajouter un profil: 
 + 
 +<code> 
 +[profile nom_du_profil] 
 +output = json 
 +region = us-east-1 
 +role_arn = arn:aws:iam::976567865786:role/super_duper_power_users 
 +source_profile = aws_account_name 
 +mfa_serial=arn:aws:iam::987653456789:mfa/myusername 
 +</code> 
 +La valeur de ''source_profile'' fait référence au nom de la section dans le fichier ''credential'', dans l'exemple plus haut c'est ''aws_account_name_or_username'' (qui est lui-même un exemple bidon). 
 + 
 + 
 + 
 +Outils qui peuvent aider à gérer ça: 
 + 
 +  * [[https://github.com/rik2803/aws-sts-assumerole|assumerole]] 
 + 
 +Exemple: 
 + 
 +  $  aws sts assume-role --role-arn arn:aws:iam::XXXXXXXXXXXX:role/org-super_users --role-session-name "RoleSessionName1" --profile org-super_users --output json > assume-role-output.txt 
 + 
 +Source: [[https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html|Using an IAM role in the AWS CLI]] 
 + 
 +===== Sortie au stdout ===== 
 + 
 +Les sorties de commandes peuvent se faire dans nano, ce qui n'est pas idéal pour copier les informations.  L'option ''cli_pager='' (avec aucune valeur) dans le ''~/.aws/config'' ''[default]'' ne semble pas fonctionner, comme la [[https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-output.html|documentation le suggère]]. 
 + 
 +Plutôt faire avec un export: 
 + 
 + 
 +  $ export AWS_PAGER= 
 + 
 + 
 + 
 + 
 +====== IAM ====== 
 + 
 +Créer un rôle IAM: 
 + 
 + 
 +<code> 
 +aws iam create-role --role-name SomeRoleName --assume-role-policy-document file://./subdir/some-file.json 
 +</code> 
 + 
 + 
 +Attach to policy: 
 + 
 +<code> 
 +aws iam attach-role-policy --role-name SomeRoleName --policy-arn arn:aws:iam::aws:policy/GameLiftGameServerGroupPolicy 
 +</code> 
 + 
 +====== Cognito ====== 
 + 
 +===== Login par requêtes directes ===== 
 + 
 +Les requêtes ci-dessous sont effectuées avec **REST Client**, extension de VS Code. 
 + 
 +Prérequis: 
 + 
 +  * L'application dans le User Pool n'a pas de Client Secret de configuré 
 +  * L'utilisateur existe dans le user pool.  Il peut y avoir un mot de passe initial avec le statut //Force change password//
 + 
 +Pour effectuer des tests, par exemple pour obtenir un JWT d'identification, il faut appeler le service IDP de Cognito avec un initAuth: 
 + 
 +<code> 
 +POST https://cognito-idp.us-east-1.amazonaws.com/ 
 +Content-Type: application/x-amz-json-1.1 
 +X-Amz-Target: AWSCognitoIdentityProviderService.InitiateAuth 
 + 
 +
 +    "AuthParameters" : { 
 +        "USERNAME" : "test@domain", 
 +        "PASSWORD" : "initialPassword" 
 +    }, 
 +    "AuthFlow" : "USER_PASSWORD_AUTH", 
 +    "ClientId" : "{{cognitoClientId}}" 
 +
 +</code> 
 + 
 +Si la réponse retourne un challenge ''NEW_PASSWORD_REQUIRED'', il faut envoyer une requête ''RespondToAuthChallenge'': 
 + 
 +<code> 
 +POST https://cognito-idp.us-east-1.amazonaws.com/ 
 +Content-Type: application/x-amz-json-1.1 
 +X-Amz-Target: AWSCognitoIdentityProviderService.RespondToAuthChallenge 
 + 
 +
 +    "ChallengeName": "NEW_PASSWORD_REQUIRED", 
 +    "ChallengeResponses":
 +      "USERNAME" : "test@domain", 
 +      "NEW_PASSWORD" : "newPassword" 
 +    }, 
 +    "ClientId": "{{cognitoClientId}}", 
 +    "Session": "{{initAuth.response.body.Session}}" 
 +
 +</code> 
 + 
 +La réponse au challenge retourne le id token si ça a bien fonctionné. 
 + 
 + 
 +Obtenir un id token avec un refresh token: 
 + 
 +<code> 
 +POST https://cognito-idp.us-east-1.amazonaws.com/ 
 +Content-Type: application/x-amz-json-1.1 
 +X-Amz-Target: AWSCognitoIdentityProviderService.InitiateAuth 
 + 
 +
 +    "AuthParameters" : { 
 +        "REFRESH_TOKEN" : "{{normalAuth.response.body.AuthenticationResult.RefreshToken}}" 
 +    }, 
 +    "AuthFlow" : "REFRESH_TOKEN_AUTH", 
 +    "ClientId" : "{{cognitoClientId}}" 
 +
 +</code>  
 + 
 + 
 + 
 +===== Ressources ===== 
 + 
 + 
 +  * [[https://www.npmjs.com/package/amazon-cognito-identity-js|Amazon Cognito Identity SDK for JavaScript]] (package npm) 
 +  * [[https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-verifying-a-jwt.html|Verifying a JSON Web Token]] 
 +  * [[https://github.com/amazon-archives/amazon-cognito-identity-js|amazon-archives/amazon-cognito-identity-js]] (repo GitHub archivé) 
 +  * [[https://adayinthelifeof.nl/2020/05/20/aws.html|Description des services en une phrase]] 
  
cloud/aws/toc.txt · Dernière modification : 2022/12/10 14:46 de sgariepy