AWS Identity Access Management (IAM) Workshop

# Immersion Day IAM, GuardDuty Workshop ### 建議瀏覽器： Firefox, Chrome ### Workshop 實驗環境連結： https://catalog.us-east-1.prod.workshops.aws/join?access-code=5d99-086838-5d ### Agenda: 1. AWS 實驗環境準備 2. 創建 AWS IAM 用戶 3. 登入 IAM Admin 用戶 4. 啟用 GuardDuty 5. 創建 S3 儲存貯體，上傳圖檔 ### 1. 實驗環境準備進入課程提供的 AWS Workshop Studio 網址，並點擊「Email one-time password (OTP)」，以獲得一次性臨時密碼。 ![Sign In Workshop Studio](https://hackmd.io/_uploads/ByajItFtyl.png) 輸入自己的 Email，如果輸入公司 Email 沒有收到，建議使用個人 Email。並點擊「Send passcode」，稍後會收到 9 碼 Passcode ![email passcode](https://hackmd.io/_uploads/H1OkvKFFJx.png) 進入自己的 Email 以取得 9 碼 Passcode ![get pass code from email](https://hackmd.io/_uploads/H1nGOYKtJe.png) 輸入 9 碼 passcode 後，點擊「 Sign in」 ![input-passcode](https://hackmd.io/_uploads/r1bZ5YKt1x.png) 登入並確認環境使用要求條款後，請勾選「I agree with the Terms and Conditions」，並點擊「Join event」。 ![Review and join](https://hackmd.io/_uploads/S1L3Cy5KJg.png) 點擊「Open AWS console」，以開啟 AWS Management Console。 ![open aws console](https://hackmd.io/_uploads/Hy-yhKtKkg.png) 進入 AWS Management Console 後，即完成登入。 ![AWS Console](https://hackmd.io/_uploads/ByI03ttY1x.png) 點擊齒輪圖示可以更換為您習慣的語言 ![language-setting](https://hackmd.io/_uploads/rysS6KFYyl.png) ### 2. 創建 AWS IAM 用戶在 AWS 控制台上方搜尋框請輸入「IAM」 ![Screenshot 2025-02-12 at 10.21.31 AM](https://hackmd.io/_uploads/Bk5zAFFtke.png) 接著會進到 IAM 控制台，左手邊點選「人員」(IAM User)，然後點選右上角的「建立人員」 ![IAM-user-1](https://hackmd.io/_uploads/HJe8mWYFyl.png) 輸入人員名稱，可以取名以 Admin 為後綴 (XXX-Admin)，例如 Workshop-Admin，記得勾選「提供人員對 AWS 管理主控台的存取權」。主控台密碼請選擇使用「自動產生的密碼」 ![IAM-User-2](https://hackmd.io/_uploads/HyNJ9ZtFkl.png) 在上方許可選項選擇「直接連接政策」，下方許可政策列表中找到「AdministratorAccess」，勾選 ![IAM-User-3](https://hackmd.io/_uploads/H1n_TbtFJg.png) 展開後可以看到 Aministrator 權限，取消勾選「人員必須在下次登入時建立新的密碼 – 建議」，接著點選「下一步」 ![admin-policy](https://hackmd.io/_uploads/SJO7X9tYyx.png) 檢閱剛才的設定，確認沒有問題後點選「建立人員」 ![IAM-User-4](https://hackmd.io/_uploads/ryqKT-FKJx.png) 在截取密碼這一頁，請點選「下載 csv 檔」，請好好保存，這兩天都會用此帳戶登入 ![IAM-User-5](https://hackmd.io/_uploads/rymcabKYkl.png) ### 3. 登入 IAM Admin 用戶接著請打開 CSV 檔，點擊「主控台登入 URL」，輸入 CSV 檔上的帳密。利用剛剛新創建的用戶，重新登入 AWS 控制台。 ![AWS Console login](https://hackmd.io/_uploads/BkfDF9tY1e.png) ### 4. 啟用 GuardDuty 請在 AWS 控制台上方搜索框中輸入「GuardDuty」 ![GuardDuty-1](https://hackmd.io/_uploads/ryisF7qYkx.png) 進到 GuardDuty 後，保持預設選項「Amazon GuardDuty - 所有功能」，後點選「開始使用」 ![GuardDuty-2](https://hackmd.io/_uploads/SkN3Y79tkg.png) ### 5. 創建 S3 儲存貯體，上傳圖檔接著在 AWS 控制台搜索框中輸入「S3」進到服務。點選「建立儲存貯體」 ![S3-Create-Bucket-1](https://hackmd.io/_uploads/SJll1zFYyx.png) 建立儲存貯體(注意名字不可以重複，因此建議使用個人英文名字作為前後綴) ![S3-Create-Bucket-2](https://hackmd.io/_uploads/BJb6gx5Yke.png) 剩餘保留預設值，最後點選「建立儲存貯體」 ![S3-Create-Bucket-3](https://hackmd.io/_uploads/SJoMyzKKkl.png) 從列表中看到剛才創建的儲存貯體，點擊該儲存貯體 ![S3-Create-Bucket-4](https://hackmd.io/_uploads/r1O5ge9Fke.png) 拖拉您本地電腦中隨意一張圖到儲存貯體內 ![S3-Create-Bucket-5](https://hackmd.io/_uploads/H1rlZxqKkg.png) 確認在控制台中看到該物件後，點選「上傳」 ![S3-Create-Bucket-6](https://hackmd.io/_uploads/BJRfbecK1g.png) 上傳完成後，請點擊該物件。進到物件畫面後，請分別點擊 1 「開啟」，跟點擊 2 「物件 URL」，比較一下兩者 URL 的差異 ![S3-Create-Bucket-7](https://hackmd.io/_uploads/rJgQGe5YJg.png) 直接點「開啟」 ![open-S3-object-via-console](https://hackmd.io/_uploads/ryVzlCYKyg.png) Signed URL （簽名過的 URL，可以直接訪問） ``` https://my-first-bucket-xxxxx.s3.ap-southeast-2.amazonaws.com/AWS_Logo.png? X-Amz-Algorithm=AWS4-HMAC-SHA256& X-Amz-Content-Sha256=UNSIGNED-PAYLOAD& X-Amz-Credential=ASIAXXXXXXX%2F20250212%2Fap-southeast-2%2Fs3%2Faws4_request& X-Amz-Date=20250212T073441Z& X-Amz-Expires=300& X-Amz-Security-Token=xxxxxx%3D& X-Amz-Signature=xxxxxxxxxxx& X-Amz-SignedHeaders=host&response-content-disposition=inline ``` 直接點「物件 URL」 ![Screenshot 2025-02-12 at 3.39.18 PM](https://hackmd.io/_uploads/ryr8e0tt1l.png) URL (未簽名過的 URL，沒有權限無法直接訪問) ``` https://my-first-bucket-xxxxxx.s3.ap-southeast-2.amazonaws.com/AWS_Logo.png ``` ---