CodeCommit – הגדרת משתמשי IAM, Access Keys ומדיניות

CodeCommit – הגדרת משתמשי IAM, Access Keys ומדיניות

לא יודעים מה זה CodeCommit? ליחצו כאן

יצירת משתמש לCodeCommit דומה מאוד ליצירת כל משתמש IAM אחר, אנחנו צריכים ליצור משתמש ולתת לו הרשאות מתאימות על מנת שיוכל לעשות שימוש בCodeCommit.

התהליך רק ניראה מסובך בהתחלה, וידרוש מכם לקרוא את כל ההסברים, אבל אחרי שתעשו את זה פעם אחת זאת פעולה שלוקחת ממש כמה דקות!

יצירת המשתמש מורכבת מ5 שלבים:
שלב 1: בחירת שם המשתמש וסוג הAccess Type
שלב 2: בחירת ההרשאות המתאימות למשתמש
שלב 3: הוספת תגיות למשתמש
שלב 4: הצגת כל הפרטים ואישור יצירת המשתמש
שלב 5: תצוגת פרטי המשתמש והורדת הAccess Key

* ובעמוד הבא (2) נלמד איך להגדיר למשתמש החדש שלנו הרשאת SSH לCodeCommit.
* למעוניינים להתחבר באמצעות HTTPS ולא בSSH, בעמוד 3 תמצאו את ההסברים.

אחרי שהתחברנו ל AWS Console, אנחנו צריכים להיכנס לIAM – Identity & Access Managmet, נקיש בתיבת החיפוש IAM ונבחר את האפשרות IAM .


אחרי שנכנסו למסך הIAM אנחנו ניראה את המסך הבא:

בתפריט נבחר את האפשרות "Users" (נמצאת מתחת לGroups), ולאחר מכן נלחץ על "Add User"


שלב 1 – בחירת שם המשתמש וסוג הAccess Type

בשם המשתמש נזין את שם המשתמש הרצוי לנו, אני בחרתי "CodeCommit1", שימו לב, מאוד חשוב לסמן V באפשרות Programmatic Access.


שלב 2: בחירת ההרשאות למשתמש

במסך הבא (שלב 2), אנחנו צריכים לבחור הרשאות למשתמש, ניתן ליצור קבוצה ולה לשייך את ההרשאות המתאימות או לחילופין לשייך למשתמש פוליסה ישירות. אנחנו נבחר לשייך פוליסה ישירות (אולם ההמלצה שלי היא ליצור דווקא קבוצה לדוגמה "מפתחים" ואליה לשייך את הפוליסה המתאימה).
במסך חיפוש הפוליסה אנו נקליד CodeCommit ואז יופיעו לנו 3 פוליסות רלוונטיות:
AWSCodeCommitReadOnly
AWSCodeCommitPowerUser
AWSCodeCommitFullAccess.
ניתן ללחוץ על החץ ליד כל פוליסה על מנת לראות מה היא מאפשרת ובהתאם לבחור את ההרשאה הנכונה הרצויה שלנו. – אנחנו נבחר כרגע Full Access.


שלב מס 3: הוספת תגיות למשתמש

שלב מס 3 מאפשר לנו להוסיף TAGS (תגית) למשתמש, מומלץ מאוד, עוזר מאוד בחיפוש, בפירוט החיובים וכו, אבל במדריך הזה אני בחרתי שלא להוסיף.

שלב מס 4: הצגת כל הפרטים ואישורם


שלב מס 4 מציג לנו את כל הפרטים לאישור אחרון.

לאישור ויצירת המשתמש נלחץ על Create User.


שלב 5 והאחרון – תצוגת פרטי המשתמש ואפשרות הורדת הSecret Access Key שלו

שלב 5 והאחרון מציג לנו את המשתמש שיצרנו, שימו לב: זאת הפעם היחידה בה נוכל לראות את הSecret Access Key של המשתמש, לכן חשוב לשמור אותו. הדרך המומלצת לשמירה היא להוריד את קובץ הCSV.

לא לדאוג, אני אמחוק את המשתמש.. 🙂

כדי לוודא שהמשתמש נוצר בצורה תקינה, במסך הIAM נלחץ על USERS ונלחץ על המשתמש החדש שיצרנו, במקרה שלנו CodeCommit1.

ואכן ניתן לראות שלמשתמש יש את פוליסת ההרשאות שבחרנו.
וכמו כן, ניתן לראות שיש לו ACCESSKEY ID, אבל אין לו מפתח SSH עדיין.

בעמוד הבא, נצמיד מפתח SSH למשתמש החדש שיצרנו.

מצאתם טעות? הערות? שאלות? הסתדרתם? נתקעתם? כתבו לי בתגובות!

הקדמה ל CodeCommit

CodeCommit הוא שירות מנוהל של AWS לניהול ושיתוף קוד (GIT), כמו GitHub, BitBucket ושירותים נוספים שאתם בטח מכירים.


מה הייתרונות העיקריים של CodeCommit לעומת שירותים מנוהלים אחרים?

* סקאלביליות, זמינות וDurability
CodeCommit מאחסן את הרפוסוטוריס שלנו בS3 וDynamoDB ביותר מפסיליטי אחד בצורה מוצפנת
* אין הגבלה לגודל הרפסטורי ולקבצים שאנו מעלים אליו
* התממשקות מעולה לשאר שירות AWS כמו CodePipeline, Lambada , SNS – הרבה יותר נוח מכל פיתרון אחר
* ניתן להגר בקלות לCodeCommit משירותים אחרים כמו GitHub
* עובד עם כל כלי הGIT הרגילים שאתם מכירים.


איך מתחברים לCodeCommit?

כמו רוב שירותי הGIT, גם ל CodeCommit ניתן להתחבר גם באמצעות SSH וגם באמצעות HTTPS, בנוסף, כמו כל שירותי AWS ניתן לשלוט עליו באמצעות ה AWS CLI.

אני ממליץ לעשות שימוש בCodeCommit באמצעות SSH עם מפתחות (RSA Key Pairs), את המפתח שלנו אנחנו צריכים לקשר לחשבון IAM שלנו בAWS ושומרים אותו אצלנו במחשב.

האפשרות השנייה היא כמובן HTTPS, קלה יותר לשימוש, כאן אין צורך להגדיר מפתחות אבל אז יש צורך להקיש שם משתמש וסיסמא.
שימו לב, במידה ומתחברים באמצעות HTTPS יש לוודא שפורט 443 פתוח החוצה בפיירוואל שלנו (של המחשב שאנו עובדים איתו או במשרד), במידה ומתחברים בSSH יש לוודא שפורט 22 פתוח.

הייתרונות בשימוש HTTPS:
* קל יותר לשימוש, שם משתמש וסיסמא
* כל המידע שמועבר מוצפן
* רוב פיירוואלים כבר מוגדרים מראש לאפשר גישה דרך פורט 443.
למשתמשי מאק ככל הניראה תהיה בעיה לעשות שימוש בHTTPS עקב הבעיתיות ב Mac OSC keychain, יש לכך כמובן פיתרונות, אבל למשתמשי מאק הייתי ממליץ לעשות שימוש בHTTPS, כיון שאנחנו רוצים כמה שפחות להתעסק בכלים ויותר להתעסק בפיתוח הקוד שלנו.

ייתרונות בשימוש בSSH:
* פרוטוקול SSH הוא יעיל! בנוסף לא צריך להקיש שם משתמש וסיסמא בכל פעם.
* לטעמי האישי, מפתחות SSH בטוחים יותר, הרבה יותר קשה לזייף אותם לעומת זיוף סיסמאות (Brutal Force לדוגמה).
* כל הדאטא שעובר הוא מוצפן במעבר כמו בHTTPS
חסרונות: למשתמשים חדשים, יהיה יותר קשה לנהל את נושא המפתחות. בנוסף, ישנם פיירואלים אשר חוסמים גישה דרך פורט 22 וצריך לפתוח אותה.


כמה עולה CodeCommit?

רשימה מלאה ומעודכנת של המחירים ניתן למצוא כאן

חבילת החינם (Free Tier):
* מוגבלת ל5 משתמשים בחינם
* אין הגבלה לכמות הRepositoreis
* שטח איחסון של 50GB לחודש
* 10,000 קריאות לGit לחודש (Git Requests)

לכל משתמש מעל ה5 משתמשים הראשונים תשלמו כ1$ למשתמש, ותקבלו 10GB שטח איחסון למשתמש בנוסף ל50GB שכבר יש לכם, ו2000 קריאות לGIT בחודש לכל משתמש פעיל, שוב , בנוסף ל10,000 קריאות שכבר כלולות לכן בחבילה.

חישוב לדוגמה: בהנחה שיש לכם 10 משתמשים, החשבון הכולל יהיה כ10$:
5 משתמשים ראשונים: חינם
5 משתמשים נוספים, 1$ לכל אחד, סהכ 5$ נוספים.

צילום מסך מעמוד המחירים של CodeCommit
צילום מסך מעמוד המחירים של CodeCommit

וזאת בהנחה שלא תחרגו מהנל (שטח איחסון, כמות קריאות לGIT), כמובן שמומלץ להתעדכן במחירים המעודכנים באתר של AWS. בנוסף תשלמו 0.06$ לכל GB מעבר למה שכלול בחבילה, ו0.001$ לכל קריאת GIT נוספת (Git Request).
בתכלס, לרוב הסטארטאפים הקטנים או הצוותים הקטנים, חבילת החינם תהיה יותר ממספיקה. קשה לי להאמין שתחרגו מ50GB איחסון לחודש ו10,000 קריאות לGIT.


אלטרנטיבות פופלאריות ל CodeCommit, יש עוד המון, בחרתי את הפופלאריות ביותר:

יש עוד המון, בחרתי את הפופלאריות ביותר:
1. גיט האב: https://github.com/
2. ביט באקט: https://bitbucket.org
3. גיט לאב: https://gitlab.com


קריאה נוספת על CodeCommit

איך יוצרים משתמש עם הרשאות מתאימות ואיך מתחברים ל CodeCommit?

קריאה נוספת על CodeCommit