IAM (Quản lý danh tính và quyền truy cập) nằm trong dịch vụ “Bảo mật, danh tính và tuân thủ” trong AWS (Amazon Web Services). Dịch vụ này cho phép chúng tôi quản lý quyền truy cập vào các dịch vụ và tài nguyên AWS một cách an toàn. Sử dụng IAM, chúng tôi có thể tạo và quản lý người dùng, nhóm, vai trò AWS và sử dụng các quyền để cho phép hoặc từ chối quyền truy cập của họ vào các tài nguyên AWS.
IAM đi kèm với "không tính thêm phí" và chúng tôi chỉ bị tính phí cho các dịch vụ AWS khác mà chúng tôi sử dụng.
AWS IAM giúp chúng tôi:
Trong bài viết này, chúng ta sẽ xem cách tạo người dùng IAM, nhóm, vai trò IAM, chỉ định quyền và tạo chính sách tùy chỉnh.
Lưu ý: IAM không thuộc về một vùng cụ thể nào và trải dài trên toàn bộ Tài khoản AWS.
Sau khi đăng nhập thành công vào AWS, chúng ta sẽ thấy bảng điều khiển chính với tất cả các dịch vụ được liệt kê như sau.
Nhấp vào “Dịch vụ” ở góc trên bên trái và bạn sẽ thấy một màn hình hiển thị tất cả các dịch vụ. Tìm “IAM” trong “Bảo mật, Danh tính & Tuân thủ” và nhấp vào “IAM”
Bạn sẽ thấy Bảng điều khiển. Đây là trang chủ của IAM. Nhấp vào “Người dùng” từ bảng điều khiển bên trái.
Nhấp vào “Thêm người dùng” để tạo người dùng mới.
Tại đây, hãy đặt tên cho người dùng sẽ được tạo. Chúng ta có thể tạo một người dùng với hai loại quyền truy cập khác nhau.
Khi bạn nhấp vào “Quyền truy cập AWS Management Console”, bạn sẽ nhận được một trường để chỉ định mật khẩu cho người dùng.
Chúng ta có thể có "Mật khẩu tự động tạo" hoặc "Mật khẩu tùy chỉnh". Ở đây, chúng ta sẽ chọn "Mật khẩu tùy chỉnh" và chỉ định mật khẩu cho người dùng. Tùy thuộc vào yêu cầu, chúng ta có thể buộc người dùng thay đổi mật khẩu khi đăng nhập lần tiếp theo. Ở đây, hãy giữ nguyên mật khẩu. Nhấp vào "Tiếp theo: Quyền" để tiếp tục và chỉ định quyền.
Trên màn hình tiếp theo, nhấp vào "Đính kèm chính sách hiện có trực tiếp" và tìm kiếm "readonlyaccess" và chọn hộp kiểm như hiển thị trong màn hình sau. Khi cung cấp "ReadOnlyAccess", người dùng sẽ không thể tạo bất kỳ tài nguyên AWS nào. Bạn có thể xem qua danh sách các quyền để hiểu chúng. Nhấp vào “Tiếp theo: Thẻ” để tiếp tục.
Việc chỉ định thẻ là tùy chọn nhưng giúp sắp xếp, theo dõi hoặc kiểm soát quyền truy cập cho người dùng này. Nhấp vào “Tiếp theo: Xem lại” để tiếp tục và tạo người dùng.
Xem lại cấu hình và nhấp vào “Tạo người dùng” để tạo người dùng.
Nhấp vào “Tải xuống .csv” có chứa “Liên kết đăng nhập bảng điều khiển”. Trong trường hợp tạo người dùng có “Quyền truy cập theo chương trình”, tệp này rất quan trọng vì tệp này sẽ chứa “ID khóa truy cập” và “Khóa truy cập bí mật” cần thiết để có quyền truy cập. Bây giờ, bạn có thể nhấp vào “Đóng” vì chúng ta đã tạo người dùng đầu tiên.
Trên trang chủ IAM, nhấp vào “Vai trò” trong bảng điều khiển bên trái. Nhấp vào “Tạo vai trò”.
Trong bài viết này, chúng ta sẽ tạo Vai trò cho Dịch vụ Lambda. Nhấp vào “Lambda” và nhấp vào “Tiếp theo: Quyền”.
Trong hộp tìm kiếm, hãy tìm kiếm “ec2readonlyaccess” và tích vào hộp kiểm cho chính sách “AmazonEC2ReadyOnlyAccess”. Thao tác này sẽ cấp quyền truy cập “readonly” vào chức năng Lambda trên Dịch vụ EC2. Nhấp vào “Tiếp theo: Thẻ”.
Việc thêm thẻ là tùy chọn nhưng có thể được sử dụng để sắp xếp, theo dõi hoặc kiểm soát quyền truy cập cho vai trò này. Nhấp vào “Tiếp theo: Xem lại” để tiếp tục.
Đặt tên cho vai trò, thêm mô tả và nhấp vào “Tạo vai trò”. Thao tác này sẽ tạo một Vai trò cho phép các hàm Lambda gọi các dịch vụ AWS thay mặt bạn với “ReadOnlyAccess” trên dịch vụ “EC2”.
Trên trang chủ IAM, nhấp vào “Nhóm” ở bảng điều khiển bên trái. Nhấp vào “Tạo nhóm mới”.
Chỉ định tên và nhấp vào “Bước tiếp theo”.
Tìm kiếm “readonlyaccess”, cuộn xuống cuối và đánh dấu vào hộp kiểm. Nhấp vào “Bước tiếp theo”.
Xem lại cấu hình và nhấp vào “Tạo nhóm”.
Bây giờ, chúng ta có một nhóm với “ReadOnlyAccess”, nghĩa là người dùng thuộc nhóm này sẽ chỉ có quyền truy cập “Chỉ đọc” trên AWS Resources/Services.
Quay lại Trang chủ IAM và chọn nhóm mà chúng ta vừa tạo. Nhấp vào “Thêm người dùng vào nhóm” để thêm người dùng của chúng ta vào nhóm này.
Chọn người dùng mà chúng ta đã tạo ở bước trước và nhấp vào “Thêm người dùng”. Thao tác này sẽ thêm người dùng của chúng ta vào nhóm mà chúng ta đã tạo có “ReadOnlyAccess”.
Trên trang chủ IAM, nhấp vào “Chính sách” ở bảng bên trái. Nhấp vào “Tạo chính sách“.
Nhấp vào “Dịch vụ” để chọn dịch vụ cần tạo chính sách. Tìm kiếm dịch vụ trong hộp tìm kiếm và chọn dịch vụ đó.
Bạn sẽ nhận được danh sách các quyền có thể được chỉ định, tại đây hãy chọn "Danh sách". Nhấp vào “Xem lại chính sách”.
Đặt tên cho chính sách và nhấp vào “Tạo chính sách”. Bây giờ, chính sách này có thể được đính kèm vào người dùng để chỉ cấp quyền “Danh sách” trên Dịch vụ EC2. Chúng ta có thể làm theo các bước tương tự như khi chúng ta đính kèm chính sách khi tạo người dùng để đính kèm chính sách này.
IAM đi kèm với "không tính thêm phí" và chúng tôi chỉ bị tính phí cho các dịch vụ AWS khác mà chúng tôi sử dụng.
AWS IAM giúp chúng tôi:
- Quản lý người dùng và quyền truy cập của họ:
Chúng tôi có thể tạo người dùng trong IAM, chỉ định cho họ thông tin xác thực bảo mật riêng lẻ. Chúng tôi có thể quản lý quyền để kiểm soát những hoạt động nào người dùng có thể thực hiện và những hoạt động nào không. - Quản lý vai trò và quyền của chúng:
Chúng tôi có thể tạo vai trò trong IAM và quản lý quyền để kiểm soát những hoạt động nào có thể được thực hiện bởi thực thể hoặc dịch vụ AWS đảm nhận vai trò đó. - Quản lý người dùng liên kết và quyền của họ:
Chúng tôi có thể bật liên kết danh tính để cho phép người dùng, nhóm và vai trò hiện có trong doanh nghiệp của chúng tôi truy cập Quản lý AWS
Trong bài viết này, chúng ta sẽ xem cách tạo người dùng IAM, nhóm, vai trò IAM, chỉ định quyền và tạo chính sách tùy chỉnh.
Lưu ý: IAM không thuộc về một vùng cụ thể nào và trải dài trên toàn bộ Tài khoản AWS.
Điều kiện tiên quyết
- Tài khoản AWS (Tạo nếu bạn chưa có).
Những việc chúng tôi sẽ làm
- Đăng nhập vào AWS.
- Tạo Người dùng IAM.
- Tạo Nhóm IAM và thêm người dùng vào đó.
- Tạo Vai trò IAM.
- Tạo chính sách IAM.
Đăng nhập vào AWS
- Nhấp vào tại đây để đến Trang đăng nhập AWS.
Sau khi đăng nhập thành công vào AWS, chúng ta sẽ thấy bảng điều khiển chính với tất cả các dịch vụ được liệt kê như sau.
Tạo Người dùng IAM
Người dùng (IAM) là một thực thể mà chúng ta tạo trên AWS để đại diện cho người hoặc ứng dụng sử dụng thực thể đó để tương tác với AWS. Người dùng trong AWS bao gồm tên và thông tin xác thực.Nhấp vào “Dịch vụ” ở góc trên bên trái và bạn sẽ thấy một màn hình hiển thị tất cả các dịch vụ. Tìm “IAM” trong “Bảo mật, Danh tính & Tuân thủ” và nhấp vào “IAM”
Bạn sẽ thấy Bảng điều khiển. Đây là trang chủ của IAM. Nhấp vào “Người dùng” từ bảng điều khiển bên trái.
Nhấp vào “Thêm người dùng” để tạo người dùng mới.
Tại đây, hãy đặt tên cho người dùng sẽ được tạo. Chúng ta có thể tạo một người dùng với hai loại quyền truy cập khác nhau.
- Quyền truy cập theo chương trình:
Chúng ta có thể thực hiện thao tác trên tài khoản AWS từ AWS API, CLI, SDK và các công cụ phát triển khác bằng cách sử dụng loại quyền truy cập này. - Quyền truy cập AWS Management Console:
Loại quyền truy cập này cho phép người dùng đăng nhập vào AWS Management Console.
Khi bạn nhấp vào “Quyền truy cập AWS Management Console”, bạn sẽ nhận được một trường để chỉ định mật khẩu cho người dùng.
Chúng ta có thể có "Mật khẩu tự động tạo" hoặc "Mật khẩu tùy chỉnh". Ở đây, chúng ta sẽ chọn "Mật khẩu tùy chỉnh" và chỉ định mật khẩu cho người dùng. Tùy thuộc vào yêu cầu, chúng ta có thể buộc người dùng thay đổi mật khẩu khi đăng nhập lần tiếp theo. Ở đây, hãy giữ nguyên mật khẩu. Nhấp vào "Tiếp theo: Quyền" để tiếp tục và chỉ định quyền.
Trên màn hình tiếp theo, nhấp vào "Đính kèm chính sách hiện có trực tiếp" và tìm kiếm "readonlyaccess" và chọn hộp kiểm như hiển thị trong màn hình sau. Khi cung cấp "ReadOnlyAccess", người dùng sẽ không thể tạo bất kỳ tài nguyên AWS nào. Bạn có thể xem qua danh sách các quyền để hiểu chúng. Nhấp vào “Tiếp theo: Thẻ” để tiếp tục.
Việc chỉ định thẻ là tùy chọn nhưng giúp sắp xếp, theo dõi hoặc kiểm soát quyền truy cập cho người dùng này. Nhấp vào “Tiếp theo: Xem lại” để tiếp tục và tạo người dùng.
Xem lại cấu hình và nhấp vào “Tạo người dùng” để tạo người dùng.
Nhấp vào “Tải xuống .csv” có chứa “Liên kết đăng nhập bảng điều khiển”. Trong trường hợp tạo người dùng có “Quyền truy cập theo chương trình”, tệp này rất quan trọng vì tệp này sẽ chứa “ID khóa truy cập” và “Khóa truy cập bí mật” cần thiết để có quyền truy cập. Bây giờ, bạn có thể nhấp vào “Đóng” vì chúng ta đã tạo người dùng đầu tiên.
Tạo Vai trò IAM
Vai trò IAM là danh tính IAM mà chúng ta có thể tạo trong tài khoản AWS của mình với các quyền cụ thể. Nó tương tự như người dùng IAM có chính sách cấp quyền xác định danh tính có thể và không thể làm gì trong AWS. Vai trò IAM cho phép các dịch vụ AWS thực hiện các hành động thay mặt chúng ta.Trên trang chủ IAM, nhấp vào “Vai trò” trong bảng điều khiển bên trái. Nhấp vào “Tạo vai trò”.
Trong bài viết này, chúng ta sẽ tạo Vai trò cho Dịch vụ Lambda. Nhấp vào “Lambda” và nhấp vào “Tiếp theo: Quyền”.
Trong hộp tìm kiếm, hãy tìm kiếm “ec2readonlyaccess” và tích vào hộp kiểm cho chính sách “AmazonEC2ReadyOnlyAccess”. Thao tác này sẽ cấp quyền truy cập “readonly” vào chức năng Lambda trên Dịch vụ EC2. Nhấp vào “Tiếp theo: Thẻ”.
Việc thêm thẻ là tùy chọn nhưng có thể được sử dụng để sắp xếp, theo dõi hoặc kiểm soát quyền truy cập cho vai trò này. Nhấp vào “Tiếp theo: Xem lại” để tiếp tục.
Đặt tên cho vai trò, thêm mô tả và nhấp vào “Tạo vai trò”. Thao tác này sẽ tạo một Vai trò cho phép các hàm Lambda gọi các dịch vụ AWS thay mặt bạn với “ReadOnlyAccess” trên dịch vụ “EC2”.
Tạo Nhóm IAM
Nhóm IAM là tập hợp những người dùng IAM. Chúng ta có thể chỉ định quyền cho nhiều người dùng bằng vai trò, giúp quản lý quyền cho những người dùng đó dễ dàng hơn.Trên trang chủ IAM, nhấp vào “Nhóm” ở bảng điều khiển bên trái. Nhấp vào “Tạo nhóm mới”.
Chỉ định tên và nhấp vào “Bước tiếp theo”.
Tìm kiếm “readonlyaccess”, cuộn xuống cuối và đánh dấu vào hộp kiểm. Nhấp vào “Bước tiếp theo”.
Xem lại cấu hình và nhấp vào “Tạo nhóm”.
Bây giờ, chúng ta có một nhóm với “ReadOnlyAccess”, nghĩa là người dùng thuộc nhóm này sẽ chỉ có quyền truy cập “Chỉ đọc” trên AWS Resources/Services.
Quay lại Trang chủ IAM và chọn nhóm mà chúng ta vừa tạo. Nhấp vào “Thêm người dùng vào nhóm” để thêm người dùng của chúng ta vào nhóm này.
Chọn người dùng mà chúng ta đã tạo ở bước trước và nhấp vào “Thêm người dùng”. Thao tác này sẽ thêm người dùng của chúng ta vào nhóm mà chúng ta đã tạo có “ReadOnlyAccess”.
Tạo Chính sách IAM
Chính sách IAM là một thực thể được đính kèm vào một danh tính hoặc tài nguyên để xác định quyền của chúng.Trên trang chủ IAM, nhấp vào “Chính sách” ở bảng bên trái. Nhấp vào “Tạo chính sách“.
Nhấp vào “Dịch vụ” để chọn dịch vụ cần tạo chính sách. Tìm kiếm dịch vụ trong hộp tìm kiếm và chọn dịch vụ đó.
Bạn sẽ nhận được danh sách các quyền có thể được chỉ định, tại đây hãy chọn "Danh sách". Nhấp vào “Xem lại chính sách”.
Đặt tên cho chính sách và nhấp vào “Tạo chính sách”. Bây giờ, chính sách này có thể được đính kèm vào người dùng để chỉ cấp quyền “Danh sách” trên Dịch vụ EC2. Chúng ta có thể làm theo các bước tương tự như khi chúng ta đính kèm chính sách khi tạo người dùng để đính kèm chính sách này.