Cơ bản về IAM(Identity and Access Management)(P1)

Cơ bản về IAM(Identity and Access Management)(P1)

March 19, 2019 Off By Fan Osamer

Khái niệm: IAM là gì?

IAM (Identity and Access Management) là dịch vụ web giúp bạn kiểm soát truy cập tới tài nguyên AWS. Khi đó, chỉ có những tài khoản IAM mà bạn cho phép mới có thể truy cập hoặc có quyền sử dụng tài nguyên mà bạn chỉ định.

Mặc định khi đăng ký AWS, tài khoản của bạn là tài khoản root, tài khoản có quyền cao nhất với tất cả tài nguyên trong hệ thống AWS. Vì vậy, nếu bạn không có nhu cầu sử dụng tất cả các dịch vụ của AWS thì các bạn nên đăng ký tài khoản IAM để giới hạn quyền truy cập tới tài nguyên cần thiết.

IAM dùng để làm gì?

  • Kiểm soát quyền truy cập ở mức độ chi tiết vào các tài nguyên AWS
  • Xác thực đa yếu tố cho những người dùng có đặc quyền cao(AWS MFA)
  • Quản lý kiểm soát truy cập của các ứng dụng di động với Nhà cung cấp danh tính web
  • Tích hợp với danh bạ của công ty

Cách thức hoạt động:

  • Quản lý người dùng IAM và quyền truy cập của những người dùng đó – Bạn có thể tạo người dùng trên IAM, gán cho họ những thông tin xác thực bảo mật riêng (nói cách khác là các khóa truy cập, mật khẩu và thiết bị xác thực đa yếu tố) hoặc yêu cầu thông tin xác thực bảo mật tạm thời để cho phép người dùng truy cập vào các dịch vụ và tài nguyên AWS. Bạn có thể quản lý các quyền để kiểm soát những hoạt động mà người dùng có thể thực hiện.
  • Quản lý vai trò IAM và quyền của các vai trò đó – Bạn có thể tạo các vai trò trên IAM và quản lý các quyền để kiểm soát những hoạt động mà thực thể hoặc dịch vụ AWS được trao vai trò đó có thể thực hiện. Bạn cũng có thể xác định thực thể nào được phép sử dụng vai trò. Bên cạnh đó, bạn có thể dùng các vai trò liên kết dịch vụ để trao quyền cho các dịch vụ AWS có khả năng thay bạn tạo và quản lý tài nguyên AWS.
  • Quản lý người dùng liên kết và quyền của những người dùng đó – Bạn có thể bật liên kết danh tính để cho phép các danh tính hiện có (người dùng, nhóm và vai trò) trong công ty của bạn truy cập vào Bảng điều khiển quản lý AWS, gọi các API AWS và truy cập tài nguyên mà không cần phải tạo người dùng IAM cho mỗi danh tính. Dùng bất kỳ giải pháp quản lý danh tính nào hỗ trợ SAML 2.0 hoặc dùng một trong những mẫu liên kết của chúng tôi (SSO Bảng điều khiển AWS hoặc Liên kết API).

Trên đây là những khái niệm cơ bản về AWS IAM. Để giúp mọi người hiểu và có thể sử dụng IAM tốt hơn, hãy đọc tiếp phần 2: “Step by step IAM”.