IAM là tính năng cơ bản trong AWS được cung cấp miễn phí tới người dùng, cho phép người dùng quản lý và truy cập vào dữ liệu an toàn mà không tốn bất cứ chi phí nào. Vậy AWS IAM là gì? Tính năng ra sao? Hãy cùng theo dõi những thông tin có trong bài viết dưới đây của Testerpro nhé!
Khái niệm AWS IAM là gì?
IAM – AWS Identity and Access Management là dịch vụ website cung cấp tới người dùng kiểm soát và truy cập vào tài nguyên AWS một cách an toàn và bảo mật nhất.
Nhờ IAM, bạn hoàn toàn có thể tập trung và kiểm soát toàn bộ các tài nguyên AWS mà người dùng khác có thể truy cập vào. Bên cạnh đó, dùng IAM để kiểm tra ai được đăng nhập và ai được phép sử dụng các tài nguyên được ủy quyền.
Vậy tính năng tiện ích có trong AWS IAM là gì? Hãy cùng tìm hiểu trong phần tiếp theo dưới đây nhé!
Tính năng của AWS IAM là gì?
Cung cấp quyền truy cập vào tài khoản AWS
Bạn có thể cấp quyền sử dụng tài nguyên AWS có trong tài khoản của bạn cho người khác mà không cần chia sẻ thông tin đăng nhập như tên tài khoản hay mật khẩu đăng nhập.
Quyền chi tiết
Cung cấp nhiều quyền khác nhau cho thành viên khác như ủy quyền sử dụng trong Amazon Elastic Compute Cloud (Amazon EC2), Amazon DynamoDB, Amazon Redshift và nhiều hoạt động quan trọng khác trong AWS.
Truy cập an toàn vào tài nguyên đối với dữ liệu trong Amazon EC2
Bạn hoàn toàn có thể cung cấp các tính năng để xác thực thông tin và sử dụng chúng trong các ứng dụng trong EC2 một cách an toàn và bảo mật nhất. Bên cạnh đó, các thông tin này bạn cũng có thể dùng để xác thực cho các tài nguyên khác trong ứng dụng AWS khác.
MFA – Xác thực 2 yếu tố
Bạn có thể sử dụng xác thực 2 yếu tố đối với tài khoản IAM để bảo mật dữ liệu cá nhân. Với xác thực 2 yếu tố MFA bạn hoặc thành viên được ủy quyền truy cập vào tài khoản sẽ cần cung cấp mật khẩu để có thể truy cập vào làm việc trong tài khoản.
Liên kết danh tính
Cho phép người khác có thể truy cập vào tài khoản ở bất kỳ địa điểm nào bằng cách sử dụng chính xác mật khẩu đăng nhập. Ví dụ: trong mạng công ty hoặc với nhà cung cấp danh tính internet — để có quyền truy cập tạm thời vào tài khoản AWS của bạn.
Xác thực thông tin bằng định dạng đặc biệt
Nếu bạn sử dụng tính năng AWS Cloudtrail, hệ thống sẽ gửi tới bạn bản ghi chép với đầy đủ các nội dung đã được yêu cầu trong tài khoản. Và mọi thông tin này đều được sao chép từ thông tin đã lưu trên AWS của bạn.
Sử dụng miễn phí
AWS Identity and Access Management (IAM) và AWS Security Token Service (AWS STS) là các tính năng hoàn toàn miễn phí trong tài khoản AWS. Hệ thống chỉ tính phí người dùng khi bạn truy cập tới chức năng nằm ngoài 2 chức năng trên trong AWS hoặc sử dụng thông tin bảo mật tam thời AWS STS.
Vai trò của AWS IAM là gì?
- Chức năng Role trong IAM sẽ giúp tổng hợp toàn bộ hoạt động về quyền truy cập có trong AWS.
- Người sử dụng IAM có thể dùng chung 1 Role trong cùng tài khoản AWS hoặc tài khoản khác.
- Role được xem là một trong những thuộc tính của AWS do đó nó có thể xác định những chức năng có thể hoặc không thể tồn tại trong AWS.
- 1 Role chỉ được liên kết với duy nhất 1 tài khoản AWS.
- Role không thể xác thực các thông tin mang tính chất dài hạn để bảo vệ tài khoản bạn như khóa bảo mật hoặc mật khẩu….. Tuy nhiên, hệ thống vẫn cung cấp thông tin bảo mật xác thực tạm thời cho bạn.
- Ngoài ra với chức năng role người dùng có thể ủy quyền truy cập vào tài khoản AWS.
Các thuật ngữ có liên quan tới AWS IAM là gì?
Delegation
Delegation là hoạt động cấp quyền truy cập cho người dùng khác để họ có thể truy cập vào tài khoản AWS của bạn. Hiểu đơn giản thì đây là quá trình thiết lập tính mối quan hệ tin cậy giữa chủ tài khoản và tài khoản tin cây (là tài khoản mà bạn ủy quyền).
Bên cạnh đó, giữa tài khoản tin cậy (tài khoản chủ) và tài khoản tin cậy được chia thành 3 loại khác nhau:
- 2 tài khoản sử dụng chung 1 tài khoản
- 2 tài khoản AWS IAM khác nhau nhưng được quản lý bởi chung 1 tổ chức.
- Hoặc 2 tài khoản AWS thuộc quyền kiểm soát của các tổ chức khác nhau.
Tuy nhiên, trong quá trình ủy quyền truy cập cho người khác, hệ thống sẽ tạo vai trò của IAM gửi tới tài khoản tin cậy và kèm với đó là 2 chính sách ủy quyền.
Permission Policy
Permission Policy là việc cấp phép các Role quan trọng và cần thiết nhất để người dùng có thể hiểu và biết cách sử dụng các tác vụ dự định.
Trust Policy
Trust Policy sẽ bổ nhiệm thành viên đáng tin cậy nào có thể sử dụng Role.
- Federation: Federation là hoạt động thiết lập mối quan hệ tin cậy giữa AWS với nhà cung cấp dịch vụ bên ngoài. Ví dụ: Sử dụng Instagram người dùng có thể đăng nhập vào tài khoản trên nhiều nền tảng trình duyệt khác nhau.
- Trust Policy: Là dạng dữ liệu được viết ở dạng JSON từ đó xác định ai có thể sử dụng Role. Đặc biệt đây là tài liệu được viết hoàn toàn dựa trên quy tắc chính sách của IAM.
- Permissions Policy: Cũng là dữ liệu được viết trong dạng JSON nhưng khác với trust policy, với permissions policy có thể xác định hoạt động mà Role có thể sử dụng dựa trên chính sách của IAM.
- Permissions Boundary: Được xem là phần tính năng nâng cao của IAM. Bạn có thể sử dụng tối đa phần chức năng của Permissions Boundary. Bên cạnh đó có thể áp dụng Permissions Boundary cho user IAM hoặc Role IAM nhưng không thể áp dụng với Role liên kết dịch vụ.
- Principal: Người được ủy quyền có thể truy cập và sử dụng tài khoản AWS, User IAM hoặc Role IAM của bạn. Khi này họ có thể truy cập vào 2 cách cơ bản sau:
Quy trình làm việc của AWS IAM là gì?
Quy trình hoạt động của AWS IAM bao gồm 6 bước cơ bản sau:
- Bên ủy quyền (chủ sở hữu AWS gốc) có thể thực hiện toàn bộ hoạt động trên AWS.
- Xác thực thông tin: Xác thực danh tính của các bên được ủy quyền khi họ muốn truy cập vào tài nguyên AWS. Khi này, bạn cần cung cấp thông tin đăng nhập cho bên ủy quyền đó để xác thực quá trình trên.
- Yêu cầu: Bên chủ sở hữu tài khoản AWS sẽ tiếp nhận yêu cầu và xem xét yêu cầu nào cầu được thực hiện.
- Ủy quyền: Theo quy định trên hệ thống thì IAM sẽ tự động từ chối mọi tài nguyên. IAM chỉ chấp nhận yêu cầu nếu yêu cầu đó hoạt động theo chính sách đối sách và ngay khi xác thực các yêu cầu được ủy quyền, AWS sẽ phê duyệt hoạt động đó.
- Tiếp theo là các hoạt động xem, chỉnh sửa, tạo mới hoặc xóa các tài nguyên không thực sự cần thiết.
- Cuối cùng, tập hợp tất cả các hoạt động có thể được thực hiện trong tài nguyên có liên quan trực tiếp tới tài khoản AWS của bạn.
Làm sao để truy cập vào tài khoản IAM
Bạn có thể truy cập vào AWS IAM bằng 3 cách cơ bản sau:
- Truy cập vào bảng điều khiển AWS – Đây hệ thống bảng điều khiển xuất hiện trong giao diện chính dựa vào trình duyệt để thuận tiện trong việc quản lý AWS IAM.
- Dựa vào các công cụ trong dòng lệnh AWS: Bạn có thể dùng các công cụ trong dòng lệnh AWS để đưa ra các tệp lệnh nhằm mục đích thực hiện các hoạt động trên AWS IAM. Hơn nữa, dùng các dòng lệnh sẽ giúp quá trình truy cập nhanh chóng và thuận tiện hơn so với việc truy cập bằng bảng điều khiển.
- Đem tới người dùng 2 bộ dòng lệnh: Công cụ AWS cho Windows PowerShell và Giao diện dòng lệnh AWS (AWS CLI).
Mối quan hệ giữa User, Group và Policy trong IAM
Trong quá trình sử dụng IAM người dùng có thể tạo user, group hoặc các chính sách để quản lý và kiểm soát quyền truy cập của người khác vào tài nguyên AWS. Vậy mối quan hệ giữa userm group và policy trong AWS IAM là gì? Để hiểu hơn bạn có thể quan sát hình minh họa sau:
IAM User
IAM User giống với các định nghĩa về user trên Facebook, DB hay Google vì thế 1 user thường chứa user name, accesskey, console password. Đặc biệt IAM User là tài khoản được ủy quyền Credentials vĩnh viễn và cấp quyền bởi root.
Để xác thực IAM User trong AWS bạn có thể sử dụng 2 phương thức sau:
- API Access key/secret: Sử dụng AWS CLI để cài đặt máy chủ.
- Login/Password: Thông tin mật khẩu được sử dụng để truy cập vào AWS Console.
Inline Policy
Inline Policy được gán cho 1 tài khoản cố định và toàn bộ quyền hạn chỉ có thể áp dụng cho 1 tài khoản user duy nhất. Do đó, Inline Policy không thể được share với các role, group hoặc với tài khoản khác.
IAM User Limits
- IAM User Limits có thể sử dụng tối đa là 10 group.
- Bên cạnh đó, bạn có thể dùng số lượng IAM User lớn trong 1 tài khoản (có thể lên tới 5000 IAM user).
IAM group
Bên cạnh IAM user thì IAM group cũng là 1 trong những yếu tố không thể thiếu trong AWS IAM. Vậy group trong AWS IAM là gì?
Hiểu đơn giản thì group là đối tượng trong AWS IAM, chúng có chức năng tương tự với LDAP, giúp xác thực và phân loại nhóm các user tập trung theo mô hình ma trận. Tuy nhiên ngoài inline policy IAM group có thể gán thêm managed policy.
Ngoài ra, khi các policy được gắn vào group chúng sẽ không làm ảnh hưởng tới quyền của user mà thay vào đó nó sẽ giúp cho mở rộng, bổ sung thêm quyền cho user.
IAM roles
Là quyền mà người dùng có thể sử dụng để truy cập vào tài nguyên AWS cần sử dụng. Nó được tạo ra nhằm mục đích giảm rủi ro về an toàn thông tin trong quá trình lưu trữ dữ liệu trên máy chủ khi truy cập vào tài nguyên AWS nhờ vào Secret Key.
Policies và Permission
Policies và Permission có chức năng phân định ranh giới quyền hạn trong AWS. Trong đó AWS sẽ đóng vai trò quyết định trong việc đánh giá Policy trong group hoặc user để thao tác truy cập vào tài nguyên cá nhân.
Hiện nay policies thường tồn tại trong định dạng JSON, YAML và AWS định nghĩa Policy dưới 6 dạng: Identity base policy, Resource base policy, Organization SCPs, Permission boudaries, Access Control List (ACL), Session Policy.
Thông tin trong bài trên chúng tôi đã giải thích tới bạn AWS IAM là gì và các tính năng, vai trò có liên quan tới dịch vụ “quản lý truy cập, nhận dạng thông tin”. Mong rằng bài viết sẽ hữu ích tới bạn. Cảm ơn bạn, hẹn gặp lại trong các bài chia sẻ tiếp theo!
>>> Xem thêm: Tài liệu srs là gì? Cách viết tài liệu srs ra sao