บทบาท IAM ช่วยให้คุณสามารถมอบหมายการเข้าถึงให้กับผู้ใช้หรือบริการที่โดยปกติแล้วจะไม่มีสิทธิ์เข้าถึงทรัพยากรของ AWS ขององค์กรของคุณ ผู้ใช้ IAM หรือบริการของ AWS สามารถยอมรับบทบาทเพื่อรับการยืนยันสำหรับการรักษาความปลอดภัยชั่วคราวที่สามารถนำมาเรียกใช้ AWS API ได้ ดังนั้น คุณไม่จำเป็นต้องแชร์การยืนยันในระยะยาว หรือกำหนดสิทธิ์การอนุญาตให้กับแต่ละเอนทิตีที่ต้องการเข้าถึงทรัพยากร

การเข้าถึงบริการของ AWS อย่างปลอดภัยโดยใช้บทบาท IAM (6:04)

สถานการณ์ต่อไปนี้เป็นสถานการณ์ที่เน้นให้เห็นถึงอุปสรรคบางอย่างที่คุณสามารถจัดการได้โดยการมอบหมายการเข้าถึง

  • การมอบสิทธิ์ให้กับแอปพลิเคชันที่ทำงานบนอินสแตนซ์ Amazon EC2 ให้สามารถเข้าถึงทรัพยากรของ AWS ได้

นักพัฒนาอาจต้องแจกจ่ายการยืนยันของตนให้กับอินสแตนซ์แต่ละรายการเพื่อให้สิทธิ์การเข้าถึงทรัพยากรของ AWS กับแอปพลิเคชันบนอินสแตนซ์ Amazon EC2 จากนั้น แอปพลิเคชันสามารถใช้การยืนยันดังกล่าวในการเข้าถึงทรัพยากร เช่น บัคเก็ต Amazon S3 หรือข้อมูล Amazon DynamoDB แต่การแจกจ่ายการยืนยันในระยะยาวให้กับอินสแตนซ์แต่ละรายการนั้นจัดการได้ยากและอาจทำให้เกิดความเสี่ยงด้านความปลอดภัย วิดีโอข้างต้นอธิบายวิธีใช้บทบาทเพื่อแก้ไขปัญหาด้านความปลอดภัยโดยละเอียด

  • การเข้าถึงแบบข้ามบัญชี
คุณอาจมีบัญชี AWS หลายบัญชีเพื่อใช้ในการควบคุมหรือจัดการการเข้าถึงทรัพยากร เช่น การแยกสภาพแวดล้อมการพัฒนาออกจากสภาพแวดล้อมการผลิต แต่ในบางกรณี ผู้ใช้จากบัญชีหนึ่งอาจต้องการการเข้าถึงทรัพยากรในบัญชีอื่น ตัวอย่างเช่น ผู้ใช้จากฝ่ายพัฒนาอาจต้องการเข้าถึงข้อมูลในฝ่ายการผลิตเพื่อส่งเสริมการอัปเดต ดังนั้น ผู้ใช้จะต้องมีการยืนยันสำหรับบัญชีแต่ละบัญชี แต่การจัดการการยืนยันสำหรับบัญชีหลายรายการทำให้การจัดการการระบุตัวตนเป็นเรื่องยาก การใช้บทบาท IAM ทำให้เรื่องนี้เป็นเรื่องง่าย ดู กรณีศึกษา Trend Micro เพื่อดูการทำงานของการเข้าถึงแบบข้ามบัญชี
  • การมอบสิทธิ์ให้แก่บริการของ AWS
คุณต้องให้สิทธิ์การอนุญาตแก่บริการของ AWS ก่อน บริการเหล่านั้นจึงจะสามารถทำงานให้กับคุณได้ คุณสามารถใช้บทบาท IAM ในการให้สิทธิ์แก่บริการของ AWS เพื่อเรียกใช้บริการอื่นๆ ของ AWS ในนามของคุณ หรือสร้างและจัดการทรัพยากรของ AWS ให้กับคุณในบัญชีของคุณเอง บริการของ AWS เช่น Amazon Lex ยังมี บทบาทที่เชื่อมโยงกับบริการที่กำหนดไว้ล่วงหน้าและมีเพียงบริการที่กำหนดเท่านั้นที่สามารถรับบทบาทดังกล่าวได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการบทบาทใน IAM โปรดดูส่วนบทบาทในคู่มือการใช้งาน IAM

เรียนรู้วิธีจัดการสิทธิ์ด้วย IAM

ไปที่หน้าการจัดการสิทธิ์
พร้อมที่จะสร้างแล้วหรือยัง
เริ่มต้นใช้งาน IAM
มีคำถามเพิ่มเติมหรือไม่
ติดต่อเรา