AWS Identity and Access Management (IAM)

Áp dụng quyền chi tiết cho các dịch vụ và tài nguyên AWS

AWS Identity and Access Management (IAM) cung cấp biện pháp kiểm soát quyền truy cập chi tiết trên toàn bộ phạm vi AWS. Với IAM, bạn có thể chỉ định những cá nhân có quyền truy cập, loại dịch vụ và tài nguyên mà họ có thể truy cập và điều kiện truy cập. Với các chính sách IAM, bạn có thể quản lý quyền cho lực lượng lao động và hệ thống của mình để đảm bảo các quyền với đặc quyền tối thiểu nhất.

IAM là một tính năng được cung cấp miễn phí của tài khoản AWS. Để bắt đầu sử dụng IAM hoặc nếu bạn đã đăng ký tài khoản AWS, hãy truy cập vào Bảng điều khiển quản lý AWS.

Trường hợp sử dụng

Với IAM, bạn có thể quản lý các quyền AWS cho người dùng là lực lượng lao động và khối lượng công việc. Đối với người dùng là lực lượng lao động, chúng tôi khuyến nghị bạn nên sử dụng AWS Single Sign-On (AWS SSO) để quản lý quyền truy cập vào các tài khoản AWS cũng như quyền trong những tài khoản đó. AWS SSO giúp việc cung cấp và quản lý các vai trò cũng như chính sách IAM trong tổ chức AWS của bạn trở nên dễ dàng hơn. Đối với các quyền cho khối lượng công việc, hãy sử dụng các chính sách và vai trò IAM, đồng thời chỉ cấp quyền truy cập cần thiết cho khối lượng công việc của bạn.

Áp dụng biện pháp kiểm soát quyền truy cập chi tiết

Cấp quyền truy cập cho các API và tài nguyên của dịch vụ AWS cụ thể bằng cách sử dụng các chính sách IAM. Bạn cũng có thể xác định các điều kiện cụ thể về việc cấp quyền truy cập, chẳng hạn như cấp quyền truy cập cho các danh tính từ một tổ chức AWS cụ thể hoặc truy cập thông qua một dịch vụ AWS cụ thể. 

Thiết lập các biện pháp bảo vệ quyền và giới hạn dữ liệu trong tổ chức AWS của bạn

Với AWS Organizations, bạn có thể sử dụng chính sách kiểm soát dịch vụ (SCP) để thiết lập những biện pháp bảo vệ quyền mà mọi người dùng và vai trò IAM trong các tài khoản của một tổ chức phải tuân thủ. Dù mới chỉ bắt đầu với SCP hay đã có sẵn SCP, bạn có thể nhờ cố vấn truy cập IAM giúp bạn dễ dàng hạn chế quyền mà không phải lo ngại về điều gì.

Đạt được các quyền với đặc quyền tối thiểu bằng IAM Access Analyzer

Việc đạt được đặc quyền tối thiểu là một chu kỳ liên tục để trao các quyền chi tiết phù hợp khi bạn có những yêu cầu cao hơn. IAM Access Analyzer giúp bạn hợp lý hóa việc quản lý quyền khi thiết lập, xác minh và tinh chỉnh quyền.

Tự động chia tỷ lệ các quyền chi tiết bằng ABAC

Kiểm soát truy cập dựa trên thuộc tính (ABAC) là một chiến lược cấp phép để tạo các quyền chi tiết dựa trên thuộc tính người dùng, chẳng hạn như phòng ban, vai trò công việc và tên đội ngũ. Với ABAC, bạn có thể giảm số lượng quyền riêng biệt mà bạn cần để thiết lập các biện pháp kiểm soát chi tiết trong tài khoản AWS của mình.

Cách thức hoạt động

Với IAM, bạn xác định những cá nhân có quyền truy cập, loại dịch vụ và tài nguyên mà họ có thể truy cập bằng cách chỉ định các quyền chi tiết. Sau đó, IAM thực thi những quyền này cho mọi yêu cầu. Theo mặc định, quyền truy cập bị từ chối và chỉ được cấp khi quyền chỉ định lệnh "Allow" (Cho phép). 

Hình ảnh cho thấy cách thức hoạt động của IAM