AWS Identity and Access Management (IAM)

Quản lý truy cập vào các dịch vụ và tài nguyên AWS một cách bảo mật

AWS Identity and Access Management (IAM) cho phép bạn quản lý truy cập vào các dịch vụ và tài nguyên AWS một cách bảo mật. Khi sử dụng IAM, bạn có thể tạo, quản lý người dùng và nhóm AWS, sử dụng các quyền để cho phép và từ chối quyền truy cập vào tài nguyên AWS của họ.

IAM là một tính năng được cung cấp miễn phí của tài khoản AWS. Bạn chỉ phải trả phí cho việc sử dụng các dịch vụ AWS khác bởi người dùng của bạn.

Để bắt đầu sử dụng IAM, hoặc nếu bạn đã đăng ký AWS, vui lòng truy cập Bảng điều khiển quản lý AWS và bắt đầu với Những biện pháp thực hành tốt nhất với IAM

Giới thiệu tổng quan về AWS IAM (2:15)

Trường hợp sử dụng

Kiểm soát quyền truy cập ở mức độ chi tiết vào các tài nguyên AWS

IAM cho phép người dùng của bạn kiểm soát việc truy cập vào các API dịch vụ AWS và các tài nguyên cụ thể. IAM cũng cho phép bạn thêm các điều kiện cụ thể như thời gian trong ngày để kiểm soát cách thức người dùng có thể sử dụng AWS, địa chỉ IP gốc của họ, họ có dùng SSL hay không, hay họ có xác thực bằng thiết bị xác thực đa yếu tố hay không.

Xác thực đa yếu tố cho những người dùng có đặc quyền cao

Bảo vệ môi trường AWS của bạn bằng cách sử dụng AWS MFA, một tính năng bảo mật miễn phí có chức năng tăng cường thông tin xác thực tên người dùng và mật khẩu. MFA yêu cầu người dùng phải chứng minh đang có trên tay một thiết bị phần cứng token MFA hoặc một thiết bị di động có MFA bằng cách nhập đúng mã MFA.

Phân tích truy cập

IAM giúp bạn phân tích truy cập trên toàn bộ môi trường AWS của bạn. Các nhóm bảo mật và quản trị viên của bạn có thể nhanh chóng xác thực rằng các chính sách của bạn chỉ cung cấp quyền truy cập công khai và giữa các tài khoản như dự định tới các tài nguyên của bạn. Bạn cũng có thể dễ dàng xác định và điều chỉnh chính sách của mình để chỉ cho phép truy cập vào các dịch vụ đang được sử dụng. Điều này giúp bạn tuân thủ tốt hơn nguyên tắc đặc quyền tối thiểu.

Tích hợp với danh bạ của công ty

Bạn có thể sử dụng IAM để cấp cho nhân viên và ứng dụng quyền truy cập liên kết vào Bảng điều khiển quản lý AWS và API dịch vụ AWS, thông qua các hệ thống danh tính có sẵn của bạn như Microsoft Active Directory. Bạn có thể dùng bất kỳ giải pháp quản lý danh tính nào hỗ trợ SAML 2.0 hoặc có thể dùng một trong những mẫu liên kết của chúng tôi (SSO Bảng điều khiển AWS hoặc Liên kết API).

Cách thức hoạt động

IAM hỗ trợ tạo vai trò và quyền

AWS IAM cho phép bạn:

  • Quản lý người dùng IAM quyền truy cập của những người dùng đó – Bạn có thể tạo người dùng trên IAM, gán cho họ những thông tin xác thực bảo mật riêng (nói cách khác là các khóa truy cập, mật khẩu và thiết bị xác thực đa yếu tố) hoặc yêu cầu thông tin xác thực bảo mật tạm thời để cho phép người dùng truy cập vào các dịch vụ và tài nguyên AWS. Bạn có thể quản lý các quyền để kiểm soát những hoạt động mà người dùng có thể thực hiện.
  • Quản lý vai trò IAMquyền của các vai trò đó – Bạn có thể tạo các vai trò trên IAM và quản lý các quyền để kiểm soát những hoạt động mà thực thể hoặc dịch vụ AWS được trao vai trò đó có thể thực hiện. Bạn cũng có thể xác định thực thể nào được phép sử dụng vai trò. Bên cạnh đó, bạn có thể dùng các vai trò liên kết dịch vụ để trao quyền cho các dịch vụ AWS có khả năng thay bạn tạo và quản lý tài nguyên AWS.
  • Quản lý người dùng liên kếtquyền của những người dùng đó – Bạn có thể bật liên kết danh tính để cho phép các danh tính hiện có (người dùng, nhóm và vai trò) trong công ty của bạn truy cập vào Bảng điều khiển quản lý AWS, gọi các API AWS và truy cập tài nguyên mà không cần phải tạo người dùng IAM cho từng danh tính. Dùng bất kỳ giải pháp quản lý danh tính nào hỗ trợ SAML 2.0 hoặc dùng một trong những mẫu liên kết của chúng tôi (SSO Bảng điều khiển AWS hoặc Liên kết API).

Những biện pháp thực hành tốt nhất

AWS có một danh sách những biện pháp thực hành tốt nhất để giúp các chuyên gia CNTT và nhà phát triển quản lý việc truy cập vào tài nguyên AWS.

Người dùng – Tạo người dùng cá nhân.

Nhóm – Quản lý quyền với các nhóm.

Quyền – Cấp đặc quyền tối thiểu.

Kiểm tra – Bật AWS CloudTrail.

Mật khẩu – Cấu hình chính sách mật khẩu mạnh.

MFA – Bật MFA cho người dùng có đặc quyền.

Vai trò – Dùng các vai trò IAM cho các phiên bản Amazon EC2.

Chia sẻ – Dùng các vai trò IAM để chia sẻ quyền truy cập.

Xoay vòng – Thường xuyên xoay vòng thông tin xác thực bảo mật.

Điều kiện – Hạn chế quyền truy cập đặc quyền bằng các điều kiện.

Quyền root – Giảm hoặc loại bỏ việc sử dụng quyền root.

Nắm vững chính sách IAM sau chưa đầy 60 phút (55:35)

Bắt đầu với AWS

Step 1 - Sign up for an AWS account

Đăng ký tài khoản AWS

Nhận quyền sử dụng ngay lập tức Bậc miễn phí của AWS.
icon2

Tìm hiểu bằng hướng dẫn 10 phút

Khám phá và tìm hiểu bằng những hướng dẫn đơn giản.
icon3

Bắt đầu xây dựng với AWS

Bắt đầu dựng với các hướng dẫn từng bước để giúp bạn khởi tạo dự án AWS của mình.