Câu hỏi: AWS Identity and Access Management (IAM) là gì?
Bạn có thể sử dụng AWS IAM để kiểm soát quyền truy cập của cá nhân và nhóm đến tài nguyên AWS của bạn một cách an toàn. Bạn có thể tạo và quản lý danh tính người dùng ("người dùng IAM") và cấp quyền cho những người dùng IAM đó truy cập tài nguyên của bạn. Bạn cũng có thể cấp quyền cho người dùng bên ngoài AWS (người dùng liên kết).

Câu hỏi: Tôi bắt đầu sử dụng IAM bằng cách nào?
Để bắt đầu sử dụng IAM, bạn phải đăng ký tối thiểu một trong các dịch vụ AWS được tích hợp cùng IAM. Sau đó bạn có thể tạo và quản lý người dùng, nhóm và quyền thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM. Bảng điều khiển IAM cung cấp cho bạn một giao diện trỏ-nhấp dựa trên nền tảng web. Bạn cũng có thể sử dụng công cụ biên tập hình ảnh để tạo chính sách.

Câu hỏi: IAM giải quyết được những vấn đề nào?
IAM giúp dễ dàng cấp cho nhiều người dùng quyền truy cập bảo mật đến tài nguyên AWS. IAM giúp bạn:

  • Quản lý người dùng IAM và quyền truy cập của họ: Bạn có thể tạo người dùng trong hệ thống quản lý danh tính của AWS, gán cho họ những thông tin xác thực bảo mật cá nhân (chẳng hạn như khóa truy cập, mật khẩu, thiết bị xác thực đa yếu tố) hoặc yêu cầu thông tin xác thực bảo mật tạm thời để cho phép người dùng truy cập vào các dịch vụ và tài nguyên AWS. Bạn có thể xác định các quyền để kiểm soát những hoạt động mà người dùng có thể thực hiện.
  • Quản lý quyền truy cập cho người dùng liên kết: Bạn có thể yêu cầu thông tin xác thực bảo mật có thời hạn có thể cấu hình cho người dùng mà bạn quản lý trong thư mục doanh nghiệp của bạn, cho phép bạn cấp cho nhân viên và ứng dụng quyền truy cập bảo mật đến tài nguyên trên tài khoản AWS của bạn mà không cần tạo tài khoản người dùng IAM cho họ. Bạn xác định quyền cho thông tin xác thực bảo mật này để kiểm soát những hoạt động mà người dùng có thể thực hiện.

Câu hỏi: Ai có thể sử dụng IAM?
Mọi khách hàng AWS đều có thể sử dụng IAM. Dịch vụ được cung cấp nhưng không phải trả thêm phí. Bạn chỉ phải trả phí cho các dịch vụ AWS khác mà người dùng của bạn sử dụng.

Câu hỏi: Thế nào là một người dùng?
Một người dùng là một danh tính duy nhất được dịch vụ và ứng dụng AWS công nhận. Tương tự như người dùng đăng nhập trên hệ điều hành như Windows hoặc UNIX, một người dùng có tên duy nhất và có thể nhận diện chính mình bằng thông tin xác thực như mật khẩu hoặc khóa truy cập. Người dùng có thể là một cá nhân, hệ thống hoặc ứng dụng cần truy cập dịch vụ AWS. IAM hỗ trợ người dùng (gọi tắt là "người dùng IAM") được quản lý trên hệ thống quản lý danh tính của AWS, đồng thời nó cũng giúp bạn cấp quyền truy cập đến tài nguyên AWS cho người dùng được quản lý bên ngoài AWS trong thư mục doanh nghiệp của bạn (gọi tắt là "người dùng liên kết").

Câu hỏi: Người dùng có thể làm những gì?
Người dùng có thể gửi yêu cầu đến các dịch vụ web chẳng hạn như Amazon S3 và Amazon EC2. Người dùng có thể truy cập các API dịch vụ web dưới sự kiểm soát và trách nhiệm của tài khoản AWS. Bạn có thể cho phép người dùng truy cập bất kỳ hoặc tất cả các dịch vụ AWS đã tích hợp cùng IAM và tài khoản AWS đã đăng ký theo các dịch vụ đó. Nếu được cho phép, người dùng có quyền truy cập tất cả các tài nguyên trong tài khoản AWS. Ngoài ra, nếu tài khoản AWS có quyền truy cập tài nguyên từ một tài khoản AWS khác, người dùng trên tài khoản này có thể truy cập dữ liệu thuộc các tài khoản AWS này. Mọi tài nguyên AWS do người dùng tạo đều thuộc quyền kiểm soát và được trả phí bằng tài khoản AWS của tài nguyên đó. Người dùng không thể đăng ký các dịch vụ AWS hoặc kiểm soát tài nguyên một cách độc lập.

Câu hỏi: Người dùng truy vấn dịch vụ AWS bằng cách nào?
Người dùng có thể gửi yêu cầu dịch vụ AWS bằng cách sử dụng thông tin xác thực bảo mật. Các quyền cụ thể sẽ xác lập khả năng truy vấn dịch vụ AWS của người dùng. Theo mặc định, người dùng không thể truy vấn các API dịch vụ thay mặt cho tài khoản.

Câu hỏi: Tôi bắt đầu sử dụng IAM bằng cách nào?
Để bắt đầu sử dụng IAM, bạn phải đăng ký tối thiểu một trong các dịch vụ AWS được tích hợp cùng IAM. Sau đó bạn có thể tạo và quản lý người dùng, nhóm và quyền thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM. Bảng điều khiển IAM cung cấp cho bạn một giao diện trỏ-nhấp dựa trên nền tảng web. Bạn cũng có thể sử dụng Công cụ tạo chính sách AWS để tạo chính sách.


Câu hỏi: Người dùng IAM được quản lý như thế nào?
IAM hỗ trợ nhiều phương pháp khác nhau để:

  • Tạo và quản lý người dùng IAM.
  • Tạo và quản lý nhóm IAM.
  • Quản lý thông tin xác thực bảo mật của người dùng.
  • Tạo và quản lý chính sách để cấp quyền truy cập dịch vụ và tài nguyên AWS.

Bạn có thể tạo và quản lý người dùng, nhóm và chính sách bằng cách sử dụng các API IAM, AWS CLI hoặc bảng điều khiển IAM. Bạn cũng có thể sử dụng công cụ biên tập hình ảnh và công cụ mô phỏng chính sách IAM để tạo và thử nghiệm chính sách.

Câu hỏi: Thế nào là một nhóm?
Nhóm là một tập hợp người dùng IAM. Quản lý quyền thành viên nhóm dưới dạng một danh sách đơn giản:

  • Thêm hoặc xóa người dùng khỏi một nhóm.
  • Một người dùng có thể thuộc về nhiều nhóm khác nhau.
  • Nhóm không thể thuộc về nhóm khác.
  • Có thể cấp quyền cho nhóm bằng cách sử dụng chính sách kiểm soát quyền truy cập. Tính năng này giúp dễ dàng quản lý quyền cho một tập hợp người dùng hơn, thay vì phải quản lý quyền cho từng người dùng riêng.
  • Nhóm không có thông tin xác thực bảo mật và không thể trực tiếp truy cập dịch vụ web; nhóm tồn tại chỉ để giúp quản lý quyền người dùng dễ dàng hơn. Để biết chi tiết, xem Làm việc với Nhóm và Người dùng.

Câu hỏi: Người dùng IAM có thể có những loại thông tin xác thực bảo mật nào?
Người dùng IAM có thể có bất kỳ kết hợp thông tin xác thực nào mà AWS hỗ trợ, chẳng hạn như khóa truy cập AWS, chứng nhận X.509, khóa SSH, mật khẩu cho đăng nhập ứng dụng web hoặc một thiết bị MFA. Điều này cho phép người dùng tương tác với AWS theo bất kỳ hình thức nào có ý nghĩa với người dùng. Một nhân viên có thể có cả khóa truy cập và mật khẩu AWS; một hệ thống phần mềm chỉ có thể có một khóa truy cập AWS để thực hiện các truy vấn lập trình; người dùng IAM có thể có khóa SSH riêng để truy cập các kho AWS CodeCommit; và một nhà thầu bên ngoài chỉ có thể có một chứng nhận X.509 để sử dụng giao diện dòng lệnh EC2. Để biết chi tiết, xem Thông tin xác thực bảo mật tạm thời trong tài liệu IAM.

Câu hỏi: Dịch vụ AWS nào hỗ trợ người dùng IAM?
Bạn có thể tham khảo danh sách hoàn chỉnh các dịch vụ AWS hỗ trợ người dùng IAM trong mục Dịch vụ AWS hoạt động với IAM của tài liệu IAM. AWS dự kiến bổ sung khả năng hỗ trợ các dịch vụ khác theo thời gian.

Câu hỏi: Tôi có thể kích hoạt và hủy kích hoạt quyền truy cập của người dùng không?
Có. Bạn có thể kích hoạt và hủy kích hoạt khóa truy cập của một người dùng IAM thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM. Nếu bạn hủy kích hoạt khóa truy cập, người dùng không thể truy cập dịch vụ AWS theo lập trình.

Câu hỏi: Ai có thể quản lý người dùng cho một tài khoản AWS?
Chủ tài khoản AWS có thể quản lý người dùng, nhóm, thông tin xác thực bảo mật và quyền. Ngoài ra, bạn có thể cấp quyền cho người dùng cá nhân để truy vấn tới các API IAM để quản lý người dùng khác. Ví dụ: có thể tạo một người dùng là quản trị viên để quản lý người dùng cho một doanh nghiệp – một cách làm được khuyên dùng. Khi bạn cấp cho một người dùng quyền quản lý người dùng khác, họ có thể thực hiện việc này thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM.

Câu hỏi: Tôi có thể tổ chức một tập hợp người dùng theo cấp bậc, chẳng hạn như trong LDAP không?
Có. Bạn có thể tổ chức người dùng và nhóm theo đường dẫn, tương tự như đường dẫn đối tượng trên Amazon S3 – ví dụ: /mycompany/division/project/joe.

Câu hỏi: Tôi có thể xác định người dùng theo vùng không?
Mới đầu thì không. Người dùng là những thực thể toàn cầu, giống như một tài khoản AWS là ngày hôm nay. Không cần chỉ định vùng khi bạn xác định quyền người dùng. Người dùng có thể sử dụng dịch vụ AWS ở bất kỳ vùng địa lý nào.

Câu hỏi: Thiết bị MFA được cấu hình như thế nào cho người dùng IAM?
Bạn (chủ tài khoản AWS) có thể sắp xếp nhiều thiết bị MFA. Sau đó bạn có thể gán các thiết bị này cho người dùng IAM cá nhân thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM.

Câu hỏi: Loại hình luân chuyển khóa nào được hỗ trợ cho người dùng IAM?
Có thể luân chuyển khóa truy cập người dùng và chứng nhận X.509 theo đúng bản chất của chúng cho các thông tin nhận diện truy cập gốc của một tài khoản AWS. Bạn có thể quản lý và luân chuyển theo lập trình khóa truy cập và chứng nhận X.509 của một người dùng thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM.

Câu hỏi: Người dùng IAM có thể có khóa EC2 SSH riêng không?
Không có ở bản phát hành đầu tiên. IAM không hỗ trợ khóa EC2 SSH hoặc chứng nhận Windows RDP. Điều này có nghĩa là mặc dù mỗi người dùng đều có thông tin xác thực riêng để truy cập các API dịch vụ web, người dùng phải chia sẻ các khóa SSH chung trên tài khoản AWS mà người dùng đã được xác định.

Câu hỏi: Tôi có thể sử dụng khóa SSH của mình ở đâu?

Hiện tại người dùng IAM chỉ có thể sử dụng khóa SSH với AWS CodeCommit để truy cập các kho của mình.

Câu hỏi: Tên người dùng IAM có nhất thiết phải là địa chỉ email không?
Không, nhưng có thể là địa chỉ email. Tên người dùng chỉ là các chuỗi ASCII duy nhất bên trong một tài khoản AWS xác định. Bạn có thể gán tên theo bất kỳ quy ước đặt tên nào mà bạn chọn, bao gồm cả địa chỉ email.

Câu hỏi: Tôi có thể sử dụng bộ ký tự nào cho tên người dùng IAM?
Bạn chỉ có thể sử dụng ký tự ASCII cho thực thể IAM.

Câu hỏi: Các thuộc tính người dùng không phải tên người dùng có được hỗ trợ không?
Vào thời điểm này thì không.

Câu hỏi: Mật khẩu người dùng được đặt như thế nào?
Bạn có thể đặt mật khẩu ban đầu cho một người dùng IAM thông qua bảng điều khiển IAM, AWS CLI hoặc các API IAM. Mật khẩu người dùng không bao giờ xuất hiện ở dạng văn bản rõ ràng sau lần cung cấp đầu tiên và không bao giờ được hiển thị hoặc trả về thông qua truy vấn API. Người dùng IAM có thể quản lý mật khẩu của mình thông qua trang Mật khẩu của tôi trong bảng điều khiển IAM. Người dùng truy cập trang này bằng cách chọn tùy chọn Thông tin xác thực bảo mật từ danh sách thả xuống ở góc trên bên phải của Bảng điều khiển quản lý AWS.

Câu hỏi: Tôi có thể xác định một chính sách mật khẩu cho mật khẩu người dùng của mình không?
Có, bạn có thể áp dụng các mật khẩu mạnh bằng cách yêu cầu độ dài tối thiểu hoặc tối thiểu một con số. Bạn cũng có thể áp dụng tùy chọn mật khẩu tự động hết hạn, ngăn chặn việc sử dụng lại mật khẩu cũ và yêu cầu đặt lại mật khẩu khi đăng nhập AWS lần tiếp theo. Để biết chi tiết, xem Thiết lập mật khẩu chính sách tài khoản cho người dùng IAM.

Câu hỏi: Tôi có thể thiết lập hạn mức sử dụng cho người dùng IAM không?
Không. Toàn bộ các hạn mức trên tài khoản AWS nói chung. Ví dụ: nếu tài khoản AWS của bạn có hạn mức bằng 20 phiên bản Amazon EC2, người dùng IAM có các quyền EC2 có thể bắt đầu các phiên bản theo hạn mức tối đa. Bạn không thể giới hạn những gì một người dùng cá nhân có thể làm.


Câu hỏi: Thế nào là một vai trò IAM?
Vai trò IAM là một thực thể IAM xác định một tập hợp các quyền để thực hiện các yêu cầu dịch vụ AWS. Vai trò IAM không liên quan đến một người dùng hoặc nhóm cụ thể. Thay vào đó, các thực thể được ủy thác giả định các vai trò chẳng hạn như người dùng IAM, ứng dụng hoặc dịch vụ AWS chẳng hạn như EC2.

Câu hỏi: Vai trò IAM giải quyết được những vấn đề nào?
Vai trò IAM cho phép bạn ủy thác quyền truy cập có các quyền xác định đến các thực thể được ủy thác mà không cần chia sẻ khóa truy cập dài hạn. Bạn có thể sử dụng vai trò IAM để ủy thác truy cập đến người dùng IAM được quản lý trên tài khoản của bạn, đến người dùng IAM thuộc một tài khoản AWS khác hoặc đến một dịch vụ AWS chẳng hạn như EC2.

Câu hỏi: Tôi bắt đầu sử dụng vai trò IAM bằng cách nào?
Bạn tạo một vai trò theo cách tương tự như cách bạn tạo một người dùng – đặt tên vai trò và gán cho vai trò một chính sách. Để biết chi tiết, xem Tạo vai trò IAM.

Câu hỏi: Tôi giả định vai trò IAM bằng cách nào?
Bạn giả định một vai trò IAM bằng cách truy vấn các API AssumeRole của Dịch vụ mã thông báo bảo mật AWS (STS) (nói cách khác, AssumeRole, AssumeRoleWithWebIdentity và AssumeRoleWithSAML). Các API này trả về một nhóm thông tin xác thực bảo mật tạm thời để sau đó các ứng dụng có thể sử dụng để gán yêu cầu cho các API dịch vụ AWS.

Câu hỏi: Tôi có thể giả định bao nhiêu vai trò IAM?
Không giới hạn số lượng vai trò IAM bạn có thể giả định tuy nhiên bạn chỉ có thể thực hiện một vai trò IAM khi yêu cầu dịch vụ AWS.

Câu hỏi: Ai có thể sử dụng vai trò IAM?
Mọi khách hàng AWS đều có thể sử dụng vai trò IAM.

Câu hỏi: Vai trò IAM có mức phí bằng bao nhiêu?
Vai trò IAM miễn phí. Bạn tiếp tục trả phí cho bất kỳ tài nguyên nào mà tài khoản AWS của bạn sử dụng.

Câu hỏi: Vai trò IAM được quản lý như thế nào?
Bạn có thể tạo và quản lý vai trò IAM thông qua các API IAM, AWS CLI hoặc bảng điều khiển IAM. Bảng điều khiển IAM cung cấp cho bạn một giao diện trỏ-nhấp dựa trên nền tảng web.

Câu hỏi: Sự khác biệt giữa vai trò IAM và người dùng IAM là gì?
Người dùng IAM có thông tin xác thực dài hạn vĩnh cửu và được dùng để tương tác trực tiếp với các dịch vụ AWS. Vai trò IAM không có thông tin xác thực nào và không thể trực tiếp thực hiện các yêu cầu dịch vụ AWS. Vai trò IAM thực chất được giả định bởi các thực thể được phân quyền, chẳng hạn như người dùng IAM, ứng dụng hoặc các dịch vụ AWS chẳng hạn như EC2.

Câu hỏi: Tôi nên sử dụng người dùng IAM, nhóm IAM hay vai trò IAM khi nào?

Người dùng IAM có thông tin xác thực dài hạn vĩnh cửu và được dùng để tương tác trực tiếp với các dịch vụ AWS. Nhóm IAM chủ yếu là một tiện ích quản lý để quản lý cùng một nhóm quyền cho nhóm người dùng IAM. Vai trò IAM là một thực thể AWS Identity and Access Management (IAM) có quyền thực hiện các yêu cầu dịch vụ AWS. Vai trò IAM không thể trực tiếp thực hiện các yêu cầu dịch vụ AWS; vai trò thực chất được giả định bởi các thực thể được phân quyền, chẳng hạn như người dùng IAM, ứng dụng hoặc các dịch vụ AWS chẳng hạn như EC2. Sử dụng vai trò IAM để ủy thác truy cập bên trong hoặc giữa các tài khoản AWS.

Câu hỏi: Tôi có thể thêm vai trò IAM vào một nhóm IAM không?
Vào thời điểm này thì không.

Câu hỏi: Tôi có thể gán bao nhiêu chính sách cho một vai trò IAM?

Đối với các chính sách trên tuyến: Bạn có thể thêm chính sách trên tuyến theo số lượng bạn muốn vào một người dùng, vai trò hay nhóm, tuy nhiên tổng kích thước chính sách (tổng kích thước của tất cả các chính sách trên tuyến) trên mỗi thực thể không thể vượt quá giới hạn sau:

  • Kích thước chính sách người dùng không được vượt quá 2.048 ký tự.
  • Kích thước chính sách vai trò không được vượt quá 10.240 ký tự.
  • Kích thước chính sách nhóm không được vượt quá 5.120 ký tự.

Đối với các chính sách được quản lý: Bạn có thể thêm tối đa 10 chính sách được quản lý vào một người dùng, vai trò hay nhóm. Kích thước của mỗi chính sách được quản lý không được vượt quá 6.144 ký tự.

Câu hỏi: Tôi có thể tạo bao nhiêu vai trò IAM?
Bạn có thể tạo 1.000 vai trò IAM trên tài khoản AWS. Nếu bạn cần thêm vai trò, gửi biểu mẫu yêu cầu tăng hạn mức IAM cùng với trường hợp sử dụng và chúng tôi sẽ xem xét yêu cầu của bạn.

Câu hỏi: Ứng dụng của tôi có thể thực hiện yêu cầu đến dịch vụ nào?
Ứng dụng của bạn có thể thực hiện yêu cầu đến tất cả các dịch vụ AWS hỗ trợ phiên vai trò.

Câu hỏi: Thế nào là vai trò IAM dành cho phiên bản EC2?
Vai trò IAM dành cho phiên bản EC2 cho phép ứng dụng của bạn chạy trên EC2 gửi yêu cầu đến dịch vụ AWS chẳng hạn như Amazon S3, Amazon SQS và Amazon SNS nhưng bạn không phải sao chép khóa truy cập AWS cho từng phiên bản. Để biết chi tiết, xem Vai trò IAM dành cho Amazon EC2.

Câu hỏi: Vai trò IAM dành cho phiên bản EC2 có những tính năng gì?

Vai trò IAM dành cho phiên bản EC2 có những tính năng sau:

  • Thông tin xác thực bảo mật tạm thời AWS để sử dụng khi gửi yêu cầu từ các phiên bản EC2 đang chạy đến dịch vụ AWS.
  • Tự động luân chuyển thông tin xác thực bảo mật tạm thời AWS.
  • Quyền dịch vụ AWS chi tiết dành cho ứng dụng chạy trên phiên bản EC2.

Câu hỏi: Vai trò IAM dành cho phiên bản EC2 giải quyết được những vấn đề gì?
Vai trò IAM dành cho phiên bản EC2 đơn giản hóa hoạt động quản lý và triển khai khóa truy cập AWS đến phiên bản EC2. Sử dụng tính năng này, bạn gán một vai trò IAM với một phiên bản. Khi đó phiên bản EC2 của bạn cung cấp thông tin xác thực bảo mật tạm thời cho ứng dụng chạy trên phiên bản và ứng dụng có thể sử dụng thông tin xác thực này để gửi yêu cầu một cách bảo mật đến tài nguyên dịch vụ AWS được xác định trên vai trò.

Câu hỏi: Tôi bắt đầu sử dụng vai trò IAM dành cho phiên bản EC2 bằng cách nào?
Để hiểu cách thức vai trò tương tác với phiên bản EC2, bạn cần sử dụng bảng điều khiển IAM để tạo một vai trò, chạy một phiên bản EC2 sử dụng vai trò đó rồi sau đó kiểm tra phiên bản đang chạy. Bạn có thể kiểm tra siêu dữ liệu của phiên bản để biết thông tin xác thực của vai trò được cung cấp cho một phiên bản như thế nào. Bạn cũng có thể tìm hiểu cách một ứng dụng chạy trên một phiên bản có thể sử dụng vai trò như thế nào. Để biết thêm chi tiết, xem Cách để tôi bắt đầu?

Câu hỏi: Tôi có thể sử dụng cùng vai trò IAM trên nhiều phiên bản EC2 không?
Có.

Câu hỏi: Tôi có thể thay đổi vai trò IAM trên một phiên bản EC2 đang chạy không?
Có. Mặc dù một vai trò thường được gán cho một phiên bản EC2 khi bạn chạy phiên bản, một vai trò cũng có thể được gán cho một phiên bản EC2 đang chạy sẵn. Để tìm hiểu cách gán một vai trò cho một phiên bản đang chạy, xem Vai trò IAM dành cho Amazon EC2. Bạn cũng có thể thay đổi quyền trên vai trò IAM được liên kết với một phiên bản đang chạy và quyền được cập nhật gần như lập tức có hiệu lực. 

Câu hỏi: Tôi có thể liên kết một vai trò IAM với một phiên bản EC2 đang chạy sẵn không?
Có. Bạn có thể gán một vai trò cho một phiên bản EC2 đang chạy sẵn. Để tìm hiểu cách gán một vai trò cho một phiên bản đang chạy sẵn, xem Vai trò IAM dành cho Amazon EC2.

Câu hỏi: Tôi có thể gán một vai trò IAM với một Auto Scaling group không?

Có. Bạn có thể thêm vai trò IAM dưới dạng tham số bổ sung trong lần cấu hình khởi động Auto Scaling và tạo Auto Scaling group bằng cấu hình khởi động đó. Tất cả các phiên bản EC2 được khởi động trong Auto Scaling group có liên kết với vai trò IAM được khởi động cùng vai trò đó dưới dạng một tham số đầu vào. Để biết thêm chi tiết, xem Auto Scaling là gì? trong Hướng dẫn dành cho nhà phát triển Auto Scaling.

Câu hỏi: Tôi có thể liên kết nhiều vai trò IAM với một phiên bản EC2 không?
Không. Bạn chỉ có thể liên kết một vai trò IAM với một phiên bản EC2 tại thời điểm này. Không thể tăng giới hạn một vai trò trên mỗi phiên bản này.

Câu hỏi: Điều gì xảy ra nếu tôi xóa một vai trò IAM có liên kết với một phiên bản EC2 đang chạy?
Mọi ứng dụng chạy trên phiên bản hiện đang sử dụng vai trò đó sẽ lập tức bị từ chối truy cập.

Câu hỏi: Tôi có thể kiểm soát vai trò IAM mà người dùng IAM có thể liên kết với một phiên bản EC2 không?
Có. Để biết thêm chi tiết, xem Quyền cần có để sử dụng vai trò với Amazon EC2.

Câu hỏi: Cần có quyền gì để chạy phiên bản EC2 với một vai trò IAM?
Bạn phải cấp cho người dùng IAM hai quyền riêng biệt để chạy thành công phiên bản EC2 với các vai trò:

  • Quyền chạy phiên bản EC2.
  • Quyền liên kết vai trò IAM với các phiên bản EC2.

Để biết thêm chi tiết, xem Quyền cần có để sử dụng vai trò với Amazon EC2.

Câu hỏi: Ai có thể truy cập khóa truy cập trên một phiên bản EC2?
Mọi người dùng cục bộ trên phiên bản đều có thể truy cập khóa truy cập có liên kết với vai trò IAM.

Câu hỏi: Làm cách nào để sử dụng vai trò IAM với ứng dụng của tôi trên phiên bản EC2?
Nếu bạn phát triển ứng dụng với AWS SDK, AWS SDK sẽ tự động sử dụng khóa truy cập AWS đã được cung cấp trên phiên bản EC2. Nếu không sử dụng AWS SDK, bạn có thể truy xuất khóa truy cập từ dịch vụ siêu dữ liệu phiên bản EC2. Để biết chi tiết, xem Sử dụng một vai trò IAM để cấp quyền cho các ứng dụng chạy trên phiên bản Amazon EC2.

Câu hỏi: Làm cách nào để luân chuyển thông tin xác thực bảo mật tạm thời trên phiên bản EC2?
Thông tin xác thực bảo mật tạm thời AWS liên kết với một vai trò IAM được tự động luân chuyển nhiều lần trong một ngày. Thông tin xác thực bảo mật tạm thời mới được cung cấp chậm nhất 5 phút trước khi thông tin xác thực bảo mật tạm thời hiện tại hết hạn.

Câu hỏi: Tôi có thể sử dụng vai trò IAM dành cho phiên bản EC2 với mọi loại phiên bản hoặc Amazon Machine Image không?
Có. Vai trò IAM dành cho phiên bản EC2 cũng hoạt động trên Amazon Virtual Private Cloud (VPC), với các phiên bản dự trữ và phiên bản spot.

Câu hỏi: Thế nào là một vai trò liên kết dịch vụ?
Vai trò liên kết dịch vụ là loại vai trò liên kết đến một dịch vụ AWS (còn gọi là dịch vụ được liên kết) sao cho chỉ dịch vụ được liên kết mới có thể giả định vai trò. Sử dụng các vai trò này, bạn có thể ủy thác quyền đến dịch vụ AWS để tạo và quản lý tài nguyên AWS thay mặt bạn.

Câu hỏi: Tôi có thể giả định một vai trò được liên kết dịch vụ không?
Không. Chỉ dịch vụ được liên kết mới có thể giả định một vai trò được liên kết dịch vụ. Đó là lý do tạo sao không thể sửa đổi chính sách ủy thác của một vai trò được liên kết dịch vụ.

Câu hỏi: Tôi có thể xóa một vai trò được liên kết dịch vụ không?
Có. Nếu không muốn một dịch vụ AWS thực hiện các hành động thay mặt bạn, bạn có thể xóa vai trò được liên kết dịch vụ của dịch vụ đó. Trước khi xóa vai trò, bạn phải xóa tất cả các tài nguyên AWS lệ thuộc vào vai trò đó. Bước này đảm bảo rằng bạn không vô tình xóa một vai trò mà tài nguyên AWS của bạn cần có để hoạt động đúng.

Câu hỏi: Làm cách nào để xóa một vai trò được liên kết dịch vụ?
Bạn có thể xóa một vai trò được liên kết dịch vụ khỏi bảng điều khiển IAM. Chọn Vai trò trong ngăn điều hướng, chọn vai trò được liên kết dịch vụ bạn muốn xóa rồi chọn Xóa vai trò. (Lưu ý: Đối với Amazon Lex, bạn phải sử dụng bảng điều khiển Amazon Lex để xóa vai trò được liên kết dịch vụ.)


Câu hỏi: Quyền hoạt động như thế nào?

Chính sách kiểm soát truy cập được gán cho người dùng, nhóm và vai trò để gán quyền cho tài nguyên AWS. Theo mặc định, người dùng, nhóm và vai trò IAM không có quyền nào; người dùng có đủ quyền phải sử dụng một chính sách để cấp các quyền mong muốn.

Câu hỏi: Làm cách nào để gán quyền bằng cách sử dụng một chính sách?

Để thiết lập quyền, bạn có thể tạo và gán chính sách bằng cách sử dụng Bảng điều khiển quản lý AWS, API IAM hoặc AWS CLI. Người dùng đã được cấp các quyền cần thiết có thể tạo chính sách và gán chúng cho người dùng, nhóm và vai trò IAM.

Câu hỏi: Thế nào là chính sách được quản lý?

Chính sách được quản lý là tài nguyên IAM biểu thị các quyền bằng cách sử dụng ngôn ngữ chính sách IAM. Bạn có thể tạo, chỉnh sửa và quản lý riêng từ người dùng, nhóm và vai trò IAM mà chúng được gán. Sau khi gán một chính sách được quản lý cho nhiều người dùng, nhóm hoặc vai trò IAM, bạn có thể cập nhật chính sách đó ở một nơi và quyền sẽ tự động mở rộng sang toàn bộ các thực thể được gán. Chính sách được quản lý do chính bạn quản lý (được gọi là chính sách do khách hàng quản lý) hoặc được quản lý bởi AWS (được gọi là chính sách do AWS quản lý). Để biết thêm thông tin về chính sách được quản lý, xem Chính sách được quản lý và Chính sách trên tuyến.

Câu hỏi: Làm cách nào để tạo một chính sách do khách hàng quản lý?

Bạn có thể sử dụng công cụ biên tập hình ảnh hoặc công cụ biên tập JSON trong bảng điều khiển IAM. Công cụ biên tập hình ảnh là một công cụ biên tập trỏ và nhấp, hướng dẫn bạn từng bước trong quá trình cấp quyền trên một chính sách mà không yêu cầu bạn phải viết chính sách đó trên JSON. Bạn có thể tạo chính sách trên JSON bằng cách sử dụng CLI và SDK.

Câu hỏi: Làm cách nào để gán các quyền được sử dụng phổ biến?

AWS cung cấp một tập hợp các quyền được sử dụng phổ biến để bạn có thể gán cho người dùng, nhóm và vai trò IAM trên tài khoản của bạn. Các quyền này được gọi là chính sách do AWS quản lý. Một ví dụ là quyền truy cập chỉ đọc dành cho Amazon S3. Khi AWS cập nhật các chính sách này, quyền được tự động áp dụng với những người dùng, nhóm và vai trò mà chính sách được gán. Chính sách do AWS quản lý tự động xuất hiện trong mục Chính sách của bảng điều khiển IAM. Khi gán quyền, bạn có thể sử dụng một chính sách do AWS quản lý hoặc có thể tạo chính sách do khách hàng quản lý của riêng bạn. Tạo một chính sách mới dựa trên chính sách do AWS quản lý hiện có hoặc xác định chính sách riêng của bạn.

Câu hỏi: Quyền dựa trên nhóm hoạt động như thế nào?

Sử dụng nhóm IAM để gán cùng một nhóm quyền cho nhiều người dùng IAM. Người dùng cũng có thể được gán các quyền cá nhân. Hai cách để gán quyền cho người dùng kết hợp với nhau để thiết lập các quyền chung.

Câu hỏi: Sự khác biệt giữa gán quyền bằng cách sử dụng nhóm IAM và gán quyền bằng cách sử dụng chính sách được quản lý là gì?

Sử dụng nhóm IAM để tập hợp người dùng IAM và xác định các quyền chung cho những người dùng này. Sử dụng chính sách được quản lý để chia sẻ quyền giữa người dùng, nhóm và vai trò IAM. Ví dụ: nếu bạn muốn một nhóm người dùng có thể chạy phiên bản Amazon EC2 và bạn cũng muốn vai trò trên phiên bản đó có các quyền tương tự như người dùng trong nhóm, bạn có thể tạo một chính sách được quản lý rồi gán chính sách đó cho nhóm người dùng và vai trò trên phiên bản Amazon EC2.

Câu hỏi: Chính sách IAM được đánh giá cùng với chính sách dựa trên tài nguyên Amazon S3, Amazon SQS, Amazon SNS và AWS KMS như thế nào?

Chính sách IAM được đánh giá cùng với chính sách dựa trên tài nguyên của dịch vụ. Khi bất kỳ loại chính sách nào cấp quyền truy cập (không từ chối chính sách một cách rõ ràng), được phép thực hiện hành động. Để biết thêm thông tin về lô gíc đánh giá chính sách, xem Lô gíc đánh giá chính sách IAM.  

Câu hỏi: Tôi có thể sử dụng một chính sách được quản lý làm chính sách dựa trên tài nguyên không?

Chính sách được quản lý chỉ có thể được gán cho người dùng, nhóm hoặc vai trò IAM. Bạn không thể sử dụng các chính sách đó làm chính sách dựa trên tài nguyên.

Câu hỏi: Làm cách nào để thiết lập quyền chi tiết bằng cách sử dụng chính sách?

Sử dụng chính sách, bạn có thể chỉ định một vài lớp chi tiết về quyền. Trước tiên, bạn có thể xác định các hành động dịch vụ AWS mà bạn muốn cho phép hoặc từ chối truy cập một cách rõ ràng. Thứ hai, tùy thuộc vào hành động, bạn có thể xác định tài nguyên AWS có các hành động có thể được thực hiện. Thứ ba, bạn có thể xác định điều kiện để chỉ định thời điểm chính sách có hiệu lực (ví dụ: xem MFA có được kích hoạt hay không).

Câu hỏi: Làm cách nào để có thể dễ dàng xóa các quyền không cần thiết?

Để giúp bạn xác định cần có những quyền nào, bảng điều khiển IAM sẽ hiển thị dữ liệu được dịch vụ truy cập gần nhất, cho biết giờ mà một thực thể IAM (một người dùng, nhóm hay vai trò) truy cập dịch vụ AWS lần gần nhất. Việc biết thực thể IAM có thực thi một quyền hay không và thời điểm thực thi gần nhất có thể giúp bạn xóa các quyền không cần thiết và dễ dàng siết chặt chính sách IAM của bạn.

Câu hỏi: Tôi có thể cấp quyền để truy cập hoặc thay đổi thông tin cấp tài khoản (ví dụ: công cụ thanh toán, địa chỉ email liên hệ và lịch sử thanh toán) không?

Có, bạn có thể ủy thác khả năng đó cho một người dùng IAM hoặc một người dùng liên kết để xem dữ liệu thanh toán AWS và chỉnh sửa thông tin tài khoản AWS. Để biết thêm thông tin về kiểm soát truy cập đến thông tin hóa đơn của bạn, xem Kiểm soát truy cập.

Câu hỏi: Ai có thể tạo và quản lý khóa truy cập trên một tài khoản AWS?

Chỉ chủ tài khoản AWS mới có thể quản lý khóa truy cập cho tài khoản gốc. Chủ tài khoản và người dùng hoặc vai trò IAM đã được cấp các quyền cần thiết có thể quản lý khóa truy cập cho người dùng IAM.

Câu hỏi: Tôi có thể cấp quyền để truy cập tài nguyên AWS thuộc sở hữu của một tài khoản AWS khác không?
Có. Sử dụng vai trò IAM, người dùng IAM và người dùng liên kết có thể truy cập tài nguyên ở một tài khoản AWS khác thông qua Bảng điều khiển quản lý AWS, AWS CLI hoặc các API. Xem Quản lý vai trò IAM để biết thêm thông tin.

Câu hỏi: Một chính sách có dạng như thế nào?

Chính sách dưới đây cấp quyền truy cập để thêm, cập nhật và xóa đối tượng khỏi một thư mục cụ thể, thư mục_ví dụ, trên một bộ chứa cụ thể, ví dụ_bộ chứa.

{
   "Phiên bản":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}

Câu hỏi: Tóm tắt chính sách là gì?

Nếu bạn đang sử dụng bảng điều khiển IAM và chọn một chính sách, bạn sẽ thấy một tóm tắt chính sách. Tóm tắt chính sách liệt kê mức truy cập, tài nguyên và điều kiện cho mỗi dịch vụ được xác định trong chính sách (xem ví dụ ở ảnh chụp màn hình dưới đây). Mức truy cập (quản lý Xem, Đọc, Ghi hoặc Quyền) được xác định bởi các hành động được cấp cho từng dịch vụ trong chính sách. Bạn có thể xem chính sách trên JSON bằng cách chọn nút JSON.

Ảnh chụp màn hình phần tóm tắt chính sách.

Câu hỏi: Công cụ mô phỏng chính sách IAM là gì?
Công cụ mô phỏng chính sách IAM là một công cụ giúp bạn tìm hiểu, kiểm thử và xác thực hiệu lực của các chính sách kiểm soát truy cập của bạn.

Câu hỏi: Có thể sử dụng công cụ mô phỏng chính sách để làm gì?  
Bạn có thể sử dụng công cụ mô phỏng chính sách theo một vài cách. Bạn có thể kiểm tra các thay đổi của chính sách nhằm đảm bảo chúng có hiệu lực mong muốn trước khi cam kết đưa chúng vào áp dụng. Bạn có thể thẩm định các chính sách hiện hành được gán cho người dùng, nhóm và vai trò để xác minh và gỡ lỗi các quyền. Bạn cũng có thể sử dụng công cụ mô phỏng chính sách để hiểu việc chính sách IAM và chính sách dựa trên tài nguyên phối hợp với nhau như thế nào để cấp hoặc từ chối quyền truy cập đến tài nguyên AWS.

Câu hỏi: Ai có thể sử dụng công cụ mô phỏng chính sách?
Công cụ mô phỏng chính sách được cung cấp cho tất cả khách hàng AWS.

Câu hỏi: Mức phí của công cụ mô phỏng chính sách?
Công cụ mô phỏng chính sách được cung cấp và không tính thêm phí.

Câu hỏi: Tôi bắt đầu bằng cách nào?
Truy cập https://policysim.aws.amazon.com hoặc nhấp vào liên kết trên bảng điều khiển IAM trong mục “Thông tin khác.” Xác định một chính sách mới hoặc chọn một tập hợp chính sách hiện hành từ một người dùng, nhóm hoặc vai trò mà bạn muốn đánh giá. Sau đó chọn một tập hợp các hành động từ danh sách các dịch vụ AWS, cung cấp bất kỳ thông tin cần thiết nào để mô phỏng yêu cầu truy cập, rồi tiến hành mô phỏng để xác định xem chính sách đó cho phép hay từ chối các quyền đối với các hành động và tài nguyên đã chọn. Để tìm hiểu thêm về công cụ mô phỏng chính sách IAM, xem video Bắt đầu của chúng tôi hoặc xem tài liệu.

Câu hỏi: Công cụ mô phỏng chính sách IAM hỗ trợ những loại chính sách nào?
Công cụ mô phỏng chính sách hỗ trợ kiểm tra các chính sách mới nhập vào và chính sách hiện hành được gán cho người dùng, nhóm hoặc vai trò. Ngoài ra, bạn có thể mô phỏng việc các chính sách cấp tài nguyên có cấp quyền truy cập đến một tài nguyên cụ thể cho bộ chứa Amazon S3, hộp bí mật Amazon Glacier, chủ đề Amazon SNS và hàng đợi Amazon SQS. Các đối tượng này được đưa vào mô phỏng khi Tên tài nguyên Amazon (ARN) được xác định trong trường Tài nguyên trong phần Thiết lập mô phỏng cho một dịch vụ có hỗ trợ các chính sách tài nguyên.

Câu hỏi: Nếu tôi thay đổi một chính sách trong công cụ mô phỏng chính sách, những thay đổi này có xuất hiện trong quá trình sản xuất không?
Không. Để áp dụng các thay đổi trong quá trình sản xuất, sao chép chính sách bạn đã chỉnh sửa trên công cụ mô phỏng chính sách rồi gán nó cho người dùng, nhóm hoặc vai trò IAM.

Câu hỏi: Tôi có thể sử dụng công cụ mô phỏng chính sách theo lập trình không?
Có. Bạn có thể sử dụng công cụ mô phỏng chính sách bằng cách sử dụng các AWS SDK hoặc AWS CLI ngoài bảng điều khiển công cụ mô phỏng chính sách. Sử dụng API iam:SimulatePrincipalPolicy để kiểm tra các chính sách IAM hiện hành của bạn theo lập trình. Để kiểm tra hiệu lực của chính sách mới hoặc vừa cập nhật chưa được gán cho một người dùng, nhóm hoặc vai trò, truy vấn API iam:SimulateCustomPolicy.   


Câu hỏi: Một người dùng IAM đăng nhập bằng cách nào?

Để đăng nhập Bảng điều khiển quản lý AWS với tư cách người dùng IAM, ngoài tên người dùng và mật khẩu, bạn còn phải cung cấp ID tài khoản hoặc bí danh tài khoản. Khi quản trị viên tạo người dùng IAM trong bảng điều khiển, họ sẽ cung cấp cho bạn tên người dùng và URL dẫn đến trang đăng nhập tài khoản của bạn. URL đó bao gồm ID tài khoản hoặc bí danh tài khoản của bạn.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Bạn cũng có thể đăng nhập tại điểm cuối đăng nhập sau đây và nhập ID tài khoản hoặc bí danh tài khoản của bạn theo cách thủ công:

https://console.aws.amazon.com/

Để thuận tiện, trang đăng nhập AWS sử dụng một cookie trình duyệt để ghi nhớ tên người dùng IAM và thông tin tài khoản. Lần tiếp theo người dùng truy cập vào bất kỳ trang nào trên Bảng điều khiển quản lý AWS, bảng điều khiển sử dụng cookie đó để chuyển hướng người dùng đển trang đăng nhập tài khoản.

Lưu ý: Người dùng IAM vẫn có thể sử dụng liên kết URL mà quản trị viên cung cấp để đăng nhập vào Bảng điều khiển quản lý AWS.

Câu hỏi: Thế nào là một bí danh tài khoản AWS?

Bí danh tài khoản là tên bạn xác định nhằm giúp dễ nhận biết tài khoản hơn. Bạn có thể tạo một bí danh bằng cách sử dụng các API IAM, Công cụ dòng lệnh AWS hoặc bảng điều khiển IAM. Mỗi tài khoản AWS có thể có một bí danh.

Câu hỏi: Người dùng IAM có thể truy cập những trang AWS nào?

Người dùng IAM có thể đăng nhập vào các trang AWS sau:

Câu hỏi: Người dùng IAM có thể đăng nhập vào các thuộc tính khác của Amazon.com bằng thông tin xác thực của mình không?
Không. Người dùng được tạo ra với IAM chỉ được công nhận bởi dịch vụ và ứng dụng AWS.

Câu hỏi: Có tồn tại một API xác thực để xác minh lần đăng nhập của người dùng IAM không?
Không. Không có phương thức theo lập trình nào để xác minh lần đăng nhập của người dùng.

Câu hỏi: Người dùng có thể SSH sang phiên bản EC2 bằng cách sử dụng tên người dùng và mật khẩu AWS của mình không?
Không. Thông tin xác thực bảo mật của người dùng được tạo ra với IAM không được hỗ trợ cho việc xác thực trực tiếp sang phiên bản EC2 của khách hàng. Quản lý thông tin xác thực EC2 SSH thuộc trách nhiệm của khách hàng trong bảng điều khiển EC2.


Câu hỏi: Thế nào là thông tin xác thực bảo mật tạm thời?
Thông tin xác thực bảo mật tạm thời bao gồm ID truy cập AWS, khóa truy cập bí mật và mã thông báo bảo mật. Thông tin xác thực bảo mật tạm thời có hiệu lực trong một thời gian xác định và cho một tập hợp các quyền cụ thể. Thông tin xác thực bảo mật tạm thời đôi khi chỉ là các mã thông báo bảo mật. Có thể yêu cầu cấp mã thông báo bảo mật cho người dùng IAM hoặc người dùng liên kết mà bạn quản lý trong thư mục doanh nghiệp của riêng bạn. Để biết thêm thông tin, xem Tình huống thường gặp đối với Thông tin xác thực tạm thời.

Câu hỏi: Thông tin xác thực bảo mật tạm thời có những lợi ích gì?
Thông tin xác thực bảo mật tạm thời cho phép bạn:

  • Mở rộng thư mục người dùng nội bộ của bạn để giúp liên kết tới AWS, cho phép nhân viên và ứng dụng của bạn truy cập một cách bảo mật đến các API dịch vụ AWS mà không cần phải tạo một danh tính AWS cho họ.
  • Yêu cầu thông tin xác thực bảo mật tạm thời cho số lượng người dùng liên kết không giới hạn.
  • Cấu hình khoảng thời gian sau đó thông tin xác thực bảo mật tạm thời sẽ hết hạn, tăng cường bảo mật khi truy cập các API dịch vụ AWS thông qua thiết bị di động trong đó có rủi ro bị mất thiết bị.

Câu hỏi: Tôi có thể yêu cầu cấp thông tin xác thực bảo mật tạm thời cho người dùng liên kết bằng cách nào?
Bạn có thể truy vấn các API STS GetFederationToken, AssumeRole, AssumeRoleWithSAML hoặc AssumeRoleWithWebIdentity.

Câu hỏi: Người dùng IAM có thể yêu cầu cấp thông tin xác thực bảo mật tạm thời để chính họ sử dụng bằng cách nào?
Người dùng IAM có thể yêu cầu cấp thông tin xác thực bảo mật tạm thời để họ sử dụng bằng cách truy vấn API AWS STS GetSessionToken. Thời gian hết hạn mặc định của các thông tin xác thực bảo mật tạm thời này là 12 giờ; tối thiểu là 15 phút và tối đa là 36 giờ.

Bạn cũng có thể sử dụng thông tin xác thực tạm thời với Truy cập API được bảo vệ bởi Xác thực đa yếu tố (MFA).

Câu hỏi: Tôi có thể sử dụng thông tin xác thực bảo mật tạm thời để truy vấn các API dịch vụ AWS bằng cách nào?
Nếu bạn gửi các yêu cầu API HTTPS trực tiếp đến AWS, bạn có thể ký các yêu cầu này bằng thông tin xác thực bảo mật tạm thời mà bạn nhận từ Dịch vụ thẻ bảo mật AWS (AWS STS). Để làm việc này, thực hiện như sau:

  • Sử dụng ID khóa truy cập và khóa truy cập bí mật được cung cấp kèm thông tin xác thực bảo mật tạm thời theo cách giống như cách bạn làm khi sử dụng thông tin xác thực dài hạn để ký một yêu cầu. Để biết thêm thông tin về ký yêu cầu HTTPS API, xem Ký yêu cầu API AWS trong phần Tài liệu tham khảo chung của AWS.
  • Sử dụng mã thông báo phiên được cung cấp kèm thông tin xác thực bảo mật tạm thời. Đưa mã thông báo phiên vào phần tiêu đề "x-amz-security-token". Xem ví dụ yêu cầu dưới đây.
    • Đối với Amazon S3, thông qua tiêu đề HTTP "x-amz- security-token". 
    • Đối với dịch vụ AWS khác, thông qua tham số SecurityToken.

Câu hỏi: Dịch vụ AWS nào chấp nhận thông tin xác thực bảo mật tạm thời?
Để biết danh sách dịch vụ được hỗ trợ, xem Dịch vụ AWS hoạt động với IAM.

Câu hỏi: Kích thước tối đa của chính sách truy cập tôi có thể xác chỉ định khi yêu cầu cấp thông tin xác thực bảo mật tạm thời bằng bao nhiêu (GetFederationToken hoặc AssumeRole)?
Phần văn bản riêng của chính sách phải bằng 2.048 byte hoặc ngắn hơn. Tuy nhiên tính năng chuyển đổi nội bộ sẽ nén nó thành định dạng nhị phân đóng gói với một giới hạn riêng.

Câu hỏi: Có thể thu hồi thông tin xác thực bảo mật tạm thời trước khi nó hết hạn không?
Không. Khi yêu cầu cấp thông tin xác thực tạm thời, chúng tôi khuyến cáo như sau:

  • Khi tạo thông tin xác thực bảo mật tạm thời, thiết lập thời gian hết hạn ở một giá trị phù hợp với ứng dụng của bạn.
  • Bởi vì quyền của tài khoản gốc không thể bị giới hạn, sử dụng một người dùng IAM và không phải tài khoản gốc để tạo thông tin xác thực bảo mật tạm thời. Bạn có thể thu hồi quyền của người dùng IAM đã phát hành truy vấn gốc để yêu cầu quyền đó. Hành động này gần như lập tức thu hồi đặc quyền cho toàn bộ các thông tin xác thực bảo mật tạm thời do người dùng IAM đó cấp

Câu hỏi: Tôi có thể kích hoạt lại hoặc gia hạn thời gian hết hạn của thông tin xác thực bảo mật tạm thời không?
Không. Cách làm phù hợp là nên tích cực kiểm tra thời hạn và yêu cầu cấp thông tin xác thực bảo mật tạm thời mới trước khi thông tin cũ hết hạn. Quá trình luân chuyển này được tự động quản lý cho bạn khi thông tin xác thực bảo mật tạm thời được dùng trên các vai trò dành cho phiên bản EC2.

Câu hỏi: Thông tin xác thực bảo mật tạm thời có được hỗ trợ ở tất cả các vùng không?
Khách hàng có thể yêu cầu mã thông báo từ các điểm cuối AWS STS ở tất cả các vùng, bao gồm AWS GovCloud (US) và Trung Quốc (Bắc Kinh). Chỉ có thể sử dụng thông tin xác thực tạm thời từ AWS GovCloud (US) và Trung Quốc (Bắc Kinh) ở vùng chúng được tạo ra. Thông tin xác thực tạm thời được yêu cầu từ vùng khác như Miền Đông Hoa Kỳ (Bắc Virginia) hoặc châu Âu (Ai-len) có thể được dùng ở tất cả các vùng trừ AWS GovCloud (US) và Trung Quốc (Bắc Kinh).

Câu hỏi: Tôi có thể giới hạn sử dụng thông tin xác thực bảo mật tạm thời ở một vùng hoặc một nhóm phụ các vùng không?

Không. Bạn không thể giới hạn thông tin xác thực tạm thời ở một vùng hoặc nhóm phụ các vùng, trừ thông tin xác thực bảo mật tạm thời từ AWS GovCloud (US) và Trung Quốc (Bắc Kinh), chỉ có thể sử dụng thông tin này ở những vùng liên quan mà chúng được tạo ra.

Câu hỏi: Tôi cần làm gì trước khi có thể bắt đầu sử dụng một điểm cuối AWS STS?

Điểm cuối AWS STS mặc định hoạt động ở tất cả các vùng và bạn có thể bắt đầu sử dụng chúng mà không cần phải làm gì thêm.

Câu hỏi: Điều gì xảy ra nếu tôi cố sử dụng một điểm cuối AWS STS khu vực đã được hủy kích hoạt cho tài khoản AWS?

Nếu bạn cố sử dụng một điểm cuối AWS STS khu vực đã được hủy kích hoạt cho tài khoản AWS của bạn, bạn sẽ thấy một ngoại lệ Từ chối truy cập từ AWS STS với thông điệp sau: “AWS STS chưa được kích hoạt ở vùng này cho tài khoản: ID tài khoản. Quản trị viên tài khoản của bạn có thể kích hoạt AWS STS ở vùng này bằng cách sử dụng bảng điều khiển IAM.”

Câu hỏi: Cần có quyền nào để kích hoạt hoặc hủy kích hoạt các vùng AWS STS từ trang Thiết lập tài khoản?

Chỉ người dùng nào có tối thiểu quyền iam:* mới có thể kích hoạt hoặc hủy kích hoạt các vùng AWS STS từ trang Thiết lập tài khoản trong bảng điều khiển IAM. Lưu ý rằng điểm cuối AWS STS ở Miền Đông Hoa Kỳ (Bắc Virginia), AWS GovCloud (US) và Trung Quốc (Bắc Kinh) luôn hoạt động và không thể hủy kích hoạt.

Câu hỏi: Tôi có thể sử dụng API hoặc CLI để kích hoạt hoặc hủy kích hoạt các vùng AWS STS không?

Không. Tại thời điểm này không hỗ trợ API hoặc CLI để kích hoạt hoặc hủy kích hoạt các vùng AWS STS. Chúng tôi dự kiến sẽ hỗ trợ API và CLI trong một bản phát hành trong tương lai.


Câu hỏi: Thế nào là liên kết danh tính?
Quản lý danh tính và truy cập AWS (IAM) hỗ trợ liên kết danh tính cho truy cập được ủy thác tới Bảng điều khiển quản lý AWS hoặc các API AWS. Với liên kết danh tính, các danh tính bên ngoài được cấp quyền truy cập bảo mật tới tài nguyên trên tài khoản AWS của bạn mà không phải tạo người dùng IAM mới. Các danh tính bên ngoài này có thể đến từ đơn vị cung cấp danh tính doanh nghiệp của bạn (chẳng hạn như Thư mục hoạt động Microsoft hoặc từ Dịch vụ thư mục AWS) hoặc từ một đơn vị cung cấp danh tính trên web (chẳng hạn như Amazon Cognito, Login with Amazon, Facebook, Google hoặc bất kỳ đơn vị cung cấp dịch vụ tương thích với OpenID Connect).

Câu hỏi: Thế nào là người dùng liên kết?
Người dùng liên kết (danh tính bên ngoài) là người dùng bạn quản lý bên ngoài AWS trong thư mục doanh nghiệp của bạn nhưng là người bạn muốn cấp quyền truy cập đến tài khoản AWS của bạn bằng cách sử dụng thông tin xác thực bảo mật tạm thời. Chúng khác với người dùng IAM, vốn được tạo ra và duy trì trên tài khoản AWS của bạn.

Câu hỏi: Bạn có hỗ trợ SAML không?
Có, AWS hỗ trợ Ngôn ngữ đánh dấu chèn bảo mật (SAML) 2.0.

Câu hỏi: AWS hỗ trợ những cấu hình SAML nào?
Điểm cuối AWS single sign-on (SSO) hỗ trợ Cấu hình WebSSO SAML liên kết HTTP-POST do IdP khởi tạo. Điều này cho phép người dùng liên kết đăng nhập vào Bảng điều khiển quản lý AWS bằng một xác nhận SAML. Cũng có thể sử dụng một xác nhận SAML để yêu cầu cấp thông tin xác thực bảo mật tạm thời bằng cách sử dụng AssumeRoleWithSAML API. Để biết thêm thông tin, xem Giới thiệu về Liên kết dựa trên SAML 2.0.

Câu hỏi: Người dùng liên kết có thể truy cập các API AWS không?
Có. Bạn có thể yêu cầu thông tin xác thực bảo mật tạm thời theo lập trình cho người dùng liên kết để cấp cho họ quyền truy cập bảo mật và trực tiếp đến các API AWS. Chúng tôi đã cung cấp một ứng dụng mẫu để minh họa cách bạn kích hoạt liên kết danh tính, cung cấp cho người dùng được duy trì bởi Thư mục hoạt động Microsoft quyền truy cập đến các API Dịch vụ AWS. Để biết thêm thông tin, xem Sử dụng thông tin xác thực bảo mật tạm thời để yêu cầu truy cập đến tài nguyên AWS.

Câu hỏi: Người dùng liên kết có thể truy cập Bảng điều khiển quản lý AWS không?
Có. Có một vài cách để làm việc này. Một cách là yêu cầu cấp thông tin xác thực bảo mật tạm thời theo lập trình (chẳng hạn như GetFederationToken hoặc AssumeRole) cho người dùng liên kết của bạn và coi những thông tin xác thực đó như một phần của yêu cầu đăng nhập vào Bảng điều khiển quản lý AWS. Sau khi xác thực một người dùng và cấp cho họ thông tin xác thực bảo mật tạm thời, bạn tạo một thẻ bảo mật đăng nhập, thẻ này được điểm cuối AWS single sign-on (SSO) sử dụng. Hành động của người dùng trên bảng điểu khiển bị giới hạn theo chính sách kiểm soát truy cập liên kết với thông tin xác thực bảo mật tạm thời.  Để biết thêm chi tiết, xem Tạo một URL giúp người dùng liên kết truy cập Bảng điều khiển quản lý AWS (Trình quản lý liên kết tùy chỉnh).

Cách khác, bạn có thể dán một xác nhận SAML trực tiếp vào thông tin đăng nhập AWS (https://signin.aws.amazon.com/saml). Hành động của người dùng trên bảng điểu khiển bị giới hạn theo chính sách kiểm soát truy cập liên kết với vai trò IAM được giả định bằng cách sử dụng xác nhận SAML. Để biết thêm chi tiết, xem Cho phép người dùng liên kết SAML 2.0 truy cập Bảng điều khiển quản lý AWS.

Sử dụng một trong hai cách này sẽ cho phép người dùng liên kết truy cập bảng điều khiển mà không phải đăng nhập bằng tên người dùng và mật khẩu. Chúng tôi đã cung cấp một ứng dụng mẫu để minh họa cách bạn kích hoạt liên kết danh tính, cung cấp cho người dùng được duy trì bởi Thư mục hoạt động Microsoft quyền truy cập đến Bảng điều khiển quản lý AWS. 

Câu hỏi: Tôi kiểm soát những gì người dùng liên kết được phép làm khi đăng nhập vào bảng điều khiển bằng cách nào?
Khi bạn yêu cầu cấp thông tin xác thực bảo mật tạm thời cho người dùng liên kết bằng một API AssumeRole, bạn có thể lựa chọn gửi một chính sách truy cập cùng yêu cầu. Đặc quyền của người dùng liên kết là phần giao nhau của các quyền được cấp bởi chính sách truy cập được gửi cùng yêu cầu và chính sách truy cập được gán cho vai trò IAM được giả định. Chính sách truy cập gửi cùng yêu cầu không thể tăng đặc quyền liên kết với vai trò IAM được giả định. Khi yêu cầu cấp thông tin xác thực bảo mật tạm thời cho người dùng liên kết bằng một GetFederationToken API, bạn phải cung cấp chính sách kiểm soát truy cập cùng yêu cầu. Đặc quyền của người dùng liên kết là phần giao nhau của các quyền được cấp bởi chính sách truy cập được gửi cùng yêu cầu và chính sách truy cập được gán cho người dùng IAM được sử dụng để thực hiện yêu cầu. Chính sách truy cập gửi cùng yêu cầu không thể tăng đặc quyền liên kết với người dùng IAM được sử dụng để thực hiện yêu cầu. Các quyền người dùng liên kết này áp dụng với cả truy cập API và hành động được thực hiện trong Bảng điều khiển quản lý AWS.

Câu hỏi: Người dùng liên kết cần có quyền gì để sử dụng bảng điều khiển?
Người dùng yêu cầu cấp quyền để truy cập API dịch vụ AWS do Bảng điều khiển quản lý AWS truy vấn. Các quyền phổ biến cần có để truy cập dịch vụ AWS được ghi lại trong Sử dụng thông tin xác thực bảo mật tạm thời để yêu cầu quyền truy cập tài nguyên AWS.

Câu hỏi: Làm cách nào để kiểm soát thời lượng người dùng liên kết có quyền truy cập đến Bảng điều khiển quản lý AWS?
Tùy thuộc vào API được dùng để tạo thông tin xác thực bảo mật tạm thời, bạn có thể xác lập một giới hạn phiên từ 15 phút đến 36 giờ (cho GetFederationToken và GetSessionToken) và từ 15 phút đến 12 giờ (cho các API AssumeRole*), trong thời gian này người dùng liên kết có thể truy cập bảng điều khiển. Khi phiên hết hạn, người dùng liên kết phải yêu cầu một phiên mới bằng cách quay về người cung cấp danh tính, tại đây bạn có thể cấp lại cho họ quyền truy cập. Tìm hiểu thêm về thiết lập thời gian của phiên.  

Câu hỏi: Điều gì xảy ra khi phiên của bảng điều khiển liên kết danh tính hết hạn?
Người dùng sẽ thấy một thông báo cho biết phiên của bảng điều khiển đã hết hạn và họ cần yêu cầu một phiên mới. Bạn có thể chỉ định một URL để hướng người dùng đến trang web nội bộ cục bộ của bạn, tại đây họ có thể yêu cầu một phiên mới. Bạn thêm URL này khi bạn chỉ định một tham số Người phát hành và coi đó là một phần của yêu cầu đăng nhập. Để biết thêm thông tin, xem Cho phép người dùng liên kết SAML 2.0 truy cập Bảng điều khiển quản lý AWS.

Câu hỏi: Tôi có thể cấp quyền truy cập đến bảng điều khiển quản lý AWS cho bao nhiêu người dùng liên kết?
Không giới hạn số lượng người dùng liên kết có thể được cấp quyền truy cập đến bảng điều khiển.

Câu hỏi: Thế nào là liên kết danh tính web?

Liên kết danh tính web cho phép bạn tạo ra các ứng dụng di động do AWS vận hành trong đó sử dụng các đơn vị cung cấp danh tính công cộng (chẳng hạn như Amazon Cognito, Login with Amazon, Facebook, Google hoặc bất kỳ đơn vị cung cấp danh tính tương thích với OpenID Connect) nào để xác thực. Với liên kết danh tính web, bạn có thể dễ dàng tích hợp thông tin đăng nhập từ đơn vị cung cấp danh tính công cộng (IdP) vào ứng dụng của bạn mà không phải viết bất kỳ đoạn mã phía máy chủ nào và không phải cung cấp thông tin xác thực bảo mật AWS dài hạn nào kèm ứng dụng.

Để biết thêm thông tin về liên kết danh tính web và để bắt đầu, xem Giới thiệu về liên kết danh tính web.

 

Câu hỏi: Tôi kích hoạt liên kết danh tính web bằng tài khoản từ các IdP công cộng bằng cách nào?

Để có kết quả tốt nhất, sử dụng Amazon Cognito làm trung gian danh tính của bạn cho hầu hết các kịch bản liên kết danh tính web. Amazon Cognito dễ sử dụng và cung cấp các tính năng bổ sung như truy cập ẩn danh (không được xác thực) và đồng bộ dữ liệu người dùng trên các thiết bị và đơn vị cung cấp danh tính. Tuy nhiên, nếu bạn đã tạo một ứng dụng sử dụng liên kết danh tính web bằng cách truy vấn thủ công API AssumeRoleWithWebIdentity, bạn có thể tiếp tục sử dụng nó và ứng dụng của bạn vẫn hoạt động.

Sau đây là các bước cơ bản để kích hoạt liên kết danh tính bằng cách sử dụng một trong các IdP web được hỗ trợ:

  1. Đăng ký với tư cách là nhà phát triển bằng IdP và cấu hình ứng dụng với IdP, người cung cấp cho bạn một ID duy nhất cho ứng dụng của bạn.
  2. Nếu bạn sử dụng IdP tương thích với OIDC, tạo một thực thể đơn vị cung cấp danh tính cho IdP trên IAM.
  3. Trên AWS, tạo một hay nhiều vai trò IAM. 
  4. Trên ứng dụng của bạn, xác thực người dùng với IdP công cộng.
  5. Trên ứng dụng của bạn, thực hiện một truy vấn không ký xác nhận đến API AssumeRoleWithWebidentity để yêu cầu cấp thông tin xác thực bảo mật tạm thời. 
  6. Sử dụng thông tin xác thực bảo mật tạm thời bạn nhận được từ phản hồi AssumeRoleWithWebidentity, ứng dụng của bạn thực hiện các yêu cầu có ký xác nhận đến API AWS.
  7. Ứng dụng của bạn lưu vào bộ nhớ đệm thông tin xác thực bảo mật tạm thời để bạn không phải nhận thông tin mới mỗi lần ứng dụng cần để gửi yêu cầu đến AWS.

Để biết thêm các bước chi tiết, xem Sử dụng API liên kết danh tính web cho ứng dụng di động.

Câu hỏi: Liên kết danh tính sử dụng Dịch vụ thư mục AWS có khác biệt gì với sử dụng giải pháp quản lý của bên thứ ba?

Nếu bạn muốn người dùng liên kết của bạn chỉ có thể truy cập Bảng điều khiển quản lý AWS, sử dụng Dịch vụ thư mục AWS sẽ cung cấp các tính năng tương tự so với sử dụng giải pháp quản lý danh tính của bên thứ ba. Người dùng cuối cùng có thể đăng nhập bằng thông tin xác thực doanh nghiệp hiện có và truy cập Bảng điều khiển quản lý AWS. Do Dịch vụ thư mục AWS là một dịch vụ được quản lý, khách hàng không cần thiết lập hay quản lý hạ tầng liên kết mà sẽ cần tạo một thư mục AD Connector để tích hợp với thư mục đặt tại cơ sở. Nếu bạn quan tâm đến việc cấp cho người dùng liên kết quyền truy cập đến API AWS, sử dụng sản phẩm của bên thứ ba hoặc triển khai máy chủ proxy của bạn.


Câu hỏi: Tính phí AWS có cung cấp tổng lượng sử dụng cộng dồn và chi tiết phí theo người dùng không?
Không, tính năng này hiện không được hỗ trợ.

Câu hỏi: Dịch vụ IAM có tính phí không?
Không, đây là một tính năng của tài khoản AWS của bạn được cung cấp không tính thêm phí.

Câu hỏi: Ai trả phí cho lượng sử dụng phát sinh bởi người dùng thuộc một tài khoản AWS?
Chủ tài khoản AWS kiểm soát và chịu trách nhiệm về toàn bộ lượng sử dụng, dữ liệu và tài nguyên thuộc tài khoản.

Câu hỏi: Hoạt động của người dùng bị tính phí có được ghi lại trong dữ liệu sử dụng AWS không?
Hiện tại thì không. Dự kiến sẽ có tính năng này ở phiên bản phát hành trong tương lai.

Câu hỏi: IAM so với Tính phí hợp nhất như thế nào?
IAM và Tính phí hợp nhất là các tính năng bổ trợ nhau. Tính phí hợp nhất cho phép bạn hợp nhất thanh toán cho nhiều tài khoản AWS trong công ty của bạn bằng cách chỉ định một tài khoản thanh toán. Phạm vi của IAM không liên quan đến Tính phí hợp nhất. Một người dùng tồn tại bên trong phạm vi của một tài khoản AWS và không có quyền trên các tài khoản liên kết khác nhau. Để biết thêm chi tiết, xem Trả hóa đơn cho nhiều tài khoản bằng tính năng Tính phí hợp nhất.

Câu hỏi: Một người dùng có thể truy cập thông tin tính phí các tài khoản AWS không?
Có, nhưng chỉ khi bạn cho phép họ. Để người dùng IAM truy cập thông tin tính phí, trước tiên bạn phải cấp quyền truy cập đến Hoạt động tài khoản hoặc Báo cáo lượng sử dụng. Xem Kiểm soát truy cập.


Câu hỏi: Điều gì xảy ra nếu người dùng cố truy cập một dịch vụ chưa được tích hợp với IAM?
Dịch vụ trả về lỗi "Từ chối truy cập".

Câu hỏi: Các hoạt động IAM có được ghi lại để kiểm toán không?
Có. Bạn có thể ghi lại các hoạt động IAM, hoạt động STS và các lần đăng nhập Bảng điều khiển quản lý AWS bằng cách kích hoạt AWS CloudTrail. Để tìm hiểu thêm về ghi nhật ký AWS, xem AWS CloudTrail.

Câu hỏi: Có bất kỳ sự khác biệt nào giữa con người và đại lý phần mềm trong vai trò thực thể AWS không?
Không, cả hai thực thể này được coi như người dùng có thông tin xác thực bảo mật và các quyền. Tuy nhiên, con người là thực thể duy nhất sử dụng mật khẩu trên Bảng điều khiển quản lý AWS.

Câu hỏi: Người dùng có tương tác với Trung tâm hỗ trợ AWS và Trusted Advisor không?
Có, người dùng IAM có khả năng tạo và chỉnh sửa các trường hợp hỗ trợ cũng như sử dụng AWS Support Center.

Câu hỏi: Có bất kỳ hạn mức mặc định nào được liên kết với IAM không?
Có, mặc định tài khoản AWS của bạn có hạn mức ban đầu được thiết lập cho tất cả các thực thể liên quan đến IAM. Để biết chi tiết, xem Hạn mức về thực thể và đối tượng IAM.

Các hạn mức này có khả năng thay đổi. Nếu bạn yêu cầu tăng lên, bạn có thể truy cập biểu mẫu Tăng hạn mức dịch vụ thông qua trang Liên hệ với chúng tôi rồi chọn Nhóm và người dùng IAM từ danh sách thả xuống Kiểu hạn mức.


Câu hỏi: AWS MFA là gì?
Xác thực đa yếu tố AWS (AWS MFA) cung cấp thêm mức bảo mật để bạn có thể áp dụng với môi trường AWS. Bạn có thể kích hoạt AWS MFA cho tài khoản AWS của bạn và cho người dùng Quản lý danh tính và truy cập (IAM) AWS bạn tạo trên tài khoản của mình.

Câu hỏi: AWS MFA hoạt động như thế nào?
Có 2 cách chính để xác thực một thiết bị AWS MFA:

  • Người dùng Bảng điều khiển quản lý AWS: Khi một người dùng có MFA được kích hoạt đăng nhập vào trang web AWS, người dùng sẽ được nhắc nhập tên người dùng và mật khẩu (yếu tố đầu tiên–những gì họ biết) và câu trả lời xác thực từ thiết bị AWS MFA của họ (yếu tố thứ hai–những gì họ có). Toàn bộ các trang web AWS cần đăng nhập, chẳng hạn như Bảng điều khiển quản lý AWS, hỗ trợ đầy đủ AWS MFA. Bạn cũng có thể sử dụng AWS MFA cùng với xóa bảo mật Amazon S3 để tăng cường bảo vệ các phiên bản được lưu trữ S3 của bạn.
  • Người dùng AWS API: Bạn có thể thực thi xác thực MFA bằng cách thêm các giới hạn MFA vào chính sách IAM. Để truy cập các API và tài nguyên được bảo vệ theo cách này, nhà phát triển có thể yêu cầu cấp thông tin xác thực bảo mật tạm thời và gửi tham số MFA tùy chọn kèm theo các yêu cầu API của Dịch vụ thẻ bảo mật AWS (STS) (dịch vụ phát hành thông tin xác thực bảo mật tạm thời). Có thể sử dụng thông tin xác thực bảo mật tạm thời được MFA thẩm định để truy vấn các API và tài nguyên được MFA bảo vệ. Lưu ý: AWS STS và các API được bảo vệ bởi MFA hiện không hỗ trợ khóa bảo mật U2F như MFA.

Câu hỏi: Sử dụng MFA như thế nào để giúp bảo vệ tài nguyên AWS của tôi?
Làm theo 2 bước dễ thực hiện sau:

1. Mua thiết bị MFA. Bạn có ba lựa chọn:

  • Mua khóa bảo mật YubiKey phần cứng của Yubico, một nhà cung cấp bên thứ ba.
  • Mua một thiết bị phần cứng từ Gemalto, một nhà cung cấp bên thứ ba.
  • Cài ứng dụng tương thích MFA ảo trên thiết bị chẳng hạn như điện thoại thông minh của bạn.

Truy cập trang AWS MFA để biết chi tiết về cách mua phần cứng hoặc thiết bị MFA ảo.

2. Sau khi có thiết bị MFA, bạn phải kích hoạt thiết bị này trên bảng điều khiển IAM. Bạn cũng có thể sử dụng AWS CLI để kích hoạt MFA ảo và MFA phần cứng (thiết bị Gemalto) dành cho người dùng IAM. Lưu ý: AWS CLI hiện không hỗ trợ kích hoạt khóa bảo mật U2F.

Câu hỏi: Sử dụng AWS MFA có phải trả phí không?
AWS không tính thêm bất kỳ khoản phí nào khi sử dụng AWS MFA với tài khoản AWS của bạn. Tuy nhiên, nếu bạn muốn sử dụng thiết bị MFA hữu hình thì bạn cần phải mua thiết bị MFA tương thích với AWS MFA từ Gemalto hoặc Yubico, là các nhà cung cấp bên thứ ba. Để biết thêm chi tiết, vui lòng truy cập trang web của Yubico hoặc Gemalto.

Câu hỏi: Tôi có thể kích hoạt nhiều thiết bị MFA cho tài khoản AWS của tôi không?
Có. Mỗi người dùng IAM có thể có thiết bị riêng MFA của mình. Tuy nhiên, bạn chỉ có thể liên kết mỗi danh tính (người dùng IAM hoặc tài khoản gốc) với một thiết bị MFA duy nhất.

Câu hỏi: Tôi có thể sử dụng khóa bảo mật U2F của tôi cho nhiều tài khoản AWS không?

Có. AWS cho phép bạn sử dụng một khóa bảo mật U2F với nhiều tài khoản gốc và người dùng IAM trên nhiều tài khoản.

Câu hỏi: Tôi có thể sử dụng MFA ảo, phần cứng hoặc SMS với nhiều tài khoản AWS không?
Không. Thiết bị MFA hoặc số điện thoại di động liên kết với MFA ảo, phần cứng hoặc SMS được gắn liền với một danh tính AWS cá nhân (người dùng IAM hoặc tài khoản gốc). Nếu bạn có một ứng dụng tương thích với TOTPđược cài trên điện thoại thông minh, bạn có thể tạo nhiều thiết bị MFA ảo trên cùng một điện thoại thông minh. Mỗi một thiết bị MFA ảo được liên kết với một danh tính, giống như một thiết bị MFA phần cứng (Gemalto) vậy. Nếu bạn hủy liên kết (hủy kích hoạt) thiết bị MFA, khi đó bạn có thể sử dụng lại thiết bị đó với một danh tính AWS khác. Hiện tại, bạn không thể sử dụng thiết bị MFA liên kết với MFA phần cứng đồng thời cho nhiều danh tính.

Câu hỏi: Tôi đã có một thiết bị MFA phần cứng (Gemalto) tại cơ quan hoặc từ một dịch vụ khác tôi sử dụng, tôi có thể sử dụng lại thiết bị này với AWS MFA không?
Không. AWS MFA phụ thuộc vào việc biết một mã duy nhất được liên kết với thiết bị MFA phần cứng (Gemalto) của bạn để hỗ trợ sử dụng thiết bị này. Do những giới hạn bảo mật quy định không bao giờ được chia sẻ các mã đó giữa các bên khác nhau, AWS MFA không thể hỗ trợ việc sử dụng thiết bị Gemalto hiện hành của bạn. Chỉ có thể sử dụng thiết bị MFA phần cứng tương thích mua từ Gemalto với AWS MFA. Bạn có thể sử dụng lại khóa bảo mật U2F có sẵn với AWS MFA, do khóa bảo mật U2F không chia sẻ bất kỳ bí mật gì giữa các bên.

Câu hỏi: Tôi đang gặp vấn đề với việc đặt mua một thiết bị MFA bằng cách sử dụng trang web của nhà cung cấp bên thứ ba. Tôi có thể nhận trợ giúp ở đâu?
Dịch vụ khách hàng của Yubico hoặc Gemalto có thể hỗ trợ bạn.

Câu hỏi: Tôi nhận được thiết bị MFA bị lỗi hoặc bị hỏng từ nhà cung cấp bên thứ ba. Tôi có thể nhận trợ giúp ở đâu?
Dịch vụ khách hàng của Yubico hoặc Gemalto có thể hỗ trợ bạn.

Câu hỏi: Tôi mới nhận được thiết bị MFA từ nhà cung cấp bên thứ ba. Tôi nên làm gì?
Bạn chỉ cần kích hoạt thiết bị MFA để bật AWS MFA cho tài khoản AWS của bạn. Hãy xem bảng điều khiển IAM để thực hiện việc này.

Câu hỏi: Thế nào là thiết bị MFA ảo?
Thiết bị MFA ảo là một đầu vào được tạo ra trên một ứng dụng phần mềm tương thích với TOTP, có thể tạo mã xác thực gồm 6 chữ số. Ứng dụng phần mềm có thể chạy trên bất kỳ thiết bị điện toán tương thích nào, chẳng hạn như một chiếc điện thoại thông minh.

Câu hỏi: Đâu là sự khác biệt giữa thiết bị MFA ảo và thiết bị MFA hữu hình?
Thiết bị MFA ảo sử dụng giao thức tương tự như thiết bị MFA hữu hình. Thiết bị MFA ảo dựa trên phần mềm và có thể chạy trên thiết bị hiện hành của bạn chẳng hạn như điện thoại thông minh. Phần lớn các ứng dụng MFA ảo cũng cho phép bạn kích hoạt nhiều hơn một thiết bị MFA ảo, làm cho chúng dễ sử dụng hơn các thiết bị MFA ảo.

Câu hỏi: Tôi có thể sử dụng ứng dụng MFA ảo nào với AWS MFA?
Bạn có thể sử dụng những ứng dụng tạo được mã xác thực tương thích với TOTP, ví dụ như ứng dụng Công cụ xác thực của Google, với AWS MFA. Bạn có thể cung cấp thiết bị MFA ảo tự động bằng cách sử dụng máy ảnh của thiết bị để quét một mã QR hoặc bằng cách nhập thủ công thông tin trên ứng dụng MFA ảo.

Truy cập trang MFA để biết danh sách ứng dụng MFA ảo được hỗ trợ.

Câu hỏi: Thế nào là mã QR?
Mã QR là mã vạch 2D có thể đọc được bằng máy đọc mã vạch QR chuyên dụng và phần lớn điện thoại thông minh. Mã này gồm các hình vuông màu đen được sắp xếp theo các cấu trúc vuông lớn hơn trên nền trắng. Mã QR chứa thông tin bảo mật cần thiết để cung cấp một thiết bị MFA ảo trên ứng dụng MFA ảo của bạn.

Câu hỏi: Tôi cung cấp một thiết bị MFA ảo mới bằng cách nào?
Bạn có thể cấu hình một thiết bị MFA ảo mới trên bảng điều khiển IAM cho người dùng IAM cũng như cho tài khoản gốc AWS của bạn. Bạn cũng có thể sử dụng lệnh aws iam create-virtual-mfa-device trên AWS CLI hoặc API CreateVirtualMFADevice để cung cấp thiết bị MFA ảo mới trên tài khoản của bạn. Aws iam create-virtual-mfa-device và API CreateVirtualMFADevice trả về thông tin cấu hình cần thiết, gọi là thông tin do người dùng nhập, để cấu hình thiết bị MFA ảo trên ứng dụng tương thích với AWS MFA của bạn. Bạn có thể trực tiếp cấp cho người dùng IAM quyền truy vấn API này hoặc tiến hành cung cấp lần đầu cho họ.

Câu hỏi: Tôi nên xử lý và phân phối vật liệu thông tin do người dùng nhập cho thiết bị MFA ảo như thế nào?

Bạn cần coi vật liệu thông tin do người dùng nhập giống như bất kỳ mã nào khác (ví dụ: khóa bí mật và mật khẩu AWS).

Câu hỏi: Làm cách nào có thể kích hoạt một người dùng IAM để quản lý thiết bị MFA ảo trên tài khoản của tôi?
Cấp cho người dùng IAM quyền truy vấn API CreateVirtualMFADevice. Bạn có thể sử dụng API này để cung cấp thiết bị MFA ảo mới.

Câu hỏi: Tôi có thể vẫn yêu cầu quyền truy cập xem trước đến SMS MFA không?

Chúng tôi không còn chấp nhận người tham gia mới cho tính năng xem trước SMS MFA. Chúng tôi khuyên bạn nên sử dụng MFA trên tài khoản AWS bằng cách sử dụng khóa bảo mật U2F, thiết bị phần cứng hoặc thiết bị MFA ảo (chạy trên phần mềm).

Câu hỏi: Khi nào tính năng xem trước SMS MFA sẽ kết thúc?

Kể từ ngày 1 tháng 2 năm 2019, AWS sẽ không yêu cầu người dùng IAM phải nhập mã sáu số MFA nếu người dùng IAM đã cài đặt "Thiết bị SMS MFA". Những người dùng này cũng sẽ không được cấp mã SMS khi đăng nhập. Chúng tôi khuyên bạn nên sử dụng MFA bằng cách sử dụng khóa bảo mật U2F, thiết bị phần cứng hoặc thiết bị MFA ảo (chạy trên phần mềm). Bạn có thể tiếp tục sử dụng tính năng này cho đến ngày 31 tháng 1 năm 2019.

Câu hỏi: Tôi kích hoạt AWS MFA ở đâu?
Bạn có thể kích hoạt AWS MFA cho tài khoản AWS và người dùng IAM của bạn trên bảng điều khiển IAM, AWS CLI hoặc bằng cách truy vấn API AWS. Lưu ý: AWS CLI và AWS API hiện không hỗ trợ kích hoạt khóa bảo mật U2F.

Câu hỏi: Tôi cần có thông tin gì để kích hoạt một thiết bị MFA ảo hoặc phần cứng?
Nếu muốn kích hoạt thiết bị MFA bằng bảng điều khiển IAM thì bạn chỉ cần có thiết bị là đủ. Nếu sử dụng AWS CLI hoặc API IAM thì bạn chỉ cần các thông tin sau:

1. Số sê-ri của thiết bị MFA. Định dạng của số sê-ri phụ thuộc vào việc bạn đang sử dụng thiết bị phần cứng hay thiết bị ảo:

– Thiết bị MFA phần cứng: Số sê-ri có trên nhãn mã vạch ở mặt sau của thiết bị.
– Thiết bị MFA ảo: Số sê-ri chính là giá trị Tên tài nguyên Amazon (ARN) được trả về khi bạn chạy lệnh iam-virtualmfadevicecreate trên AWS CLI hoặc truy vấn API CreateVirtualMFADevice.

2. Hai mã MFA liên tiếp được hiển thị bởi thiết bị MFA.

Câu hỏi: Thiết bị MFA của tôi vẫn hoạt động bình thường nhưng tôi không thể kích hoạt thiết bị. Tôi nên làm gì?
Vui lòng liên hệ chúng tôi để được trợ giúp.

Câu hỏi: Nếu tôi kích hoạt AWS MFA cho tài khoản gốc AWS của tôi hoặc người dùng IAM, họ có luôn phải sử dụng MFA để đăng nhập vào Bảng điều khiển quản lý AWS không?
Có. Người dùng xác thực gốc AWS và người dùng IAM phải có sẵn thiết bị MFA của mình vào bất kỳ lúc nào họ cần để đăng nhập bất kỳ trang web AWS nào.

Nếu thiết bị MFA bị mất, hỏng, lấy trộm hoặc không hoạt động, bạn có thể đăng nhập bằng cách sử dụng các yếu tố xác thực thay thế, hủy kích hoạt thiết bị MFAkích hoạt một thiết bị mới. Là biện pháp bảo mật tốt nhất, chúng tôi khuyên bạn nên đổi mật khẩu của tài khoản gốc của bạn.

Nếu người dùng IAM của bạn làm mất hoặc làm hỏng thiết bị MFA hoặc nếu thiết bị bị lấy cắp hoặc không hoạt động, bạn có thể tự mình hủy kích hoạt AWS MFA bằng cách sử dụng bảng điều khiển IAM hoặc AWS CLI.

Câu hỏi: Nếu tôi kích hoạt AWS MFA cho tài khoản gốc AWS của tôi hoặc người dùng IAM, họ có luôn phải hoàn tất thách thức MFA để truy vấn trực tiếp các API AWS không?
Không, việc đó không bắt buộc. Tuy nhiên, bạn phải hoàn tất thách thức MFA nếu bạn dự kiến truy vấn các API được bảo mật bởi truy cập API được bảo vệ bởi MFA.

Nếu bạn truy vấn các API AWS bằng cách sử dụng khóa truy cập cho tài khoản gốc AWS hoặc người dùng IAM, bạn không cần nhập mã MFA. Vì lý do bảo mật, chúng tôi khuyến cáo bạn nên xóa toàn bộ khóa truy cập khỏi tài khoản gốc AWS của bạn và thay vào đó truy vấn các API AWS bằng khóa truy cập cho một người dùng IAM có các quyền cần thiết.

Lưu ý: Khóa bảo mật U2F hiện không hoạt động với các API được bảo vệ bởi MFA và không thể được sử dụng làm MFA cho các API AWS.

Câu hỏi: Làm cách nào để đăng nhập vào Cổng thông tin AWS và Bảng điều khiển quản lý AWS bằng cách sử dụng thiết bị MFA của tôi?
Làm theo 2 bước sau:

Nếu bạn đăng nhập bằng tài khoản gốc AWS, đăng nhập như thường lệ bằng tên người dùng và mật khẩu khi được nhắc. Để đăng nhập dưới dạng người dùng IAM, sử dụng URL cụ thể theo tài khoản và cung cấp tên người dùng và mật khẩu khi được nhắc.

Nếu bạn đã kích hoạt MFA ảo, phần cứng hoặc SMS, hãy nhập mã MFA 6 chữ số xuất hiện trên thiết bị MFA. Nếu bạn đã kích hoạt mã bảo mật U2F, hãy cắm khóa vào cổng USB của máy tính, chờ đến khi khóa nhấp nháy, sau đó chạm vào nút hoặc đĩa vàng trên khóa.

Câu hỏi: AWS MFA có ảnh hưởng đến cách tôi truy cập các API dịch vụ AWS không?
AWS MFA chỉ thay đổi cách người dùng IAM truy cập các API dịch vụ AWS nếu (các) quản trị viên tài khoản chọn kích hoạt truy cập được bảo vệ bởi MFA. Quản trị viên có thể kích hoạt tính năng này để thêm một lớp bảo mật bổ sung cho truy cập đến các API nhạy cảm bằng cách yêu cầu rằng người truy vấn phải xác thực bằng thiết bị AWS MFA. Để biết thêm thông tin, xem tài liệu truy cập API được bảo vệ bởi MFA để biết thêm chi tiết.

Các ngoại lệ khác bao gồm thiết lập phiên bản bộ chứa S3 PUT, thiết lập phiên bản bộ chứa GET và các API đối tượng DELETE, cho phép bạn yêu cầu xác thực MFA để xóa hoặc thay đổi trạng thái phiên bản của bộ chứa. Để biết thêm thông tin, xem tài liệu S3 thảo luận về Cấu hình một Bộ chứa với MFA Delete để biết thêm chi tiết.

Đối với tất cả các trường hợp khác, AWS MFA hiện không thay đổi cách thức bạn truy cập các API dịch vụ AWS.

Lưu ý: Khóa bảo mật U2F hiện không hoạt động với các API được bảo vệ bởi MFA và không thể được sử dụng làm MFA cho các API AWS.

Câu hỏi: Đối với MFA ảo và phần cứng, tôi có thể sử dụng nhiều lần mã MFA được cung cấp không?
Không. Vì lý do bảo mật, bạn chỉ có thể sử dụng mỗi mã MFA do thiết bị MFA ảo hoặc phần cứng của bạn cung cấp một lần.

Câu hỏi: Gần đây tôi được yêu cầu đồng bộ lại thiết bị MFA do mã MFA của tôi bị từ chối. Có cần phải lo lắng về điều này không?
Không, thi thoảng chuyện này vẫn xảy ra. MFA ảo và phần cứng phụ thuộc vào đồng hồ trên thiết bị MFA của bạn đang được đồng bộ với đồng hồ trên máy chủ của chúng tôi. Đôi khi, các đồng hồ này lệch nhau. Nếu xảy ra việc này, khi bạn sử dụng thiết bị MFA để đăng nhập các trang bảo mật truy cập trên trang web AWS hoặc Bảng điều khiển quản lý AWS, AWS sẽ tự động tìm cách đồng bộ lại thiết bị MFA bằng cách yêu cầu bạn phải cung cấp 2 mã MFA liên tiếp (giống hệt như việc bạn làm khi kích hoạt).

Khóa bảo mật U2F không bị mất đồng bộ và không cần đồng bộ lại.

Câu hỏi: Thiết bị MFA của tôi dường như hoạt động bình thường tuy nhiên tôi không thể sử dụng thiết bị để đăng nhập vào Bảng điều khiển quản lý AWS. Tôi nên làm gì?
Nếu bạn đang sử dụng MFA ảo hoặc phần cứng, chúng tôi khuyên bạn nên đồng bộ lại thiết bị MFA cho thông tin xác thực của người dùng IAM của bạn.  Nếu bạn đã cố đồng bộ lại và vẫn gặp vấn đề về đăng nhập, bạn có thể đăng nhập bằng cách sử dụng các yếu tố xác thực thay thế và đặt lại thiết bị MFA.

Nếu bạn đang sử dụng khóa bảo mật U2F, bạn có thể đăng nhập bằng cách sử dụng các yếu tố xác thực thay thế và đặt lại thiết bị MFA.

Nếu bạn vẫn gặp phải các vấn đề, liên hệ với chúng tôi để được trợ giúp.

Câu hỏi: Thiết bị MFA của tôi bị mất, hỏng, lấy cắp hoặc không hoạt động và bây giờ tôi không thể đăng nhập vào Bảng điều khiển quản lý AWS. Tôi nên làm gì?
Nếu thiết bị MFA của bạn được liên kết với một tài khoản gốc AWS:

Câu hỏi: Tôi kích hoạt AWS MFA bằng cách nào?

Để hủy kích hoạt AWS MFA cho tài khoản AWS, bạn có thể hủy kích hoạt thiết bị MFA bằng cách sử dụng trang Thông tin xác thực bảo mật. Để hủy kích hoạt AWS MFA cho người dùng IAM, bạn cần sử dụng bảng điều khiển IAM hoặc AWS CLI.

Câu hỏi: Tôi có thể sử dụng AWS MFA trên GovCloud không?
Có, bạn có thể sử dụng thiết bị MFA ảo và MFA phần cứng AWS trên GovCloud.

Câu hỏi: Thế nào là truy cập API được bảo vệ bởi MFA?
Truy cập API được bảo vệ bởi MFA là tính năng tùy chọn cho phép quản trị viên tài khoản thực thi xác thực bổ sung cho các API do khách hàng xác lập bằng cách yêu cầu người dùng phải cung cấp yếu tố xác thực thứ hai ngoài mật khẩu. Cụ thể, nó cho phép quản trị viên đưa các điều kiện vào trong chính sách IAM để kiểm tra và yêu cầu xác thực MFA mới được truy cập đến các API đã chọn. Người dùng thực hiện truy vấn đến các API này trước tiên phải lấy thông tin xác thực tạm thời biểu thị rằng người dùng đã nhập một mã MFA hợp lệ.

Câu hỏi: Tôi có thể sử dụng khóa bảo mật U2F của tôi cho nhiều API được bảo vệ bởi MFA không?

Không. Các API được bảo vệ bởi MFA hiện không hỗ trợ khóa bảo mật U2F.

Câu hỏi: Truy cập API được bảo vệ bởi MFA giải quyết được những vấn đề gì?
Trước đây, khách hàng có thể yêu cầu MFA cấp quyền truy cập đến Bảng điều khiển quản lý AWS nhưng không thể thực thi các yêu cầu MFA đối với những nhà phát triển và ứng dụng tương tác trực tiếp với các API dịch vụ AWS. Truy cập API được bảo vệ bởi MFA đảm bảo rằng chính sách IAM được thực thi trên quy mô lớn bất kể đường dẫn truy cập . Kết quả là, bây giờ bạn có thể phát triển ứng dụng để sử dụng AWS và nhắc người dùng xác thực MFA trước khi truy vấn các API mạnh mẽ hoặc truy cập tài các nguyên nhạy cảm.

Câu hỏi: Tôi bắt đầu với truy cập API được bảo vệ bởi MFA bằng cách nào?
Bạn có thể bắt đầu theo 2 bước đơn giản:

  1. Gán một thiết bị MFA cho người dùng IAM. Bạn có thể mua một chuỗi khóa phần cứng hoặc tải xuống một ứng dụng miễn phí, tương thích với TOTP cho điện thoại thông minh, máy tính bảng hoặc máy tính của bạn. Xem trang thông tin về MFA để biết thêm thông tin về thiết bị AWS MFA.
  2. Kích hoạt truy cập API được bảo vệ bởi MFA bằng cách tạo các chính sách cấp quyền cho người dùng IAM và/hoặc nhóm IAM mà bạn muốn yêu cầu xác thực MFA. Để tìm hiểu thêm về cú pháp ngôn ngữ của chính sách quyền truy cập, xem tài liệu về ngôn ngữ của chính sách quyền truy cập.

Câu hỏi: Nhà phát triển và người dùng truy cập các API và tài nguyên được bảo mật bằng truy cập API được bảo vệ bởi MFA bằng cách nào?
Nhà phát triển và người dùng tương tác với truy cập API được bảo vệ bởi MFA trên cả Bảng điều khiển quản lý AWS và tại các API.

Trên Bảng điều khiển quản lý AWS, bất kỳ người dùng IAM được kích hoạt bởi MFA phải xác thực với thiết bị của mình để đăng nhập. Người dùng không có MFA sẽ không nhận được quyền truy cập đến các API và tài nguyên được bảo vệ bởi MFA.

Ở cấp API, nhà phát triển có thể tích hợp AWS MFA vào ứng dụng của mình để nhắc người dùng xác thực bằng cách sử dụng thiết bị MFA đã được gán của mình trước khi truy vấn các API mạnh mẽ hoặc truy cập các tài nguyên nhạy cảm. Nhà phát triển kích hoạt tính năng này bằng cách thêm các tham số MFA bổ sung (số sê-ri và mã MFA) vào các yêu cầu để nhận thông tin xác thực bảo mật tạm thời (các yêu cầu đó còn được gọi là “yêu cầu của phiên”). Nếu tham số hợp lệ, thông tin xác thực bảo mật tạm thời chỉ báo trạng thái MFA sẽ được trả về. Xem tài liệu về thông tin xác thực bảo mật tạm thời để biết thêm thông tin.

Câu hỏi: Ai có thể sử dụng truy cập API được bảo vệ bởi MFA?
Truy cập API được bảo vệ bởi MFA được cung cấp miễn phí cho tất cả khách hàng AWS.

Câu hỏi: Truy cập API được bảo vệ bởi MFA hoạt động với những dịch vụ nào?
Truy cập API được bảo vệ bởi MFA được hỗ trợ bởi tất cả các dịch vụ AWS có hỗ trợ thông tin xác thực bảo mật tạm thời. Để biết danh sách các dịch vụ được hỗ trợ, xem Dịch vụ AWS hoạt động với IAM và tham khảo cột có ghi nhãn Hỗ trợ thông tin xác thực bảo mật tạm thời.

Câu hỏi: Điều gì xảy ra nếu người dùng cung cấp thông tin thiết bị MFA không đúng khi yêu cầu cấp thông tin xác thực bảo mật tạm thời?
Yêu cầu cấp thông tin xác thực bảo mật tạm thời thất bại. Những yêu cầu cấp thông tin xác thực bảo mật tạm thời xác lập các tham số MFA phải cung cấp đúng số sê-ri của thiết bị được liên kết với người dùng IAM cũng như mã MFA hợp lệ.

Câu hỏi: Truy cập API được bảo vệ bởi MFA có kiểm soát truy cập API đối với các tài khoản gốc AWS không?
Không, truy cập API được bảo vệ bởi MFA chỉ kiểm soát truy cập đối với người dùng IAM. Tài khoản gốc không bị ràng buộc bởi chính sách IAM và đây là lý do tại sao chúng tôi khuyến cáo bạn nên tạo người dùng IAM để tương tác với các API dịch vụ AWS thay vì sử dụng thông tin xác thực tài khoản gốc AWS.

Câu hỏi: Người dùng có phải có một thiết bị MFA được gán cho họ để sử dụng truy cập API được bảo vệ bởi MFA không?
Có, người dùng trước tiên phải được gán một phần cứng hoặc thiết bị MFA ảo duy nhất.

Câu hỏi: Truy cập API được bảo vệ bởi MFA có tương thích với đối tượng S3, hàng đợi SQS và chủ đề SNS không?
Có.

Câu hỏi: Truy cập API được bảo vệ bởi MFA tương tác với các trường hợp sử dụng MFA hiện hành chẳng hạn như S3 MFA Delete như thế nào?
Truy cập API được bảo vệ bởi MFA và S3 MFA Delete không tương tác với nhau. S3 MFA Delete hiện không hỗ trợ thông tin xác thực bảo mật tạm thời. Thay vào đó, phải thực hiện các truy vấn đến API S3 MFA Delete bằng cách sử dụng khóa truy cập dài hạn.

Câu hỏi: Truy cập API được bảo vệ bởi MFA có hoạt động ở vùng GovCloud (US) không?
Có.

Câu hỏi: Truy cập API được bảo vệ bởi MFA có hoạt động đối với người dùng liên kết không?
Khách hàng không thể sử dụng truy cập API được bảo vệ bởi MFA để kiểm soát truy cập đối với người dùng liên kết. API GetFederatedSession không chấp nhận các tham số MFA. Do người dùng liên kết không thể xác thực bằng thiết bị AWS MFA, họ không thể truy cập tài nguyên được xác lập bằng cách sử dụng truy cập API được bảo vệ bởi MFA.

Câu hỏi: Tôi phải trả phí bao nhiêu khi sử dụng AWS IAM?

IAM là một tính năng được cung cấp miễn phí của tài khoản AWS. Bạn chỉ phải trả phí cho các dịch vụ AWS khác mà người dùng của bạn sử dụng.