Thông tin chung
IAM cung cấp khả năng xác thực và phân quyền cho các dịch vụ AWS. Một dịch vụ sẽ đánh giá nên cho phép hay từ chối yêu cầu AWS. Theo mặc định, quyền truy cập bị từ chối và chỉ được cho phép khi chính sách cấp quyền truy cập một cách rõ ràng. Bạn có thể gán các chính sách cho vai trò và tài nguyên để kiểm soát quyền truy cập trên AWS. Để biết thêm thông tin, hãy xem Tìm hiểu cách IAM hoạt động.
Để bắt đầu sử dụng IAM để quản lý quyền cho các dịch vụ và tài nguyên AWS, hãy tạo một vai trò IAM và cấp quyền cho vai trò đó. Đối với người dùng là lực lượng lao động, hãy tạo một vai trò mà nhà cung cấp danh tính của bạn có thể đảm nhận. Đối với hệ thống, hãy tạo một vai trò mà dịch vụ bạn đang sử dụng có thể đảm nhận, chẳng hạn như Amazon EC2 hoặc AWS Lambda. Sau khi tạo một vai trò, bạn có thể gán chính sách cho vai trò đó để cấp quyền đáp ứng nhu cầu của bạn. Khi mới bắt đầu sử dụng, bạn có thể không biết những quyền cụ thể mà bạn cần nên bạn có thể bắt đầu bằng những quyền khái quát hơn. Chính sách được AWS quản lý cung cấp quyền để giúp bạn bắt đầu sử dụng, đồng thời, những chính sách này có sẵn trong tất cả các tài khoản AWS. Sau đó, giảm bớt các quyền bằng cách xác định chính sách được khách hàng quản lý cụ thể cho các trường hợp sử dụng của bạn. Bạn có thể tạo và quản lý chính sách cũng như vai trò trong bảng điều khiển IAM hoặc thông qua các API của AWS hoặc AWS CLI. Để biết thêm thông tin, hãy xem Bắt đầu sử dụng IAM.
Tài nguyên IAM
Câu hỏi: Vai trò IAM là gì và chúng hoạt động như thế nào?
Các vai trò AWS Identity and Access Management (IAM) cung cấp phương thức truy cập AWS bằng cách dựa vào thông tin xác thực bảo mật tạm thời. Mỗi vai trò có một tập các quyền để thực hiện yêu cầu của dịch vụ AWS, đồng thời, một vai trò không được liên kết với người dùng hoặc nhóm cụ thể. Thay vào đó, các thực thể được ủy thác như nhà cung cấp danh tính hoặc các dịch vụ AWS sẽ đảm nhận vai trò. Để biết thêm thông tin, hãy xem vai trò IAM.
Câu hỏi: Tại sao tôi nên sử dụng vai trò IAM?
Bạn nên sử dụng vai trò IAM để cấp quyền truy cập cho các tài khoản AWS của mình bằng cách dựa vào thông tin xác thực ngắn hạn, đây là phương pháp bảo mật tốt nhất. Những danh tính được phân quyền, có thể là dịch vụ AWS hoặc người dùng từ nhà cung cấp danh tính của bạn, có thể đảm nhận vai trò để thực hiện yêu cầu AWS. Để cấp quyền cho một vai trò, hãy gán chính sách IAM cho vai trò đó. Để biết thêm thông tin, hãy xem Tình huống thường gặp đối với các vai trò.
Câu hỏi: Người dùng IAM là gì và tôi vẫn nên sử dụng chúng chứ?
Người dùng IAM là các danh tính có thông tin xác thực dài hạn. Bạn có thể đang sử dụng người dùng IAM cho người dùng là lực lượng lao động. Trong trường hợp này, AWS khuyến nghị sử dụng nhà cung cấp danh tính và liên kết với AWS bằng cách đảm nhận vai trò. Bạn cũng có thể sử dụng các vai trò để cấp quyền truy cập liên tài khoản cho các dịch vụ và tính năng như hàm AWS Lambda. Trong một số tình huống, bạn có thể yêu cầu người dùng IAM có khóa truy cập chứa thông tin xác thực dài hạn để truy cập vào tài khoản AWS của bạn. Đối với những tình huống này, AWS khuyến nghị sử dụng thông tin truy cập được sử dụng gần đây nhất của IAM để thường xuyên xoay vòng thông tin xác thực cũng như loại bỏ thông tin xác thực hiện không được sử dụng. Để biết thêm thông tin, hãy xem Tổng quan về quản lý nhận dạng AWS: Người dùng.
Câu hỏi: Chính sách IAM là gì?
Chính sách IAM xác định quyền cho các danh tính được bạn gán quyền. Ví dụ: để gán quyền truy cập cho một vai trò IAM, hãy gán chính sách cho vai trò đó. Các quyền được xác định trong chính sách sẽ quyết định cho phép hay từ chối yêu cầu. Bạn cũng có thể gán chính sách cho một số tài nguyên, chẳng hạn như vùng lưu trữ của Simple Storage Service (Amazon S3) để cấp quyền truy cập trực tiếp, liên tài khoản. Đồng thời, bạn có thể gán chính sách cho một tổ chức hoặc đơn vị tổ chức của AWS để hạn chế quyền truy cập trên nhiều tài khoản. AWS đánh giá những chính sách này khi vai trò IAM thực hiện yêu cầu. Để biết thêm thông tin, hãy xem Chính sách dựa trên danh tính.
Cấp quyền truy cập
Câu hỏi: Làm thế nào để cấp quyền truy cập cho các dịch vụ và tài nguyên bằng IAM?
Để cấp quyền truy cập cho các dịch vụ và tài nguyên bằng AWS Identity and Access Management (IAM), hãy gán chính sách IAM cho vai trò hoặc tài nguyên. Bạn có thể bắt đầu bằng cách gán chính sách được AWS quản lý do AWS sở hữu và cập nhật, đồng thời, những chính sách này có sẵn trong tất cả các tài khoản AWS. Nếu biết các quyền cụ thể cần thiết cho trường hợp sử dụng của mình, bạn có thể tạo chính sách được khách hàng quản lý và gán chúng cho vai trò. Một số tài nguyên AWS cung cấp phương thức cấp quyền truy cập bằng cách xác định chính sách được gán cho tài nguyên, chẳng hạn như vùng lưu trữ của Simple Storage Service (Amazon S3). Những chính sách dựa trên tài nguyên này cho phép bạn cấp quyền truy cập trực tiếp, liên tài khoản cho tài nguyên được gán với chính sách đó. Để biết thêm thông tin, hãy xem Quản lý quyền truy cập cho tài nguyên AWS.
Câu hỏi: Làm thế nào để tạo chính sách IAM?
Để ấn định quyền cho một vai trò hoặc tài nguyên, hãy tạo một chính sách là tài liệu JavaScript Object Notation (JSON) để xác định quyền. Tài liệu này bao gồm các câu lệnh về quyền, giúp cấp hoặc từ chối quyền truy cập cho các hành động, tài nguyên và điều kiện dịch vụ cụ thể. Sau khi tạo một chính sách, bạn có thể gán chính sách đó cho một hoặc nhiều vai trò AWS để cấp quyền cho tài khoản AWS của bạn. Để cấp quyền truy cập trực tiếp, liên tài khoản cho tài nguyên, chẳng hạn như vùng lưu trữ của Simple Storage Service (Amazon S3), hãy sử dụng chính sách dựa trên tài nguyên. Tạo chính sách của bạn trong bảng điều khiển IAM hoặc thông qua các API của AWS hoặc AWS CLI. Để biết thêm thông tin, hãy xem Tạo chính sác IAM.
Câu hỏi: Chính sách được AWS quản lý là gì và khi nào tôi nên sử dụng chúng?
Chính sách do AWS quản lý được AWS tạo và quản trị cũng như bao quát những trường hợp sử dụng phổ biến. Để bắt đầu sử dụng, bạn có thể cấp quyền khái quát hơn bằng các chính sách được AWS quản lý có sẵn trong tài khoản AWS của bạn và phổ biến trên tất cả các tài khoản AWS. Sau đó, khi tinh chỉnh các yêu cầu của mình, bạn có thể giảm bớt các quyền bằng cách xác định chính sách được khách hàng quản lý cụ thể cho các trường hợp sử dụng của bạn để đạt mục tiêu thu được quyền với đặc quyền tối thiểu. Để biết thêm thông tin, hãy xem chính sách được AWS quản lý.
Câu hỏi: Chính sách được khách hàng quản lý là gì và khi nào tôi nên sử dụng chúng?
Nếu chỉ cấp các quyền cần thiết để thực hiện tác vụ, bạn có thể tạo những chính sách được khách hàng quản lý cụ thể cho các trường hợp sử dụng và tài nguyên của mình. Sử dụng các chính sách được khách hàng quản lý để tiếp tục tinh chỉnh quyền cho những yêu cầu cụ thể của bạn. Để biết thêm thông tin, hãy xem Chính sách được khách hàng quản lý.
Câu hỏi: Chính sách nội tuyến là gì và khi nào tôi nên sử dụng chúng?
Chính sách nội tuyến được nhúng vào và vốn gắn liền với các vai trò IAM cụ thể. Sử dụng chính sách nội tuyến nếu bạn muốn duy trì mối quan hệ một đối một chặt chẽ giữa chính sách và danh tính gắn với chính sách đó. Ví dụ: bạn có thể cấp quyền quản trị để đảm bảo họ chúng không được gán cho những vai trò khác. Để biết thêm thông tin, hãy xem Chính sách nội tuyến.
Câu hỏi: Chính sách dựa trên tài nguyên là gì và khi nào tôi nên sử dụng chúng?
Chính sách dựa trên tài nguyên là chính sách về quyền được gán cho tài nguyên. Ví dụ: bạn có thể gán chính sách dựa trên tài nguyên cho vùng lưu trữ của Simple Storage Service (Amazon S3), hàng đợi của Amazon SQS, điểm cuối VPC và khóa mã hóa của AWS Key Management Service. Để biết danh sách các dịch vụ hỗ trợ chính sách dựa trên tài nguyên, hãy xem Dịch vụ AWS hoạt động với IAM. Sử dụng chính sách dựa trên tài nguyên để cấp quyền truy cập trực tiếp, liên tài khoản. Nhờ có chính sách dựa trên tài nguyên, bạn có thể xác định ai có quyền truy cập tài nguyên và hành động họ có thể thực hiện với tài nguyên đó. Để biết thêm thông tin, hãy xem Chính sách dựa trên danh tính và chính sách dựa trên tài nguyên.
Câu hỏi: Kiểm soát truy cập dựa trên vai trò (RBAC) là gì?
RBAC cung cấp cho bạn phương thức để ấn định quyền dựa trên chức năng tác vụ của một người, được biết đến bên ngoài AWS dưới dạng vai trò. IAM cung cấp RBAC bằng cách xác định các vai trò IAM có quyền phù hợp với chức năng tác vụ. Sau đó, bạn có thể cấp quyền truy cập cho cá nhân đảm nhận những vai trò này để thực hiện các chức năng tác vụ cụ thể. Nhờ có RBAC, bạn có thể kiểm tra quyền truy cập bằng cách xem xét từng vai trò IAM và quyền được gán với vai trò đó. Để biết thêm thông tin, hãy xem ABAC so với mô hình RBAC truyền thống.
Câu hỏi: Làm thế nào để cấp quyền truy cập bằng RBAC?
Phuơng pháp tốt nhất là chỉ cấp quyền truy cập cho những hành động cụ thể của dịch vụ cũng như tài nguyên cần thiết để thực hiện mỗi tác vụ. Phương pháp này được gọi là cấp đặc quyền tối thiểu. Khi nhân viên thêm tài nguyên mới, bạn phải cập nhật các chính sách để cho phép truy cập vào những tài nguyên đó.
Câu hỏi: Kiểm soát truy cập dựa trên thuộc tính (ABAC) là gì?
ABAC là chiến lược phân quyền để xác định quyền dựa trên thuộc tính. Trong AWS, những thuộc tính này được gọi là thẻ, đồng thời, bạn có thể xác định thẻ trên tài nguyên AWS, vai trò IAM và trong các phiên vai trò. Nhờ có ABAC, bạn có thể xác định tập các quyền dựa trên giá trị của thẻ. Bạn có thể cấp quyền chi tiết cho những tài nguyên cụ thể bằng cách yêu cầu thẻ của vai trò hoặc phiên khớp với thẻ của tài nguyên. Ví dụ: bạn có thể khởi tạo một chính sách cấp cho nhà phát triển quyền truy cập các tài nguyên được gắn thẻ chức danh tác vụ “developers” (nhà phát triển). ABAC hữu ích trong các môi trường phát triển nhanh chóng bằng cách cấp quyền cho tài nguyên khi tạo tài nguyên bằng các thẻ cụ thể. Để biết thêm thông tin, hãy xem Kiểm soát truy cập dựa trên thuộc tính cho AWS.
Câu hỏi: Làm thế nào cấp quyền truy cập bằng ABAC?
Để cấp quyền truy cập bằng ABAC, trước tiên hãy xác định các khóa và giá trị thẻ mà bạn muốn sử dụng để kiểm soát truy cập. Sau đó, đảm bảo vai trò IAM của bạn có khóa và giá trị thẻ thích hợp. Nếu nhiều danh tính sử dụng vai trò này, bạn cũng có thể xác định các khóa và giá trị thẻ của phiên. Sau đó, đảm bảo tài nguyên của bạn có khóa và giá trị thẻ thích hợp. Bạn cũng có thể yêu cầu người dùng tạo tài nguyên bằng các thẻ thích hợp và hạn chế quyền truy cập sửa đổi. Sau khi áp dụng thẻ, hãy xác định một chính sách cấp quyền truy cập cho những hành động và loại tài nguyên cụ thể nhưng chỉ khi thẻ của vai trò hoặc phiên đó khớp với thẻ của tài nguyên. Để xem hướng dẫn chi tiết trình bày cách thức sử dụng ABAC trong AWS, hãy xem Hướng dẫn về IAM: Xác định quyền để truy cập tài nguyên AWS dựa trên thẻ.
Hạn chế quyền truy cập
Câu hỏi: Các chính sách kiểm soát dịch vụ (SCP) của AWS Organizations là gì và khi nào tôi nên sử dụng chúng?
SCP tương tự như các chính sách IAM và sử dụng gần như chung một cú pháp. Tuy nhiên, SCP không cấp quyền. Thay vào đó, SCP cho phép hoặc từ chối quyền truy cập các dịch vụ AWS cho từng tài khoản AWS riêng có tài khoản thành viên của Organizations hoặc cho nhóm tài khoản trong một đơn vị tổ chức. Các hành động được chỉ định từ một SCP ảnh hưởng đến tất cả người dùng và vai trò IAM, bao gồm người dùng root của tài khoản thành viên. Để biết thêm thông tin, hãy xem Logic đánh giá của chính sách.
Phân tích quyền truy cập
Câu hỏi: Làm thế nào để tôi đạt được quyền với đặc quyền tối thiểu?
Khi bắt đầu cấp quyền, bạn có thể bắt đầu bằng những quyền khái quát hơn trong quá trình khám phá và thử nghiệm. Khi trường hợp sử dụng của bạn hoàn thiện hơn, AWS khuyến nghị bạn nên tinh chỉnh quyền sao cho chỉ cấp quyền cần thiết để đạt mục tiêu thu được quyền với đặc quyền tối thiểu. AWS cung cấp công cụ giúp bạn tinh chỉnh quyền. Bạn có thể bắt đầu bằng chính sách được AWS quản lý, được AWS tạo và quản trị cũng như bao gồm các quyền cho những trường hợp sử dụng phổ biến. Khi bạn tinh chỉnh quyền của mình, hãy xác định các quyền cụ thể trong chính sách được khách hàng quản lý. Để giúp xác định các quyền cụ thể mà bạn yêu cầu, hãy sử dụng AWS Identity and Access Management (IAM) Access Analyzer, xem xét nhật ký AWS CloudTrail và kiểm tra thông tin truy cập gần đây nhất. Bạn cũng có thể sử dụng trình giả lập chính sách IAM để kiểm tra và khắc phục sự cố chính sách.
Câu hỏi: IAM Access Analyzer là gì?
Việc đạt được đặc quyền tối thiểu là một chu kỳ liên tục để trao các quyền chi tiết phù hợp khi những yêu cầu của bạn tăng lên. IAM Access Analyzer giúp bạn hợp lý hóa việc quản lý quyền trong từng bước của chu trình này. Tạo chính sách với IAM Access Analyzer để tạo ra một chính sách chi tiết dựa trên hoạt động truy cập được ghi lại trong nhật ký của bạn. Điều này có nghĩa là sau khi bạn xây dựng và chạy một ứng dụng, bạn có thể tạo ra các chính sách chỉ cấp những quyền cần thiết để vận hành ứng dụng. Xác thực chính sách với IAM Access Analyzer sử dụng hơn 100 lượt kiểm tra chính sách để hướng dẫn bạn khởi tạo cũng như xác thực các chính sách bảo mật và theo chức năng. Bạn có thể sử dụng những lượt kiểm tra này trong khi tạo các chính sách mới hoặc để xác thực các chính sách hiện có. Các phát hiện công khai và liên tài khoản với Trình phân tích truy cập của IAM giúp bạn xác minh và tinh chỉnh quyền truy cập được các chính sách tài nguyên cho phép từ bên ngoài tổ chức hoặc tài khoản AWS của bạn. Để biết thêm thông tin, hãy xem Sử dụng Trình phân tích truy cập của IAM.
Câu hỏi: Làm thế nào để loại bỏ các quyền không được sử dụng?
Bạn có thể sở hữu những người dùng, vai trò, quyền IAM mà bạn không còn cần đến trong tài khoản AWS của mình. Chúng tôi khuyến nghị bạn nên loại bỏ chúng để đạt mục tiêu thu được quyền truy cập với đặc quyền tối thiểu. Đối với người dùng IAM, bạn có thể xem xét thông tin mật khẩu và khóa truy cập được sử dụng gần đây nhất. Đối với vai trò, bạn có thể xem xét thông tin vai trò được sử dụng gần đây nhất. Thông tin này có sẵn qua bảng điều khiển IAM, các API và SDK. Thông tin được sử dụng gần đây nhất giúp bạn xác định người dùng và vai trò không còn được sử dụng nữa và do đó có thể được loại bỏ. Bạn cũng có thể tinh chỉnh quyền bằng cách xem xét dịch vụ và thông tin truy cập gần đây nhất để xác định các quyền không được sử dụng. Để biết thêm thông tin, hãy xem Tinh chỉnh quyền trong AWS bằng thông tin truy cập gần đây nhất.
Câu hỏi: Trình giả lập chính sách IAM là gì và khi nào tôi nên sử dụng nó?
Trình giả lập chính sách IAM đánh giá các chính sách mà bạn chọn và xác định các quyền hiệu quả cho từng hành động mà bạn chỉ định. Sử dụng trình giả lập chính sách để kiểm tra và khắc phục sự cố cho các chính sách dựa trên danh tính và dựa trên tài nguyên, giới hạn quyền IAM và SCP. Để biết thêm thông tin, hãy xem Kiểm tra chính sách IAM bằng trình giả lập chính sách IAM.
Khám phá cách bắt đầu sử dụng IAM