Câu hỏi thường gặp về Quản lý danh tính và truy cập (IAM) trong AWS

Các vai trò Quản lý danh tính và truy cập (IAM) trong AWS cung cấp phương thức truy cập AWS bằng cách dựa vào thông tin chứng thực bảo mật tạm thời. Mỗi vai trò có một tập hợp các quyền để thực hiện các yêu cầu của dịch vụ AWS, đồng thời, vai trò sẽ không được liên kết với người dùng hoặc nhóm cụ thể. Thay vào đó, các thực thể được ủy thác như nhà cung cấp danh tính hoặc các dịch vụ AWS sẽ đảm nhận vai trò. Để biết thêm thông tin, hãy xem vai trò IAM.

Bạn nên sử dụng vai trò IAM để cấp quyền truy cập cho các tài khoản AWS của mình bằng cách dựa vào thông tin xác thực ngắn hạn, đây là phương pháp bảo mật tốt nhất. Những danh tính được phân quyền, có thể là dịch vụ AWS hoặc người dùng từ nhà cung cấp danh tính của bạn, có thể đảm nhận vai trò để thực hiện yêu cầu AWS. Để cấp quyền cho một vai trò, hãy gán chính sách IAM cho vai trò đó. Để biết thêm thông tin, hãy xem Tình huống thường gặp đối với các vai trò.

Người dùng IAM là các danh tính có thông tin xác thực dài hạn. Bạn có thể đang sử dụng người dùng IAM cho người dùng là lực lượng lao động. Trong trường hợp này, AWS khuyến nghị sử dụng nhà cung cấp danh tính và liên kết với AWS bằng cách đảm nhận vai trò. Bạn cũng có thể sử dụng các vai trò để cấp quyền truy cập liên tài khoản cho các dịch vụ và tính năng như hàm AWS Lambda. Trong một số tình huống, bạn có thể yêu cầu người dùng IAM có khóa truy cập chứa thông tin chứng thực dài hạn có quyền truy cập vào tài khoản AWS của bạn. Đối với những tình huống này, AWS khuyến nghị sử dụng thông tin truy cập được sử dụng gần đây nhất của IAM để thường xuyên xoay vòng thông tin chứng thực cũng như loại bỏ thông tin chứng thực hiện không được sử dụng. Để biết thêm thông tin, hãy xem Tổng quan về quản lý danh tính trong AWS: Người dùng.

Chính sách IAM xác định quyền cho các thực thể được bạn gán quyền. Ví dụ: để gán quyền truy cập cho một vai trò IAM, hãy gán chính sách cho vai trò đó. Các quyền được xác định trong chính sách sẽ quyết định cho phép hay từ chối yêu cầu. Bạn cũng có thể gán chính sách cho một số tài nguyên, chẳng hạn như vùng lưu trữ của Simple Storage Service (Amazon S3) để cấp quyền truy cập trực tiếp, liên tài khoản. Đồng thời, bạn có thể gán chính sách cho một tổ chức hoặc đơn vị tổ chức của AWS để hạn chế quyền truy cập trên nhiều tài khoản. AWS đánh giá những chính sách này khi vai trò IAM thực hiện yêu cầu. Để biết thêm thông tin, hãy xem Chính sách dựa trên danh tính.

Để cấp quyền truy cập các dịch vụ và tài nguyên bằng tính năng Quản lý danh tính và truy cập (IAM) trong AWS, hãy gán chính sách IAM cho vai trò hoặc tài nguyên. Bạn có thể bắt đầu bằng cách gán chính sách được AWS quản lý do AWS sở hữu và cập nhật, đồng thời, những chính sách này hiện có sẵn trong tất cả tài khoản AWS. Nếu biết các quyền cụ thể cần thiết cho trường hợp sử dụng của mình, bạn có thể tạo chính sách được khách hàng quản lý và gán chúng cho vai trò. Một số tài nguyên AWS cung cấp phương thức cấp quyền truy cập bằng cách xác định chính sách được gán cho tài nguyên, chẳng hạn như vùng lưu trữ của Simple Storage Service (Amazon S3). Những chính sách dựa trên tài nguyên này cho phép bạn cấp quyền truy cập trực tiếp, liên tài khoản cho tài nguyên được gán với chính sách đó. Để biết thêm thông tin, hãy xem Quản lý quyền truy cập cho tài nguyên AWS.

Để chỉ định quyền cho một vai trò hoặc tài nguyên, hãy tạo một chính sách là tài liệu JavaScript Object Notation (JSON) để xác định quyền. Tài liệu này bao gồm các câu lệnh về quyền, giúp cấp hoặc từ chối quyền truy cập cho các hành động, tài nguyên và điều kiện dịch vụ cụ thể. Sau khi tạo một chính sách, bạn có thể gán chính sách đó cho một hoặc nhiều vai trò AWS để cấp quyền cho tài khoản AWS của bạn. Để cấp quyền truy cập trực tiếp, liên tài khoản cho tài nguyên, chẳng hạn như vùng lưu trữ của Simple Storage Service (Amazon S3), hãy sử dụng chính sách dựa trên tài nguyên. Tạo chính sách của bạn trong bảng điều khiển IAM hoặc thông qua các API của AWS hoặc AWS CLI. Để biết thêm thông tin, hãy xem Tạo chính sách IAM.

Chính sách do AWS quản lý được AWS tạo và quản trị cũng như bao quát những trường hợp sử dụng phổ biến. Để bắt đầu sử dụng, bạn có thể cấp quyền khái quát hơn bằng các chính sách được AWS quản lý có sẵn trong tài khoản AWS của bạn và phổ biến trên tất cả các tài khoản AWS. Sau đó, khi tinh chỉnh các yêu cầu của mình, bạn có thể giảm bớt các quyền bằng cách xác định chính sách được khách hàng quản lý cụ thể cho các trường hợp sử dụng của bạn để đạt mục tiêu thu được quyền với đặc quyền tối thiểu. Để biết thêm thông tin, hãy xem chính sách được AWS quản lý.

Nếu chỉ cấp các quyền cần thiết để thực hiện tác vụ, bạn có thể tạo những chính sách được khách hàng quản lý cụ thể cho các trường hợp sử dụng và tài nguyên của mình. Sử dụng các chính sách được khách hàng quản lý để tiếp tục tinh chỉnh quyền cho những yêu cầu cụ thể của bạn. Để biết thêm thông tin, hãy xem Chính sách được khách hàng quản lý.

Chính sách nội tuyến được nhúng vào và vốn gắn liền với các vai trò IAM cụ thể. Sử dụng chính sách nội tuyến nếu bạn muốn duy trì mối quan hệ một đối một chặt chẽ giữa chính sách và danh tính gắn với chính sách đó. Ví dụ: bạn có thể cấp quyền quản trị để đảm bảo họ chúng không được gán cho những vai trò khác. Để biết thêm thông tin, hãy xem Chính sách nội tuyến.

Chính sách dựa trên tài nguyên là chính sách về quyền được gán cho tài nguyên. Ví dụ: bạn có thể gán chính sách dựa trên tài nguyên cho vùng lưu trữ của Simple Storage Service (Amazon S3), hàng đợi của Amazon SQS, điểm cuối VPC và khóa mã hóa của AWS Key Management Service. Để biết danh sách các dịch vụ hỗ trợ chính sách dựa trên tài nguyên, hãy xem Dịch vụ AWS hoạt động với IAM. Sử dụng chính sách dựa trên tài nguyên để cấp quyền truy cập trực tiếp, liên tài khoản. Nhờ có chính sách dựa trên tài nguyên, bạn có thể xác định ai có quyền truy cập tài nguyên và hành động họ có thể thực hiện với tài nguyên đó. Để biết thêm thông tin, hãy xem Chính sách dựa trên danh tính và chính sách dựa trên tài nguyên.

RBAC cung cấp cho bạn phương thức để ấn định quyền dựa trên chức năng tác vụ của một người, được biết đến bên ngoài AWS dưới dạng vai trò. IAM cung cấp RBAC bằng cách xác định các vai trò IAM có quyền phù hợp với chức năng tác vụ. Sau đó, bạn có thể cấp quyền truy cập cho cá nhân đảm nhận những vai trò này để thực hiện các chức năng tác vụ cụ thể. Nhờ có RBAC, bạn có thể kiểm tra quyền truy cập bằng cách xem xét từng vai trò IAM và quyền được gán với vai trò đó. Để biết thêm thông tin, hãy xem So sánh ABAC với mô hình RBAC truyền thống.

Phuơng pháp tốt nhất là chỉ cấp quyền truy cập cho những hành động cụ thể của dịch vụ cũng như tài nguyên cần thiết để thực hiện mỗi tác vụ. Phương pháp này được gọi là cấp đặc quyền tối thiểu. Khi nhân viên thêm tài nguyên mới, bạn phải cập nhật các chính sách để cho phép truy cập vào những tài nguyên đó.

ABAC là chiến lược phân quyền để xác định quyền dựa trên thuộc tính. Trong AWS, những thuộc tính này được gọi là thẻ, đồng thời, bạn có thể xác định thẻ trên tài nguyên AWS, vai trò IAM và trong các phiên vai trò. Nhờ có ABAC, bạn có thể xác định tập các quyền dựa trên giá trị của thẻ. Bạn có thể cấp quyền chi tiết cho những tài nguyên cụ thể bằng cách yêu cầu thẻ của vai trò hoặc phiên khớp với thẻ của tài nguyên. Ví dụ: bạn có thể khởi tạo một chính sách cấp cho nhà phát triển quyền truy cập các tài nguyên được gắn thẻ chức danh tác vụ “developers” (nhà phát triển). ABAC hữu ích trong các môi trường phát triển nhanh chóng bằng cách cấp quyền cho tài nguyên khi tạo tài nguyên bằng các thẻ cụ thể. Để biết thêm thông tin, hãy xem Kiểm soát truy cập dựa trên thuộc tính cho AWS.

Để cấp quyền truy cập bằng ABAC, trước tiên hãy xác định các khóa và giá trị thẻ mà bạn muốn sử dụng để kiểm soát truy cập. Sau đó, đảm bảo vai trò IAM của bạn có khóa và giá trị thẻ thích hợp. Nếu nhiều danh tính sử dụng vai trò này, bạn cũng có thể xác định các khóa và giá trị thẻ của phiên. Sau đó, đảm bảo tài nguyên của bạn có khóa và giá trị thẻ thích hợp. Bạn cũng có thể yêu cầu người dùng tạo tài nguyên bằng các thẻ thích hợp và hạn chế quyền truy cập sửa đổi. Sau khi áp dụng thẻ, hãy xác định một chính sách cấp quyền truy cập cho những hành động và loại tài nguyên cụ thể nhưng chỉ khi thẻ của vai trò hoặc phiên đó khớp với thẻ của tài nguyên. Để xem hướng dẫn chi tiết trình bày cách thức sử dụng ABAC trong AWS, hãy xem Hướng dẫn về IAM: Xác định quyền để truy cập tài nguyên AWS dựa trên thẻ.

Nhờ có AWS Identity and Access Management (IAM), theo mặc định, tất cả các quyền truy cập đều bị từ chối và cần có chính sách để cấp quyền truy cập. Khi quản lý quyền trên quy mô lớn, bạn có thể cần triển khai quy tắc bảo vệ quyền và hạn chế quyền truy cập trên các tài khoản của mình. Để hạn chế quyền truy cập, hãy chỉ định một câu lệnh Deny (Từ chối) trong bất kỳ chính sách nào. Nếu được áp dụng cho một yêu cầu truy cập, câu lệnh Deny (Từ chối) luôn được ưu tiên hơn so với câu lệnh Allow (Cho phép). Ví dụ: nếu bạn cho phép truy cập tất cả các hành động trong AWS nhưng từ chối truy cập IAM, bất kỳ yêu cầu nào đối với IAM cũng đều bị từ chối. Bạn có thể đưa câu lệnh Deny (Từ chối) vào bất kỳ loại chính sách nào, bao gồm các chính sách dựa trên danh tính, dựa trên tài nguyên và kiểm soát dịch vụ với AWS Organizations. Để biết thêm thông tin, hãy xem Kiểm soát quyền truy cập với tính năng Quản lý danh tính và truy cập trong AWS.

SCP tương tự như các chính sách IAM và sử dụng gần như chung một cú pháp. Tuy nhiên, SCP không cấp quyền. Thay vào đó, SCP cho phép hoặc từ chối quyền truy cập các dịch vụ AWS cho từng tài khoản AWS riêng có tài khoản thành viên của Organizations hoặc cho nhóm tài khoản trong một đơn vị tổ chức. Các hành động được chỉ định từ một SCP ảnh hưởng đến tất cả người dùng và vai trò IAM, bao gồm người dùng root của tài khoản thành viên. Để biết thêm thông tin, hãy xem Logic đánh giá của chính sách. 

Khi bắt đầu cấp quyền, bạn có thể bắt đầu bằng những quyền có phạm vi rộng hơn trong quá trình khám phá và thử nghiệm. Khi trường hợp sử dụng của bạn hoàn thiện hơn, AWS khuyến nghị bạn nên tinh chỉnh quyền sao cho chỉ cấp quyền cần thiết để đạt mục tiêu thu được quyền với đặc quyền tối thiểu. AWS cung cấp công cụ giúp bạn tinh chỉnh quyền. Bạn có thể bắt đầu bằng chính sách được AWS quản lý, được AWS tạo và quản trị cũng như bao gồm các quyền cho những trường hợp sử dụng phổ biến. Khi bạn tinh chỉnh quyền của mình, hãy xác định các quyền cụ thể trong chính sách được khách hàng quản lý. Để giúp xác định các quyền cụ thể mà bạn yêu cầu, hãy sử dụng Trình phân tích truy cập của Quản lý danh tính và truy cập (IAM) trong AWS, xem xét bản ghi AWS CloudTrail và kiểm tra thông tin truy cập gần đây nhất. Bạn cũng có thể sử dụng trình mô phỏng chính sách IAM để kiểm thử và khắc phục sự cố chính sách.

Việc đạt được đặc quyền tối thiểu là một chu kỳ liên tục để trao các quyền chi tiết phù hợp khi những yêu cầu của bạn tăng lên. IAM Access Analyzer giúp bạn hợp lý hóa việc quản lý quyền trong từng bước của chu trình này. Tạo chính sách với Trình phân tích truy cập IAM để tạo ra một chính sách chi tiết dựa trên hoạt động truy cập được ghi lại trong bản ghi của bạn. Điều này có nghĩa là sau khi bạn xây dựng và chạy một ứng dụng, bạn có thể tạo ra các chính sách chỉ cấp những quyền cần thiết để vận hành ứng dụng. Xác thực chính sách với Trình phân tích truy cập IAM sử dụng hơn 100 lượt kiểm tra chính sách để hướng dẫn bạn tạo cũng như xác thực các chính sách bảo mật và theo chức năng. Bạn có thể sử dụng những lượt kiểm tra này trong khi tạo các chính sách mới hoặc để xác thực các chính sách hiện có. Các phát hiện công khai và liên tài khoản với Trình phân tích truy cập IAM giúp bạn xác minh và tinh chỉnh quyền truy cập được các chính sách tài nguyên cho phép từ bên ngoài tổ chức hoặc tài khoản AWS của bạn. Để biết thêm thông tin, hãy xem Sử dụng Trình phân tích truy cập IAM.

Bạn có thể sở hữu những người dùng, vai trò, quyền IAM mà bạn không còn cần đến trong tài khoản AWS của mình. Chúng tôi khuyến nghị bạn nên loại bỏ chúng để đạt mục tiêu thu được quyền truy cập với đặc quyền tối thiểu. Đối với người dùng IAM, bạn có thể xem xét thông tin mật khẩu và khóa truy cập được sử dụng gần đây nhất. Đối với vai trò, bạn có thể xem xét thông tin vai trò được sử dụng gần đây nhất. Thông tin này có sẵn qua bảng điều khiển IAM, các API và SDK. Thông tin được sử dụng gần đây nhất giúp bạn xác định người dùng và vai trò không còn được sử dụng nữa và do đó có thể được loại bỏ. Bạn cũng có thể tinh chỉnh quyền bằng cách xem xét dịch vụ và thông tin truy cập gần đây nhất để xác định các quyền không được sử dụng. Để biết thêm thông tin, hãy xem Tinh chỉnh quyền trong AWS bằng thông tin truy cập gần đây nhất.

Trình mô phỏng chính sách IAM đánh giá các chính sách do bạn lựa chọn và xác định các quyền hiệu quả cho từng hành động mà bạn chỉ định. Sử dụng trình mô phỏng chính sách để kiểm thử và khắc phục sự cố cho các chính sách dựa trên danh tính và dựa trên tài nguyên, giới hạn quyền IAM và SCP. Để biết thêm thông tin, hãy xem Kiểm thử chính sách IAM bằng trình mô phỏng chính sách IAM.

Kiểm tra chính sách tùy chỉnh trong Trình phân tích truy cập của IAM xác thực rằng các chính sách IAM tuân thủ các tiêu chuẩn bảo mật của bạn trước khi triển khai. Kiểm tra chính sách tùy chỉnh sử dụng sức mạnh của suy luận tự động– đảm bảo tính bảo mật có thể chứng minh dựa trên bằng chứng toán học– để giúp các đội ngũ bảo mật chủ động phát hiện các bản cập nhật không tuân thủ chính sách. Ví dụ: các thay đổi trong chính sách IAM lỏng lẻo hơn so với phiên bản trước đó. Các nhóm bảo mật có thể sử dụng các kiểm tra này để hợp lý hóa các đánh giá của họ, tự động phê duyệt các chính sách phù hợp với tiêu chuẩn bảo mật và kiểm tra sâu hơn khi chính sách không phù hợp. Loại xác thực mới này đảm bảo chắc chắn hơn tính bảo mật trên đám mây. Các nhóm bảo mật và phát triển có thể tự động hóa các đánh giá chính sách trên quy mô lớn bằng cách tích hợp các kiểm tra chính sách tùy chỉnh này vào các công cụ và môi trường mà các nhà phát triển soạn thảo chính sách của họ, chẳng hạn như quy trình CI/CD.

Trình phân tích truy cập của IAM sẽ đơn giản hóa việc kiểm tra quyền truy cập chưa sử dụng để hướng dẫn bạn đạt được các đặc quyền tối thiểu. Các nhóm bảo mật có thể sử dụng Trình phân tích truy cập của IAM để có thể xem các quyền truy cập chưa sử dụng trên toàn tổ chức AWS của họ và tự động hóa cách họ xác định đúng phạm vi quyền. Khi bật trình phân tích truy cập không dùng đến, Trình phân tích truy cập của IAM sẽ liên tục phân tích tài khoản của bạn để xác định truy cập không dùng đến và tạo bảng điều khiển tập trung có chứa các nội dung phát hiện. Bảng điều khiển này giúp các nhóm bảo mật xem lại các nội dung phát hiện tập trung ở cùng một nơi và ưu tiên các tài khoản dựa trên số lượng nội dung phát hiện. Các nhóm bảo mật có thể sử dung bảng điều khiển này để xem lại các nội dung phát hiện tập trung ở cùng một nơi và ưu tiên các tài khoản cần xem xét dựa trên số lượng nội dung phát hiện. Các nội dung phát hiện nêu bật vai trò chưa sử dụng, khóa truy cập chưa sử dụng cho người dùng IAM và mật khẩu chưa sử dụng cho người dùng IAM. Đối với những người dùng và vai trò IAM đang hoạt động, nội dung phát hiện sẽ giúp bạn xem được các hành động và dịch vụ chưa sử dụng.