Quyền cho phép bạn được chỉ định quyền truy cập vào tài nguyên AWS. Quyền được cấp cho các thực thể IAM (người dùng, nhóm và vai trò) và mặc định là các thực thể này bắt đầu không có quyền nào. Hay nói cách khác, các thực thể IAM không thể làm gì trong AWS cho đến khi bạn cấp cho họ quyền mà bạn muốn. Để cấp quyền cho thực thể, bạn có thể đính kèm chính sách chỉ định loại quyền truy cập, hành động có thể được thực hiện và tài nguyên có thể dùng để được thực hiện hành động. Ngoài ra, bạn có thể chỉ định bất kỳ điều kiện nào cần phải được thiết lập để cho phép hoặc từ chối quyền truy cập.

AWS identity: Next-generation permission management (30:58)

Để phân quyền cho người dùng, nhóm, vai trò hoặc tài nguyên, bạn tạo một chính sách cho phép bạn chỉ định:

  • Hành động – Hành động dịch vụ AWS mà bạn cho phép. Ví dụ: bạn có thể cho phép người dùng gọi ra thao tác Amazon S3 ListBucket. Bất kỳ hành động nào mà bạn không cho phép rõ ràng sẽ đều bị từ chối.
  • Tài nguyên – Tài nguyên AWS nào bạn cho phép thực hiện hành động trên đó. Ví dụ: những bộ chứa Amazon S3 nào bạn sẽ cho phép người dùng thực hiện hành động ListBucket trên đó? Người dùng không thể truy cập tài nguyên bạn không cấp quyền rõ ràng.
  • Hiệu lực – Cho phép hay từ chối truy cập. Do quyền truy cập mặc định bị từ chối nên bạn thường viết ra các chính sách trong đó cho phép hiệu lực.
  • Điều kiện – Những điều kiện phải có để chính sách có hiệu lực. Ví dụ: bạn có thể chỉ cho phép truy cập vào bộ chứa S3 cụ thể nếu người dùng đang kết nối từ một dải IP cụ thể hoặc đã sử dụng xác thực đa yếu tố khi đăng nhập.

Bạn sử dụng trình soạn thảo trực quan hoặc JSON để tạo chính sách. Chính sách bao gồm một hoặc nhiều tuyên bố, mỗi tuyên bố mô tả một tập hợp các quyền. Để tìm hiểu thêm về ngôn ngữ chính sách, hãy xem Tài liệu tham khảo về chính sách IAM.

Công cụ biên tập hình ảnh hướng dẫn bạn về quá trình cấp quyền sử dụng các chính sách IAM mà không yêu cầu bạn viết chính sách trong JSON (mặc dù bạn vẫn có thể tạo và chỉnh sửa chính sách trong JSON nếu muốn). Chính sách trong ảnh chụp màn hình sau được tạo ra bằng công cụ biên tập hình ảnh. Chính sách đó cấp năm hành động Liệt kêĐọc Amazon S3 cho bộ chứa S3 và các đối tượng trong SampleBucket nếu tiền tố bắt đầu bằng MyPrefix.

Nếu dùng AWS Management Console để quản lý quyền, bạn có thể xem phần tóm tắt chính sách. Tóm tắt chính sách liệt kê mức truy cập, tài nguyên và điều kiện cho mỗi dịch vụ được xác định trong chính sách (xem ví dụ ở ảnh chụp màn hình dưới đây). Để giúp bạn hiểu các quyền được xác định trong chính sách, mỗi một hành động của dịch vụ AWS được phân loại theo bốn cấp độ truy cập: Liệt kê, Đọc, ViếtQuản lý quyền.

Bạn có thể chọn chính sách định trước do AWS quản lý hoặc tạo chính sách của mình bằng công cụ tạo chính sách. Để biết thêm thông tin, hãy xem phần Tổng quan về chính sách IAM trong Hướng dẫn sử dụng IAM.

Tìm hiểu cách quản lý thông tin xác thực IAM

Truy cập trang quản lý thông tin xác thực
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với IAM
Bạn có thêm câu hỏi?
Liên hệ với chúng tôi