Vai trò IAM cho phép bạn ủy quyền truy cập cho người dùng hoặc dịch vụ mà thường không có quyền truy cập vào tài nguyên AWS của tổ chức của bạn. Người dùng IAM hoặc dịch vụ AWS có thể nhận vai trò lấy thông tin xác thực bảo mật tạm thời mà có thể được sử dụng để thực hiện các cuộc gọi AWS API. Do vậy, bạn không phải chia sẻ thông tin xác thực dài hạn hoặc xác định quyền cho mỗi thực thể cần có quyền truy cập vào tài nguyên.

Bắt đầu sử dụng vai trò IAM dành cho phiên bản EC2

Các tình huống sau đây nêu bật một số thách thức mà bạn có thể giải quyết bằng cách ủy quyền truy cập:

  • Cấp quyền truy cập vào tài nguyên AWS cho các ứng dụng chạy trên phiên bản Amazon EC2

Để cấp quyền truy cập vào tài nguyên AWS cho các ứng dụng trên phiên bản Amazon EC2, các nhà phát triển có thể phân phối thông tin xác thực của họ cho từng phiên bản. Sau đó, các ứng dụng có thể sử dụng thông tin xác thực đó để truy cập vào các tài nguyên như bộ chứa Amazon S3 hoặc dữ liệu Amazon DynamoDB. Tuy nhiên, việc phân phối thông tin xác thực dài hạn cho từng phiên bản là gây khó khăn cho việc quản lý và tiềm ẩn rủi ro bảo mật. Video trên mô tả chi tiết hơn cách sử dụng vai trò để giải quyết vấn đề bảo mật này.

  • Truy cập liên tài khoản
Để kiểm soát hoặc quản lý quyền truy cập vào tài nguyên, chẳng hạn như cách ly môi trường phát triển khỏi môi trường sản xuất, bạn có thể tạo nhiều tài khoản AWS. Tuy nhiên, trong một số trường hợp, người dùng từ một tài khoản có thể cần truy cập tài nguyên trong tài khoản khác. Ví dụ như người dùng từ môi trường phát triển có thể cần quyền truy cập vào môi trường sản xuất để quảng bá bản cập nhật. Do đó, người dùng phải có thông tin xác thực cho từng tài khoản, nhưng việc quản lý nhiều thông tin xác thực cho nhiều tài khoản gây khó khăn hơn cho việc quản lý danh tính. Sử dụng vai trò IAM có thể đơn giản hóa việc này. Xem Nghiên cứu điển hình về Trend Micro để xem thực tiễn về truy cập liên tài khoản.
  • Cấp quyền cho dịch vụ AWS
Trước khi dịch vụ AWS có thể thực hiện hành động, bạn phải cấp cho quyền cho chúng. Bạn có thể sử dụng vai trò AWS IAM để cấp quyền cho các dịch vụ AWS để thay bạn gọi các dịch vụ AWS khác hoặc tạo và quản lý tài nguyên AWS trong tài khoản của bạn. Dịch vụ AWS như Amazon Lex cũng cung cấp vai trò liên kết với dịch vụ được xác định trước và chỉ có thể được dịch vụ cụ thể đó đảm nhận.

Để tìm hiểu thêm về cách quản lý vai trò trong IAM, xem phần Vai trò trong hướng dẫn Sử dụng IAM.

Tìm hiểu cách quản lý quyền với AWS IAM

Truy cập trang quản lý quyền
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với AWS IAM
Bạn có thêm câu hỏi?
Hãy liên hệ với chúng tôi