Trung tâm Danh tính IAM của AWS giúp bạn dễ dàng quản lý danh tính của lực lượng lao động, kiểm soát quyền truy cập và tích hợp với các nguồn danh tính phổ biến để đảm bảo xác thực người dùng an toàn trên AWS, chẳng hạn như Microsoft Active Directory, Okta, Ping Identity, Jump Cloud, Google Workspace và Azure Active Directory (Azure AD).
I. Tạo và cấu hình một tổ chức
Trước hết, bạn cần một tài khoản AWS gốc để truy cập vào AWS Organizations và tạo các tài khoản AWS mới. Từ biểu tượng mũi tên ở góc phải trên cùng, chọn tên tài khoản AWS của bạn và chọn Tổ chức. Bảng điều khiển AWS Organizations chủ yếu cung cấp các công cụ để quản lý và sắp xếp nhiều tài khoản AWS trong tổ chức của bạn, xử lý việc lập hóa đơn và quản lý chi phí, cũng như áp dụng các chính sách và kiểm soát đối với các tài khoản AWS. Sử dụng mô hình Prod (Sản xuất) và NonProd (Không sản xuất hoặc Phát triển) là một phương pháp phổ biến và đơn giản để quản lý tài nguyên cho sự phát triển của nhóm. Tài khoản AWS đóng vai trò trong việc cấp quyền truy cập và đặc quyền cụ thể cho một nhóm dịch vụ cho từng người dùng hoặc môi trường cụ thể, chẳng hạn như môi trường phát triển, môi trường thử nghiệm (staging), và môi trường sản xuất. Hơn nữa, chúng tôi còn có các ví dụ khác: Bước tiếp theo là thiết lập một Tài khoản Tổ chức AWS, kèm theo một địa chỉ email cho tổ chức. Sau khi tạo tài khoản AWS của bạn, bạn có thể truy cập Trung tâm Danh tính IAM bằng cách tìm kiếm nó trên bảng điều khiển AWS Management Console.
II. Trung tâm Danh tính IAM AWS
Trong Bảng điều khiển Quản lý AWS, bạn có thể sử dụng menu "Dịch vụ" ở phía trên để tìm và truy cập Trung tâm Danh tính IAM (tên trước đây là AWS SSO): Như bạn có thể thấy, Amazon Resource Name (ARN) arn:aws:sso... chỉ định dịch vụ AWS Single Sign-On. Dưới đây là một số thông tin quan trọng mà bạn cần chú ý:
- URL cổng truy cập AWS: https://d-9667753f44.awsapps.com/start
- Cấu hình xác thực đa yếu tố (multi-factor authentication) Điều hướng đến tab Người dùng, ở đó bạn sử dụng thủ tục sau để thêm người dùng vào thư mục Trung tâm Danh tính của bạn bằng cách sử dụng bảng điều khiển Trung tâm Danh tính IAM. Nhấn vào nút Thêm người dùng trong Trung tâm Danh tính IAM ở mục Người dùng để thêm một người dùng, sau đó chọn hộp kiểm để Gửi email cho người dùng này với hướng dẫn thiết lập mật khẩu. Sau khi bạn nhấn vào Tiếp theo, một email sẽ được gửi tới người dùng, cung cấp họ với hướng dẫn về cách xác minh danh tính của họ (nếu cần) và thiết lập hoặc thay đổi mật khẩu của họ. Tương tự, đối với phần Nhóm, bạn có thể thực hiện các bước tương tự. Tạo một nhóm mẫu và thêm các người dùng bạn đã thêm trước đó vào phần Người dùng. Bạn có thể tạo nhiều nhóm để quản lý các người dùng cụ thể với quyền truy cập vào các dịch vụ AWS nhất định. Mỗi nhóm có thể được điều chỉnh để cấp quyền truy cập khác nhau cho người dùng theo nhu cầu.
III. Bộ quyền đăng nhập duy nhất AWS
Bằng cách nhấn vào Bộ quyền, bạn có thể truy cập trực tiếp vào việc quản lý và cấu hình các bộ quyền đăng nhập. Điều này cho phép bạn xác định và gán quyền truy cập và chính sách cho người dùng và nhóm trong tổ chức AWS của bạn. Bạn có thể tạo một bộ quyền đăng nhập có tên là AdministratorAccess. Điều này ngụ ý rằng bạn đang tích hợp quyền từ AdministratorAccess với quyền truy cập đầy đủ. Trong tab Quyền, bạn sẽ tìm thấy danh sách các loại quyền, bao gồm:
- Các chính sách được quản lý bởi AWS
- Các chính sách được quản lý bởi khách hàng
- Các chính sách nội tuyến (inline policies)
- Giới hạn quyền (permissions boundaries) Bạn có thể tận dụng bộ quyền đăng nhập AdministratorAccess để cấp quyền truy cập đầy đủ, cho phép bạn thêm hoặc sửa đổi quyền cho các tài khoản AWS. Như bạn có thể thấy, chúng tôi đã thêm bộ quyền đăng nhập AdministratorAccess vào cả hai tài khoản AWS Sản xuất và Không Sản xuất (Phát triển).
IV. Tạo và Đính kèm Chính sách Do Khách hàng Quản lý
Mục đích của việc tạo và đính kèm các chính sách do khách hàng quản lý là để hạn chế hoặc điều chỉnh quyền của người dùng dựa trên các chính sách liên quan đến các dịch vụ AWS cụ thể. Vì vậy, chúng ta tiến hành điều hướng đến bảng điều khiển IAM, vào mục Chính sách, và tạo một chính sách mới. Sao chép chính sách AdministratorAccess và đổi tên thành FlagtickAdministratorAccess. Sau đó, sử dụng trình chỉnh sửa JSON để sửa đổi chi tiết các câu lệnh trong chính sách để tùy chỉnh quyền truy cập. Chọn một câu lệnh để xem biểu đồ biểu diễn quyền và thực hiện bất kỳ sửa đổi cần thiết bằng Trình soạn chính sách. Sau khi hoàn tất các sửa đổi, thay thế AdministratorAccess bằng FlagtickAdministratorAccess và tiếp tục thêm người dùng vào các tài khoản AWS dựa trên các cài đặt đã cập nhật. Vui lòng nhớ rằng bạn cần đăng nhập vào tài khoản AWS của mình để thêm một chính sách do khách hàng quản lý vào tài khoản AWS đó.
Vì nội dung của bài viết khá dài nên mời bạn đọc khảo bài viết gốc tại link này: https://www.flagtick.com/post/aws/how-to-set-up-and-manage-iam-identity-center-in-aws. Rất vui khi chia sẻ các kiến thức bổ ích đến cộng đồng Lập Trình Viên Viblo.Asia!