- vừa được xem lúc

Giới thiệu về dịch vụ IAM của AWS

0 0 47

Người đăng: Le Thi Ngoc Tram

Theo Viblo Asia

1. IAM là gì?

AWS Identity and Access Management (IAM) cho phép bạn quản lý truy cập vào các dịch vụtài nguyên AWS một cách bảo mật mà không cần chia sẻ thông tin user, password. Đây là Global Service.

  • Identity = Authentication
  • Access = Authorization

2. IAM features

Share access permission

  • IAM cho phép admin có thể chia sẻ và gán quyền cho các users là thành viên của projects hoặc các thành viên liên quan sử dụng tài nguyên của AWS.

Granular permission

  • IAM cho phép gán quyền cụ thể và chi tiết đối với từng user, từng service và từng action cụ thể.

Using role to access AWS resource

  • IAM cho phép các ứng dụng chạy trên dịch vụ compute EC2, có quyền truy cập vào các tài nguyên khác của AWS, nhờ việc cung cấp các Credentials một cách bảo mật, bằng cách sử dụng IAM role.

Multi-Factor-Authenticator (MFA)

  • IAM cho phép thêm các lớp bảo mật, bảo mật 2 lớp. Việc này nhằm nâng cao mức độ bảo mật của tài khoản, tránh rủi ro không đáng có khi bị lộ thông tin.

Identity Federation

IAM cho phép các users sử dụng các tài nguyên AWS thông qua việc xác thực từ các Identity Provider như Google, Facebook, Microsoft Active Directory (IdP)

Identity Information for assurance

  • IAM cho phép cung cấp thông tin các thực thể đã thao tác, hành động, truy cập trên tài nguyên của AWS cho các dịch vụ lưu lược sử như CloudTrail nhằm mục đích kiểm tra - truy vết.

3. Thuật ngữ liên quan đến IAM

a. Users & Groups

  • Root account được tạo ra mặc định, không nên được sử dụng hay được chia sẻ.
  • User là thành viên trong 1 project, và có thể được thêm vào group để dễ dàng quản lý và cấp quyền.
  • Group chỉ gồm users, không bao gồm groups.
  • Users không nhất thiết phải thuộc về group, 1 user có thể thuộc 1 hoặc nhiều group khác nhau.

b. Permission

--> Users hoặc Groups hoặc Role sẽ được gán permissions trong Policy.

--> Policy là một văn bản được viết dưới dạng JSON, định nghĩa quyền hạn cho các thực thể User, Group, Role.

--> Tham khảo mẫu policy ở đây

4. User truy cập vào AWS bằng cách nào?

  • User có thể thông qua 3 cách:

    1. AWS Management Console (authen với password + MFA)
    2. AWS Command Line Interface (authen với access_keys)
    3. AWS Software Developer Kit - cho phần code (authen với access keys)
  • Access Keys được tạo ra từ AWS Console.

  • User tự quản lý access_key của mình.

  • Access keys chính là password, không được chia sẻ chúng.

  • Access Key ID ~= username

  • Secret Key ID ~= password

Ví dụ về 1 Acccess Key được tạo trên AWS

5. IAM Roles cho Services:

  • Một vài AWS service sẽ cần phải hành động thay bạn.
  • Để làm được như vậy, ta gán permissions tới AWS Services thông qua IAM Roles.
  • Role phổ biến:
    1. EC2 Instance Roles
    2. Lambda Function Roles
    3. Roles for CloudFormation

6. IAM Security Tools

  • IAM Credentials Report (account-level)

Là loại báo cáo liệt kê tất cả người dùng tài khoản của bạn và trạng thái của các thông tin đăng nhập (credential) của họ.

  • IAM Access Advisor (user-level)

--> Là 1 cố vấn truy cập, có nhiệm vụ show ra các quyền dịch vụ được cấp cho user và thời điểm các dịch vụ đó được truy cập lần cuối (last-accessed).

--> Những thông tin này là căn cứ để bạn có chính sách thay đổi policy phù hợp.

7. Trách nhiệm của từng vai trò khi sử dụng IAM

  • Đối tượng: Infrastructure (Global Network Security)
  • Nhiệm vụ:
    1. Cấu hình và phân tích lỗ hổng
    2. Tuân thủ các quy chuẩn

  • Đối tượng: Là bạn (Admin)
  • Nhiệm vụ:
    1. Theo dõi và quản lý Users, Groups, Roles, Policies
    2. Bật MFA cho tất cả các users
    3. Thường xuyên xoay vòng thông tin xác thực bảo mật.
    4. Sử dụng IAM tools để áp dụng các quyền thích hợp
    5. Phân tích các kiểu truy cập (access patterns) và review permissions.

8. Nguyên tắc khi sử dụng IAM

  • Không được sử dụng root account trừ khi dùng cho việc setup account đó
  • 1 Người dùng vật lý = 1 AWS user
  • Gán user vào groups và gán permissions vào groups.
  • Tạo 1 chính sách mật khẩu mạnh
  • Bắt buộc sử dụng MFA
  • Tạo và sử dụng Roles khi cấp các quyền cho các dịch vụ AWS
  • Sử dụng Access Keys khi truy cập IAM (CLI/SDK)
  • Kiểm tra permissions cho account thông qua IAM Credential Report
  • Không được phép share IAM users & Access Keys

9. Tổng kết

  • Users map với người dùng vật lý, có password khi dùng AWS Console
  • Groups chỉ chứa users.
  • Policies là văn bản JSON định nghĩa permissions cho users hoặc groups hoặc roles
  • Roles dùng cho EC2 instances hoặc AWS services
  • Security: Thiết lập Password policy + MFA
  • Access Keys: dùng cho truy cập AWS bằng CLI/SDK
  • Audit: công cụ kiểm tra như IAM Credential Reports & IAM Access Advisor

Trên đây mình đã giới thiệu tổng quan về IAM. Khi áp dụng thực hành trên AWS sẽ vô cùng đơn giản khi các bạn đã hiểu rõ từng thành phần. Mình xin phép không hướng dẫn chi tiết. Khi thực hành xong IAM trên AWS, các bạn nhớ xóa Access Key để không mất phí.

IAM features reference: https://aws.amazon.com/vi/iam/

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 66

- vừa được xem lúc

Tán gái theo kiểu Message Queue là thế nào?

. Bài toán. Vào những năm 1900, khi mà công nghệ chưa phát triển, con người chỉ nói chuyện với nhau trực tiếp hoặc qua thư... . Trai tài gái sắc, họ nói chuyện với nhau một cách thoải mái, tự nhiên. Mọi chuyện yên bình cho đến khi có anh chàng C đến, chiều cao chuẩn 1m8 chứ không cộng thêm sừng. C c

0 0 43

- vừa được xem lúc

Giới thiệu Lambda AWS

Giới thiệu. Nếu bạn là 1 developer, đúng rồi đó, người mà luôn được mọi người nhờ sửa tủ lạnh, ti vi, quạt máy, ống nước, đủ thứ loại trên đời, khi bạn xây dựng một ứng dụng, bạn sẽ muốn được nhiều người sử dụng, trải nghiệm và đánh giá tốt.

0 0 35

- vừa được xem lúc

Tạo tải khoản AWS 2021

Các bài viết trước:. . Ứng dụng AWS trong thực tế. Bạn có thể làm gì với AWS.

0 0 178

- vừa được xem lúc

Tương tác với AWS

Các bài viết trước:. . Ứng dụng AWS trong thực tế. Bạn có thể làm gì với AWS.

0 0 34

- vừa được xem lúc

Khám phá những dịch vụ của AWS

Các bài viết trước:. . Ứng dụng AWS trong thực tế. Bạn có thể làm gì với AWS.

0 0 38