IAM: Users & Groups
IAM (Identity and Access Management) là dịch vụ quản lý danh tính và truy cập toàn cầu của AWS. Tài khoản gốc sẽ được tạo mặc định khi đăng ký và không nên được sử dụng hoặc chia sẻ. Người dùng trong tổ chức của bạn có thể được nhóm lại. Các nhóm chỉ chứa người dùng, không chứa các nhóm khác. Người dùng không bắt buộc phải thuộc về một nhóm cụ thể, và một người dùng có thể thuộc về nhiều nhóm.
IAM: Permissions
Trong IAM, người dùng hoặc nhóm có thể được phân quyền thông qua các tài liệu JSON được gọi là policies. Các policies này xác định các quyền hạn của người dùng. Trong AWS, nguyên tắc ít đặc quyền được áp dụng: không cấp quyền hơn những gì người dùng cần. Vì vậy, chúng ta cần cấp cho người dùng hoặc nhóm của họ chỉ các quyền cần thiết để thực hiện công việc của mình, mà không cấp quyền truy cập vào các tài nguyên không cần thiết. Điều này giúp bảo vệ hệ thống AWS khỏi các mối đe dọa an ninh tiềm tàng.
Đoạn json trên đề cập đến một JSON document (tài liệu JSON) trong AWS IAM để định nghĩa các quyền truy cập của người dùng trong AWS. JSON này bao gồm các phần như Version, Statement và các thông tin về Effect, Action và Resource.
Ở đây, ta có 3 statement định nghĩa quyền truy cập khác nhau. Với statement đầu tiên, người dùng có quyền thực hiện các hành động liên quan đến EC2 (Elastic Compute Cloud), trong đó họ có thể truy cập và xem các thông tin liên quan đến EC2. Statement thứ hai cho phép người dùng truy cập và xem các thông tin liên quan đến load balancer trong ELB (Elastic Load Balancer). Statement cuối cùng cung cấp quyền cho người dùng để truy cập và xem các thông tin liên quan đến các metric trong CloudWatch.
Mỗi statement đều có phần Effect, Action và Resource. Effect chỉ ra liệu statement đang cấp quyền hay từ chối quyền truy cập (Allow hay Deny), Action liệt kê các hành động mà người dùng có thể thực hiện (ví dụ như ec2: Describe*, cloudwatch: Describe*), và Resource xác định tài nguyên nào mà người dùng được phép truy cập (ví dụ như tất cả các tài nguyên trong service EC2 hoặc tất cả các tài nguyên trong service CloudWatch).
IAM Roles for AWS Services
IAM Roles for Services là cách để các dịch vụ của AWS thực hiện các hành động thay mặt cho bạn. Bạn có thể gán các quyền cho các dịch vụ của AWS thông qua các vai (Roles) của IAM. Các ví dụ về các vai thường được sử dụng bao gồm:
- EC2 Instance Roles: các vai này được gán cho các instance EC2, cho phép chúng thực hiện các hành động nhất định trên tài nguyên khác trong AWS.
- Lambda Function Roles: các vai này được gán cho các hàm Lambda, cho phép chúng truy cập và thực hiện các hành động trên tài nguyên khác trong AWS.
- Roles for CloudFormation: các vai này được sử dụng để cho phép AWS CloudFormation thực hiện các hành động trên tài nguyên khác trong AWS.
