IAM services . AWS Identity and Access Management ( IAM ) là 1  service giúp ta quản lý các user mà các bạn muốn chia sẽ cho ai đó sử dụng. Các thao tác có thể:  xem user nào có thể sử dụng AWS Resouces và cách mà user sẽ thao tác với Resouces đó ra sao.

Giả sử bạn muốn chia sẽ cho chị A chỉ có khả năng sử dụng CloudWatch và check Billing, anh B khả năng sử dụng EC2 Service và chỉ có thể Stop/Start EC2 Instances, chị C có thể sử dụng S3 full quyền…, IAM Service sẽ giúp bạn thực hiện được điều này. Tránh sử dụng root Account để chia sẽ.

Bước 1 : Sử dụng root Account đăng nhập vào AWS management console . Vào IAM service.

Screen Shot 2017-09-20 at 11.10.44 AM

Bước 2 : Chọn Users bên Dashboard, Click Add User

Screen Shot 2017-09-20 at 11.13.34 AM

Bước 3 : Đến đây có 4 bước để chúng ta tạo một user mới.

  1. Điền user name, và chọn loại Access type cho user, hiện tại có 2 access type (Programmatic access : hiểu ngắn ngọn là có thể sử dụng command line truy xuất các dịch vụ Amazon và AWS Management Console access: có thể đăng nhập và quản lý thông qua giao diện web của Amazon, khi chọn tuỳ chọn này sẽ có thêm set mật khẩu cho user) tuỳ theo yêu cầu mà chúng ta chọn nhá.
  2. Sẽ là chọn một group nào đó, hoặc có thể tạo group ngay tại đây, chúng ta cũng có thể copy quyền từ một user đã có sẳn hoặc add quyền trực tiếp từ policies(ví dụ mình tạo group). Việc tạo group rất đơn gian(điền tên group sao đó add quyền).
  3. Là phần review lại các tuỳ chọn được sử dụng.
  4. Đến bước này các bạn có thể thấy được link mà user được phép truy cập, trong phần user cũng xuất hiện Access Key ID và Secret access key chúng ta nên download nó về và giữ lại, nếu muốn user này có thể thực hiện command line để xem nội dung S3 thì đây là 2 khoá cần thiết để truy cập. Chúng ta sẽ nói thêm về nó ở các bài viết sau.

 

Ngoài ra bạn có thể thực hiện tùy biến permission nhiều hơn nữa bằng cách sử dụng Inline Policies .

Bước 4 :  Có rất nhiều template policy cho các bạn lựa chọn tùy theo mục đích sử dụng của bạn nằm trong Policies bên Dashboard.

Bước 5: Các bạn truy cập vào link được đưa ra trong số 4 bằng user và pass đã nhập để test thử các quyền.

Ở ví dụ mình cho user nongdanit vào group S3 và group này có full quyền trong S3 nên user nongdanit cũng full quyền với S3.

Việc truy cập vào các dịch vụ khác như EC2, Phân quyền lại user, RDS… sẽ không thể thực hiện và có thông báo không đủ quyền … Xem thêm ở video bên dưới.

Với các bước trên là đã có thể tự tạo IAM user cho người dùng. Service này của Amazon giúp hệ thống của bạn bảo mật hơn rất nhiều. Tuyệt đối đừng lấy root Account ra mà cung cấp cho user sử dụng.

Hướng dẫn sử dụng IAM service của Amazon