Bài này chúng ta sẽ tìm hiểu về việc tạo vai trò IAM, trước khi chúng ta bắt đầu sử dụng AWS một cách dễ dàng hơn bằng cách hiểu các khái niệm và công dụng của từng dịch vụ, tính năng trong AWS.
Nội dung chính
1. Tạo vai trò IAM cho một dịch vụ
Tạo Vai trò cho một dịch vụ bằng Bảng điều khiển(console) quản lý AWS.
- Trong ngăn điều hướng của bảng điều khiển, nhấp vào Vai trò(Roles) rồi nhấp vào “Tạo vai trò”(Create Role) . Màn hình hiển thị bên dưới khi nhấp vào nút Tạo vai trò (Create Role).
- Chọn dịch vụ mà bạn muốn sử dụng với vai trò.
- Chọn chính sách được quản lý gắn các quyền với dịch vụ.
- Trong hộp tên vai trò, hãy nhập tên vai trò mô tả vai trò của dịch vụ, sau đó bấm vào “Tạo vai trò”(Create role).
Tạo vai trò cho một dịch vụ bằng CLI (Command Line Interface – Giao diện dòng lệnh)
- Tạo một vai trò bằng bảng điều khiển, nhiều bước đã được thực hiện cho bạn, nhưng với CLI, bạn tự thực hiện từng bước một cách rõ ràng. Bạn phải tạo chính sách và gán chính sách quyền cho vai trò.
Để tạo vai trò cho một dịch vụ AWS bằng AWS CLI, hãy sử dụng các lệnh sau:- Tạo vai trò: aws iam create-role
- Đính kèm chính sách quyền vào vai trò: aws iam put-role-policy
- Nếu bạn đang sử dụng một vai trò với cá thể chẳng hạn như cá thể Amazon EC2, thì bạn cần tạo một hồ sơ cá thể để lưu trữ một vai trò. Hồ sơ cá thể là một vùng chứa vai trò, nhưng hồ sơ cá thể chỉ có thể chứa một vai trò. Nếu bạn tạo vai trò bằng cách sử dụng Bảng điều khiển quản lý AWS thì hồ sơ cá thể đã được tạo cho bạn. Nếu bạn tạo hồ sơ bằng CLI, bạn phải tự chỉ định rõ ràng từng bước.
Để tạo một hồ sơ cá thể bằng CLI, hãy sử dụng các lệnh sau:- Tạo hồ sơ cá thể: aws iam create-instance-profile
- Thêm vai trò vào hồ sơ cá thể: aws iam add-role-to-instance-profile
2. Tạo vai trò IAM cho người dùng IAM
Tạo vai trò cho Người dùng IAM bằng Bảng điều khiển quản lý AWS
- Trong ngăn điều hướng của bảng điều khiển, nhấp vào Vai trò rồi nhấp vào “Tạo vai trò”(Create Role) . Màn hình hiển thị bên dưới khi nhấp vào nút Tạo vai trò(Create Role).
- Chỉ định ID tài khoản mà bạn muốn cấp quyền truy cập vào tài nguyên, sau đó nhấp vào nút Quyền tiếp theo(Next Permissions).
- Nếu bạn đã chọn tùy chọn “Yêu cầu ID bên ngoài(Require external ID)” có nghĩa là nó cho phép người dùng từ bên thứ ba truy cập tài nguyên. Bạn cần nhập ID bên ngoài do quản trị viên của bên thứ ba cung cấp. Điều kiện này tự động được thêm vào chính sách tin cậy cho phép người dùng đảm nhận vai trò.
- Nếu bạn đã chọn tùy chọn “Yêu cầu MFA(Require MFA)” được sử dụng để hạn chế vai trò của những người dùng cung cấp xác thực Đa yếu tố.
- Chọn một chính sách mà bạn muốn đính kèm với vai trò. Chính sách chứa các quyền chỉ định các hành động mà họ có thể thực hiện và các tài nguyên mà họ có thể truy cập.
- Tiếp theo, hãy nhập tên vai trò và mô tả vai trò.
- Nhấp vào Tạo vai trò để hoàn tất việc tạo vai trò.
Tạo vai trò cho người dùng IAM bằng CLI (Giao diện dòng lệnh)
Khi bạn sử dụng bảng điều khiển để tạo một vai trò, nhiều bước đã được thực hiện cho bạn. Trong trường hợp CLI, bạn phải chỉ định rõ ràng từng bước.
Để tạo vai trò truy cập nhiều tài khoản bằng CLI, hãy sử dụng các lệnh sau:
- Tạo vai trò: aws iam create-role
- Đính kèm chính sách quyền vào vai trò: aws iam put-role-policy
3. Tạo vai trò IAM cho nhà cung cấp bên thứ ba (Liên kết)
Liên kết danh tính cho phép bạn truy cập tài nguyên AWS dành cho người dùng có thể đăng nhập bằng nhà cung cấp danh tính bên thứ ba. Để định cấu hình Liên kết danh tính, bạn phải định cấu hình nhà cung cấp danh tính và sau đó tạo Vai trò IAM xác định quyền mà người dùng liên kết có thể có.
- Liên kết Nhận dạng Web(Web Identity Federation): Liên kết Nhận dạng Web cung cấp quyền truy cập vào các tài nguyên AWS đã đăng nhập bằng thông tin đăng nhập với facebook, Google, Amazon hoặc một tiêu chuẩn Open ID khác. Để định cấu hình với Liên kết Danh tính Web, trước tiên bạn phải tạo và định cấu hình nhà cung cấp danh tính, sau đó tạo Vai trò IAM xác định quyền mà người dùng được liên kết sẽ có.
- Liên kết 2.0 ngôn ngữ đánh dấu xác nhận bảo mật (SAML)(Security Assertion Markup Language (SAML) 2.0 Federation): Liên kết dựa trên SAML cung cấp quyền truy cập vào tài nguyên AWS trong một tổ chức sử dụng SAML. Để cấu hình Liên kết dựa trên SAML 2.0, trước tiên bạn phải tạo và cấu hình nhà cung cấp danh tính, sau đó tạo Vai trò IAM xác định quyền mà người dùng được liên kết từ tổ chức sẽ có.
Tạo vai trò cho danh tính web bằng Bảng điều khiển quản lý AWS
- Mở Bảng điều khiển IAM tại https://console.aws.amazon.com/iam/
- Trong ngăn dẫn hướng, bấm Vai trò(Roles) rồi bấm vào Tạo vai trò(Create role).
- Sau khi nhấp vào vai trò tạo(Create role), hãy chọn loại thực thể đáng tin cậy, tức là danh tính web(web identity)
- Chỉ định ID khách hàng xác định ứng dụng của bạn.
- Nếu bạn đang tạo một vai trò cho Amazon Cognity, hãy chỉ định ID của nhóm nhận dạng khi bạn đã tạo các ứng dụng Amazon Cognity của mình vào phần ID nhóm nhận dạng.
- Nếu bạn đang tạo vai trò cho một nhà cung cấp danh tính web, hãy chỉ định ID mà nhà cung cấp cung cấp khi bạn đã đăng ký ứng dụng của mình với nhà cung cấp danh tính.
- (Tùy chọn) Nhấp vào Thêm điều kiện(Add Conditions) để thêm các điều kiện bổ sung phải được đáp ứng trước khi người dùng ứng dụng của bạn có thể sử dụng các quyền do vai trò cấp.
- Bây giờ, hãy đính kèm các chính sách quyền vào vai trò và sau đó nhấp vào Tiếp theo: Thẻ(Next: Tags).
- Trong phần tên vai trò, hãy chỉ định tên vai trò và mô tả vai trò
- Nhấp vào Tạo vai trò(Create role) để hoàn tất quá trình tạo vai trò.
Tạo vai trò cho Liên kết dựa trên SAML 2.0 bằng Bảng điều khiển quản lý AWS
- Mở Bảng điều khiển IAM tại https://console.aws.amazon.com/iam/
- Trong ngăn điều hướng của bảng điều khiển, bấm vào Vai trò rồi bấm vào Tạo vai trò(Create role)
- Nhấp vào Vai trò để Truy cập Nhà cung cấp Danh tính(Role for Identity Provider Access).
- Chọn loại vai trò mà bạn muốn tạo cho Cấp quyền đăng nhập một lần trên web(Grant Web Single Sign-On)(SSO) hoặc Cấp quyền truy cập API.
- Chọn Nhà cung cấp SAML mà bạn muốn tạo vai trò.
- Nếu bạn đang tạo một vai trò cho quyền truy cập API, hãy chọn thuộc tính từ danh sách thuộc tính. Sau đó, trong hộp giá trị, hãy nhập giá trị mà bạn muốn đưa vào vai trò. Nó hạn chế quyền truy cập vào vai trò đối với người dùng từ các nhà cung cấp danh tính có phản hồi xác thực SAML bao gồm các thuộc tính bạn chọn.
- Nếu bạn muốn thêm nhiều điều kiện liên quan đến thuộc tính, hãy nhấp vào Thêm điều kiện(Add Conditions).
- Đính kèm các chính sách quyền vào vai trò.
- Nhấp vào Tạo vai trò(Create role) để hoàn tất quá trình tạo vai trò.
Tạo vai trò cho Người dùng liên kết bằng AWS CLI
Để tạo vai trò cho người dùng liên kết bằng AWS CLI, hãy sử dụng các lệnh sau:
Tạo vai trò: aws iam create-role
Để đính kèm quyền vào chính sách: aws iam attach-role-policy or aws iam put-role-policy
Cài ứng dụng cafedev để dễ dàng cập nhật tin và học lập trình mọi lúc mọi nơi tại đây.
Tài liệu từ cafedev:
- Full series tự học Amazon Web Services(AWS)từ cơ bản tới nâng cao tại đây nha.
- Ebook về AWS tại đây.
- Các nguồn kiến thức MIỄN PHÍ VÔ GIÁ từ cafedev tại đây
Nếu bạn thấy hay và hữu ích, bạn có thể tham gia các kênh sau của cafedev để nhận được nhiều hơn nữa:
Chào thân ái và quyết thắng!