Bài này chúng ta sẽ tìm hiểu về vai trò trong IAM là gì?, trước khi chúng ta bắt đầu sử dụng AWS một cách dễ dàng hơn bằng cách hiểu các khái niệm và công dụng của từng dịch vụ, tính năng trong AWS.
Nội dung chính
1. Vai trò(Role) trong IAM là gì?
- Vai trò(Roles) là một tập hợp các quyền cấp quyền truy cập vào các hành động và tài nguyên trong AWS. Các quyền này được gắn với vai trò, không phải với Người dùng IAM hoặc một nhóm.
- Người dùng IAM có thể sử dụng một vai trò trong cùng một tài khoản AWS hoặc một tài khoản khác.
- Người dùng IAM có vai trò cũng như một danh tính AWS với các chính sách quyền xác định những gì danh tính có thể và không thể làm trong AWS.
- Một vai trò(Roles) không được liên kết duy nhất với một người; nó có thể được sử dụng bởi bất kỳ ai cần nó.
- Vai trò không có thông tin xác thực bảo mật lâu dài, tức là mật khẩu hoặc khóa bảo mật. Thay vào đó, nếu người dùng sử dụng một vai trò, thông tin xác thực bảo mật tạm thời được tạo và cung cấp cho người dùng.
- Bạn có thể sử dụng các vai trò để ủy quyền quyền truy cập cho người dùng, ứng dụng hoặc dịch vụ thường không có quyền truy cập vào tài nguyên AWS của bạn.
1.1 Các tình huống có thể sử dụng “Vai trò IAM”(Roles IAM):
- Đôi khi bạn muốn cấp cho người dùng quyền truy cập tài nguyên AWS trong tài khoản AWS của mình.
- Đôi khi bạn muốn cấp cho người dùng quyền truy cập tài nguyên AWS trong một tài khoản AWS khác.
- Nó cũng cho phép ứng dụng di động truy cập vào tài nguyên AWS, nhưng không muốn lưu trữ các khóa trong ứng dụng.
- Nó có thể được sử dụng để cấp quyền truy cập vào các tài nguyên AWS có danh tính bên ngoài AWS.
- Nó cũng có thể được sử dụng để cấp quyền truy cập vào tài nguyên AWS cho bên thứ ba để họ có thể thực hiện kiểm tra tài nguyên AWS.
1.2 Sau đây là các thuật ngữ quan trọng liên quan đến “Vai trò IAM”:
- Ủy quyền(Delegation): Ủy quyền là quá trình cấp quyền cho người dùng để cho phép truy cập vào các tài nguyên AWS mà bạn kiểm soát. Ủy quyền thiết lập sự tin cậy giữa tài khoản đáng tin cậy (tài khoản sở hữu tài nguyên) và tài khoản tin cậy (tài khoản chứa người dùng cần truy cập tài nguyên).
Tài khoản tin cậy và đáng tin cậy có thể có ba loại:- Cùng một tài khoản
- Hai tài khoản khác nhau dưới sự kiểm soát của cùng một tổ chức
- Hai tài khoản khác nhau thuộc sở hữu của các tổ chức khác nhau.
Để ủy quyền quyền truy cập tài nguyên, vai trò IAM phải được tạo trong tài khoản tin cậy có hai chính sách đính kèm.
Chính sách quyền(Permission Policy): Nó cấp cho người dùng có vai trò các quyền cần thiết để thực hiện các tác vụ dự kiến.
Chính sách tin cậy(Trust Policy:): Nó chỉ định thành viên tài khoản đáng tin cậy nào có thể sử dụng vai trò.
- Liên kết(Federation): Liên kết là một quá trình tạo mối quan hệ tin cậy giữa nhà cung cấp dịch vụ bên ngoài và AWS. Ví dụ, Facebook cho phép người dùng đăng nhập vào các trang web khác nhau bằng cách sử dụng tài khoản facebook của họ.
- Chính sách tin cậy(Trust policy): Một tài liệu được viết ở định dạng JSON để xác định ai được phép sử dụng vai trò. Tài liệu này được viết dựa trên các quy tắc của Ngôn ngữ Chính sách IAM.
- Chính sách quyền(Permissions policy): Một tài liệu được viết ở định dạng JSON để xác định các hành động và tài nguyên mà vai trò có thể sử dụng. Tài liệu này dựa trên các quy tắc của Ngôn ngữ Chính sách IAM.
- Ranh giới quyền(Permissions boundary): Đây là một tính năng nâng cao của AWS trong đó bạn có thể giới hạn các quyền tối đa mà vai trò có thể có. Các ranh giới quyền có thể được áp dụng cho Người dùng IAM hoặc vai trò IAM nhưng không thể áp dụng cho vai trò được liên kết với dịch vụ.
- Người Chính(Principal): Người chính có thể là người dùng tài khoản root của AWS, Người dùng IAM hoặc một vai trò. Các quyền có thể được cấp theo một trong hai cách:
- Đính kèm chính sách quyền cho một vai trò.
- Các dịch vụ hỗ trợ các chính sách dựa trên tài nguyên, bạn có thể xác định yếu tố chính trong yếu tố chính của chính sách được đính kèm với tài nguyên.
- Truy cập nhiều tài khoản: Vai trò so với Chính sách dựa trên tài nguyên: Nó cho phép bạn cấp quyền truy cập vào các tài nguyên trong một tài khoản cho người chính đáng tin cậy trong một tài khoản khác được gọi là truy cập nhiều tài khoản. Một số dịch vụ cho phép bạn đính kèm chính sách trực tiếp, được gọi là chính sách Dựa trên tài nguyên. Các dịch vụ hỗ trợ Chính sách dựa trên tài nguyên là nhóm Amazon S3, Amazon SNS, Hàng đợi Amazon SQS.
Cài ứng dụng cafedev để dễ dàng cập nhật tin và học lập trình mọi lúc mọi nơi tại đây.
Tài liệu từ cafedev:
- Full series tự học Amazon Web Services(AWS)từ cơ bản tới nâng cao tại đây nha.
- Ebook về AWS tại đây.
- Các nguồn kiến thức MIỄN PHÍ VÔ GIÁ từ cafedev tại đây
Nếu bạn thấy hay và hữu ích, bạn có thể tham gia các kênh sau của cafedev để nhận được nhiều hơn nữa:
Chào thân ái và quyết thắng!