AWS IAM User là gì?

AWS IAM User là tài khoản được tạo trên AWS để quản lý quyền truy cập và bảo mật tài khoản AWS của bạn. Mỗi IAM User đại diện cho một người dùng hoặc ứng dụng cần truy cập vào tài nguyên AWS.

Đặc điểm chính của IAM User:

1. Xác thực riêng biệt: Mỗi IAM User có thông tin đăng nhập riêng (username và password) hoặc access keys để truy cập AWS.

2. Quyền truy cập tùy chỉnh: Bạn có thể gán các quyền cụ thể cho từng IAM User thông qua:

   • IAM Policies
   • IAM Groups
   • IAM Roles

3. Bảo mật nâng cao: Hỗ trợ các tính năng bảo mật như:

   • Multi-factor authentication (MFA)
   • Password policies
   • Access key rotation

4. Theo dõi hoạt động: Mỗi hành động của IAM User đều được ghi lại trong AWS CloudTrail, giúp bạn theo dõi và kiểm tra các hoạt động trên tài khoản AWS.

Khi nào nên sử dụng IAM User:

• Khi cần tạo tài khoản cho người dùng trong tổ chức của bạn
• Khi cần cấp quyền truy cập cho ứng dụng hoặc dịch vụ bên ngoài
• Khi muốn phân chia quyền truy cập cho các thành viên trong team
• Khi cần tuân thủ các yêu cầu về bảo mật và kiểm soát truy cập

Các bước tạo IAM User trên AWS

Bước 1: Đăng nhập vào AWS Management Console

• Truy cập vào AWS Management Console
• Đăng nhập bằng tài khoản AWS của bạn.

Bước 2: Truy cập vào dịch vụ IAM

• Tìm kiếm và chọn dịch vụ "IAM" trong thanh tìm kiếm.

Bước 3: Tạo IAM User

• Chọn "Users" từ menu bên trái.
• Nhấn nút "Create user".
• Nhập tên người dùng trong trường "User name". E.g: xinhnd2
• Chọn "Provide user access to the AWS Management Console" để cấp quyền truy cập vào AWS Management Console.
• Nhập mật khẩu ở mục "Password". Bạn có thể chọn "Autogenerated password" để AWS tự động tạo mật khẩu hoặc nhập mật khẩu tùy chỉnh.
• Nhấn nút "Next: Permissions".

Bước 4: Cấp quyền cho IAM User

• Chọn cách cấp quyền cho người dùng:
  • 1. Add user to group: Bạn có thể chọn group hoặc tạo group và thêm người dùng vào group đó. User sẽ có quyền mà group đó có.
  • 2. Copy permissions: Sao chép quyền từ một người dùng đã tồn tại.
  • 3. Attach policies directly: Chọn các chính sách(policy) có sẵn để cấp quyền.
    • 3.1 Attach existing policies directly: Chọn các chính sách có sẵn để cấp quyền.
      • AdministratorAccess: Quyền quản trị toàn bộ AWS.
      • AmazonEC2FullAccess: Quyền truy cập đầy đủ vào dịch vụ EC2.
      • AmazonS3FullAccess: Quyền truy cập đầy đủ vào dịch vụ S3.
    • 3.2 Attach customer managed policies: Gán các Policy do bạn tự quản lý.
• Bấm nút "Next".

Lưu ý:

• Bạn có thể chọn nhiều policy cùng một lúc.
• Chỉ nên cấp quyền cần thiết cho người dùng để đảm bảo an toàn cho tài khoản AWS của bạn.

Add user to group

Copy permissions

Attach policies directly - existing

Attach policies directly - customer managed

Bước 5: Xác nhận và tạo IAM User

• Kiểm tra lại thông tin người dùng và quyền đã cấp.
• Nhấn nút "Create user".

Bước 6: Lưu thông tin đăng nhập

• Sau khi tạo thành công, bạn sẽ thấy thông tin đăng nhập của người dùng mới.
• Tải xuống file CSV chứa thông tin đăng nhập hoặc sao chép thông tin để sử dụng sau này.

Bước 7: Đăng nhập vào AWS Management Console

• Mở trình duyệt và truy cập vào đường dẫn đăng nhập của AWS Management Console. Sử dụng giá trị ở mục: Console login link trong thông tin đăng nhập.
• Sử dụng thông tin đăng nhập đã tạo để đăng nhập vào AWS Management Console.

Bước 8: Kiểm tra quyền truy cập

• Sau khi đăng nhập thành công, bạn có thể kiểm tra quyền truy cập của người dùng bằng cách truy cập vào các dịch vụ AWS mà người dùng đã được cấp quyền.
• Ở hướng dẫn trên tôi chỉ cấp quyền cho IAM User là AmazonEC2FullAccess nên bạn chỉ có thể truy cập vào dịch vụ EC2, Còn những dịch vụ khác như S3, RDS, Lambda,... bạn sẽ không thể truy cập được. Nếu muốn có toàn quyền bạn có thể cấp quyền là AdministratorAccess cho IAM User.

Dịch vụ AWS EC2

Dịch vụ AWS RDS

Bước 9: Kết thúc

• Bạn đã tạo thành công một IAM User trên AWS và cấp quyền truy cập cho người dùng đó.
• Bạn có thể tạo thêm nhiều IAM User khác và cấp quyền tương tự.
• Để quản lý người dùng và quyền truy cập, bạn có thể quay lại trang IAM trong AWS Management Console.
• Để bảo mật tài khoản AWS của bạn, hãy đảm bảo rằng bạn không chia sẻ thông tin đăng nhập với người khác và thay đổi mật khẩu định kỳ.
• Nếu bạn không còn cần IAM User nào, hãy xóa người dùng đó để đảm bảo an toàn cho tài khoản AWS của bạn.

Best practice

• Không sử dụng tài khoản root để thực hiện các tác vụ hàng ngày. Thay vào đó, hãy tạo IAM User với quyền truy cập cần thiết.
• Sử dụng MFA (Multi-Factor Authentication) cho tài khoản root và IAM User để tăng cường bảo mật.
• Thường xuyên kiểm tra và cập nhật quyền truy cập cho IAM User để đảm bảo rằng họ chỉ có quyền truy cập vào các tài nguyên cần thiết.
• Sử dụng IAM Roles thay vì IAM User khi cần cấp quyền truy cập tạm thời cho các dịch vụ AWS khác.
• Sử dụng IAM Policies để kiểm soát quyền truy cập chi tiết hơn cho từng người dùng hoặc nhóm người dùng.
• Theo dõi và ghi lại hoạt động của IAM User bằng cách sử dụng "AWS CloudTrail" để phát hiện các hành vi bất thường.
• Sử dụng AWS Organizations để quản lý nhiều tài khoản AWS và áp dụng chính sách bảo mật đồng nhất cho tất cả các tài khoản.
• Nên tuân thủ nguyên tắc "least privilege" - chỉ cấp những quyền cần thiết
• Nên sử dụng IAM Groups để quản lý quyền cho nhiều User có cùng chức năng

Kết luận

Việc tạo IAM User trên AWS là một bước quan trọng trong việc quản lý quyền truy cập và bảo mật tài khoản AWS của bạn. Bằng cách sử dụng IAM, bạn có thể kiểm soát ai có quyền truy cập vào tài nguyên AWS của bạn và đảm bảo rằng chỉ những người dùng cần thiết mới có quyền truy cập vào các dịch vụ và tài nguyên quan trọng. Hãy luôn nhớ rằng việc quản lý quyền truy cập là một phần quan trọng trong việc bảo mật tài khoản AWS của bạn.

Nếu bạn có bất kỳ câu hỏi nào về việc tạo IAM User hoặc quản lý quyền truy cập trên AWS, hãy để lại câu hỏi trong phần bình luận bên dưới. Hy vọng bài viết này sẽ giúp bạn hiểu rõ hơn về cách tạo IAM User trên AWS và cách quản lý quyền truy cập cho người dùng đó.

Cảm ơn bạn đã theo dõi bài viết này. Chúc bạn thành công trong việc quản lý tài khoản AWS của mình!