Tìm hiểu AWS IAM – Dịch vụ kiểm soát truy cập toàn diện 2024

Trong số các dịch vụ bảo mật đa dạng của AWS, AWS IAM, hay Identity and Access Management là một trong những dịch vụ được sử dụng rộng rãi nhất. AWS IAM cho phép bạn kiểm soát an toàn quyền truy cập vào các dịch vụ và tài nguyên AWS cho người dùng của mình. Hãy cùng OSAM tìm hiểu về AWS IAM trong blog dưới đây.

AWS IAM là gì

AWS IAM là gì?

AWS Identity and Access Management (IAM) là một dịch vụ web cho phép kiểm soát an toàn việc truy cập vào các tài nguyên AWS. AWS IAM cho phép bạn tạo và quản lý các dịch vụ xác thực người dùng, hoặc giới hạn quyền truy cập vào một nhóm người dùng cụ thể đối với các tài nguyên AWS của bạn.

AWS IAM hoạt động dựa trên các khái niệm như người dùng (users), nhóm (groups), vai trò (roles) và chính sách (policies). Người dùng đại diện cho một cá nhân hoặc ứng dụng tương tác với AWS, trong khi nhóm cho phép bạn quản lý nhiều người dùng cùng một lúc. Vai trò xác định một tập hợp các quyền được gán cho người dùng hoặc dịch vụ AWS, còn chính sách là một tài liệu JSON xác định các quyền cụ thể được phép hoặc bị từ chối.

Hiểu rõ và sử dụng hiệu quả AWS IAM là rất quan trọng để đảm bảo an ninh cho môi trường AWS của bạn. Bằng cách quản lý chặt chẽ quyền truy cập, doanh nghiệp có thể giảm thiểu rủi ro bị xâm nhập trái phép và bảo vệ dữ liệu nhạy cảm. Nhận ngay eBook hướng dẫn sử dụng tốt nhất dành cho AWS IAM tại đây.

Vì sao doanh nghiệp nên sử dụng AWS IAM

Trước khi có AWS hay IAM, mật khẩu thường được chia sẻ trong môi trường doanh nghiệp một cách không an toàn, chẳng hạn qua điện thoại hoặc email. Thông thường, chỉ tồn tại duy nhất một mật khẩu quản trị, được lưu trữ tại một vị trí cố định, hoặc chỉ có duy nhất một người có thể đặt lại mật khẩu, và bạn phải gọi điện cho người đó để hỏi mật khẩu qua điện thoại. 

Điều này hoàn toàn không an toàn, vì bất kỳ ai cũng có thể nghe lén và lấy được mật khẩu, từ đó truy cập vào hệ thống và thông tin của bạn. Ngày nay, chúng ta có công cụ giao tiếp an toàn hơn như các ứng dụng bên thứ ba như Slack hoạt động trên AWS. Nó giúp mọi người chia sẻ tài liệu thông qua ứng dụng, loại bỏ nguy cơ bị nghe lén.

Tìm hiểu thêm: 

AWS IAM hoạt động như thế nào?

Quy trình làm việc của AWS IAM bao gồm 6 yếu tố sau:

  • Principal: Đây là một thực thể có thể thực hiện các hành động trên tài nguyên AWS. Người dùng, vai trò hoặc ứng dụng đều có thể là một principal.
  • Xác thực (Authentication): Quá trình xác nhận danh tính của principal đang cố gắng truy cập vào sản phẩm AWS. Principal phải cung cấp thông tin xác thực hoặc các khóa cần thiết để xác thực.
  • Yêu cầu (Request): Principal gửi yêu cầu đến AWS, chỉ định hành động và tài nguyên nào sẽ thực hiện hành động đó.
  • Ủy quyền (Authorization): Theo mặc định, tất cả các tài nguyên đều bị từ chối. IAM chỉ ủy quyền cho một yêu cầu nếu tất cả các phần của yêu cầu được cho phép bởi một chính sách phù hợp. Sau khi xác thực và ủy quyền yêu cầu, AWS sẽ phê duyệt hành động.
  • Hành động (Actions): Được sử dụng để xem, tạo, chỉnh sửa hoặc xóa một tài nguyên.
  • Tài nguyên (Resources): Một tập hợp các hành động có thể được thực hiện trên một tài nguyên liên quan đến tài khoản AWS của bạn.
Nguồn: GeeksforGeeks

Các Tính Năng Của IAM

Dưới đây là một số tính năng chính của AWS IAM:

  • Truy cập chia sẻ vào tài khoản AWS: Tính năng nổi bật của IAM là cho phép bạn tạo tên người dùng và mật khẩu riêng biệt cho từng người dùng hoặc tài nguyên, đồng thời phân quyền truy cập.
  • Quyền chi tiết (Granular permissions): Bạn có thể áp dụng các hạn chế đối với các yêu cầu. Ví dụ: bạn có thể cho phép người dùng tải xuống thông tin, nhưng từ chối khả năng cập nhật thông tin thông qua các chính sách.
  • Xác thực đa yếu tố (MFA): IAM hỗ trợ MFA, trong đó người dùng cung cấp tên người dùng và mật khẩu của họ cùng với mật khẩu dùng một lần từ điện thoại của họ – một số được tạo ngẫu nhiên được sử dụng làm yếu tố xác thực bổ sung.
  • Liên kết danh tính (Identity Federation): Nếu người dùng đã được xác thực, chẳng hạn như thông qua tài khoản Facebook hoặc Google, IAM có thể được thiết lập để tin tưởng phương thức xác thực đó và sau đó cho phép truy cập dựa trên nó. Điều này cũng có thể được sử dụng để cho phép người dùng chỉ cần duy trì một mật khẩu cho cả công việc trên môi trường tại chỗ (on-premises) và môi trường đám mây (cloud).
  • Miễn phí sử dụng: Không có phí bổ sung cho bảo mật IAM. Bạn không phải trả thêm phí để tạo thêm người dùng, nhóm hoặc chính sách.
  • Tuân thủ PCI DSS: IAM tuân thủ Tiêu chuẩn Bảo mật Dữ liệu Ngành Công nghiệp Thẻ Thanh toán (PCI DSS), một tiêu chuẩn bảo mật thông tin cho các tổ chức xử lý thẻ tín dụng có thương hiệu từ các chương trình thẻ lớn.
  • Chính sách mật khẩu: Chính sách mật khẩu IAM cho phép bạn đặt lại mật khẩu hoặc xoay vòng mật khẩu từ xa. Bạn cũng có thể đặt quy tắc, chẳng hạn như cách người dùng nên chọn mật khẩu hoặc số lần người dùng có thể cố gắng cung cấp mật khẩu trước khi bị từ chối truy cập.

Các thành phần của AWS IAM

1. Người dùng (Users)

Trong IAM, người dùng là một danh tính (identity) được gắn liền với thông tin xác thực (credential) và quyền hạn (permission) cụ thể. Người dùng có thể là một người thật hoặc một ứng dụng. Với IAM, bạn có thể quản lý an toàn quyền truy cập vào các dịch vụ AWS bằng cách tạo tên người dùng IAM cho mỗi nhân viên trong tổ chức của bạn. 

Mỗi người dùng AWS IAM chỉ được liên kết với duy nhất một tài khoản AWS. Theo mặc định, một người dùng mới được tạo sẽ không được phép thực hiện bất kỳ hành động nào trong AWS. Ưu điểm của việc chỉ định người dùng một-một (one-to-one) là bạn có thể gán quyền cho từng người dùng một cách riêng biệt.

2. Nhóm (Groups)

Nhóm trong AWS IAM là tập hợp của nhiều người dùng IAM. Bạn có thể sử dụng nhóm để chỉ định quyền truy cập cho nhiều người dùng cùng một lúc, giúp việc quản lý quyền trở nên đơn giản hơn. Khi quyền được áp dụng cho một nhóm, tất cả các thành viên trong nhóm đó cũng sẽ được thừa hưởng quyền đó.

Việc quản lý nhóm khá dễ dàng. Bạn chỉ cần thiết lập quyền cho nhóm, và các quyền này sẽ tự động được áp dụng cho tất cả người dùng thuộc nhóm. Nếu bạn thêm một người dùng mới vào nhóm, người dùng đó sẽ tự động kế thừa toàn bộ chính sách và quyền đã được gán cho nhóm. Điều này giúp giảm đáng kể gánh nặng quản trị cho bạn.

3. Chính sách (Policies)

Chính sách IAM (IAM Policy) thiết lập quyền hạn và kiểm soát quyền truy cập vào các tài nguyên AWS. Các chính sách này được lưu trữ trong AWS dưới dạng tài liệu JSON. Quyền hạn (permission) chỉ định ai có quyền truy cập vào tài nguyên và họ có thể thực hiện những hành động nào. Ví dụ: một chính sách có thể cho phép người dùng AWS IAM truy cập vào một trong các bucket trong Amazon S3. Chính sách sẽ chứa các thông tin sau:

  • Ai có thể truy cập
  • Hành động mà người dùng đó có thể thực hiện
  • Tài nguyên AWS nào mà người dùng đó có thể truy cập
  • Khi nào họ có thể truy cập

Dưới định dạng JSON, chính sách có thể trông như sau:

AWS IAM

Có hai loại chính sách: chính sách quản lý (managed policies) và chính sách nội tuyến (inline policies).

  • Chính sách quản lý (Managed policy): Đây là chính sách mặc định mà bạn có thể đính kèm vào nhiều thực thể (người dùng, nhóm và vai trò) trong tài khoản AWS của mình. Các chính sách được quản lý, dù là do AWS quản lý hay do khách hàng quản lý, đều là các chính sách độc lập dựa trên danh tính được đính kèm vào nhiều người dùng và/hoặc nhóm.
  • Chính sách nội tuyến (Inline policy): Đây là chính sách mà bạn tạo ra và được nhúng trực tiếp vào một thực thể duy nhất (người dùng, nhóm hoặc vai trò).

4. Vai trò (Roles)

Vai trò IAM (IAM Role) là một tập hợp các quyền hạn xác định những hành động được phép và bị từ chối bởi một thực thể trong AWS console. Vai trò tương tự như người dùng ở chỗ nó có thể được truy cập bởi bất kỳ loại thực thể nào (một cá nhân hoặc dịch vụ AWS). Tuy nhiên, quyền hạn của vai trò là thông tin xác thực tạm thời.

Ví dụ: bạn có thể muốn cho phép một ứng dụng di động sử dụng tài nguyên AWS, nhưng không muốn nó lưu khóa, thông tin xác thực hoặc mật khẩu. Hoặc bạn có thể muốn cấp quyền truy cập tài nguyên cho một người dùng đã có danh tính xác định bên ngoài AWS, chẳng hạn như người dùng đã có xác thực Google hoặc Facebook. 

Nếu bạn muốn cung cấp cho ai đó một dịch vụ hoặc cho phép ai đó truy cập tài nguyên trong tài khoản của bạn, bạn cũng có thể sử dụng vai trò cho mục đích đó. Bạn cũng có thể muốn cấp quyền truy cập tạm thời vào tài khoản của mình cho bên thứ ba, chẳng hạn như chuyên gia tư vấn hoặc kiểm toán viên. Họ không phải là người dùng vĩnh viễn, chỉ là người dùng có quyền truy cập tạm thời vào môi trường của bạn.

Kết luận

AWS IAM đóng vai trò then chốt trong việc đảm bảo an ninh và kiểm soát truy cập hiệu quả cho môi trường đám mây của bạn. Với các tính năng mạnh mẽ và linh hoạt, AWS IAM giúp bạn bảo vệ tài nguyên, giảm thiểu rủi ro và tuân thủ các tiêu chuẩn bảo mật.

Tuy nhiên, việc quản lý và tối ưu hóa AWS IAM có thể là một thách thức đối với nhiều doanh nghiệp. OSAM, với tư cách là đối tác cấp cao của AWS, cung cấp dịch vụ Quản lý Đám mây toàn diện, bao gồm cả việc tư vấn, triển khai và quản lý AWS IAM một cách chuyên nghiệp. Đội ngũ chuyên gia của OSAM sẽ giúp bạn xây dựng và duy trì một hệ thống AWS IAM hiệu quả, đảm bảo an toàn tối đa cho dữ liệu và ứng dụng của bạn trên nền tảng AWS.

Liên hệ ngay với OSAM để tìm hiểu thêm về dịch vụ Quản lý Đám mây và khám phá cách chúng tôi giúp bạn tận dụng tối đa tiềm năng của AWS.