+2

Cách thiết lập và quản lý Trung tâm nhận dạng IAM trong AWS

Trung tâm Danh tính IAM của AWS giúp bạn dễ dàng quản lý danh tính của lực lượng lao động, kiểm soát quyền truy cập và tích hợp với các nguồn danh tính phổ biến để đảm bảo xác thực người dùng an toàn trên AWS, chẳng hạn như Microsoft Active Directory, Okta, Ping Identity, Jump Cloud, Google Workspace và Azure Active Directory (Azure AD).

I. Tạo và cấu hình một tổ chức

Trước hết, bạn cần một tài khoản AWS gốc để truy cập vào AWS Organizations và tạo các tài khoản AWS mới. Từ biểu tượng mũi tên ở góc phải trên cùng, chọn tên tài khoản AWS của bạn và chọn Tổ chức. image.png Bảng điều khiển AWS Organizations chủ yếu cung cấp các công cụ để quản lý và sắp xếp nhiều tài khoản AWS trong tổ chức của bạn, xử lý việc lập hóa đơn và quản lý chi phí, cũng như áp dụng các chính sách và kiểm soát đối với các tài khoản AWS. image.png Sử dụng mô hình Prod (Sản xuất) và NonProd (Không sản xuất hoặc Phát triển) là một phương pháp phổ biến và đơn giản để quản lý tài nguyên cho sự phát triển của nhóm. Tài khoản AWS đóng vai trò trong việc cấp quyền truy cập và đặc quyền cụ thể cho một nhóm dịch vụ cho từng người dùng hoặc môi trường cụ thể, chẳng hạn như môi trường phát triển, môi trường thử nghiệm (staging), và môi trường sản xuất. image.png Hơn nữa, chúng tôi còn có các ví dụ khác: image.png Bước tiếp theo là thiết lập một Tài khoản Tổ chức AWS, kèm theo một địa chỉ email cho tổ chức. image.png Sau khi tạo tài khoản AWS của bạn, bạn có thể truy cập Trung tâm Danh tính IAM bằng cách tìm kiếm nó trên bảng điều khiển AWS Management Console.

II. Trung tâm Danh tính IAM AWS

Trong Bảng điều khiển Quản lý AWS, bạn có thể sử dụng menu "Dịch vụ" ở phía trên để tìm và truy cập Trung tâm Danh tính IAM (tên trước đây là AWS SSO): image.png Như bạn có thể thấy, Amazon Resource Name (ARN) arn:aws:sso... chỉ định dịch vụ AWS Single Sign-On. Dưới đây là một số thông tin quan trọng mà bạn cần chú ý:

  • URL cổng truy cập AWS: https://d-9667753f44.awsapps.com/start
  • Cấu hình xác thực đa yếu tố (multi-factor authentication) image.png Điều hướng đến tab Người dùng, ở đó bạn sử dụng thủ tục sau để thêm người dùng vào thư mục Trung tâm Danh tính của bạn bằng cách sử dụng bảng điều khiển Trung tâm Danh tính IAM. image.png Nhấn vào nút Thêm người dùng trong Trung tâm Danh tính IAM ở mục Người dùng để thêm một người dùng, sau đó chọn hộp kiểm để Gửi email cho người dùng này với hướng dẫn thiết lập mật khẩu. Sau khi bạn nhấn vào Tiếp theo, một email sẽ được gửi tới người dùng, cung cấp họ với hướng dẫn về cách xác minh danh tính của họ (nếu cần) và thiết lập hoặc thay đổi mật khẩu của họ. image.png Tương tự, đối với phần Nhóm, bạn có thể thực hiện các bước tương tự. Tạo một nhóm mẫu và thêm các người dùng bạn đã thêm trước đó vào phần Người dùng. image.png Bạn có thể tạo nhiều nhóm để quản lý các người dùng cụ thể với quyền truy cập vào các dịch vụ AWS nhất định. Mỗi nhóm có thể được điều chỉnh để cấp quyền truy cập khác nhau cho người dùng theo nhu cầu.

III. Bộ quyền đăng nhập duy nhất AWS

Bằng cách nhấn vào Bộ quyền, bạn có thể truy cập trực tiếp vào việc quản lý và cấu hình các bộ quyền đăng nhập. Điều này cho phép bạn xác định và gán quyền truy cập và chính sách cho người dùng và nhóm trong tổ chức AWS của bạn. image.png Bạn có thể tạo một bộ quyền đăng nhập có tên là AdministratorAccess. Điều này ngụ ý rằng bạn đang tích hợp quyền từ AdministratorAccess với quyền truy cập đầy đủ. Trong tab Quyền, bạn sẽ tìm thấy danh sách các loại quyền, bao gồm:

  • Các chính sách được quản lý bởi AWS
  • Các chính sách được quản lý bởi khách hàng
  • Các chính sách nội tuyến (inline policies)
  • Giới hạn quyền (permissions boundaries) Bạn có thể tận dụng bộ quyền đăng nhập AdministratorAccess để cấp quyền truy cập đầy đủ, cho phép bạn thêm hoặc sửa đổi quyền cho các tài khoản AWS. image.png Như bạn có thể thấy, chúng tôi đã thêm bộ quyền đăng nhập AdministratorAccess vào cả hai tài khoản AWS Sản xuất và Không Sản xuất (Phát triển). image.png

IV. Tạo và Đính kèm Chính sách Do Khách hàng Quản lý

Mục đích của việc tạo và đính kèm các chính sách do khách hàng quản lý là để hạn chế hoặc điều chỉnh quyền của người dùng dựa trên các chính sách liên quan đến các dịch vụ AWS cụ thể. Vì vậy, chúng ta tiến hành điều hướng đến bảng điều khiển IAM, vào mục Chính sách, và tạo một chính sách mới. image.png Sao chép chính sách AdministratorAccess và đổi tên thành FlagtickAdministratorAccess. Sau đó, sử dụng trình chỉnh sửa JSON để sửa đổi chi tiết các câu lệnh trong chính sách để tùy chỉnh quyền truy cập. image.png Chọn một câu lệnh để xem biểu đồ biểu diễn quyền và thực hiện bất kỳ sửa đổi cần thiết bằng Trình soạn chính sách. image.png Sau khi hoàn tất các sửa đổi, thay thế AdministratorAccess bằng FlagtickAdministratorAccess và tiếp tục thêm người dùng vào các tài khoản AWS dựa trên các cài đặt đã cập nhật. image.png Vui lòng nhớ rằng bạn cần đăng nhập vào tài khoản AWS của mình để thêm một chính sách do khách hàng quản lý vào tài khoản AWS đó. image.png

Vì nội dung của bài viết khá dài nên mời bạn đọc khảo bài viết gốc tại link này: https://www.flagtick.com/post/aws/how-to-set-up-and-manage-iam-identity-center-in-aws. Rất vui khi chia sẻ các kiến thức bổ ích đến cộng đồng Lập Trình Viên Viblo.Asia!


All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí