Tweet
BẢO MẬT TRUY CẬP TRÊN AWS – TÌM HIỂU IAM (Identity and Access Management)!
BẢO MẬT TRUY CẬP TRÊN AWS – TÌM HIỂU IAM (Identity and Access Management)!
Khi bạn bắt đầu làm việc với AWS Cloud, việc đầu tiên – và quan trọng nhất – chính là quản lý người dùng và quyền truy cập.
Đó chính là nhiệm vụ của IAM – Identity and Access Management, một trong những dịch vụ bảo mật cốt lõi và toàn cầu nhất của AWS.
🔐 1. IAM là gì?
IAM (Identity and Access Management) là dịch vụ giúp bạn:
IAM là dịch vụ Global, nghĩa là chỉ cần cấu hình một lần – các quyền đó có hiệu lực trên toàn bộ tài khoản AWS của bạn.
👥 2. Users và Groups trong IAM
Khi bạn tạo một tài khoản AWS, mặc định có một “Root Account” – tức là tài khoản gốc.
Ví dụ:
Nhờ vậy, bạn có thể quản lý quyền theo nhóm thay vì từng cá nhân — vừa nhanh, vừa an toàn.
🧩 3. IAM Permissions – Phân quyền truy cập
Trong AWS, quyền truy cập được quản lý thông qua Policies (chính sách).
Một Policy là một tệp JSON mô tả chi tiết những hành động nào được phép hoặc bị cấm trên tài nguyên nào.
Ví dụ một Policy cơ bản:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe*"
],
"Resource": "*"
}
]
}
👉 Nghĩa là: người dùng có thể xem thông tin của EC2, Load Balancer và CloudWatch — nhưng không được phép xóa hay tạo tài nguyên mới.
Điều này giúp giảm rủi ro bảo mật và tránh lỗi không mong muốn.
🧠 4. Cấu trúc của một IAM Policy
Một Policy trong AWS gồm nhiều phần:
Trong mỗi Statement, có các thành phần:
Nhờ cấu trúc rõ ràng này, AWS cho phép bạn tùy chỉnh chính xác mức truy cập cho từng người dùng hoặc dịch vụ.
🧬 5. IAM Policy Inheritance – Thừa kế quyền truy cập
Khi một User nằm trong nhiều Groups, quyền của họ sẽ là tổng hợp tất cả các quyền từ các nhóm.
Nếu có xung đột giữa Allow và Deny, thì Deny luôn được ưu tiên — đây là cơ chế bảo mật bắt buộc của AWS.
Bạn cũng có thể tạo Inline Policy (chính sách gắn trực tiếp cho một user riêng) để xử lý những trường hợp đặc biệt.
🔑 6. IAM Password Policy – Chính sách mật khẩu
Bảo mật không chỉ nằm ở phân quyền, mà còn ở chính sách mật khẩu (Password Policy).
AWS cho phép bạn thiết lập các quy tắc nâng cao để bảo vệ tài khoản IAM của tổ chức:
Nhờ đó, hệ thống luôn được đảm bảo an toàn và tuân thủ chuẩn bảo mật cao nhất.
💡 Tổng kết
IAM là “trái tim bảo mật” của AWS.
Nó giúp bạn:
🔥 Nếu bạn muốn hiểu rõ và thực hành IAM trực tiếp trên AWS,
hãy tham gia khóa học “AWS ” tại VnPro – nơi bạn sẽ được học thực hành phân quyền, tạo user, cấu hình bảo mật và quản trị tài khoản AWS chuyên nghiệp.
🎓 Đăng ký ngay hôm nay để nhận ưu đãi học phí đặc biệt và được tư vấn lộ trình học phù hợp với bạn!
vnpro AWS #CloudComputing #LearnAWS #IAM security #VnProTraining #CloudEngineer
Khi bạn bắt đầu làm việc với AWS Cloud, việc đầu tiên – và quan trọng nhất – chính là quản lý người dùng và quyền truy cập.
Đó chính là nhiệm vụ của IAM – Identity and Access Management, một trong những dịch vụ bảo mật cốt lõi và toàn cầu nhất của AWS.
🔐 1. IAM là gì?
IAM (Identity and Access Management) là dịch vụ giúp bạn:
- Quản lý người dùng (Users), nhóm người dùng (Groups) và quyền truy cập (Permissions).
- Kiểm soát ai được phép truy cập, họ có thể làm gì, và trên tài nguyên nào trong tài khoản AWS của bạn.
IAM là dịch vụ Global, nghĩa là chỉ cần cấu hình một lần – các quyền đó có hiệu lực trên toàn bộ tài khoản AWS của bạn.
👥 2. Users và Groups trong IAM
Khi bạn tạo một tài khoản AWS, mặc định có một “Root Account” – tức là tài khoản gốc.
⚠️ Tuyệt đối KHÔNG nên dùng tài khoản Root cho các tác vụ hằng ngày, và cũng không được chia sẻ cho người khác.
Thay vào đó, hãy tạo các IAM Users riêng biệt cho từng người trong tổ chức.
Một số khái niệm cơ bản:Thay vào đó, hãy tạo các IAM Users riêng biệt cho từng người trong tổ chức.
- Users: Đại diện cho từng cá nhân hoặc thực thể (người, ứng dụng, server…).
- Groups: Là tập hợp các Users có chung vai trò (ví dụ: Developers, Operations, Audit Team…).
- Users có thể thuộc nhiều Groups, nhưng Groups không thể chứa Groups khác.
Ví dụ:
- Alice và Bob nằm trong nhóm Developers.
- Charles, David trong nhóm Operations.
- Fred có thể thuộc nhóm Audit Team.
Nhờ vậy, bạn có thể quản lý quyền theo nhóm thay vì từng cá nhân — vừa nhanh, vừa an toàn.
🧩 3. IAM Permissions – Phân quyền truy cập
Trong AWS, quyền truy cập được quản lý thông qua Policies (chính sách).
Một Policy là một tệp JSON mô tả chi tiết những hành động nào được phép hoặc bị cấm trên tài nguyên nào.
Ví dụ một Policy cơ bản:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe*"
],
"Resource": "*"
}
]
}
👉 Nghĩa là: người dùng có thể xem thông tin của EC2, Load Balancer và CloudWatch — nhưng không được phép xóa hay tạo tài nguyên mới.
💡 Nguyên tắc vàng của AWS IAM:
“Least Privilege Principle” – Chỉ cấp đúng quyền mà người dùng cần, không nhiều hơn!
“Least Privilege Principle” – Chỉ cấp đúng quyền mà người dùng cần, không nhiều hơn!
Điều này giúp giảm rủi ro bảo mật và tránh lỗi không mong muốn.
🧠 4. Cấu trúc của một IAM Policy
Một Policy trong AWS gồm nhiều phần:
- Version: Phiên bản ngôn ngữ policy (hiện tại luôn là “2012-10-17”).
- Id: Mã định danh (tùy chọn).
- Statement: Phần chính chứa các điều khoản quyền.
Trong mỗi Statement, có các thành phần:
- Sid (Statement ID): Nhãn định danh (tùy chọn).
- Effect: Xác định hành động là Allow (cho phép) hay Deny (từ chối).
- Principal: Chỉ định người, nhóm hoặc tài khoản được áp dụng.
- Action: Danh sách các hành động được phép hoặc cấm.
- Resource: Tài nguyên AWS mà Policy áp dụng lên.
- Condition: Điều kiện giới hạn (tùy chọn).
Nhờ cấu trúc rõ ràng này, AWS cho phép bạn tùy chỉnh chính xác mức truy cập cho từng người dùng hoặc dịch vụ.
🧬 5. IAM Policy Inheritance – Thừa kế quyền truy cập
Khi một User nằm trong nhiều Groups, quyền của họ sẽ là tổng hợp tất cả các quyền từ các nhóm.
Nếu có xung đột giữa Allow và Deny, thì Deny luôn được ưu tiên — đây là cơ chế bảo mật bắt buộc của AWS.
Bạn cũng có thể tạo Inline Policy (chính sách gắn trực tiếp cho một user riêng) để xử lý những trường hợp đặc biệt.
🔑 6. IAM Password Policy – Chính sách mật khẩu
Bảo mật không chỉ nằm ở phân quyền, mà còn ở chính sách mật khẩu (Password Policy).
AWS cho phép bạn thiết lập các quy tắc nâng cao để bảo vệ tài khoản IAM của tổ chức:
- Quy định độ dài tối thiểu của mật khẩu.
- Bắt buộc chứa chữ hoa, chữ thường, số và ký tự đặc biệt.
- Cho phép hoặc bắt buộc người dùng thay đổi mật khẩu định kỳ.
- Ngăn việc tái sử dụng mật khẩu cũ.
- Cho phép người dùng tự đổi mật khẩu của họ.
Nhờ đó, hệ thống luôn được đảm bảo an toàn và tuân thủ chuẩn bảo mật cao nhất.
💡 Tổng kết
IAM là “trái tim bảo mật” của AWS.
Nó giúp bạn:
- Quản lý người dùng, nhóm, quyền truy cập một cách khoa học.
- Bảo vệ hệ thống trước rủi ro nội bộ và bên ngoài.
- Đảm bảo nguyên tắc tối thiểu quyền hạn (Least Privilege) luôn được duy trì.
🔥 Nếu bạn muốn hiểu rõ và thực hành IAM trực tiếp trên AWS,
hãy tham gia khóa học “AWS ” tại VnPro – nơi bạn sẽ được học thực hành phân quyền, tạo user, cấu hình bảo mật và quản trị tài khoản AWS chuyên nghiệp.
🎓 Đăng ký ngay hôm nay để nhận ưu đãi học phí đặc biệt và được tư vấn lộ trình học phù hợp với bạn!
vnpro AWS #CloudComputing #LearnAWS #IAM security #VnProTraining #CloudEngineer