Ở phần trước, chúng ta đã được tìm hiểu về Tạo IAM Group và IAM User thì ở phần này sẽ tới phần Tạo IAM Role và IAM User.
IAM Role là tính năng giúp việc nâng cao tính bảo mật trên AWS. Một IAM Role có thể được gán tạm thời cho các IAM User và các tài nguyên AWS trong nội bộ (internal) hoặc bên ngoài (external) tài khoản của bạn. Giả sử, khi một IAM User tiếp nhận (assume) một IAM Role, IAM User đó sẽ tạm thời có được những quyền hạn của IAM Role đó.
Bạn nên sử dụng IAM Role khi bạn muốn cung cấp quyền truy cập ngắn hạn cho một IAM User hoặc tài nguyên AWS.
Trong phần này, chúng ta sẽ tìm hiểu :
- Tạo một IAM Role Admin được gán IAM Policy AdministratorAccess;
- Tạo thêm 1 IAM User có tên là OperatorUser;
- và cho phép OperatorUser được sử dụng role này.
Nội dung
- Tạo Admin Role
- Tạo OperatorUser
- Truy cập vào giao diện quản lý của dịch vụ IAM.
- Ở thanh bên trái, chọn Roles và sau đó chọn Create role.
–
- Click AWS account để tạo role được sử dụng trong account hiện tại của bạn hoặc một account AWS bất kỳ.
–
- Click Another AWS account
- Với Account ID, nhập AWS account ID của tài khoản hiện tại bạn đang sử dụng (Để xem account ID, bạn nhấp vào tên tài khoản của mình ở góc trên bên phải) Chọn Next.
- Gõ AdministratorAccess vào thanh tìm kiếm, enter và đánh dấu AdministratorAccess.Như vậy, bạn đã cho phép IAM Role này có quyền truy cập Admin tới tài nguyên AWS của account chính của bạn.
Chọn Next
–
- Với Role name, nhập tên cho role, ví dụ AdminRole
–
Tên của role phải là duy nhất với tài khoản của bạn. Tên không được phân biệt theo chữ in hoa hay in thường.
Ví dụ role name ADMINUSER cũ và tạo 1 role name mới adminuser sẽ không được.
- Chọn Create role.
–
- Hoàn thành tạo role.
–
- Xem thông tin chi tiết của role.
–
- Sử dụng tài khoản AdminUser bạn đã đăng nhập ở bước trước. Vào AWS Management Console và gõ IAM vào thanh tìm kiếm. Sau đó click vào kết quả tìm kiếm IAM.
–
- Ở thanh điều hướng bên trái, chọn Users sau đó chọn Add Users
–
- Trên trang Specify user details, dưới phần User details, trong ô User name, nhập tên cho người dùng mới. Đây là tên đăng nhập cho AWS của họ. Ví dụ: OperateUser
- Chọn Provide user access to the – AWS Management Console (tuỳ chọn) này tạo ra thông tin đăng nhập AWS Management Console cho người dùng mới.
- Bạn được hỏi liệu bạn có cung cấp quyền truy cập vào bảng điều khiển cho một người không. Chúng tôi khuyến nghị bạn tạo người dùng trong IAM Identity Center thay vì IAM.
- Để chuyển sang việc tạo người dùng trong IAM Identity Center, chọn Specify a user in Identity Center.
- Nếu bạn chưa bật IAM Identity Center, việc chọn tùy chọn này sẽ đưa bạn đến trang dịch vụ trong bảng điều khiển để bạn có thể bật dịch vụ này. Để biết chi tiết về quy trình này, xem https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html trong Hướng dẫn người dùng AWS IAM Identity Center (kế thừa từ AWS Single Sign-On).
- Nếu bạn đã bật IAM Identity Center, việc chọn tùy chọn này sẽ đưa bạn đến trang “Chỉ định chi tiết người dùng” trong IAM Identity Center. Để biết chi tiết về quy trình này, xem https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html trong Hướng dẫn người dùng AWS IAM Identity Center (kế thừa từ AWS Single Sign-On).
- Nếu bạn không thể sử dụng IAM Identity Center, chọn I want to create an IAM user.
- Đối với Console password, hãy chọn một trong các lựa chọn sau:
- Autogenerated password – Người dùng sẽ nhận được một mật khẩu được tạo ngẫu nhiên và đáp ứng chính sách mật khẩu tài khoản. Bạn có thể xem hoặc tải xuống mật khẩu khi bạn đến trang Lấy mật khẩu.
- Custom password – Người dùng sẽ được gán mật khẩu mà bạn nhập vào ô.
- Bỏ chọn Users must create a new password at next sign-in (recommended) được chọn mặc định để đảm bảo người dùng bị buộc phải thay đổi mật khẩu lần đầu tiên khi đăng nhập.
- Chọn Next
–
- Chọn Next
–
- (Tùy chọn) Trên Review and create, dưới mục Tags, chọn Add new tag để thêm dữ liệu về người dùng bằng cách gắn thẻ dưới dạng cặp khóa-giá trị.
- Xem xét tất cả các lựa chọn mà bạn đã chọn đến thời điểm này. Khi bạn sẵn sàng tiếp tục, chọn Create user.
–
- Tạo OperateUser thành công.
–
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin