Kiểm soát quyền truy cập mức độ chi tiết IAM
Tổng quan
Quản lý danh tính và truy cập (IAM) trong AWS cung cấp cho bạn biện pháp kiểm soát quyền truy cập mức độ chi tiết để giúp bạn thiết lập các quyền nhằm xác định xem ai có thể truy cập tài nguyên AWS nào và trong điều kiện nào. Sử dụng biện pháp kiểm soát quyền truy cập mức độ chi tiết để giúp bảo mật tài nguyên AWS của bạn trên hành trình đạt các đặc quyền tối thiểu.
Cách hoạt động
Cách thức hoạt động: Với IAM, bạn xác định xem ai có thể truy cập tài nguyên AWS của bạn bằng cách sử dụng các chính sách. Bạn đính kèm chính sách vào Vai trò IAM trong tài khoản AWS và vào các tài nguyên AWS của bạn. Đối với mỗi yêu cầu đến AWS, IAM xác thực yêu cầu bằng cách so sánh với chính sách của bạn và cho phép hoặc từ chối yêu cầu. Để biết thêm thông tin, hãy xem phần Tìm hiểu cách IAM hoạt động trong Hướng dẫn sử dụng IAM.
Ngôn ngữ chính sách IAM: Ngôn ngữ chính sách IAM, được gọi là JSON, cho phép bạn biểu đạt các yêu cầu về quyền truy cập ở cấp độ chi tiết bằng cách sử dụng các hành động, tài nguyên và yếu tố điều kiện trong chính sách. Để biết thêm thông tin, hãy xem Tài liệu tham khảo chính sách JSON IAM.
Các loại chính sách để trao quyền truy cập: IAM cho phép bạn linh hoạt đính kèm chính sách vào cả Vai trò IAM lẫn tài nguyên AWS có hỗ trợ các chính sách dựa trên tài nguyên. Chính sách dựa trên danh tính và chính sách dựa trên tài nguyên phối hợp để xác định biện pháp kiểm soát quyền truy cập. Để biết thêm thông tin về các loại chính sách, hãy xem phần Chính sách và quyền trong IAM trong Hướng dẫn sử dụng IAM.
Quy tắc bảo vệ dự phòng: Quy tắc bảo vệ dự phòng giúp bạn thiết lập các ranh giới về quyền tối đa sẵn có cho các Vai trò IAM. Bạn có thể sử dụng chính sách kiểm soát dịch vụ, ranh giới quyền và chính sách phiên để giới hạn các quyền có thể trao cho một Vai trò IAM. Để tìm hiểu thêm về việc thiết lập các quy tắc bảo vệ dự phòng, hãy xem Giới hạn dữ liệu trên AWS.
Kiểm soát quyền truy cập dựa trên thuộc tính (ABAC): Sử dụng ABAC để xác định quyền ở cấp độ chi tiết dựa trên thuộc tính đính kèm với Vai trò IAM, ví dụ như phòng ban và vai trò công việc. Bằng cách trao quyền truy cập cho các tài nguyên riêng lẻ dựa trên thuộc tính, bạn không phải cập nhật chính sách cho từng tài nguyên mới mà bạn bổ sung trong tương lai. Để biết thêm thông tin, hãy xem ABAC dành cho AWS.
Để tìm hiểu về cách hợp lý hóa công tác quản lý quyền, hãy xem Trình phân tích truy cập IAM hướng dẫn bạn về các quyền với đặc quyền tối thiểu. Đồng thời, hãy xem Danh tính AWS: Quản lý quyền thế hệ tiếp theo để tìm hiểu thêm về việc kiểm soát quyền truy cập cấp độ chi tiết trong IAM.