Quản lý vai trò IAM

Tổng quan

Vai trò Quản lý danh tính và truy cập (IAM) trong AWS là các thực thể bạn tạo ra và gán các quyền cụ thể để cho phép các danh tính đáng tin cậy, như danh tính lực lượng lao động và ứng dụng thực hiện các hành động trong AWS. Khi đảm nhận các vai trò IAM, các danh tính đáng tin cậy của bạn chỉ được cấp các quyền trong phạm vi của vai trò IAM đó. Việc sử dụng vai trò IAM là phương pháp hay nhất về bảo mật vì vai trò cung cấp thông tin chứng thực tạm thời không cần phải xoay vòng.

Các tình huống phổ biến có sử dụng vai trò IAM

Liên kết danh tính của lực lượng lao động vào AWS: Bằng việc sử dụng Trung tâm danh tính IAM, người dùng của bạn có thể sử dụng thông tin chứng thực hiện có của doanh nghiệp để liên kết vào tài khoản AWS. Với vai trò IAM, bạn có thể chỉ định các quyền mà người dùng nên có khi truy cập vào tài khoản AWS.

Truy cập vào khối lượng công việc trong AWS: Khối lượng công việc là tập hợp các tài nguyên và mã, chẳng hạn như một ứng dụng, yêu cầu có danh tính để đưa ra yêu cầu đối với các dịch vụ AWS. Bằng cách sử dụng vai trò IAM, ứng dụng của bạn chạy trong bất kỳ môi trường điện toán AWS nào, chẳng hạn như phiên bản Amazon EC2, có thể truy cập vào tài nguyên AWS bằng thông tin chứng thực tạm thời, loại bỏ nhu cầu quản lý thông tin chứng thức dài hạn.

Truy cập khối lượng công việc chạy bên ngoài AWS: Bạn có thể có khối lượng công việc chạy bên ngoài AWS, chẳng hạn như môi trường tại chỗ, môi trường lai và đa đám mây, cần quyền truy cập vào tài nguyên AWS của bạn. Bằng việc sử dụng IAM Roles Anywhere, ứng dụng bên ngoài AWS của bạn có thể có quyền truy cập tạm thời vào các tài nguyên trong môi trường AWS của bạn. 

Cho phép truy cập liên tài khoản: Bạn nên sử dụng nhiều tài khoản AWS để tách biệt và quản lý các ứng dụng cũng như dữ liệu kinh doanh của mình. Để cho phép danh tính của bạn trong một tài khoản AWS truy cập vào tài nguyên trong tài khoản AWS khác, bạn có thể sử dụng các vai trò IAM để cung cấp quyền truy cập.

Cấp quyền truy cập vào các dịch vụ AWS: Các dịch vụ AWS cần được cấp quyền để thay mặt bạn thực hiện các thao tác trong tài khoản AWS của bạn. Khi thiết lập môi trường dịch vụ AWS, bạn sẽ xác định vai trò mà dịch vụ đảm nhận. Sau đó, dịch vụ có thể đảm nhận vai trò dịch vụ và chỉ thực hiện các thao tác mà bạn đã chỉ định.

Để biết thêm thông tin về vai trò, hãy xem IAM roles trong Hướng dẫn sử dụng IAM.