Giới thiệu IAM User trên AWS

AWS IAM User là gì?

AWS IAM User là tài khoản được tạo trên AWS để quản lý quyền truy cập và bảo mật tài khoản AWS của bạn. Mỗi IAM User đại diện cho một người dùng hoặc ứng dụng cần truy cập vào tài nguyên AWS. Mỗi user có danh tính và thông tin xác thực riêng để đăng nhập Console hoặc gọi API.

Đặc điểm chính

1. Xác thực riêng biệt: Mỗi IAM User có thông tin đăng nhập riêng:

   • Console: username/password
   • API: Access key (Access key ID & Secret access key)
   • Hỗ trợ MFA

2. Quyền truy cập tùy chỉnh qua Policies: Bạn có thể gán các quyền cụ thể cho từng IAM User thông qua:

   • Gán trực tiếp (inline/managed policies)
   • Thông qua IAM Groups
   • IAM Roles
   • Kết hợp Permission boundaries (giới hạn tối đa quyền user có thể có)

3. Bảo mật nâng cao: Hỗ trợ các tính năng bảo mật như:

   • Multi-Factor Authentication (MFA)
   • Password policies
   • Access keys rotation

4. Theo dõi và kiểm soát

   • CloudTrail ghi nhật ký các hành động: Mỗi hành động của IAM User đều được ghi lại trong AWS CloudTrail, giúp bạn theo dõi và kiểm tra các hoạt động trên tài khoản AWS.
   • IAM Access Analyzer giúp phát hiện quyền cấp quá rộng hoặc chia sẻ ngoài ý muốn

So sánh nhanh

• IAM User: danh tính dài hạn (con người/ứng dụng), có thông tin xác thực cố định
• IAM Role: danh tính tạm thời, được assume bởi user/service, KHÔNG có key/password dài hạn
• IAM Group: tập hợp user để quản lý quyền theo nhóm, bản thân group không có thông tin đăng nhập

Khi nào dùng IAM User

• Khi cần tạo tài khoản cho người dùng trong tổ chức của bạn để sử dụng Console/API
• Khi cần cấp quyền truy cập cho ứng dụng hoặc dịch vụ bên ngoài((khuyên dùng role qua STS nếu có thể))
• Khi muốn phân chia quyền truy cập cho các thành viên trong team
• Khi cần tuân thủ các yêu cầu về bảo mật và kiểm soát truy cập

Best practices

• Không sử dụng tài khoản root để thực hiện các tác vụ hàng ngày. Thay vào đó, hãy tạo IAM User với quyền truy cập cần thiết.
• Bật MFA(Multi-Factor Authentication) cho tài khoản root và IAM User quan trọng; thiết lập password policy và xoay vòng access key để tăng cường bảo mật
• Mỗi người một user; không chia sẻ tài khoản
• Thường xuyên kiểm tra và cập nhật quyền truy cập cho IAM User để đảm bảo rằng họ chỉ có quyền truy cập vào các tài nguyên cần thiết.
• Ưu tiên dùng Role và credential tạm thời cho workload chạy trên các dịch vụ AWS khác (EC2/ECS/Lambda)
• Sử dụng IAM Policies để kiểm soát quyền truy cập chi tiết hơn cho từng người dùng hoặc nhóm người dùng.
• Theo dõi CloudTrail, dùng Access Analyzer để rà soát quyền và kiểm soát các hành động của IAM User.
• Sử dụng AWS Organizations để quản lý nhiều tài khoản AWS và áp dụng chính sách bảo mật đồng nhất cho tất cả các tài khoản.
• Nên tuân thủ nguyên tắc "least privilege" - chỉ cấp những quyền cần thiết
• Nên sử dụng IAM Groups để quản lý quyền cho nhiều User có cùng chức năng

Kết luận

IAM User là nền tảng quản trị danh tính dài hạn trên AWS, phù hợp cho người dùng con người hoặc các tích hợp cần credential cố định. Hãy ưu tiên cấp quyền qua Group với managed policies, tuân thủ nguyên tắc least privilege, bật MFA, áp dụng password policy và xoay vòng access key. Đối với workload chạy trên AWS, nên dùng Role với temporary credentials thay vì credential dài hạn. Luôn giám sát và rà soát quyền qua CloudTrail và Access Analyzer để đảm bảo an toàn