AWS IAM: Cách thức hoạt động và những tính năng nổi bật

Triển khai các dịch vụ Amazon Web Services, doanh nghiệp có thể đảm bảo quá trình chuyển đổi số trong kinh doanh của chúng ta đạt được nhiều thành công và thuận lợi một cách nhanh chóng. Trong đó, AWS IAM là dịch vụ hỗ trợ doanh nghiệp quản lý các danh tính và kiểm soát quá trình người dùng được cấp quyền truy cập vào những tài nguyên và dịch vụ Amazon Web Services một cách an toàn bảo mật.

Trong bài viết này, doanh nghiệp hãy cùng Magenest tìm hiểu chi tiết về AWS IAM là gì, cách thức hoạt động, các tính năng nổi bật cũng như những trường hợp nào, doanh nghiệp nên sử dụng dịch vụ này nhé!

AWS IAM là gì?

AWS IAM hay AWS Identity and Access Management chính là một dịch vụ web giúp doanh nghiệp có thể quản lý tập trung và kiểm soát chặt chẽ được quyền truy cập vào các tài nguyên Amazon Web Services một cách an toàn. Triển khai IAM AWS, doanh nghiệp có thể kiểm soát đâu là đối tượng được xác thực để đăng nhập tài khoản và được ủy quyền sử dụng các tài nguyên của chúng ta.

Khi đăng ký tài khoản AWS, người dùng sẽ bắt đầu bằng một danh tính đăng nhập vời toàn quyền truy cập vào toàn bộ các dịch vụ và tài nguyên trên Amazon Web Services trong tài khoản của mình. Danh tính này cũng được gọi là root user của tài khoản AWS và sẽ được truy cập thông qua phương pháp đăng nhập bằng địa chỉ email cùng mật khẩu mà người dùng đã sử dụng để đăng ký tài khoản. Tuy nhiên, chúng ta thực sự không nên sử dụng root user cho những công việc hàng ngày của mình mà chỉ nên bảo vệ các thông tin đăng nhập của root user và sử dụng chúng nhằm triển khai các tác vụ mà chỉ root user mới có thể thực hiện.

Cách thức hoạt động của AWS IAM

AWS IAM cung cấp cho doanh nghiệp một cơ sở hạ tầng cần thiết cho quá trình kiểm soát các hoạt động xác thực và ủy quyền dành cho tài khoản Amazon Web Services của doanh nghiệp. Cơ sở hạ tầng IAM AWS được minh họa thông qua sơ đồ sau:

Đầu tiên, người dùng hoặc ứng dụng sẽ sử dụng các thông tin đăng nhập của họ cho việc xác thực bằng AWS. Hoạt động xác thực sẽ được cung cấp thông qua việc xem xét tính chính xác các thông tin xác thực việc đăng nhập với người dùng chính (bao gồm người dùng IAM, người dùng liên kết, vai trò IAM hoặc các ứng dụng) được tài khoản Amazon Web Services xác nhận là tin cậy.

Tiếp theo, một yêu cầu sẽ được hệ thống đưa ra nhằm cấp quyền truy cập chính cho doanh nghiệp vào các tài nguyên. Quyền truy cập này được cấp để có thể đáp ứng các yêu cầu ủy quyền, chẳng hạn như: Khi doanh nghiệp đăng nhập vào bảng điều khiển lần đầu tiên và đang ở tại trang chủ của bảng điều khiển, chúng ta sẽ không truy cập vào một dịch vụ cụ thể. Sau khi lựa chọn dịch vụ, một yêu cầu ủy quyền của doanh nghiệp sẽ được gửi đến dịch vụ đó và hệ thống sẽ xem xét danh tính của chúng ta có nằm trong danh sách những người dùng được ủy quyền hay không và các chính sách nào đang được triển khai để kiểm soát chính xác mức độ truy cập được cấp cho chúng ta. Yêu cầu ủy quyền này có thể được thực hiện bởi người có vị trí cao nhất sử dụng tài khoản AWS của doanh nghiệp hoặc từ một tài khoản AWS nào đó mà chúng ta tin tưởng.

Sau khi được hệ thống ủy quyền, người ủy quyền có thể thực hiện các hành động hoặc các thao tác trên tài nguyên trong tài khoản Amazon Web Services của mình. Ví dụ: Chủ sở hữu tài khoản AWS có thể khởi chạy một phiên bản Amazon Elastic Compute Cloud mới, tiến hành sửa đổi tư cách các thành viên nhóm trong IAM hoặc xóa các bucket trong Amazon Simple Storage Service.

Những tính năng nổi bật của IAM AWS là gì?

Sau khi đã hiểu về cách thức hoạt động của AWS IAM, trong phần tiếp theo, doanh nghiệp hãy cùng Magenest phân tích chi tiết về những tính năng nổi bật của AWS IAM là gì nhé!

Trình phân tích truy cập

Tính năng đầu tiên của AWS IAM chính là trình phân tích truy cập IAM Access Analyzer. Trình phân tích truy cập này sẽ giúp doanh nghiệp đơn giản hóa và tinh gọn các hoạt động quản lý các quyền thông qua mỗi bước trong chu kỳ. Chu kỳ để doanh nghiệp có thể đạt được đặc quyền tối thiểu trong các quyền bao gồm: thiết lập, xác minh và tùy chỉnh.

Thiết lập các quyền chi tiết

Việt thiết lập các quyền chi tiết trong Access Analyzer bao gồm việc tạo và xác thực các chính sách với trình phân tích truy cập này.

• Tạo các chính sách với trình phân tích truy cập IAM Access Analyzer: Doanh nghiệp sẽ tạo nên một chính sách chi tiết dựa vào các hoạt động truy cập đã được hệ thống ghi lại trong nhật ký của chúng ta. Điều này đồng nghĩa với việc sau khi doanh nghiệp đã hoàn tất xây dựng và triển khai một ứng dụng, chúng ta có thể tạo nên các chính sách với khả năng chỉ cấp các quyền cần thiết cho quá trình vận hành ứng dụng.
• Xác thực các chính sách với trình phân tích truy cập IAM Access Analyzer: Doanh nghiệp sẽ được hướng dẫn khởi tạo cũng như xác thực các chính sách an toàn bảo mật, theo đúng chức năng với khoảng 100 lượt kiểm tra các chính sách. Chúng ta có thể tận dụng các lượt kiểm tra này trong quá trình tạo ra các chính sách mới hoặc nhằm mục đích xác thực những chính sách hiện có trong hệ thống.

Xác minh các quyền theo đúng mục đích

Khi hệ thống phát hiện một cách công khai và theo hướng liên tài khoản với trình phân tích truy cập IAM Access Analyzer, doanh nghiệp sẽ được hướng dẫn cách xác minh các quyền truy cập đang có theo đúng từng mục đích của chúng ta. IAM Access Analyzer cũng ứng dụng khả năng an toàn bảo mật có thể chứng minh được để phân tích toàn bộ những đường dẫn truy cập và cung cấp cho doanh nghiệp tính năng phân tích toàn diện các truy cập từ bên ngoài vào những tài nguyên của chúng ta. Khi doanh nghiệp khởi động IAM Access Analyzer, tính năng này sẽ giám sát liên tục các quyền về tài nguyên hoàn toàn mới hoặc vừa được cập nhật nhằm giúp chúng ta xác định các quyền cung cấp chính xác khả năng truy cập công khai và theo hướng liên tài khoản. 

Ví dụ: Trong trường hợp một chính sách thuộc vùng lưu trữ Amazon S3 có sự thay đổi, IAM Access Analyzer sẽ cảnh báo người dùng hệ thống rằng vùng lưu trữ đó có thể được truy cập từ bên ngoài của tài khoản. Nhờ vào kết quả phân tích này, trình phân tích truy cập IAM Access Analyzer sẽ giúp doanh nghiệp xem xét lại và tiến hành xác thực về quyền truy cập công khai và theo hướng liên tài khoản một cách nhanh chóng, dễ dàng hơn trước khi chúng ta triển khai những thay đổi về quyền.

Tùy chỉnh quyền nhờ vào việc cách loại bỏ các quyền truy cập không được dùng đến

Thông tin ghi lại về việc truy cập lần cuối cùng sẽ cung cấp cho doanh nghiệp các dữ liệu về thời điểm mà những dịch vụ Amazon Web Services này được sử dụng lần cuối. Từ đó, chúng ta sẽ xác định được các cơ hội để kiểm soát chặt chẽ các quyền của mình. Đồng thời, những thông tin này cũng giúp doanh nghiệp có thể so sánh các quyền đã được cấp trong hệ thống với thời điểm mà chúng được truy cập lần cuối cùng để từ đó, chúng ta có thể loại bỏ chính xác những truy cập không được dùng đến và tăng cường hoạt động tùy chỉnh các quyền của mình trong hệ thống. Ngoài ra, doanh nghiệp cũng có thể dùng tính năng đánh dấu thời gian các quyền được sử dụng lần cuối cùng cho các tài khoản AWS IAM và thực hiện khóa truy cập nhằm loại bỏ các tài khoản đã không còn cần thiết.

Bảo mật có thể chứng minh cho việc phân tích công khai và theo hướng liên tài khoản

Trình phân tích truy cập IAM Access Analyzer sử dụng khả năng đảm bảo an toàn bảo mật có thể chứng minh nhằm phát hiện một cách toàn diện các quyền truy cập công khai và theo hướng liên tài khoản vào các tài nguyên của doanh nghiệp. Khả năng đảm bảo an toàn bảo mật có thể chứng minh dựa vào những công nghệ suy luận tự động – một ứng dụng mang tính logic toán học, giúp chúng ta giải đáp được các câu hỏi quan trọng về cơ sở hạ tầng cũng như các quyền của Amazon Web Services.

AWS IAM Identity Center

AWS IAM Identity Center hay trung tâm danh tính AWS IAM sẽ giúp doanh nghiệp dễ dàng quản lý tập trung các quyền truy cập vào nhiều tài khoản và ứng dụng khác nhau của doanh nghiệp trên Amazon Web Services. AWS IAM Identity Center cung cấp cho doanh nghiệp quyền truy cập và đăng nhập một lần vào toàn bộ tài khoản cũng như các ứng dụng được chỉ định từ một vị trí. Với trung tâm danh tính AWS IAM Identity Center, doanh nghiệp có thể dễ dàng quản lý theo hướng tập trung các quyền truy cập và quyền của người dùng thuộc tất cả các tài khoản của chúng ta trong AWS. 

AWS IAM Identity Center cũng tự động định ra cấu hình và duy trì toàn bộ quyền cần thiết dành cho tài khoản của doanh nghiệp mà không cần chúng ta phải tiến hành thêm bất cứ thao tác cài đặt bổ sung nào tại mỗi tài khoản riêng biệt. Ngoài ra, doanh nghiệp còn có thể phân quyền người dùng theo từng chức năng công việc phổ biến cũng như tùy chỉnh những quyền này nhằm đáp ứng chính xác được các yêu cầu về an toàn bảo mật của riêng mình. Trung tâm danh tính AWS IAM Identity Center cũng bao gồm các tiện ích tích hợp sẵn cho những ứng dụng Amazon Web Services, bao gồm: dịch vụ Studio Amazon SageMaker, AWS Analytics, trình quản lý các thay đổi nằm trong trình quản lý của hệ thống AWS, Microsoft 365, Salesforce, Box,…

Doanh nghiệp có thể thiết lập và quản lý danh tính của người dùng trong cửa hàng danh tính của AWS IAM Identity Center hoặc dễ dàng kết nối với các nguồn danh tính hiện có của chúng ta trước đó, bao gồm Microsoft Entra ID, Microsoft Active Directory, Ping Identity, Okta, JumpCloud,… Trung tâm danh tính AWS IAM Identity Center cũng cho phép doanh nghiệp lựa chọn các thuộc tính chung của người dùng, chẳng hạn như ngôn ngữ hoặc tiêu đề hiển thị từ nguồn danh tính. Sau đó, chúng ta sẽ sử dụng các thông tin này đối với quyền kiểm soát các  truy cập tùy theo thuộc tính trong hệ thống AWS.

Doanh nghiệp có thể sử dụng trung tâm danh tính AWS IAM Identity Center một cách dễ dàng chỉ với một vài thao tác nhấp chuột trên bảng điều khiển quản lý hệ thống AWS IAM Identity Center để kết nối với nguồn danh tính hiện tại của mình. Tại đây, doanh nghiệp có thể thiết lập các quyền truy cập cho người dùng vào những tài khoản được chỉ định của họ bên trong hệ thống AWS cùng hàng trăm ứng dụng điện toán đám mây được định cấu hình sẵn. Tất cả đều được thiết lập từ một cổng người dùng duy nhất.

Quản lý quyền trên AWS IAM

Tính năng tiếp theo của AWS IAM chính là quản lý quyền truy cập theo mức độ chi tiết trên hệ thống AWS Identity and Access Management. Lúc này, doanh nghiệp sẽ có được các phương pháp kiểm soát các quyền truy cập ở mức độ chi tiết và từ đó, chúng ta có thể thiết lập các quyền và xác định chính xác đối tượng nào có thể truy cập vào các tài nguyên Amazon Web Service nào và trong những điều kiện cụ thể nào. 

Triển khai phương pháp quản lý các quyền truy cập theo mức độ chi tiết có thể giúp doanh nghiệp đảm bảo an toàn bảo mật các tài nguyên Amazon Web Service của chúng đạt các quyền tối thiểu.

Cách thức hoạt động

Với tính năng quản lý quyền trên AWS IAM, doanh nghiệp có thể xác định chính xác những đối tượng nào có khả năng truy cập vào các tài nguyên Amazon Web Service của mình nhờ vào việc sử dụng các chính sách của hệ thống. Doanh nghiệp sẽ đính kèm các chính sách này vào phần vai trò IAM bên trong tài khoản AWS và vào bên trong các tài nguyên AWS của chúng ta. Đối với từng yêu cầu được gửi đến hệ thống Amazon Web Services, tính năng quản lý quyền trên AWS IAM sẽ xác thực các yêu cầu nhờ vào phương pháp so sánh chúng với các chính sách của được đính kèm và tiến hành từ chối hoặc cho phép những yêu cầu này. 

Ngôn ngữ theo chính sách của IAM

Ngôn ngữ theo chính sách của IAM còn được gọi là JSON. JSON cho phép doanh nghiệp có thể biểu đạt những yêu cầu về quyền truy cập tại các cấp độ chi tiết khác nhau thông qua việc sử dụng các hành động, những tài nguyên cũng như các yếu tố điều kiện nằm trong chính sách.

Những loại chính sách dành cho các quyền truy cập

AWS IAM còn cho phép doanh nghiệp linh hoạt đính kèm những chính sách vào các phần vai trò IAM cũng như tài nguyên AWS. Ngoài ra, hệ thống cũng có chính sách dựa trên danh tính và chính sách dựa trên tài nguyên phối hợp (hay Identity-based policies and resource-based policies) nhằm xác định các phương pháp kiểm soát quyền truy cập.

Quy tắc bảo vệ dự phòng

Quy tắc bảo vệ dự phòng giúp doanh nghiệp có thể thiết lập những ranh giới sẵn có về các quyền tối đa dành cho những vai trò IAM. Chúng ta cũng có thể sử dụng chính sách kiểm soát dịch vụ (Service control policies hay SCPs), ranh giới quyền (hay Permissions boundaries) và chính sách phiên (hay Session policies) để giới hạn các quyền được cấp cho một vai trò IAM. 

Khả năng kiểm soát quyền truy cập dựa trên các thuộc tính (ABAC)

Sử dụng khả năng kiểm soát quyền truy cập dựa trên các thuộc tính (Attribute-Based Access Control hay ABAC) sẽ giúp doanh nghiệp xác định các quyền tại cấp độ chi tiết dựa vào những thuộc tính đính kèm với vai trò IAM, chẳng hạn như vai trò công việc và phòng ban. Thông qua phương pháp cấp quyền truy cập cho những tài nguyên riêng lẻ dựa vào các thuộc tính, doanh nghiệp sẽ không cần phải cập nhật các chính sách cho từng loại tài nguyên mới mà chúng ta sẽ bổ sung trong tương lai.

Quản lý vai trò trên AWS IAM

Tính năng tiếp theo của AWS IAM chính là quản lý vai trò của các thực thể mà doanh nghiệp tạo và chỉ định những quyền cụ thể nhằm giúp các danh tính trong hệ thống trở nên đáng tin cậy, chẳng hạn như danh tính về lực lượng lao động. Sau đó, chúng ta mới tiếp tục thực hiện các hành động trong tiếp theo trong hệ thống AWS. Khi đảm nhận những vai trò IAM, các danh tính đáng tin cậy của doanh nghiệp chỉ được cấp một số quyền nằm trong phạm vi cho phép của vai trò IAM đó. Việc triển khai tính năng quản lý vai trò trên AWS IAM chính là phương pháp tuyệt vời nhất đảm bảo an toàn bảo mật do vai trò cung cấp các thông tin chứng thực sẽ tạm thời không cần xoay vòng.

Sau đây là những tình huống phổ biến trong doanh nghiệp có sử dụng tính năng quản lý vai trò trên AWS IAM:

Liên kết danh tính của đội ngũ nhân sự vào AWS

Bằng cách sử dụng tính năng trung tâm danh tính AWS IAM Identity Center, người dùng của doanh nghiệp có thể sử dụng các thông tin chứng đang hiện có của doanh nghiệp để tiến hành liên kết vào tài khoản Amazon Web Services. Sau đó, tính năng quản lý vai trò trên AWS IAM sẽ cho phép doanh nghiệp chỉ định các quyền mà người dùng sẽ nhận được khi họ truy cập vào tài khoản Amazon Web Services.

Truy cập vào khối lượng các công việc bên trong AWS

Khối lượng các công việc là một tập hợp những tài nguyên và code, chẳng hạn như một ứng dụng với yêu cầu về danh tính để đưa đến những yêu cầu đối với các dịch vụ Amazon Web Services. Nhờ vào việc sử dụng vai trò IAM, các ứng dụng của doanh nghiệp sẽ được vận hành trong bất cứ môi trường điện toán đám mây AWS nào. Ví dụ: Dịch vụ Amazon EC2 có thể giúp doanh nghiệp truy cập vào các tài nguyên AWS thông qua các thông tin chứng thực tạm thời và loại bỏ các nhu cầu quản lý thông tin được chứng thực dài hạn.

Truy cập vào khối lượng các công việc bên ngoài AWS

Doanh nghiệp có thể sở hữu khối lượng các công việc bên ngoài AWS, bao gồm môi trường tại chỗ, môi trường đa đám mây và môi trường lai. Tất cả những thành phần này đều cần quyền truy cập vào các tài nguyên Amazon Web Services của chúng ta. Nhờ vào việc sử dụng vai trò IAM, các ứng dụng của doanh nghiệp nằm bên ngoài AWS có thể được cấp quyền truy cập tạm thời vào những tài nguyên bên trong môi trường AWS của chúng ta. 

Cho phép việc truy cập liên tài khoản

Doanh nghiệp nên sử dụng số lượng nhiều các tài khoản AWS nhằm tạo sự tách biệt và có thể quản lý hiệu quả các ứng dụng cùng những dữ liệu kinh doanh của mình. Để cho phép các danh tính của mình trong một tài khoản AWS có khả năng truy cập vào những tài nguyên bên trong tài khoản AWS khác, doanh nghiệp có thể sử dụng tính năng vai trò IAM để cung cấp các quyền truy cập.

Cấp quyền truy cập vào những dịch vụ Amazon Web Services

Các dịch vụ Amazon Web Services cần được cấp quyền mới có thể thay thế doanh nghiệp thực hiện các thao tác bên trong tài khoản AWS của chúng ta. Khi tiến hành thiết lập môi trường dịch vụ AWS, doanh nghiệp sẽ cần xác định chính xác vai trò mà dịch vụ sẽ đảm nhận. Sau đó, dịch vụ AWS mới có thể đảm nhận đúng vai trò và chỉ tiến hành những hành động mà doanh nghiệp đã chỉ định.

Xác thực đa yếu tố MFA cho AWS IAM

Xác thực đa yếu tố (multi-factor authentication hay MFA) của Amazon Web Services là một biện pháp thực tiễn tốt nhất của AWS IAM, yêu cầu phải có yếu tố xác thực thứ hai bên cạnh thông tin chứng thực đầu tiên là tên và mật khẩu của người dùng để có thể đăng nhập vào hệ thống. Doanh nghiệp có thể kích hoạt tính năng xác thực đa yếu tố MFA ở cấp độ tài khoản AWS dành cho người dùng gốc cũng như người dùng IAM mà chúng ta đã tạo ra bên trong tài khoản của mình.  

Doanh nghiệp có thể quản lý những thiết bị MFA bên trong AWS IAM Console (bảng điều khiển IAM). Sau đây là một số phương pháp xác thực đa yếu tố MFA được AWS IAM hỗ trợ cho doanh nghiệp.

Khóa bảo mật FIDO

Khóa bảo mật FIFO thuộc dạng phần cứng được cấp chứng nhận từ FIDO và được những nhà cung cấp bên thứ ba cung cấp cho doanh nghiệp, chẳng hạn như Yubico. Chứng nhận của khóa bảo mật FIDO lưu giữ một danh sách bao gồm toàn bộ các sản phẩm đạt chứng nhận của FIDO (FIDO Certified Products) . Đây là những sản phẩm tương thích với các thông số kỹ thuật do FIDO đặt ra. Các tiêu chuẩn xác thực này của FIDO đều ứng dụng các phương thức đảm bảo mật mã của các khóa công khai, cho phép hệ thống có khả năng xác thực mạnh mẽ, chống lại các trường hợp lừa đảo và mang lại sự an toàn hơn cho mật khẩu của người dùng. 

Khóa bảo mật FIDO cũng hỗ trợ rất nhiều tài khoản gốc và người dùng IAM thông qua một khóa bảo mật duy nhất. Khóa bảo mật FIDO này sẽ hỗ trợ những người dùng IAM tại khu vực AWS GovCloud (thuộc Hoa Kỳ) cùng nhiều khu vực Amazon Web Services khác. Amazon Web Services cung cấp miễn phí khóa bảo mật xác thực đa yếu tố MFA cho các chủ sở hữu tài khoản AWS đạt đủ điều kiện tại khu vực Hoa Kỳ. Để có thể xác định xem tài khoản của mình có đủ điều kiện và đặt mua khóa bảo mật FIDO hay không, doanh nghiệp cần xem xét trong bảng điều khiển trung tâm bảo mật (Security Hub) của hệ thống.

Ứng dụng có thể xác thực ảo

Các ứng dụng có thể xác thực ảo triển khai thuật toán mật khẩu chỉ sử dụng một lần dựa vào yếu tố thời gian (TOTP) và hỗ trợ người dùng nhiều token chỉ trên một thiết bị duy nhất. Ứng dụng có thể xác thực ảo này cũng được hỗ trợ cho những người dùng IAM tại khu vực AWS GovCloud (thuộc Hoa Kỳ) cùng nhiều khu vực Amazon Web Services khác.

Doanh nghiệp có thể cài đặt ứng dụng này cho điện thoại thông minh của mình trong cửa hàng các ứng dụng dành riêng cho những thiết bị điện thoại thông minh. Hiện nay, một số bên thứ ba cung cấp ứng dụng cũng sở hữu các ứng dụng có thể xác thực ảo phiên bản web và những ứng dụng dành riêng cho máy tính.

Token TOTP theo dạng phần cứng

Token theo dạng phần cứng của hệ thống cũng hỗ trợ doanh nghiệp sử dụng thuật toán TOTP được cung cấp bởi Thales – một nhà cung cấp thuộc các bên thứ ba. Những token này chỉ được triển khai với tài khoản Amazon Web Services.

Để đảm bảo được khả năng tương thích với hệ thống AWS, doanh nghiệp cần phải mua token xác thực đa yếu tố MFA của mình thông qua những liên kết nằm trên trang này. Token được mua từ những nguồn khác có thể không có khả năng hoạt động tương thích với IAM AWS vì Amazon Web Services yêu cầu yếu tố hạt giống token duy nhất và những khóa bí mật được thiết lập tại thời điểm tạo token. Chỉ những token được doanh nghiệp mua thông qua các liên kết trên trang này mới có thể chia sẻ được hạt giống token của chúng với AWS một cách an toàn. Token xác thực đa yếu tố MFA sẽ được cung cấp đến doanh nghiệp theo hai dạng: thẻ hiển thị OTP và token OTP.

Token TOTP dạng phần cứng dành cho khu vực AWS GovCloud thuộc Hoa Kỳ

Token TOTP dạng phần cứng có khả năng tương thích với khu vực AWS GovCloud (thuộc Hoa Kỳ) và được Hypersecu – một nhà cung cấp bên thứ ba, cung cấp cho doanh nghiệp. Các token này chỉ được dành riêng cho những người dùng IAM sở hữu tài khoản AWS GovCloud thuộc khu vực Hoa Kỳ.

Để đảm bảo khả năng tương thích với Amazon Web Services, doanh nghiệp phải mua token xác thực đa yếu tố MFA của mình thông qua những liên kết trên trang này, còn token được mua từ các nguồn khác có thể sẽ không hoạt động tương thích được với AWS IAM vì Amazon Web Services yêu cầu về hạt giống token duy nhất và những khóa bí mật được thiết lập tại thời điểm tạo token. Chỉ những token được doanh nghiệp mua thông qua các liên kết trên trang này mới có thể chia sẻ được hạt giống token của chúng với AWS một cách an toàn. Token xác thực đa yếu tố MFA sẽ được cung cấp đến doanh nghiệp theo dạng token OTP.

Trường hợp nào doanh nghiệp nên sử dụng AWS IAM?

Cuối cùng, doanh nghiệp hãy cùng Magenest tìm hiểu chi tiết về các trường hợp chúng ta nên sử dụng dịch vụ AWS AIM này nhé!

• Doanh nghiệp muốn áp dụng các quyền chi tiết và có khả năng mở rộng quy mô có thể kiểm soát được truy cập dựa trên những thuộc tính. Doanh nghiệp có thể thiết lập các quyền chi tiết dựa vào từng thuộc tính người dùng, bao gồm vai trò công việc, phòng ban làm việc cũng như tên đội nhóm,…
• Doanh nghiệp có nhu cầu quản lý quá trình truy cập theo mỗi tài khoản hoặc muốn dễ dàng mở rộng quy mô truy cập trên những tài khoản và ứng dụng Amazon Web Services. Chúng ta có thể quản lý danh tính theo mỗi tài khoản với hệ thống IAM hoặc sử dụng IAM Identity Center nhằm cung cấp quyền truy cập cho nhiều tài khoản và tiến hành việc chỉ định ứng dụng trên hệ thống AWS.
• Doanh nghiệp muốn thiết lập những quy tắc bảo vệ an toàn và phòng ngừa dành cho toàn bộ tổ chức trên hệ thống của AWS. Chúng ta có thể triển khai các chính sách kiểm soát dịch vụ (service control policies) cho quá trình thiết lập các quy tắc bảo vệ an toàn quyền đối với người dùng cùng các vai trò IAM.
• Doanh nghiệp có nhu cầu thiết lập, xác minh cũng như tùy chỉnh quy mô các quyền đối với những đặc quyền tối thiểu để hợp lý hóa quy trình quản lý quyền và ứng dụng dạng liên tài khoản khi chúng ta thiết lập, xác minh và tùy chỉnh các chính sách về việc tiến đến các đặc quyền tối thiểu.

Kết luận

AWS IAM là dịch vụ hỗ trợ doanh nghiệp quản lý các danh tính và kiểm soát quá trình người dùng được cấp quyền truy cập vào những tài nguyên và dịch vụ Amazon Web Services một cách an toàn bảo mật. AWS IAM sẽ góp phần giúp doanh nghiệp đẩy mạnh quá trình chuyển đổi số trong kinh doanh của chúng ta và đạt được nhiều thành công, thuận lợi một cách nhanh chóng, hiệu quả.

Để tìm hiểu thêm nhiều thông tin hữu ích về quy trình chuyển đổi số trong kinh doanh cũng như các kiến thức về những dịch Amazon Web Services, doanh nghiệp hãy đăng ký theo dõi ngay những bài viết mới nhất của Magenest nhé!