Security
D1 · Secure
~1 phút đọcIAM — Identity, policy, role & best practices
IAM là linh hồn bảo mật AWS. Hiểu user/group/role, policy types, evaluation logic và cách federated access.
iam
policy
role
sts
organizations
Sơ đồ tổng quan
Đang tải sơ đồ…
Các thực thể chính
- User: danh tính lâu dài cho người/app. Tránh dùng cho workload → dùng role.
- Group: tập user, gán policy chung.
- Role: danh tính 'mượn' tạm thời qua STS (EC2, Lambda, cross-account, federated).
- Policy: tài liệu JSON định nghĩa quyền; gán vào user/group/role/resource.
Các loại policy
- Identity-based (managed / inline): gắn vào user/group/role.
- Resource-based: gắn vào resource (S3 bucket policy, SQS policy, KMS key policy, Lambda resource policy).
- Permission boundary: giới hạn tối đa quyền một identity có thể có.
- SCP (Service Control Policy): giới hạn ở Organizations, áp xuống account.
- Session policy: chèn khi AssumeRole, thu hẹp quyền session.
Policy evaluation
Luôn theo thứ tự: Explicit Deny > Explicit Allow > Default Deny (implicit). Nếu SCP/boundary/identity/resource cái nào có Deny thì final là Deny, dù chỗ khác Allow.
Best practices
- Root chỉ dùng cho tác vụ đặc biệt (đổi tên account, đóng account, billing).
- Bật MFA cho root + admin.
- KHÔNG tạo access key cho root.
- Identity Center (SSO) / federated access thay vì tạo IAM user cho mỗi nhân viên.
- Dùng role cho EC2/Lambda/ECS task (Task Role) — không hard-code key.
- Access Analyzer tìm resource share ngoài account.
- IAM Credential Report & Last Used → kiểm toán định kỳ.
Lưu ý
Cross-account role với third-party phải có `sts:ExternalId` để chống confused deputy attack.
Nội dung liên quan
Quiz liên quan
Flashcards liên quan