Blockdit Logo (Mobile)
เขียนโค้ดขึ้นภูเขา
31 มี.ค. 2022 เวลา 01:15 • วิทยาศาสตร์ & เทคโนโลยี
IAM (Identity Access Management)
หลังจากเราสมัคร account AWS แล้ว สิ่งแรกที่เราควรดูคือ IAM ซึ่งเป็น service สำหรับจัดการ user และสิทธิ์การเข้าถึงส่วนต่างๆของ AWS
หน้า Dashboard ของ IAM
จากรายการด้านซ้ายในหน้า IAM สิ่งที่เราต้องสนใจหลักๆคือ User groups, Users, Roles, Policies
  • 1.
    Users หนึ่งรายการต่อผู้ใช้หนึ่งคน
  • 2.
    User groups สำหรับจัดกลุ่มของ Users การมีกลุ่มเพื่อที่เราสามารถจัดการสิทธิ์เป็นรายกลุ่มได้ ไม่ต้องจัดการทีละคน เพราะบุคคลาการในกลุ่มเดียวกันมีแนวโน้มจะมีสิทธ์เหมือนกัน
  • 3.
    Roles ใช้สำหรับผู้ใช้ที่เป็น Service (ไม่ใช่คน) เพื่อระบุว่าเข้าถึง Service อื่นๆอะไรได้บ้าง
  • 4.
    Policies ใช้ในการอธิบายถึงสิทธิ์ ซึ่งเราจะใช้ Policy เพื่อกำหนดสิทธิ์ให้กับ Users, User groups, หรือ Roles
ตัวอย่างองค์กรหนึ่งมี 4 คน
นางสาว A อยู่แผนก HR มีสิทธ์อ่านไฟล์จาก S3
นางสาว B อยู่แผนกการเงิน มีสิทธ์การอ่านและเขียนไฟล์ใน S3
นาย C และนาย D อยู่ฝ่ายพัฒนา product มีสิทธ์การใช้งาน EC2 และ S3 แบบเต็มรูปแบบ
ตัวอย่างนี้เป็นเรื่องสมมุติ ในความจริง HR กับการเงินคงไม่ได้มีสิทธ์แบบนี้
ในกรณีนี้เราสามารถสร้าง Policy 3 ตัว
Policy 1 - อ่านไฟล์ใน S3
Policy 2 - อ่านและเขียนไฟล์ใน S3
Policy 3 - การเข้าถึง EC2 เต็มรูปแบบ
Policy อ่านไฟล์ใน S3
สร้าง User groups 3 กลุ่ม
  • 1.
    กลุ่ม HR มี Policy 1
  • 2.
    กลุ่มการเงิน มี Policy 2
  • 3.
    กลุ่มพัฒนา product มี policy 2 และ 3
สร้าง Users 4 รายการ สำหรับนางสาว A, นางสาว B, นาย C, นาย D และจัดลง User groups ตามที่กำหนด เท่านี้เราก็มี Users 4 รายการที่มีสิทธิ์ตามที่เราต้องการ
รายชื่อกลุ่ม Finance, HR, Product Development
หมายเหตุ
  • 1.
    User สามารถอยู่ลอยๆได้ ไม่จำเป็นต้องอยู่ในกลุ่ม (User group) แต่การจัดทุก User เป็นกลุ่มๆจะบริหารจัดการง่ายกว่า
  • 2.
    User สามารถอยู่พร้อมกันได้มากกว่า 1 กลุ่ม โดยจะได้รับ Policy ของทุกกลุ่มที่อยู่มารวมกัน
  • 3.
    Policy สามารถใส่ให้กับกลุ่มหรือ User รายบุคคลก็ได้
เราได้ยกตัวอย่าง Users, User groups, และ Policies แล้ว ทีนี้มาพูดถึง Roles
สมมุติว่านาย C สร้าง Virtual Machine ขึ้นมา 1 ตัวด้วย EC2 ในเครื่องนี้รัน Application ที่จำเป็นต้องเข้าถึงไฟล์ใน S3 เราจะต้องสร้าง Role ใหม่ขึ้นมาที่มี Policy 1 สำหรับอ่านไฟล์ใน S3 และกำหนด Role นี้ให้กับ Virtual Machine
สรุป: User (และ User groups) สำหรับคน, Role สำหรับเครื่อง, ทั้งคู่กำหนดสิทธิ์ด้วย Policy
5
ตอนต่อไปจะเป็นเรื่อง S3

ดูเพิ่มเติมในซีรีส์

โฆษณา