AWS Identity and Access Management (IAM)
จัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย
AWS Identity and Access Management (IAM) ช่วยให้คุณจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย คุณสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้โดยใช้ IAM และใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้
IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม คุณจะได้รับการเรียกเก็บค่าบริการเฉพาะเมื่อผู้ใช้ของคุณใช้บริการ AWS เท่านั้น
หากต้องการเริ่มใช้งาน IAM หรือหากคุณลงทะเบียนด้วย AWS เรียบร้อยแล้ว ให้ไปที่ AWS Management Console และเริ่มจาก แนวทางปฏิบัติที่ดีที่สุดสำหรับ IAM
กรณีใช้งาน
การควบคุมการเข้าถึงทรัพยากร AWS แบบละเอียด
IAM ช่วยให้ผู้ใช้ของคุณสามารถควบคุมการเข้าถึง API ของบริการของ AWS และทรัพยากรที่เฉพาะเจาะจงได้ นอกจากนี้ IAM ยังช่วยให้คุณสามารถเพิ่มเงื่อนไขที่เฉพาะเจาะจง เช่น ช่วงเวลาในแต่ละวันเพื่อควบคุมวิธีที่ผู้ใช้ใช้ AWS, ที่อยู่ IP เดิมของผู้ใช้ ไม่ว่าผู้ใช้จะใช้ SSL หรือมีการยืนยันตัวตนด้วยอุปกรณ์ Multi-Factor Authentication หรือไม่ก็ตาม
Multi-Factor Authentication สำหรับผู้ใช้ที่มีสิทธิ์ระดับสูง
ปกป้องสภาพแวดล้อม AWS โดยการใช้ AWS MFA ซึ่งเป็นคุณสมบัติด้านความปลอดภัยที่สามารถใช้งานได้โดยไม่เสียค่าบริการเพิ่มเติม ซึ่งช่วยเสริมการยืนยันชื่อผู้ใช้และรหัสผ่าน MFA กำหนดให้ผู้ใช้ต้องยืนยันว่าตนเองเป็นผู้ครอบครองโทเค็น MFA ของฮาร์ดแวร์ หรืออุปกรณ์มือถือที่เปิดใช้งาน MFA โดยการแจ้งรหัส MFA ที่ถูกต้อง
จัดการการควบคุมการเข้าถึงแอปพลิเคชันมือถือด้วยผู้ให้บริการข้อมูลประจำตัวทางเว็บ
คุณสามารถเปิดใช้งานแอปพลิเคชันมือถือและแอปพลิเคชันบนเบราว์เซอร์เพื่อเข้าถึงทรัพยากรของ AWS อย่างปลอดภัยโดยการขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว ซึ่งจะอนุญาตให้เข้าถึงทรัพยากรของ AWS ที่เฉพาะเจาะจงในระยะเวลาที่กำหนดได้
ผสานรวมกับไดเรกทอรีบริษัทของคุณ
คุณสามารถใช้ IAM เพื่ออนุญาตให้พนักงานและแอปพลิเคชันของคุณใช้การเข้าถึงร่วมกันไปยัง AWS Management Console และ API ของบริการของ AWS โดยการใช้ระบบระบุตัวตนที่มีอยู่แล้ว เช่น Microsoft Active Directory คุณสามารถใช้โซลูชันการจัดการการระบุตัวตนทุกแบบที่รองรับ SAML 2.0 หรือใช้ตัวทดลองการเชื่อมโยงตัวใดตัวหนึ่งของเรา (AWS Console SSO หรือการเชื่อมโยง API)
วิธีทำงาน
AWS IAM ช่วยให้คุณสามารถ:
- จัดการผู้ใช้ IAM และการเข้าถึง – คุณสามารถสร้างผู้ใช้ใน IAM กำหนดการยืนยันเพื่อรักษาความปลอดภัยของผู้ใช้แต่ละคน (กล่าวคือ คีย์การเข้าถึง รหัสผ่าน และอุปกรณ์ Multi-Factor Authentication) หรือขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว เพื่อให้ผู้ใช้เข้าถึงทรัพยากรและบริการของ AWS คุณสามารถจัดการสิทธิ์เพื่อควบคุมการปฏิบัติการที่ผู้ใช้สามารถใช้ได้
- จัดการบทบาท IAM และสิทธิ์ – คุณสามารถสร้างบทบาทใน IAM และจัดการสิทธิ์เพื่อควบคุมการปฏิบัติการที่หน่วยงานนั้นสามารถใช้งานได้ หรือบริการของ AWS ที่รับบทบาทนั้น คุณสามารถระบุว่าหน่วยงานใดสามารถรับบทบาทนั้นได้ นอกจากนี้คุณสามารถใช้บทบาทที่เชื่อมกับบริการเพื่อส่งสิทธิ์ไปยังบริการของ AWS ซึ่งสร้างและจัดการทรัพยากรของ AWS แทนคุณได้
- จัดการผู้ใช้ที่เชื่อมโยงกันและสิทธิ์ – คุณสามารถเปิดใช้งานการเชื่อมโยงข้อมูลประจำตัวเพื่ออนุญาตให้ตัวตนที่มีอยู่ (ผู้ใช้ กลุ่ม และบทบาท) ในบริษัทสามารถเข้าถึง AWS Management Console เรียกใช้ AWS API และเข้าถึงทรัพยากรได้โดยไม่ต้องสร้างผู้ใช้ IAM สำหรับแต่ละตัวตน ใช้โซลูชันการจัดการการระบุตัวตนทุกแบบที่รองรับ SAML 2.0 หรือใช้ตัวทดลองการเชื่อมโยงตัวใดตัวหนึ่งของเรา (AWS Console SSO หรือการเชื่อมโยง API)
แนวทางปฏิบัติที่ดีที่สุด
AWS มีรายการแนวทางปฏิบัติที่ดีที่สุดในการช่วยให้ผู้เชี่ยวชาญด้านไอทีและ Developer จัดการการเข้าถึงทรัพยากรของ AWS
ผู้ใช้ – สร้างผู้ใช้รายบุคคล |
กลุ่ม – จัดการสิทธิ์สำหรับกลุ่ม |
สิทธิ์ – มอบสิทธิ์ขั้นต่ำ |
การตรวจสอบ – เปิด AWS CloudTrail |
รหัสผ่าน – กำหนดนโยบายรหัสผ่านที่แน่นหนา |
MFA – เปิดใช้งาน MFA สำหรับผู้ใช้ที่มีสิทธิ์ |
บทบาท – ใช้บทบาท IAM สำหรับอินสแตนซ์ Amazon EC2 |
การแชร์ – ใช้บทบาท IAM เพื่อแชร์การเข้าถึง |
สับเปลี่ยน – สับเปลี่ยนการยืนยันเพื่อรักษาความปลอดภัยเป็นประจำ |
เงื่อนไข – จำกัดสิทธิ์การเข้าถึงที่มอบให้ด้วยเงื่อนไขเพิ่มเติม |
ราก – ลดหรือยกเลิกการใช้ราก |
เริ่มต้นใช้งาน AWS
เริ่มต้นสร้างด้วย AWS
เรียนรู้เพิ่มเติมเกี่ยวกับ AWS IAM