AWS Identity and Access Management (IAM)
AWS Identity and Access Management (IAM) ช่วยให้คุณจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย คุณสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้โดยใช้ IAM และใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้
IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม คุณจะได้รับการเรียกเก็บค่าบริการเฉพาะเมื่อผู้ใช้ของคุณใช้บริการ AWS อื่นๆ เท่านั้น
หากต้องการเริ่มต้นใช้งาน IAM หรือหากคุณลงทะเบียนด้วย AWS เรียบร้อยแล้ว ให้ไปที่ AWS Management Console และเริ่มต้นด้วยแนวทางปฏิบัติที่ดีที่สุดสำหรับ IAM เหล่านี้
กรณีใช้งาน
การควบคุมการเข้าถึงทรัพยากร AWS แบบละเอียด
IAM ช่วยให้ผู้ใช้ของคุณสามารถควบคุมการเข้าถึง API ของบริการของ AWS และทรัพยากรที่ต้องการได้ นอกจากนี้ IAM ยังช่วยให้คุณสามารถเพิ่มเงื่อนไขที่เฉพาะเจาะจง เช่น ช่วงเวลาของแต่ละวันเพื่อควบคุมวิธีการใช้งาน AWS ของผู้ใช้ หรือที่อยู่ IP เดิมของผู้ใช้ ไม่ว่าผู้ใช้จะใช้ SSL หรือมีการยืนยันตัวตนด้วยอุปกรณ์ Multi-Factor Authentication หรือไม่ก็ตาม
Multi-Factor Authentication สำหรับผู้ใช้ที่มีสิทธิ์ระดับสูง
ปกป้องสภาพแวดล้อม AWS โดยการใช้ AWS MFA ซึ่งเป็นคุณสมบัติด้านความปลอดภัยที่สามารถใช้งานได้โดยไม่เสียค่าบริการเพิ่มเติม ซึ่งช่วยเสริมการยืนยันชื่อผู้ใช้และรหัสผ่าน MFA กำหนดให้ผู้ใช้ต้องยืนยันว่าตนเองเป็นผู้ครอบครองโทเค็น MFA ของฮาร์ดแวร์ หรืออุปกรณ์มือถือที่เปิดใช้งาน MFA โดยการแจ้งรหัส MFA ที่ถูกต้อง
วิเคราะห์การเข้าถึง
IAM ช่วยให้คุณสามารถวิเคราะห์การเข้าถึงได้ทั่วทั้งสภาพแวดล้อม AWS ของคุณ ทีมรักษาความปลอดภัยและผู้ดูแลระบบของคุณสามารถตรวจสอบว่านโยบายของคุณให้การเข้าถึงแบบสาธารณะและข้ามบัญชีได้อย่างรวดเร็ว คุณสามารถระบุและปรับแต่งนโยบายของคุณได้อย่างง่ายดาย เพื่ออนุญาตให้เข้าถึงเฉพาะบริการที่ใช้งานเท่านั้น ซึ่งช่วยให้คุณยึดตามหลักการของสิทธิ์พิเศษขั้นต่ำได้ดีขึ้น
ผสานรวมกับไดเรกทอรีบริษัทของคุณ
คุณสามารถใช้ IAM เพื่ออนุญาตให้พนักงานและแอปพลิเคชันของคุณใช้การเข้าถึงร่วมกันไปยัง AWS Management Console และ API ของบริการของ AWS โดยการใช้ระบบระบุตัวตนที่มีอยู่แล้ว เช่น Microsoft Active Directory คุณสามารถใช้โซลูชันการจัดการการระบุตัวตนทุกแบบที่รองรับ SAML 2.0 หรือใช้ตัวทดลองการเชื่อมโยงตัวใดตัวหนึ่งของเรา (AWS Console SSOหรือการเชื่อมโยง API) ได้ตามสะดวก
วิธีการทำงาน
AWS IAM ช่วยให้คุณสามารถ:
- จัดการผู้ใช้ IAM และการเข้าถึง – คุณสามารถสร้างผู้ใช้ใน IAM, กำหนดการยืนยันเพื่อรักษาความปลอดภัยของผู้ใช้แต่ละคน (หรือกล่าวคือ คีย์การเข้าถึง รหัสผ่าน และอุปกรณ์ Multi-Factor Authentication) หรือขอการยืนยันเพื่อรักษาความปลอดภัยชั่วคราว เพื่อให้ผู้ใช้เข้าถึงทรัพยากรและบริการของ AWS คุณสามารถจัดการสิทธิ์เพื่อควบคุมการปฏิบัติการที่ผู้ใช้สามารถใช้ได้
- จัดการบทบาท IAM และสิทธิ์การอนุญาต – คุณสามารถสร้างบทบาทใน IAM และจัดการสิทธิ์การอนุญาตเพื่อควบคุมการปฏิบัติการที่หน่วยงานนั้นสามารถใช้งานได้ หรือบริการของ AWS ที่รับบทบาทนั้น คุณสามารถระบุว่าหน่วยงานใดสามารถรับบทบาทนั้นได้ นอกจากนี้คุณสามารถใช้บทบาทที่เชื่อมกับบริการเพื่อส่งสิทธิ์ไปยังบริการของ AWS ซึ่งสร้างและจัดการทรัพยากรของ AWS แทนคุณได้
- จัดการผู้ใช้ที่เชื่อมโยงกันและสิทธิ์การอนุญาต – คุณสามารถเปิดใช้งานการเชื่อมโยงข้อมูลประจำตัวเพื่ออนุญาตให้ตัวตนที่มีอยู่ (ผู้ใช้ กลุ่ม และบทบาท) ในบริษัทของคุณเพื่อให้สามารถเข้าถึง AWS Management Console เรียกใช้, AWS API และเข้าถึงทรัพยากรได้โดยไม่ต้องสร้างผู้ใช้ IAM สำหรับแต่ละตัวตน ใช้โซลูชันการจัดการการระบุตัวตนทุกแบบที่รองรับ SAML 2.0 หรือใช้ตัวอย่างการเชื่อมโยงตัวใดตัวหนึ่งของเรา (AWS Console SSO หรือการเชื่อมโยง API)
แนวทางปฏิบัติที่ดีที่สุด
AWS มีรายการแนวทางปฏิบัติที่ดีที่สุดในการช่วยให้ผู้เชี่ยวชาญด้านไอทีและ Developer จัดการการเข้าถึงทรัพยากรของ AWS
ผู้ใช้ – สร้างผู้ใช้รายบุคคล |
กลุ่ม – จัดการสิทธิ์อนุญาตสำหรับกลุ่ม |
สิทธิ์ – มอบสิทธิ์พิเศษขั้นต่ำ |
การตรวจสอบ – เปิด AWS CloudTrail |
รหัสผ่าน – กำหนดนโยบายรหัสผ่านที่แน่นหนา |
MFA – เปิดใช้งาน MFA สำหรับผู้ใช้ที่มีสิทธิ์ |
บทบาท – ใช้บทบาท IAM สำหรับอินสแตนซ์ Amazon EC2 |
การแชร์ – ใช้บทบาท IAM เพื่อแชร์การเข้าถึง |
สับเปลี่ยน – สับเปลี่ยนการยืนยันเพื่อรักษาความปลอดภัยเป็นประจำ |
เงื่อนไข – จำกัดสิทธิ์การเข้าถึงที่มอบให้ด้วยเงื่อนไขเพิ่มเติม |
รูท – ลดหรือยกเลิกการใช้รูท |
เริ่มต้นใช้งาน AWS
เริ่มต้นสร้างด้วย AWS
เรียนรู้เพิ่มเติมเกี่ยวกับ AWS IAM