Bạn cần tìm gì?
< Tất cả chủ đề
In

Quản Lý Định Danh Bằng IAM

image-1661829094639.png

1. Giới Thiệu

Quản lý truy cập và định danh (IAM) là một thuật ngữ rộng chỉ việc xác định và cấp quyền truy cập vào các tài nguyên cụ thể theo quy định của doanh nghiệp. Nhờ đó, IAM giúp doanh nghiệp trong việc bảo mật cũng như dễ dàng kiểm soát tài nguyên của mình.

Mục đích chính của IAM là giúp chúng ta có thể tùy chỉnh quyền truy cấp của user theo mục đích mong muốn thay cho các quyền có sẵn như Read, Read/Write, Full Control

2. Chuẩn Bị

Kết nối tài khoản Fstorage với tool S3 Browser

Tool S3 Browser (https://docs.fstorage.vn/books/huong-dan-ket-noi-windows-voi-fstorage/page/ket-noi-fstorage-voi-s3-browser)

Tài khoản Fstorage có 1-2 tài khoản subuser. (https://docs.fstorage.vn/books/huong-dan-su-dung-portal-fstorage/page/huong-dan-su-dung-portal-fstorage)

Tất cả tài khoản Subuser đều để quyền Read

Kết nối 1 tài khoản chính và 1 tài khoản sub trên tool S3 browser (Nếu dùng bản Pro thì có thể add thêm nhiều Subuser)

3. Thao tác với S3 Browser

image-1661829950745.png

Tạo Bucket

Tạo 3 bucket hoặc nhiều hơn.

image-1661832146123.png

Kiểm tra quyền của tài khoản Subuser

Chọn Subuser

image-1661832522358.png

Thử thao tác tạo folder bằng tài khoản Subuser xem được hay không.

image-1661832596034.png

image-1661832631435.png

Báo 403 nghĩa là Subuser đang chỉ có quyền Read

4. Thiết lập IAM

Dùng IAM để cho phép subuser thao tác full quyền trên bucket sub-bucket-a

 Chuyển sang tài khoản chính để set policy cho bucket

image-1661833236984.png

Edit Policy trên bucket sub-bucket-a 

image-1661833341598.png

image-1661833464380.png

Kiểm tra lại quyền của Subuser

Chuyển sang tài khoản subuser

image-1661833704382.png

Upload hoặc tạo folder đều được

image-1661834142798.png

Xóa file

image-1661834186553.png

Thao tác trên một bucket chưa add policy

image-1661834249337.png

Báo lỗi 403 không có quyền thao tác.

Edit policy chỉ cho phép upload mà không cho xóa trên bucket-c

Kiểm tra subuser thao tác trên bucket-c

image-1661844477741.png

Upload và tạo folder đều được

image-1661844543445.png

Báo 403 khi thao tác xóa file haocwj folder.

Ngoài các quyền như upload/download/xóa thì IAM còn có thể giới hạn địa chỉ ip, origin, user_agent truy cập bucket

Edit policy chỉ cho 1 IP hoặc range IP truy cập bucket

IP “10.1.2.0/24” là IP được phép truy vào bucket trên máy đang dùng ip khác

Thử upload 1 file lên bucket

image-1661834764647.png

Báo lỗi remote server 403

Sửa lại policy theo đúng ip trên máy.

image-1661835807607.png

Đã upload lại bình thường.

Có thể dùng NotIpAddress để từ chối kết nối ip nào đó

Ngoài có thể tìm hiểu thêm các limit khác như aws:UserAgent,  aws:Referer

Để tìm hiểu thêm về dịch vụ FStorage, vui lòng liên hệ đến :

Hotline: Ms.Nhi 0359406812

Fanpage: https://www.facebook.com/fstorage

Website: https://fstorage.vn/

Email: [email protected]

Mục lục