Quản Lý Định Danh Bằng IAM
1. Giới Thiệu
Quản lý truy cập và định danh (IAM) là một thuật ngữ rộng chỉ việc xác định và cấp quyền truy cập vào các tài nguyên cụ thể theo quy định của doanh nghiệp. Nhờ đó, IAM giúp doanh nghiệp trong việc bảo mật cũng như dễ dàng kiểm soát tài nguyên của mình.
Mục đích chính của IAM là giúp chúng ta có thể tùy chỉnh quyền truy cấp của user theo mục đích mong muốn thay cho các quyền có sẵn như Read, Read/Write, Full Control
2. Chuẩn Bị
Kết nối tài khoản Fstorage với tool S3 Browser
Tool S3 Browser (https://docs.fstorage.vn/books/huong-dan-ket-noi-windows-voi-fstorage/page/ket-noi-fstorage-voi-s3-browser)
Tài khoản Fstorage có 1-2 tài khoản subuser. (https://docs.fstorage.vn/books/huong-dan-su-dung-portal-fstorage/page/huong-dan-su-dung-portal-fstorage)
Tất cả tài khoản Subuser đều để quyền Read
Kết nối 1 tài khoản chính và 1 tài khoản sub trên tool S3 browser (Nếu dùng bản Pro thì có thể add thêm nhiều Subuser)
3. Thao tác với S3 Browser
Tạo Bucket
Tạo 3 bucket hoặc nhiều hơn.
Kiểm tra quyền của tài khoản Subuser
Chọn Subuser
Thử thao tác tạo folder bằng tài khoản Subuser xem được hay không.
Báo 403 nghĩa là Subuser đang chỉ có quyền Read
4. Thiết lập IAM
Dùng IAM để cho phép subuser thao tác full quyền trên bucket sub-bucket-a
Chuyển sang tài khoản chính để set policy cho bucket
Edit Policy trên bucket sub-bucket-a
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::user/mainuser:subuser"
]
},
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::sub-bucket-a/*"
]
}
]
}
Kiểm tra lại quyền của Subuser
Chuyển sang tài khoản subuser
Upload hoặc tạo folder đều được
Xóa file
Thao tác trên một bucket chưa add policy
Báo lỗi 403 không có quyền thao tác.
Edit policy chỉ cho phép upload mà không cho xóa trên bucket-c
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::user/mainuser:subuser"
]
},
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucket-c/*"
]
}
]
}
Kiểm tra subuser thao tác trên bucket-c
Upload và tạo folder đều được
Báo 403 khi thao tác xóa file haocwj folder.
Ngoài các quyền như upload/download/xóa thì IAM còn có thể giới hạn địa chỉ ip, origin, user_agent truy cập bucket
Edit policy chỉ cho 1 IP hoặc range IP truy cập bucket
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam:::user/mainuser:subuser"
]
},
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::sub-bucket-a/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "10.1.2.0/24"
}
}
}
]
}
IP “10.1.2.0/24” là IP được phép truy vào bucket trên máy đang dùng ip khác
Thử upload 1 file lên bucket
Báo lỗi remote server 403
Sửa lại policy theo đúng ip trên máy.
Đã upload lại bình thường.
Có thể dùng NotIpAddress để từ chối kết nối ip nào đó
Ngoài có thể tìm hiểu thêm các limit khác như aws:UserAgent, aws:Referer
Để tìm hiểu thêm về dịch vụ FStorage, vui lòng liên hệ đến :
Hotline: Ms.Nhi 0359406812
Fanpage: https://www.facebook.com/fstorage
Website: https://fstorage.vn/
Email: [email protected]