Quản Lý Định Danh Bằng IAM

1. Giới Thiệu

Quản lý truy cập và định danh (IAM) là một thuật ngữ rộng chỉ việc xác định và cấp quyền truy cập vào các tài nguyên cụ thể theo quy định của doanh nghiệp. Nhờ đó, IAM giúp doanh nghiệp trong việc bảo mật cũng như dễ dàng kiểm soát tài nguyên của mình.

Mục đích chính của IAM là giúp chúng ta có thể tùy chỉnh quyền truy cấp của user theo mục đích mong muốn thay cho các quyền có sẵn như Read, Read/Write, Full Control

2. Chuẩn Bị

Kết nối tài khoản Fstorage với tool S3 Browser

Tool S3 Browser (https://docs.fstorage.vn/books/huong-dan-ket-noi-windows-voi-fstorage/page/ket-noi-fstorage-voi-s3-browser)

Tài khoản Fstorage có 1-2 tài khoản subuser. (https://docs.fstorage.vn/books/huong-dan-su-dung-portal-fstorage/page/huong-dan-su-dung-portal-fstorage)

Tất cả tài khoản Subuser đều để quyền Read

Kết nối 1 tài khoản chính và 1 tài khoản sub trên tool S3 browser (Nếu dùng bản Pro thì có thể add thêm nhiều Subuser)

3. Thao tác với S3 Browser

Tạo Bucket

Tạo 3 bucket hoặc nhiều hơn.

Kiểm tra quyền của tài khoản Subuser

Chọn Subuser

Thử thao tác tạo folder bằng tài khoản Subuser xem được hay không.

Báo 403 nghĩa là Subuser đang chỉ có quyền Read

4. Thiết lập IAM

Dùng IAM để cho phép subuser thao tác full quyền trên bucket sub-bucket-a

 Chuyển sang tài khoản chính để set policy cho bucket

Edit Policy trên bucket sub-bucket-a 

{

  "Version":  "2012-10-17",

  "Statement":  [

    {

      "Effect":  "Allow",

      "Principal":  {

        "AWS":  [

          "arn:aws:iam:::user/mainuser:subuser"

        ]

      },

      "Action":  [

        "s3:PutObject",

        "s3:DeleteObject"

      ],

      "Resource":  [

        "arn:aws:s3:::sub-bucket-a/*"

      ]

    }

  ]

}

Kiểm tra lại quyền của Subuser

Chuyển sang tài khoản subuser

Upload hoặc tạo folder đều được

Xóa file

Thao tác trên một bucket chưa add policy

Báo lỗi 403 không có quyền thao tác.

Edit policy chỉ cho phép upload mà không cho xóa trên bucket-c

{

"Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Principal": {

        "AWS": [

          "arn:aws:iam:::user/mainuser:subuser"

        ]

      },

      "Action": [

        "s3:PutObject"

      ],

      "Resource": [

        "arn:aws:s3:::bucket-c/*"

      ]

    }

  ]

}

Kiểm tra subuser thao tác trên bucket-c

Upload và tạo folder đều được

Báo 403 khi thao tác xóa file haocwj folder.

Ngoài các quyền như upload/download/xóa thì IAM còn có thể giới hạn địa chỉ ip, origin, user_agent truy cập bucket

Edit policy chỉ cho 1 IP hoặc range IP truy cập bucket

{

"Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Principal": {

        "AWS": [

          "arn:aws:iam:::user/mainuser:subuser"

        ]

      },

      "Action": [

        "s3:PutObject",

        "s3:DeleteObject"

      ],

      "Resource": [

        "arn:aws:s3:::sub-bucket-a/*"

      ],

      "Condition":  {

        "IpAddress":  {

          "aws:SourceIp":  "10.1.2.0/24"

        }

      }

    }

  ]

}

IP “10.1.2.0/24” là IP được phép truy vào bucket trên máy đang dùng ip khác

Thử upload 1 file lên bucket

Báo lỗi remote server 403

Sửa lại policy theo đúng ip trên máy.

Đã upload lại bình thường.

Có thể dùng NotIpAddress để từ chối kết nối ip nào đó

Ngoài có thể tìm hiểu thêm các limit khác như aws:UserAgent,  aws:Referer

Để tìm hiểu thêm về dịch vụ FStorage, vui lòng liên hệ đến :

Hotline: Ms.Nhi 0359406812

Fanpage: https://www.facebook.com/fstorage

Website: https://fstorage.vn/

Email: [email protected]