AWS IAM là gì?

Question

AWS IAM là gì?

Accepted Answer

**IAM** (Identity and Access Management) kiểm soát **ai có thể làm gì** trong AWS — quản lý users, groups, roles và permissions. Đây là nền tảng của bảo mật AWS: mọi hành động đều được ủy quyền thông qua IAM, nên hiểu nó là điều thiết yếu.

## IAM quản lý những gì

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Policies — định nghĩa quyền

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Policies (JSON) chỉ định **những hành động nào** được cho phép/từ chối trên **tài nguyên nào** — được gắn vào users, groups hoặc roles để cấp quyền.

## Roles — credentials tạm thời (rất quan trọng)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Các thực hành tốt nhất

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Tại sao điều này quan trọng

Hiểu IAM là thiết yếu vì nó là nền tảng của bảo mật AWS — mọi hành động trong AWS đều được ủy quyền thông qua IAM, nên đây là kiến thức nền tảng phải biết để làm việc với AWS một cách an toàn.

IAM kiểm soát **ai có thể làm gì** thông qua các thành phần cốt lõi: **users** (danh tính có credentials), **groups** (để quản lý quyền theo nhóm), **roles** (danh tính được assume tạm thời) và **policies** (tài liệu JSON định nghĩa quyền).

Hiểu **policies** (chỉ định hành động nào được phép trên tài nguyên nào) là cần thiết để cấp và hiểu quyền một cách đúng đắn.

Hiểu **roles** đặc biệt quan trọng: chúng cung cấp **credentials tạm thời mà không cần khóa lâu dài**, cho phép EC2 instances, Lambda functions và các dịch vụ khác truy cập tài nguyên AWS một cách an toàn **mà không cần nhúng access keys** — một thực hành bảo mật then chốt tránh được rủi ro nghiêm trọng của credentials hardcode.

Hiểu **các thực hành tốt nhất** — đặc biệt là **least privilege** (chỉ cấp những quyền thực sự cần, không phải quyền admin rộng, giới hạn phạm vi ảnh hưởng của bất kỳ vụ xâm phạm nào), dùng roles cho ứng dụng, bật MFA và bảo vệ tài khoản root — là thiết yếu cho bảo mật AWS, vì việc cấu hình sai IAM (quyền quá rộng, credentials bị lộ) là một nguồn phổ biến gây ra sự cố bảo mật.

Vì IAM là người gác cổng cho mọi truy cập AWS và làm đúng nó là nền tảng cho bảo mật (trong khi làm sai gây ra các vụ rò rỉ nghiêm trọng), và vì hiểu users, roles, policies và các thực hành tốt nhất như least privilege là thiết yếu để làm việc với AWS an toàn, hiểu IAM là kiến thức AWS nền tảng thiết yếu — một chủ đề bảo mật then chốt mà mọi người dùng AWS phải hiểu, trung tâm của việc sử dụng AWS an toàn và tránh các sai lầm kiểm soát truy cập dẫn đến sự cố bảo mật thật.