Thao tác với IAM User, Group, Policy

Khoa NguyenKhoa Nguyen
3 min read

Table of contents

Một sô khái niệm cơ bản của IAM, Roles, user groups, S3 Bucket bạn có thể đọc qua để hiểu khái niệm về chúng.

Nội dung bài lab thực hành với IAM User, Group, Policy

  1. Tạo group developer-group có quyền AdministratorAccess (managed policy). Create 1 user developer-01 Add 1 user vào developer-group

  2. Login vào console, thử thực hiện 1 vài thao tác: Launch instance, create S3 bucket, upload, download.

  3. Tạo thêm group tester-group có quyền ReadonlyAccess (managed policy)

  4. Thêm custom policy deny-delete-object-s3 vào group tester-group. Add user developer-01 vào tester-group

  5. Thử dùng developer-01 xóa 1 object trên s3 ==> expect deny

1. Tạo Group

Đăng nhập tài khoản và chọn vào IAM trên thanh searchi chọn User group rồi nhấn Create group để tạo group mới.

Đặt tên group và Attach permissions policies Optional chọn quyền AdministratorAccess

Thành công tạo được group - tiếp tục tạo user và thêm vào group đã tạo.

Chọn Users --> Create user --> User name Ta đặt tên cho người dùng có tên là developer-01

Tích chọn Provide user access to the AWS Management Console - optionalI want to create an IAM user

Chọn Autogenerated password bấm chọn Next để tạo User

Add user developer-01 vào developer-group --> Next

Download .csv file để lấy thông tin đăng nhập vào IAM user developer-01

Mở một tab ẩn danh để login IAM user

2. Tạo EC2 và S3 bucket

Login vào được console với quyền AdministratorAccess ta có thể tạo instance với EC2: Đặt tên developer-01-server --> Chọn Amazon Linux

Tiếp theo chọn Amazon Linux 2023 AMI và Instance type chọn t2.micro

Chọn key pair (nếu chưa có phải tạo key pair mới) --> Chọn key pair typeRSA format .pem để sử dụng với SSH

Phần Network chọn default cho Common security groups và chọn Configure storage ==> Chọn Launch instance

Tạo S3 Bucket

Trên thanh search chọn S3 --> Buckets --> Create bucket --> Đặt tên developer-01-bucket-test. Nhấn Create bucket

Tạo s3 thành công!

3. Upload & Download files

Chọn developer-01-bucket-test --> Chọn Upload để upload một file từ máy của bạn lên s3

Với quyền này có thể upload, download, rename, delete với files!

4. Thêm custom policy

Thêm một group mới có tên là tester-group trong IAM với quyền ReadOnlyAccess

Group mới được tạo tiếp phần Add permissions chọn Create inline policy

Chọn permissions và sửa các quyền với VisualJSON đổi từ Allow thành Deny trong phần JSON

Đặt tên cho policy deny-delete-object-s3Create policy

5. Thử dùng developer-01 xóa 1 object trên s3

Thử đổi tên files ảnh trong S3 với người dùng developer-01 trong nhóm group-tester và kết quả không thành công. Tương tự thao tác upload, sửa, xóa files cũng vậy.

Bài làm này là workshop của mình trong hành trình của FirstCloudJourney-2024. Rất mong nhận được sự góp ý của mọi người để bài viết của Khoa được tốt hơn. Peace

0
Subscribe to my newsletter

Read articles from Khoa Nguyen directly inside your inbox. Subscribe to the newsletter, and don't miss out.

AWSPolicyEC2 instanceDevOps, Beginner Guide

Written by

Khoa Nguyen
Khoa Nguyen

Mình là người mới bắt đầu tìm hiểu công nghệ đặc biệt về ngành an toàn thông tin. Mình có viết lại các bài blog này để ghi nhớ thêm cũng như nắm bắt các kiến thức. Rất vui vì được chia sẻ với mọi người!