ข้ามไปเนื้อหาหลัก
ความปลอดภัย· ~18 นาที

IAM: users, groups, roles, policies

หัวใจของการควบคุมว่าใครเข้าถึงอะไรได้บน AWS เริ่มจาก analogy บัตรพนักงาน

นึกถึงบัตรพนักงานในออฟฟิศ

User = พนักงานหนึ่งคน, Group = แผนก (ให้สิทธิ์ทั้งแผนกทีเดียว), Policy = กฎว่าบัตรนี้เปิดประตูห้องไหนได้บ้าง, Role = บัตรชั่วคราวที่หยิบมาสวมเฉพาะตอนทำงานบางอย่าง แล้วคืน

IAM (Identity and Access Management) คือบริการที่คุมว่า "ใคร" ทำ "อะไร" กับทรัพยากร AWS ได้บ้าง เป็นบริการ global (ไม่ผูกกับ Region) และ ใช้ฟรี

IAM ผูก "ตัวตน" เข้ากับ "สิทธิ์" ที่เขียนใน policy

Userคนจริง/แอป
Groupรวม user
Roleสวมชั่วคราว
แนบ
IAM PolicyJSON: allow/deny
ให้สิทธิ์ทำกับ
S3
EC2

policy คือกฎว่า "ใครทำอะไรกับทรัพยากรไหนได้บ้าง" — แนบกับ user, group หรือ role

องค์ประกอบหลัก 4 อย่าง

  • User — ตัวแทนคนหรือแอปหนึ่งราย มี credential ของตัวเอง (รหัสผ่าน/access key)
  • Group — กลุ่มของ user เพื่อจัดการสิทธิ์เป็นชุด (เช่น กลุ่ม Developers)
  • Policy — เอกสาร JSON ระบุ allow/deny ว่าทำ action ใดกับ resource ใดได้ แนบกับ user/group/role
  • Role — "ตัวตน" ที่ไม่มี credential ถาวร ใช้ให้คนหรือบริการ สวมชั่วคราว เพื่อรับสิทธิ์

สรุป Key Takeaways

  • IAM คุมว่าใครทำอะไรกับทรัพยากรได้ เป็นบริการ global และใช้ฟรี
  • User/Group = ตัวตนถาวร, Role = สวมชั่วคราว, Policy (JSON) = กฎสิทธิ์
  • explicit Deny ชนะ Allow เสมอ และอย่าใช้ root ทำงานประจำ

ลองทำ Quiz ท้ายบท

คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที

อ่านจบแล้วอย่าลืมทำเครื่องหมาย