ความปลอดภัย· ~18 นาที
IAM: users, groups, roles, policies
หัวใจของการควบคุมว่าใครเข้าถึงอะไรได้บน AWS เริ่มจาก analogy บัตรพนักงาน
User = พนักงานหนึ่งคน, Group = แผนก (ให้สิทธิ์ทั้งแผนกทีเดียว), Policy = กฎว่าบัตรนี้เปิดประตูห้องไหนได้บ้าง, Role = บัตรชั่วคราวที่หยิบมาสวมเฉพาะตอนทำงานบางอย่าง แล้วคืน
IAM (Identity and Access Management) คือบริการที่คุมว่า "ใคร" ทำ "อะไร" กับทรัพยากร AWS ได้บ้าง เป็นบริการ global (ไม่ผูกกับ Region) และ ใช้ฟรี
IAM ผูก "ตัวตน" เข้ากับ "สิทธิ์" ที่เขียนใน policy
Userคนจริง/แอป
Groupรวม user
Roleสวมชั่วคราว
แนบ
IAM PolicyJSON: allow/deny
ให้สิทธิ์ทำกับ
S3
EC2
policy คือกฎว่า "ใครทำอะไรกับทรัพยากรไหนได้บ้าง" — แนบกับ user, group หรือ role
องค์ประกอบหลัก 4 อย่าง
- User — ตัวแทนคนหรือแอปหนึ่งราย มี credential ของตัวเอง (รหัสผ่าน/access key)
- Group — กลุ่มของ user เพื่อจัดการสิทธิ์เป็นชุด (เช่น กลุ่ม Developers)
- Policy — เอกสาร JSON ระบุ allow/deny ว่าทำ action ใดกับ resource ใดได้ แนบกับ user/group/role
- Role — "ตัวตน" ที่ไม่มี credential ถาวร ใช้ให้คนหรือบริการ สวมชั่วคราว เพื่อรับสิทธิ์
สรุป Key Takeaways
- IAM คุมว่าใครทำอะไรกับทรัพยากรได้ เป็นบริการ global และใช้ฟรี
- User/Group = ตัวตนถาวร, Role = สวมชั่วคราว, Policy (JSON) = กฎสิทธิ์
- explicit Deny ชนะ Allow เสมอ และอย่าใช้ root ทำงานประจำ
ลองทำ Quiz ท้ายบท
คำถามแนวข้อสอบของโมดูลนี้ 5 ข้อ · เฉลยทันที
อ่านจบแล้วอย่าลืมทำเครื่องหมาย

