![[Update] วิธีสร้าง User เพื่อใช้ Login AWS Management Console](https://devio2023-media.developers.io/wp-content/uploads/2022/08/aws-iam.png)
[Update] วิธีสร้าง User เพื่อใช้ Login AWS Management Console
สวัสดีครับ POP จากบริษัท Classmethod (Thailand) ครับ
ครั้งนี้จะมาแนะนำเกี่ยวกับวิธีการสร้าง User เพื่อใช้ Login AWS Management Console
เราสามารถสร้าง User สำหรับใช้ Login ได้หลาย User ใน AWS Management Console ได้ ซึ่งฟังก์ชันที่จะดำเนินการคือฟังก์ชัน IAM User ที่มีอยู่ใน IAM
นอกจากนี้ AWS ได้มีการแนะนำให้สร้าง IAM User ของแต่ละ User เท่าที่ต้องการได้
และให้เราเพิ่มความปลอดภัยโดยตั้งค่า MFA เพราะเราสามารถเพิ่มระดับความน่าเชื่อถือได้โดยบันทึกประวัติการใช้งานใน CloudTrail
ทีนี้เรามาสร้าง IAM User กัน
การสร้าง User ใน IAM
ไปที่ค้นหา ?︎ Service แล้วป้อน IAM แล้วเลือก IAM
เลือก Users จากเมนูด้านซ้าย
คลิก Add users
หลังจากนี้คือขั้นตอนการตั้งค่าของแต่ละหัวข้อ
Step 1 - Specify user details
User details
» User name: test-user
» ✅ Enable console access (เมื่อติ๊ก ✅ แล้ว Console password จะขยายออกมาด้านล่าง)
» Console password จะมีให้เลือก 2 แบบคือ Autogenerated password(รหัสผ่านที่สร้างขึ้นโดยอัตโนมัติ) และ Custom password(รหัสผ่านที่กำหนดเอง) โดยครั้งนี้จะใช้เป็นค่าเริ่มต้นคือ Autogenerated password
» และขอแนะนำให้ติ๊ก ✅ Users must create a new password at next sign-in (recommended). เพื่อสร้างรหัสผ่านใหม่เมื่อลงชื่อเข้าใช้ครั้งถัดไป
» เมื่อตั้งค่าเสร็จแล้ว ให้คลิก Next
Step 2 - Set permissions
ตั้งค่าสิ่งที่สามารถทำได้ใน User ดังนี้
Permissions options
ครั้งนี้จะใช้ ◎ Attach policies directly
| Set permissions | |
|---|---|
| Add user to group | สามารถให้สิทธิ์ร่วมกันได้โดยใช้ User groups ที่สร้างไว้แล้ว |
| Copy permissions | ใช้ในกรณีที่ให้สิทธิ์เดียวกันกับ IAM User อื่นที่สร้างขึ้นแล้ว |
| Attach policies directly | เลือกและแนบ Policy ที่สร้างไว้แล้ว |
Permissions policies
» ค้นหา PowerUserAccess
» ติ๊ก ✅ PowerUserAccess
» คลิก Next
อธิบายเพิ่มเติม
AWS มี Policy (ชุดสิทธิ์) จำนวนมากตามค่าเริ่มต้น
* เนื่องจาก Policy มีจำนวนเยอะมาก ถ้าดูทีละอันทั้งหมดต้องใช้เวลามาก ดังนั้นจะแนะนำเฉพาะการอนุญาตหลักเท่านั้น
| Policy name | Permission |
|---|---|
| AdministratorAccess | นี่คือสิทธิ์ผู้ดูแล โดยพื้นฐานแล้วเป็นสิทธิ์ที่จะสามารถจัดการสิ่งต่างๆได้ทั้งหมด |
| PowerUserAccess | นี่คือ Power user เป็นการให้สิทธิ์ที่สามารถทำสิ่งต่างๆได้นอกเหนือจากการจัดการ IAM |
| AmazonEC2FullAccess | เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ EC2 เช่น Stop และ Start EC2 |
| AmazonS3FullAccess | การให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ S3 เช่น สร้าง S3 Bucket, อ่านและเขียนไฟล์ |
| CloudFrontFullAccess | เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ CloudFront เช่น การสร้างและแก้ไข Distoribution ใน CloudFront |
Step 3 - Review and create
เราสามารถตรวจสอบข้อมูลการตั้งค่าได้ที่หน้าจอนี้ แล้วให้ระวังในส่วนนี้ด้วย เนื่องจาก User name ไม่สามารถเปลี่ยนแปลงได้ในภายหลัง และการลืมสิทธิ์ก็เป็นความผิดพลาดที่เกิดขึ้นบ่อย
สำหรับผู้ใช้งานที่ต้องการเพิ่ม tag ก็สามารถทำได้ แต่ครั้งนี้จะไม่ทำการตั้งค่าใดๆ
หลังจากที่เราสร้าง User แล้ว เราจะสามารถดูและดาวน์โหลด Password ที่สร้างโดยอัตโนมัติได้ หากทำการติ๊ก ✅ Enable console access ก่อนหน้านี้
เมื่อตรวจสอบข้อมูลการตั้งค่าอย่างดีแล้ว ให้คลิก Create user
Step 4 - Retrieve password
เราสามารถตรวจสอบ User name ที่สร้างเสร็จแล้วได้
กรณีที่เลือก Autogenerated password ในหัวข้อ Console password เราจะสามารถตรวจสอบรหัสผ่านได้ที่หน้าจอนี้
ข้อควรระวัง: หลังจากปิดหน้าจอนี้ไปแล้วจะไม่สามารถกลับมาหน้าจอนี้ได้
แนะนำให้ตรวจสอบและบันทึก User name กับ Console password โดยการ Copy หรือคลิกDownload.csvเก็บไว้
เมื่อเปิดไฟล์ CSV ที่ดาวน์โหลดมาแล้ว จะแสดงหน้าจอแบบนี้ โดยมีข้อมูล User name, Password ที่จะใช้ Login และมี Console sign-in URL ที่ให้เราสามารถเข้าสู่หน้าจอ Login ได้ทันทีบันทึกอยู่ในไฟล์นี้
การ Login AWS Management Console
เปิดเว็บบราวเซอร์ที่ยังไม่มีการ Login AWS Management Console (แนะนำให้ทดสอบ Login โดยใช้เว็บบราวเซอร์อื่นที่ไม่ใช่เว็บบราวเซอร์ที่กำลัง Login อยู่) แล้วคัดลอก Console sign-in URL ในไฟล์ CSV ไปเปิดในเว็บบราวเซอร์
แล้วป้อน IAM user name และ Password แล้วคลิก Sign in
* หากเปิดตามลิงก์ของ Console sign-in URL แล้ว ช่อง Account ID (12 digits) or account alias จะถูกป้อนโดยอัตโนมัติ
ป้อน Old password, New password, Retype new password แล้วคลิก Confirm password change
เมื่อเสร็จเรียบร้อยแล้ว จะแสดงหน้าจอแบบนี้ (รีเจี้ยนเริ่มต้นครั้งนี้คือ Tokyo)
ก่อนดำเนินการสร้าง Resources ใน Services ต่างๆ แนะนำให้เลือกใช้รีเจี้ยนที่เราอาศัยอยู่ใกล้มากที่สุด เช่น ประเทศไทย เราขอแนะนำให้เลือกใช้ Singapore เป็นต้น
หลังจากสร้าง User
การสร้าง User เสร็จสมบูรณ์แล้ว แต่เราขอแนะนำให้ดำเนินการต่อด้วยการตั้งค่าตามบทความด้านล่างนี้ด้วย
- การตั้งค่า MFA
- สามารถตั้งค่าเพื่อตรวจสอบ MFA ตอนที่ Login ได้
- อย่าลืมตั้งค่าเพื่อความปลอดภัย
วิธีตรวจสอบประวัติการทำงานของ User
เราสามารถตรวจสอบได้ว่า User ดำเนินการอะไรไปบ้างใน AWS Management Console ได้โดยใช้ฟังก์ชัน CloudTrail
ให้ดูบทความอ้างอิงตามลิงก์ด้านล่างนี้
สรุป
เมื่อเราสร้าง User และสามารถ Login AWS Management Console ได้แล้ว เราควรตั้งค่า MFA ให้ตรวจสอบตอนที่ Login เพื่อเพิ่มระดับความปลอดภัยของผู้ใช้งาน
ผมหวังว่าบทความนี้จะเป็นประโยชน์ให้กับผู้อ่านได้นะครับ
POP จากบริษัท Classmethod (Thailand) ครับ !
Link อ้างอิง
- [ข้อควรระวัง] เกี่ยวกับการที่ Access Key หลุด(รั่วไหล) และถูกนำไปใช้โดยไม่ได้รับอนุญาต
- วิธีการเปิดใช้งาน AWS IAM MFA บนมือถือ
- ลงทะเบียน Multi-Factor Authentication (MFA) หลายๆตัวต่อ 1 IAM User ได้แล้ว
- วิธีใช้ CloudTrail: ข้อมูลใน AWS หายไปต้องทำอย่างไร?
- AWS IAM คืออะไร การแนะนำฟังก์ชันล่าสุดของ AWS ในปี 2022
