วิธีสร้าง User เพื่อใช้ Login AWS Management Console

เราสามารถสร้าง User สำหรับใช้ Login ได้หลาย User ใน AWS Management Console ได้ ซึ่งฟังก์ชันที่จะดำเนินการคือฟังก์ชัน IAM User ที่มีอยู่ใน IAM

เราสามารถสร้าง User สำหรับใช้ Login ได้หลาย User ใน AWS Management Console ได้ ซึ่งฟังก์ชันที่จะดำเนินการคือฟังก์ชัน IAM User ที่มีอยู่ใน IAM

นอกจากนี้ AWS ได้มีการแนะนำให้สร้าง IAM User ของแต่ละ User เท่าที่ต้องการได้
และให้เราเพิ่มความปลอดภัยโดยตั้งค่า MFA เพราะเราสามารถเพิ่มระดับความน่าเชื่อถือได้โดยบันทึกประวัติการใช้งานใน CloudTrail

ทีนี้เรามาสร้าง IAM User กัน

การสร้าง User ใน IAM

เข้ามาที่ Service IAM โดยค้นหา 🔍︎ IAM แล้วเลือก IAM

เลือก Users จากเมนูด้านซ้าย

คลิก Add users

หลังจากนี้คือขั้นตอนการตั้งค่าของแต่ละหัวข้อ

1 - Set user details

» ป้อนชื่อใน User name* ที่ต้องการ เช่น test-user

Select AWS access type
» Select AWS credential type*: ติ๊ก Password - AWS Management Console access แล้วจะมี Console password* และ Require password reset ปรากฏขึ้นมา ก็ไม่ต้องตั้งค่าอะไร
» คลิก Next: Permissions

อธิบายเพิ่มเติม

สำหรับการแนบ [Access key - Programmatic access] จะทำให้สามารถเข้าถึงโดยใช้โปรแกรมได้ แต่ต้องระวังเพราะอาจทำให้ความปลอยภัยลดลง

อ่านบทความเกี่ยวกับความเสี่ยงของ Access Key ได้ที่ลิงก์ด้านล่างนี้

Console password: เลือกอย่างใดอย่างหนึ่งก็ได้ ตัวอย่างนี้จะใช้ค่าเริ่มต้นคือ Autogenerated password
Require password reset: เมื่อติ๊กแล้ว ต้องเปลี่ยนรหัสผ่านตอนที่ Login ครั้งแรก

2 - Set permissions

ตั้งค่าสิ่งที่สามารถทำได้ใน User นี้

Set permissions
Add user to group สามารถให้สิทธิ์ร่วมกันได้โดยใช้ User groups ที่สร้างไว้แล้ว
Copy permissions from existing user ใช้ในกรณีที่ให้สิทธิ์เดียวกันกับ IAM User อื่นที่สร้างขึ้นแล้ว
Attach existing policies directory เลือกและแนบ Policy ที่สร้างไว้แล้ว

ครั้งนี้จะใช้ Attach existing policies directory

การตั้งค่าตัวอย่างนี้คือ:
» เลือก Attach existing policies directly
» ค้นหา PowerUserAccess
» ติ๊ก PowerUserAccess
» คลิก Next: Tags

อธิบายเพิ่มเติม

AWS มี Policy (ชุดสิทธิ์) จำนวนมากตามค่าเริ่มต้น

* เนื่องจากสิทธิ์มีจำนวนเยอะมาก ถ้าดูทีละอันทั้งหมดต้องใช้เวลามาก ดังนั้นจะแนะนำเฉพาะการอนุญาตหลักเท่านั้น

Policy name Permission
AdministratorAccess    นี่คือสิทธิ์ผู้ดูแล โดยพื้นฐานแล้วเป็นสิทธิ์ที่จะสามารถจัดการสิ่งต่างๆได้ทั้งหมด
PowerUserAccess นี่คือ Power user เป็นการให้สิทธิ์ที่สามารถทำสิ่งต่างๆได้นอกเหนือจากการจัดการ IAM
AmazonEC2FullAccess เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ EC2 เช่น Stop และ Start EC2
AmazonS3FullAccess การให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ S3 เช่น สร้าง S3 Bucket, อ่านและเขียนไฟล์
CloudFrontFullAccess เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ CloudFront เช่น การสร้างและแก้ไข Distoribution ใน CloudFront

3 - Add tags (optional)

เราสามารถตั้งค่า tag ได้ แต่ครั้งนี้จะดำเนินการโดยไม่ทำการตั้งค่าใดๆ ให้คลิก Next: Review

4 - Review

เราสามารถตรวจสอบข้อมูลการตั้งค่าได้ที่หน้าจอนี้ แล้วให้ระวังในส่วนนี้ด้วย เนื่องจาก User name ไม่สามารถเปลี่ยนแปลงได้ในภายหลัง และการลืมสิทธิ์ก็เป็นความผิดพลาดที่เกิดขึ้นบ่อย

ให้ตรวจสอบข้อมูลการตั้งค่าแล้วคลิก Create user

5 - User และ Password

เราสามารถตรวจสอบ User name ที่สร้างเสร็จแล้วได้
กรณีที่เลือก Autogenerated password ในหัวข้อ Console password เราสามารถตรวจสอบรหัสผ่านได้ที่หน้าจอนี้

เมื่อสร้างเสร็จแล้วจะแสดงหน้าจอแบบนี้ แนะนำให้คลิก Download .csv เพื่อบันทึกข้อมูลลงในอุปกรณ์ของเรา
เพราะเราสามารถดาวน์โหลดข้อมูล User ที่สร้างขึ้นเป็นรูปแบบ CSV ได้ ดังนั้นแนะนำให้บันทึกไว้จะดีกว่า

เมื่อเปิดไฟล์ CSV ที่ดาวน์โหลดมาแล้ว จะแสดงหน้าจอแบบนี้ โดยมีข้อมูล User name, Password ที่จะใช้ Login และมี Console login link ที่ให้เราสามารถเข้าสู่หน้าจอ Login ได้ทันทีบันทึกอยู่ในไฟล์นี้

การ Login AWS Management Console

เปิดเว็บบราวเซอร์ที่ยังไม่มีการ Login AWS Management Console (แนะนำให้ทดสอบ Login โดยใช้เว็บบราวเซอร์อื่นที่ไม่ใช่เว็บบราวเซอร์ที่กำลัง Login อยู่) แล้วคัดลอก Console login link ในไฟล์ CSV ไปเปิดในเว็บบราวเซอร์

แล้วป้อน IAM user name และ Password แล้วคลิก Sign in
* หากเปิดตามลิงก์ของ Console login link แล้ว ช่อง Account ID (12 digits) or account alias จะถูกป้อนโดยอัตโนมัติ

ป้อน Old password, New password, Retype new password แล้วคลิก Confirm password change

เมื่อเสร็จเรียบร้อยแล้ว จะแสดงหน้าจอแบบนี้

หลังจากสร้าง User แล้ว

การสร้าง User เสร็จสมบูรณ์แล้ว แต่เราขอแนะนำให้ดำเนินการต่อด้วยการตั้งค่าตามบทความด้านล่างนี้ด้วย

  • การตั้งค่า MFA
    • สามารถตั้งค่าเพื่อตรวจสอบ MFA ตอนที่ Login ได้
    • อย่าลืมตั้งค่าเพื่อความปลอดภัย

วิธีตรวจสอบประวัติการทำงานของ User

เราสามารถตรวจสอบได้ว่า User ดำเนินการอะไรไปบ้างใน AWS Management Console ได้โดยใช้ฟังก์ชัน CloudTrail

ให้ดูบทความอ้างอิงตามลิงก์ด้านล่างนี้

สรุป

เมื่อเราสร้าง User และสามารถ Login AWS Management Console ได้แล้ว เราควรตั้งค่า MFA ให้ตรวจสอบตอนที่ Login เพื่อเพิ่มระดับความปลอดภัยของผู้ใช้งาน

ผมหวังว่าบทความนี้จะเป็นประโยชน์ให้กับผู้อ่านได้นะครับ

POP จากบริษัท Classmethod (Thailand) ครับ !

Link อ้างอิง