この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
เนื่องจาก UI ของหน้าจอการสร้าง User ใน IAM มีการเปลี่ยนแปลง จึงทำการเขียนบทความใหม่ ดังนั้นโปรดดูที่บทความนี้
เราสามารถสร้าง User สำหรับใช้ Login ได้หลาย User ใน AWS Management Console ได้ ซึ่งฟังก์ชันที่จะดำเนินการคือฟังก์ชัน IAM User ที่มีอยู่ใน IAM
นอกจากนี้ AWS ได้มีการแนะนำให้สร้าง IAM User ของแต่ละ User เท่าที่ต้องการได้
และให้เราเพิ่มความปลอดภัยโดยตั้งค่า MFA เพราะเราสามารถเพิ่มระดับความน่าเชื่อถือได้โดยบันทึกประวัติการใช้งานใน CloudTrail
ทีนี้เรามาสร้าง IAM User กัน
การสร้าง User ใน IAM
เข้ามาที่ Service IAM โดยค้นหา ?︎ IAM แล้วเลือก IAM
เลือก Users จากเมนูด้านซ้าย
คลิก Add users
หลังจากนี้คือขั้นตอนการตั้งค่าของแต่ละหัวข้อ
1 - Set user details
» ป้อนชื่อใน User name* ที่ต้องการ เช่น test-user
Select AWS access type
» Select AWS credential type*: ติ๊ก ✅ Password - AWS Management Console access แล้วจะมี Console password* และ Require password reset ปรากฏขึ้นมา ก็ไม่ต้องตั้งค่าอะไร
» คลิก Next: Permissions
อธิบายเพิ่มเติม
สำหรับการแนบ [Access key - Programmatic access] จะทำให้สามารถเข้าถึงโดยใช้โปรแกรมได้ แต่ต้องระวังเพราะอาจทำให้ความปลอยภัยลดลง
อ่านบทความเกี่ยวกับความเสี่ยงของ Access Key ได้ที่ลิงก์ด้านล่างนี้
Console password: เลือกอย่างใดอย่างหนึ่งก็ได้ ตัวอย่างนี้จะใช้ค่าเริ่มต้นคือ Autogenerated password
Require password reset: เมื่อติ๊กแล้ว ต้องเปลี่ยนรหัสผ่านตอนที่ Login ครั้งแรก
2 - Set permissions
ตั้งค่าสิ่งที่สามารถทำได้ใน User นี้
| Set permissions | |
|---|---|
| Add user to group | สามารถให้สิทธิ์ร่วมกันได้โดยใช้ User groups ที่สร้างไว้แล้ว |
| Copy permissions from existing user | ใช้ในกรณีที่ให้สิทธิ์เดียวกันกับ IAM User อื่นที่สร้างขึ้นแล้ว |
| Attach existing policies directory | เลือกและแนบ Policy ที่สร้างไว้แล้ว |
ครั้งนี้จะใช้ Attach existing policies directory
การตั้งค่าตัวอย่างนี้คือ:
» เลือก Attach existing policies directly
» ค้นหา PowerUserAccess
» ติ๊ก ✅ PowerUserAccess
» คลิก Next: Tags
อธิบายเพิ่มเติม
AWS มี Policy (ชุดสิทธิ์) จำนวนมากตามค่าเริ่มต้น
* เนื่องจากสิทธิ์มีจำนวนเยอะมาก ถ้าดูทีละอันทั้งหมดต้องใช้เวลามาก ดังนั้นจะแนะนำเฉพาะการอนุญาตหลักเท่านั้น
| Policy name | Permission |
|---|---|
| AdministratorAccess | นี่คือสิทธิ์ผู้ดูแล โดยพื้นฐานแล้วเป็นสิทธิ์ที่จะสามารถจัดการสิ่งต่างๆได้ทั้งหมด |
| PowerUserAccess | นี่คือ Power user เป็นการให้สิทธิ์ที่สามารถทำสิ่งต่างๆได้นอกเหนือจากการจัดการ IAM |
| AmazonEC2FullAccess | เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ EC2 เช่น Stop และ Start EC2 |
| AmazonS3FullAccess | การให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ S3 เช่น สร้าง S3 Bucket, อ่านและเขียนไฟล์ |
| CloudFrontFullAccess | เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ CloudFront เช่น การสร้างและแก้ไข Distoribution ใน CloudFront |
3 - Add tags (optional)
เราสามารถตั้งค่า tag ได้ แต่ครั้งนี้จะดำเนินการโดยไม่ทำการตั้งค่าใดๆ ให้คลิก Next: Review
4 - Review
เราสามารถตรวจสอบข้อมูลการตั้งค่าได้ที่หน้าจอนี้ แล้วให้ระวังในส่วนนี้ด้วย เนื่องจาก User name ไม่สามารถเปลี่ยนแปลงได้ในภายหลัง และการลืมสิทธิ์ก็เป็นความผิดพลาดที่เกิดขึ้นบ่อย
ให้ตรวจสอบข้อมูลการตั้งค่าแล้วคลิก Create user
5 - User และ Password
เราสามารถตรวจสอบ User name ที่สร้างเสร็จแล้วได้
กรณีที่เลือก Autogenerated password ในหัวข้อ Console password เราสามารถตรวจสอบรหัสผ่านได้ที่หน้าจอนี้
เมื่อสร้างเสร็จแล้วจะแสดงหน้าจอแบบนี้ แนะนำให้คลิก Download .csv เพื่อบันทึกข้อมูลลงในอุปกรณ์ของเรา
เพราะเราสามารถดาวน์โหลดข้อมูล User ที่สร้างขึ้นเป็นรูปแบบ CSV ได้ ดังนั้นแนะนำให้บันทึกไว้จะดีกว่า
เมื่อเปิดไฟล์ CSV ที่ดาวน์โหลดมาแล้ว จะแสดงหน้าจอแบบนี้ โดยมีข้อมูล User name, Password ที่จะใช้ Login และมี Console login link ที่ให้เราสามารถเข้าสู่หน้าจอ Login ได้ทันทีบันทึกอยู่ในไฟล์นี้
การ Login AWS Management Console
เปิดเว็บบราวเซอร์ที่ยังไม่มีการ Login AWS Management Console (แนะนำให้ทดสอบ Login โดยใช้เว็บบราวเซอร์อื่นที่ไม่ใช่เว็บบราวเซอร์ที่กำลัง Login อยู่) แล้วคัดลอก Console login link ในไฟล์ CSV ไปเปิดในเว็บบราวเซอร์
แล้วป้อน IAM user name และ Password แล้วคลิก Sign in
* หากเปิดตามลิงก์ของ Console login link แล้ว ช่อง Account ID (12 digits) or account alias จะถูกป้อนโดยอัตโนมัติ
ป้อน Old password, New password, Retype new password แล้วคลิก Confirm password change
เมื่อเสร็จเรียบร้อยแล้ว จะแสดงหน้าจอแบบนี้
หลังจากสร้าง User แล้ว
การสร้าง User เสร็จสมบูรณ์แล้ว แต่เราขอแนะนำให้ดำเนินการต่อด้วยการตั้งค่าตามบทความด้านล่างนี้ด้วย
- การตั้งค่า MFA
- สามารถตั้งค่าเพื่อตรวจสอบ MFA ตอนที่ Login ได้
- อย่าลืมตั้งค่าเพื่อความปลอดภัย
วิธีตรวจสอบประวัติการทำงานของ User
เราสามารถตรวจสอบได้ว่า User ดำเนินการอะไรไปบ้างใน AWS Management Console ได้โดยใช้ฟังก์ชัน CloudTrail
ให้ดูบทความอ้างอิงตามลิงก์ด้านล่างนี้
สรุป
เมื่อเราสร้าง User และสามารถ Login AWS Management Console ได้แล้ว เราควรตั้งค่า MFA ให้ตรวจสอบตอนที่ Login เพื่อเพิ่มระดับความปลอดภัยของผู้ใช้งาน
ผมหวังว่าบทความนี้จะเป็นประโยชน์ให้กับผู้อ่านได้นะครับ
POP จากบริษัท Classmethod (Thailand) ครับ !
Link อ้างอิง
- [ข้อควรระวัง] เกี่ยวกับการที่ Access Key หลุด(รั่วไหล) และถูกนำไปใช้โดยไม่ได้รับอนุญาต
- วิธีการเปิดใช้งาน AWS IAM MFA บนมือถือ
- ลงทะเบียน Multi-Factor Authentication (MFA) หลายๆตัวต่อ 1 IAM User ได้แล้ว
- วิธีใช้ CloudTrail: ข้อมูลใน AWS หายไปต้องทำอย่างไร?
- AWS IAM คืออะไร การแนะนำฟังก์ชันล่าสุดของ AWS ในปี 2022
25
