1.Giới thiệu.

IAM viết tắt của dịch vụ Identity and Access Management.

IAM có 4 nhóm chính đó là:

  • User là người dùng, ví dụ công ty bạn có 5 dev và bạn muốn tạo tài khoản cho 5 dev này sử dụng thì bạn có thể tạo ra 5 User khác nhau rồi đưa password và username cho họ đăng nhập.
  • Group là nhóm để phân nhóm các user với nhau, vì dụ bạn muốn phân thành 2 nhóm là dev và designer, mỗi nhóm này có những quyền hạn khác nhau.
  • Role là một tập hợp chứa các quyền, ví dụ bạn muốn tạo 2 role là development role và production role để gán cho các user hoặc group thích hợp.
  • Policy là đơn vị quan trọng nhất trong IAM, nó là đơn vị tế bào của các quyền, ví dụ như có policy Administrator Access, AmazonS3FullAccess.

Trong 4 nhóm trên thì User và Group được gọi là Authentication (xác thực), Policy được gọi là Authorization.

 

2. Một số loại role trong IAM.

  • ECS Service-Linked role (SLR) - This role enables Amazon ECS to manage a variety of AWS resources associated with your application on your behalf. When using a Service, this role allows Amazon ECS to manage the load balancer (Classic Load Balancers, Application Load Balancers, and Network Load Balancers) and service discovery (with Route 53) associated with your service. When using task networking, this role allows Amazon ECS to attach and detach Elastic Network Interfaces (ENIs) to your tasks. This role is required when using AWS Fargate.
  • Service Scheduler IAM role - Prior to the introduction of the ECS Service-Linked role (SLR), this role was used in conjunction with a Service to enable Amazon ECS to manage the load balancer associated with your service. If you want to use an Elastic Load Balancer (whether a Classic Load Balancer, an Application Load Balancer, or a Network Load Balancer) with your ECS service, you can use this role. Now that the ECS SLR is available you can use either of the two roles, but you may still wish to use this role if you want to restrict the permissions that are granted to Amazon ECS to cover specific load balancer resources.
  • Auto Scaling IAM role - This role is used in conjunction with a Service and allows the Application Auto Scaling service to scale the desired count of your Service in or out.
  • Task IAM role - This role can be used with any Task (including Tasks launched by a Service). This role is very similar to an EC2 instance profile, but allows you to associate permissions with individual Tasks rather than with the underlying EC2 instance that is hosting those Tasks. If you are running a number of different applications across your ECS cluster with different permissions required, you can use the Task IAM role to grant specific permissions to each Task rather than ensuring that every EC2 instance in your cluster has the combined set of permissions that any application would need.
  • Task execution role - This role is required when using AWS Fargate and replaces the Container Instance IAM role, which is unavailable for the FARGATE launch type. This role enables AWS Fargate to pull your container images from Amazon ECR and to forward your logs to Amazon CloudWatch Logs.