KUNGFU TECH

0
0
Lập trình
Admin Team
Admin Teamtechmely

Hướng dẫn thiết lập Single Sign-On trong AWS (IAM Identity Center)

Đăng vào 8 tháng trước

• 5 phút đọc

Chủ đề:

#productivity#aws#security#cloud

Giới thiệu

Khi còn học đại học, tôi đã gặp một số lập trình viên đang hoàn thành chương trình kỹ sư phần mềm. Một trong những lời khuyên hay nhất mà tôi nhận được là:

“Nếu bạn muốn giỏi, hãy giữ kiến thức từ trường đại học. Nếu bạn muốn xuất sắc, hãy trở thành người học suốt đời.”

Khi bắt đầu tìm hiểu về AWS, việc sở hữu một tài khoản cá nhân là khoản đầu tư tốt nhất mà tôi từng thực hiện. Ban đầu có vẻ rủi ro—bạn cần thêm thẻ tín dụng và có thể vô tình để một phiên bản EC2 chạy hoặc chi tiêu quá nhiều cho một máy chủ. (Đó là lý do mà ngân sách, chính sách và các biện pháp bảo vệ là rất quan trọng—nhưng đó là chủ đề cho bài viết khác.)

Khi vượt qua nỗi sợ ban đầu, tôi nhận ra đây là thời điểm tuyệt vời để bắt đầu sử dụng nhiều tài khoản. Không chỉ giúp tôi truy cập nhiều tín dụng miễn phí hơn, mà tôi cũng mở ra cơ hội thực hành các trường hợp sử dụng đa tài khoản thực tế như:

  • Hồ dữ liệu chia sẻ
  • Truy cập cơ sở dữ liệu RDS giữa các tài khoản
  • Kết nối VPC
  • Ghi log tập trung

Ban đầu, tôi quản lý các tài khoản AWS của mình chỉ bằng một số ghi chú cá nhân. Nhưng khi số lượng tài khoản tăng lên, việc theo dõi trở nên khó khăn hơn, và tôi thấy mình phải sử dụng nhiều trình duyệt chỉ để thực hiện các thử nghiệm. Cuối cùng, tôi đã chuyển sang một chiến lược tốt hơn: sử dụng AWS Organizations và sau đó là IAM Identity Center để kích hoạt Single Sign-On cho tất cả các tài khoản của tôi.

Chính xác đó là những gì bạn sẽ học trong bài viết này. Hy vọng rằng điều này sẽ mở ra nhiều cơ hội học hỏi cho bạn. Việc có nhiều tài khoản cho bạn sự tự do để:

  • Khởi động các dự án cá nhân mà không làm rủi ro đến môi trường sản xuất
  • Theo dõi và thực hiện thử nghiệm một cách cô lập
  • Khám phá các trường hợp sử dụng AWS nâng cao

Và quan trọng nhất: nó giúp bạn tránh thực hiện các thử nghiệm trong tài khoản của công ty. Mặc dù có vẻ tiết kiệm hơn, nhưng đó là một rủi ro lớn—tôi đã nghe nhiều câu chuyện kinh hoàng về điều đó.

Yêu cầu đầu tiên để triển khai AWS SSO là có một AWS Organization hợp lệ.

AWS Organizations

AWS Organizations là một dịch vụ giúp bạn quản lý và kiểm soát nhiều tài khoản AWS một cách tập trung, với các lợi ích như:

  • Hóa đơn hợp nhất
  • Chính sách kiểm soát dịch vụ (SCPs)
  • Tích hợp AWS SSO (một trong những lợi thế chính khi có các tổ chức)

AWS SSO

AWS Single Sign-On (SSO) cho phép bạn quản lý tập trung quyền truy cập SSO và quyền người dùng trên tất cả các tài khoản AWS của bạn. Thông thường, khi bạn đăng nhập vào một tài khoản AWS, bạn sử dụng người dùng IAM và phải xác thực thủ công cho mỗi tài khoản. Vấn đề đầu tiên với cách tiếp cận này là đôi khi bạn cần cung cấp thông tin xác thực AWS cho cùng một người trên các tài khoản khác nhau, điều này nhanh chóng trở nên phức tạp để quản lý.

Hướng dẫn

1. Kích hoạt SSO

  • Đăng nhập vào bảng điều khiển AWS Identity and Access Management.
  • Mở Identity Center.
  • Chọn Kích hoạt.
  • Chọn Kích hoạt với AWS Organizations.
  • Chọn Tiếp tục.

Sau đó, bạn có thể tùy chỉnh URL cổng truy cập AWS. Hãy tuân thủ các quy tắc và nhớ rằng nó phải là duy nhất.

2. Thiết lập quyền

Bạn có thể chọn thời gian phiên và xác định thời gian trước khi một người dùng bị đăng xuất. Đối với môi trường sản xuất, tôi khuyên bạn nên đặt là 1 giờ, nhưng đối với phát triển và thử nghiệm, bạn có thể sử dụng 4 giờ hoặc hơn.

3. Người dùng

Bạn có thể thiết lập thông tin người dùng, chi tiết công việc, và thậm chí các thuộc tính tùy chỉnh.

Cuối cùng, gán người dùng vào một nhóm.

4. Nhóm

5. SSO

Cuối cùng, bạn sẽ có URL cổng truy cập AWS và thông tin xác thực cho người dùng—dù được cung cấp qua email hay được tạo như một mật khẩu ngẫu nhiên.

Bạn sẽ thấy các tài khoản và vai trò phù hợp với các tập quyền mà chúng tôi đã xác định và phân bổ cho người dùng đã tạo.

Một lợi ích khác: bạn cũng có thể triển khai và cấu hình ứng dụng, và kích hoạt MFA (điều này tôi rất khuyến khích để tăng cường bảo mật).

Kết luận

Với AWS SSO, bạn có thể tạo ra một kiến trúc mạnh mẽ với một cổng tập trung để quản lý người dùng và quyền, đồng thời tận dụng hóa đơn hợp nhất và các biện pháp bảo vệ thông qua Organizations và SCPs.

Tổng thể, lợi ích rất lớn: bạn có được trải nghiệm thực tế với các dự án đa tài khoản, giữ cho việc học của bạn luôn hoạt động, và—quan trọng hơn—tránh rủi ro khi thử nghiệm trong tài khoản của công ty.

Và điều tuyệt vời nhất: không có chi phí bổ sung để sử dụng nó. Lời khuyên của tôi? Coi nó như một phương pháp tốt nhất mặc định. Không có nhược điểm nào, chỉ có nhiều lợi ích.

Chưa bao giờ có thời điểm tốt hơn để trở thành một kỹ sư và tạo ra giá trị cho xã hội thông qua phần mềm.

Nếu bạn thích bài viết này, hãy ghé thăm blog của tôi tại jorgetovar.dev.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào