บทความ

AWS IAM Role กุญแจสำคัญสู่การควบคุมสิทธิ์ให้ปลอดภัยในระบบคลาวด์

Posted on by iconext writer
AWS IAM Role
29
ต.ค.

AWS IAM (Identity and Access Management) คือบริการของ Amazon Web Services (AWS) ที่ช่วยให้คุณสามารถควบคุมการเข้าถึงทรัพยากรต่างๆ บน AWS ได้อย่างปลอดภัย โดยคุณสามารถ

  1. สร้างผู้ใช้ (Users) – สำหรับบุคคลที่ต้องการเข้าถึง AWS
  2. สร้างกลุ่ม (Groups) – รวมผู้ใช้ที่มีสิทธิ์คล้ายกันแบบกลุ่ม
  3. ใช้บทบาท (Roles) – สำหรับการให้สิทธิ์ด้วยบทบาท เช่น ให้ EC2 เข้าถึง S3
  4. ใช้รหัสความปลอดภัย (Credentials) – สำหรับการเข้าถึงรหัสความปลอดภัย เช่น Access Key หรือ Secret Key แบบถาวร

ในยุคที่ระบบคลาวด์กลายเป็นหัวใจหลักของการพัฒนาแอปพลิเคชันและโครงสร้างพื้นฐานทางไอที การจัดการสิทธิ์การเข้าถึงทรัพยากรอย่างปลอดภัยจึงกลายเป็นสิ่งที่หลีกเลี่ยงไม่ได้

ในบทความนี้จะนำเสนอเกี่ยวกับ AWS IAM Role เป็นเครื่องมือสำคัญที่ช่วยให้ผู้ใช้งานสามารถควบคุมการเข้าถึงได้อย่างมีประสิทธิภาพ โดยไม่ต้องใช้ Credentials แบบถาวร

แนวคิดพื้นฐานของ AWS IAM
ภาพแนวคิดพื้นฐานของ AWS IAM

IAM Role คืออะไร?             

IAM Role (Identity and Access Management Role) คือ “บทบาท” ที่ใช้กำหนดสิทธิ์ (Permissions) สำหรับการเข้าถึงทรัพยากรในระบบ AWS โดยไม่ต้องพึ่งพา Access Key หรือ Secret Key แบบถาวรเหมือนบัญชีผู้ใช้ทั่วไป (IAM User)

กล่าวง่ายๆ คือ IAM Role ทำหน้าที่เป็น “ตัวแทนสิทธิ์การเข้าถึง” ที่คุณสามารถมอบหมายให้กับ ผู้ใช้งาน, บริการของ AWS (เช่น EC2, Lambda, ECS), หรือแม้แต่ แอปพลิเคชันภายนอก ได้อย่างปลอดภัยและยืดหยุ่น

โครงสร้างของ IAM Role
ภาพโครงสร้างของ IAM Role

โครงสร้างของ IAM Role

  1. Trust Policy – เป็นการกำหนดสิทธิระดับเครื่อง โดยระบุว่าใครสามารถ assume role นี้ได้ เช่น EC2, Lambda หรือผู้ใช้จากบัญชีอื่น
  2. Permissions Policy – เป็นการกำหนดสิทธิในระดับบริการต่างๆ โดยระบุว่า role นี้สามารถทำอะไรได้บ้าง เช่น อ่านข้อมูลจาก S3 หรือเขียนข้อมูลลง DynamoDB เป็นต้น
  3. Session Duration – เป็นการกำหนดระยะเวลาในการใช้งานระดับเครื่องหรือบริการต่างๆ โดยระยะเวลาที่ role ถูก assume ได้ เช่น 1 ชั่วโมง หรือ 12 ชั่วโมง เป็นต้น

ตัวอย่างการใช้งาน IAM Role

กรณีศึกษา : EC2 Instance ให้สามารถใช้งานบริการ S3 ได้

บริษัทไอโคเน็กซ์ มีแอปพลิเคชันที่รันอยู่บน EC2 Instance และต้องการให้สามารถอ่านและเขียนไฟล์จาก S3 ได้โดยไม่ต้องฝัง credentials ลงในโค้ดหรือ Configuration file

แนวคิดของการใช้ IAM Role กับ EC2 Instance
แนวคิดของการใช้ IAM Role กับ EC2 Instance

ตัวอย่าง

# IAM Role Policy ตัวอย่าง (แนบกับ IAM Role ที่ EC2 ใช้)

{

  “Version”: “2012-10-17”,

  “Statement”: [

    {

      “Effect”: “Allow”,

      “Action”: [“s3:GetObject”],

      “Resource”: [“arn:aws:s3:::example-bucket/*”]

    }

  ]

}

แนวทางแก้ไข

  • สร้าง IAM Role ที่มีสิทธิ์ s3:GetObject
  • กำหนด Trust Policy ให้ EC2 สามารถ assume role นี้ได้
  • Attach role เข้ากับ EC2 instance

ผลลัพธ์: EC2 สามารถเข้าถึง S3 ได้อย่างปลอดภัยโดยไม่ต้องใช้ Access Key

แนวทางปฏิบัติที่ดี (Best Practices)

  • ใช้ IAM Role แทน IAM User สำหรับการเข้าถึงแบบอัตโนมัติ
  • จำกัดสิทธิ์ด้วยหลักการ “Least Privilege”
  • ใช้ IAM Access Analyzer เพื่อตรวจสอบสิทธิ์ที่เปิดกว้างเกินไป
  • หมุนเวียนและตรวจสอบ role ที่ไม่ได้ใช้งานเป็นประจำ
  • ใช้ CloudTrail เพื่อติดตามการ assume role และตรวจสอบกิจกรรมย้อนหลัง

สรุป

IAM Role เป็นเครื่องมือที่ทรงพลังในการจัดการสิทธิ์ใน AWS อย่างปลอดภัยและมีประสิทธิภาพ การเข้าใจโครงสร้างและการใช้งานในสถานการณ์จริงจะช่วยให้สามารถออกแบบระบบที่ปลอดภัยและยืดหยุ่นได้มากขึ้น โดยไม่ต้องพึ่งพา credentials แบบถาวรที่เสี่ยงต่อการรั่วไหล

    wpChatIcon