GIỚI HẠN QUYỀN CỦA USER VỚI IAM PERMISSION BOUNDARY
Tổng quan
Sau khi chúng ta đã hiểu cách hoạt động của IAM User, Group, Policy và Role trong 2 bài lab trước. Trong bài lab này, chúng ta sẽ tiếp tục tìm hiểu về IAM Permission Boundary.
IAM Permission Boundary là gì?
IAM Permission Boundary là một tính năng cao cấp cho phép chúng ta giới hạn quyền tối đa với một User hoặc Group. Giả sử chúng ta áp dụng Permission Boundary chỉ cho phép user EC2admin quản trị dịch vụ EC2 thì anh ấy sẽ không thể có quyền trên một dịch vụ nào khác kể cả có được gán một Policy cấp quyền cao hơn.
Do đó, quyền hạn có hiệu lực (effective permissions) của user EC2admin sẽ bao gồm những quyền được cho phép bởi cả Permission Boundary và chính sách quyền của user EC2admin (Identity-based policy).
Tại sao sử dụng IAM Permission Boundary?
Thông thường, khi bạn trao quyền cho các IAM user, bạn nghĩ rằng chỉ cần xây dựng chính sách quyền cho user một cách cẩn thận, bạn sẽ có thể bỏ qua bước sử dụng Permission Boundary.
Tuy nhiên, khi số lượng user tăng lên và những thay đổi liên tục trong vai trò công việc của các user yêu cầu bạn phải tạo ra thêm nhiều chính sách quyền mới, thì việc quản lý quyền trở nên phức tạp, từ đó tạo những lỗ hổng cho leo thang đặc quyền (privilege escalation) trong các user.
Để đơn giản hóa công tác quản lý quyền, thay vì bạn phải chỉnh sửa từng chính sách quyền, bạn có thể áp dụng Permission Boundary một cách nhanh chóng và đồng loạt để giúp bạn đóng những lỗ hổng về privilege escalation.