Tạo Admin Group và Admin User

Tạo Admin Group

  1. Đăng nhập vào AWS Management Console tại https://aws.amazon.com/

  2. Nhấn vào tên tài khoản ở góc trên bên phải và chọn My Security Credentials

    Truy cập Security Credentials

    Lưu ý: Nếu không thấy menu My Security Credentials, bạn có thể tìm kiếm và chọn dịch vụ IAM để truy cập vào IAM console.

    Tìm kiếm dịch vụ IAM

  3. Trong navigation pane bên trái, chọn User Groups và nhấn Create Group

    Tạo User Group

  4. Trong mục User group name, nhập tên group (ví dụ: AdminGroup)

    Đặt tên User Group

  5. Trong phần Attach permissions policies, tìm và chọn policy AdministratorAccess. Sau đó chọn Create Group

    Gán permissions

  6. Group đã được tạo thành công

    Hoàn thành tạo group

Tạo Admin User

  1. Trong navigation pane, chọn Users và nhấn Add users

    Tạo User mới

  2. Cấu hình thông tin user:

    • Nhập User name (ví dụ: AdminUser)
    • Chọn AWS Management Console access
    • Chọn Programmatic access
    • Chọn Custom password và nhập mật khẩu
    • Bỏ chọn User must create a new password at next sign-in
    • Nhấn Next: Permissions

    Cấu hình User

  3. Chọn tab Add user to group và chọn group AdminGroup đã tạo

    Thêm user vào group

  4. Nhấn Next: Tags (Tags là tùy chọn để tổ chức và quản lý tài nguyên)

  5. Nhấn Next: Review

    Review thông tin

  6. Kiểm tra lại thông tin và chọn Create user

    Xác nhận tạo user

  7. Tải xuống file .csv chứa access key (nếu cần)

    Download credentials

  8. User đã được tạo thành công

    Hoàn thành tạo user

  9. Xem chi tiết thông tin user

    Chi tiết user

Lưu ý: Sau khi tạo user, AWS sẽ hiển thị access key ID và secret access key. Đây là thông tin quan trọng để truy cập AWS thông qua AWS CLI và AWS SDK.

Đăng nhập với Admin User

  1. Trong IAM console, chọn Users ở navigation pane

  2. Chọn IAM user vừa tạo

  3. Trong tab Security credentials, copy đường link console sign-in

    Copy sign-in link

  4. Mở tab ẩn danh mới và truy cập link sign-in

    Truy cập bằng tab ẩn danh

  5. Nhập thông tin đăng nhập:

    • IAM user name
    • Password đã tạo
    • Nhấn Sign in

    Đăng nhập IAM user

  6. Đăng nhập thành công với IAM user

    Đăng nhập thành công

Tài liệu tham khảo

IAM User và Đăng nhập AWS

IAM user là một entity được tạo trong AWS account, có quyền tương tác với AWS resources. IAM user có thể đăng nhập bằng:

  • Account ID/alias
  • User name
  • Password

User name có thể là tên thường (zhang) hoặc email (zhang@example.com), không chứa khoảng trắng nhưng có thể chứa:

  • Chữ hoa và chữ thường
  • Số
  • Ký tự đặc biệt: + = , . @ _ -

Tạo Access Key cho Root User

Quyền yêu cầu

  • Cần đăng nhập bằng root user (không thể thực hiện với IAM user hoặc role)

Các bước thực hiện

  1. Đăng nhập vào AWS Management Console bằng email và password của root user

  2. Click vào tên account ở góc trên phải, chọn Security Credentials

  3. Trong phần Access keys, chọn Create access key

    Lưu ý: Nếu không thấy tùy chọn này, có thể bạn đã đạt giới hạn số lượng access key. Cần xóa một key hiện có trước khi tạo mới.

  4. Trên trang Alternatives to root user access keys, đọc các khuyến nghị bảo mật. Tích vào checkbox và chọn Create access key

  5. Trên trang Retrieve access key:

    • Access key ID sẽ được hiển thị
    • Click Show để xem Secret access key
    • Copy và lưu cả Access key ID và Secret key vào nơi an toàn
    • Hoặc tải file rootkey.csv để lưu thông tin
  6. Click Done để hoàn tất

Khuyến nghị: Nên xóa hoặc vô hiệu hóa access key khi không còn sử dụng để đảm bảo an toàn.

Xóa Access Key cho Root User

Quyền yêu cầu

  • Cần đăng nhập bằng root user (không thể thực hiện với IAM user hoặc role)

Các bước thực hiện

  1. Đăng nhập vào AWS Management Console bằng root user

  2. Click vào tên account ở góc trên phải, chọn Security Credentials

  3. Trong phần Access keys, tìm key cần xóa:

    • Click Delete trong menu Actions để xóa vĩnh viễn
    • Hoặc click Deactivate để vô hiệu hóa tạm thời
  4. Trên hộp thoại xác nhận:

    • Nhập Access key ID để xác nhận
    • Click Delete để hoàn tất

Lưu ý về vô hiệu hóa key:

  • Key bị vô hiệu hóa có thể kích hoạt lại sau này
  • Không cần thay đổi ID và Secret
  • Các API call sử dụng key đã vô hiệu hóa sẽ bị từ chối với lỗi “access denied”

Best Practices:

  • Hạn chế sử dụng access key của root user
  • Nên tạo IAM user có quyền phù hợp thay vì dùng root user
  • Luôn bảo mật thông tin access key
  • Xoá hoặc vô hiệu hóa key không sử dụng
  • Định kỳ xoay vòng (rotate) các access key
  • Sử dụng AWS CloudTrail để giám sát hoạt động của access key

Chi tiết về Multi-Factor Authentication (MFA)

Khi MFA được bật, người dùng cần:

  • Đăng nhập bình thường với username/password
  • Nhập mã xác thực từ thiết bị MFA

AWS hỗ trợ các loại thiết bị MFA:

  • Virtual MFA (Google Authenticator, Authy)
  • Hardware MFA token
  • U2F security key

Khuyến nghị: Nên bật MFA cho cả root user và IAM user để tăng cường bảo mật.

Tham khảo thêm: