Quản trị quyền truy cập với IAM > Giới thiệu > IAM Role

IAM Role

IAM Role là tính năng giúp nâng cao tính bảo mật trên AWS. Một IAM Role có thể được gán tạm thời cho các IAM User và các tài nguyên AWS trong nội bộ (internal) hoặc bên ngoài (external) tài khoản của bạn. Giả sử, khi một IAM User tiếp nhận (assume) một IAM Role, IAM User đó sẽ tạm thời có được những quyền hạn của IAM Role đó. Bạn nên sử dụng IAM Role khi bạn muốn cung cấp quyền truy cập ngắn hạn cho một IAM User hoặc tài nguyên AWS.

Để một IAM User có thể tiếp nhận (assume) IAM Role, thì bản thân IAM Role cần cho phép User thực hiện thao tác tiếp nhận (trust policy).

Một đặc tính quan trọng của IAM Role là không có thông tin chứng thực (credentials) nên bạn sẽ không thể đăng nhập trực tiếp vào tài khoản AWS bằng IAM Role.

AWS IAM

Trong thực tế, một trong các phương pháp thực hành bảo mật là hạn chế cấp những quyền hạn gây ảnh hưởng trực tiếp tới hệ thống cho IAM User. IAM User sẽ phải chuyển vai trò (switch role) để có thể thực hiện những tác vụ quan trọng.