Cách quản lý tốt quyền AWS IAM trong startup - Hành trình áp dụng ConsoleMe

• Chính sách đặc quyền tối thiểu cho IAM

"Khi tạo chính sách IAM, hãy tuân theo khuyến nghị bảo mật tiêu chuẩn về việc cấp đặc quyền tối thiểu, tức chỉ cấp những quyền tối thiểu cần thiết để thực hiện công việc"

Trước đây nhóm đã cấp mọi quyền cho nhà phát triển, rồi quyết định chuyển sang tuân theo chính sách đặc quyền tối thiểu.

• Hành trình đưa vào quy trình đăng ký quyền bằng Jira

Sau khi thu hồi toàn bộ các quyền hiện có, nhóm đã tạo một quy trình để có thể đăng ký những quyền cần thiết bằng Jira + Terraform.

Tuy nhiên, quy trình này khó sử dụng vì bốn lý do dưới đây:

1. Cần khoảng 3~5 phút để chạy Terraform apply

2. Mất nhiều thời gian do nhà phát triển hiểu biết hạn chế về IAM policy

3. Việc yêu cầu bổ sung quyền diễn ra thường xuyên

4. Do đặc tính IAM thay đổi thường xuyên, nhiều trường hợp không đồng bộ với Github

• ConsoleMe, tia sáng trong việc đăng ký quyền IAM

Đây là dự án mã nguồn mở do Netflix công bố năm 2020, hỗ trợ quản lý quyền IAM dễ dàng trong môi trường AWS đa tài khoản. Công cụ cung cấp web console để hỗ trợ đăng ký quyền IAM và sử dụng quyền tạm thời cho Role. Người dùng có thể tự do chỉnh sửa trong trình biên tập quyền trên web, quản trị viên kiểm tra rồi phê duyệt là sẽ được áp dụng ngay.

• Cấp quyền tạm thời bằng SSO (Single sign-on)

Trên AWS, việc dùng AWS STS (Secure Token Service) để nhận quyền tạm thời cho IAM Role an toàn hơn so với sử dụng IAM User. Trong ConsoleMe, có thể dễ dàng nhận quyền tạm thời cho IAM Role thông qua SSO bằng tài khoản Google hoặc nhà cung cấp SSO.

• Vậy sau khi áp dụng thì có cải thiện không?

Có. Sau khi đội ngũ áp dụng và sử dụng trong 6 tháng, cả hai bên đều đánh giá tích cực: đội bảo mật thuận tiện hơn trong việc quản lý bằng chứng và log liên quan đến yêu cầu cấp quyền, còn đội phát triển thì quy trình từng mất ít nhất 30 phút đến tối đa một ngày đã được rút xuống thành quy trình đăng ký quyền đơn giản chỉ mất khoảng 5 phút, khiến tất cả đều hài lòng.