Identity and Access Management (IAM) ဆိုတာဘာလဲ?
ပထမဦးဆုံး Identity & Access Management (IAM) ဆိုတာကို အပိုင်းနှစ်ခုအဖြစ် ခွဲခြားဆွေးနွေးပါမယ်။
Identity Management
Identity ဆိုတာ, ဥပမာ AWS usernames လိုမျိုး သင့်ကို AWS account မှာ authenticate လုပ်ရန် အသုံးပြုတဲ့ အချက်အလက်တွေပါ။ ဒီ authentication လုပ်ငန်းစဉ်ကို အဆင့် ၂ ဆင့်ဖြင့် စီမံခန့်ခွဲတယ်။
Identification
ပထမဆုံး သင့် identity ကိုသတ်မှတ်ဖို့ ဖြစ်ပါတယ်။ ဥပမာ - သင့် AWS username က သင့် AWS account အတွက် ထူးခြားသော identity တစ်ခုဖြစ်ပါတယ်။ ဒါကြောင့် IAM သည် တူညီသော AWS အကောင့်အတွင်း အမည်တူအသုံးပြုသူအကောင့် ၂ ခုမရှိစေရန် ကာကွယ်ပေးပါသည်။Authentication
ဒုတိယပိုင်းမှာတော့ သင်ဟုတ်ကြောင်းကို အတည်ပြုရပါမယ်။ Username နဲ့ password ပေးသွင်းခြင်းဖြင့် သင်ဟုတ်ကြောင်း အတည်ပြုနိုင်ပြီး MFA စနစ်ကိုလည်း အသုံးပြုနိုင်ပါတယ်။
Access Management
Access Management ဆိုတာ authorization နဲ့ access control ကို ရည်ညွှန်းပါတယ်။
Authorization
သင့် AWS account အတွင်း identity တစ်ခု authenticate လုပ်ပြီးနောက် ဘာကို access လုပ်ခွင့်ရနိုင်မလဲဆိုတာ သတ်မှတ်ပေးတဲ့ စနစ်ပါ။ ဥပမာ - EC2 ကို Full Access ရှိခြင်း သို့မဟုတ် RDS ကို Read Only ရှိခြင်း စသည်ဖြင့် သီးသန့် permission များကို သတ်မှတ်ပေးနိုင်ပါတယ်။Access Control
Secured resources များကို access လုပ်ရန် အထူး အခြေအနေတစ်ခု သတ်မှတ်နိုင်ပါတယ်။ ဥပမာ - Username နဲ့ password (Authentication)၊ Multi-Factor Authentication (MFA)၊ Federated Access စနစ်များပါဝင်ပါတယ်။Multi-Factor Authentication (MFA) ကို မှန်ကန်သော စကားဝှက်ကို ထည့်သွင်းပြီးနောက် နောက်ထပ် အတည်ပြုအဆင့်အဖြစ် အသုံးပြုပါသည်။
Federated Access သည် AWS အသုံးပြုသူအထောက်အထားများကို မပေးဘဲ ပြင်ပအသုံးပြုသူများအား လုံခြုံသောအရင်းအမြစ်များကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည်။ ယင်းအစား၊ အထောက်အထားများကို အထောက်အထားပံ့ပိုးပေးသူများမှ ပံ့ပိုးပေးပါသည်။
IAM ကို သင့် AWS Account အတွင်းရှိ resources များကို identities များ၏ authentication, authorization, နှင့် access control mechanisms များကို စီမံခန့်ခွဲခြင်း၊ ထိန်းချုပ်ခြင်း၊ နှင့် အုပ်ချုပ်ခြင်းတို့ဖြင့် သတ်မှတ်နိုင်ပါတယ်။
Let see AWS Identity and Access Management (IAM) with real world example
Super Market တစ်ခုအဖြစ် စဉ်းစားကြည့်ရအောင် …
Identity Management (သက်သေခံအထောက်အထား စီမံခန့်ခွဲခြင်း)
Super Market မှာ ဝန်ထမ်းတွေကို ID Card ထုတ်ပေးထားပါတယ်။
ID Card မှာ ဓာတ်ပုံ၊ နာမည်၊ ရာထူးတွေပါပြီး တစ်ယောက်နဲ့တစ်ယောက် မတူတဲ့ Employee ID နံပါတ်တွေ ပါပါတယ်။
ဒါဟာ AWS မှာ Username လို့ခေါ်တဲ့ Unique Identifier နဲ့တူပါတယ်။
Authentication (စစ်မှန်ကြောင်း အတည်ပြုခြင်း)
ဝန်ထမ်းတွေ အလုပ်ဝင်တဲ့အခါ:
ID Card ပြရတယ် (Username)
Fingerprint scan လုပ်ရတယ် (Password)
CCTV camera ကလည်း စစ်ဆေးတယ် (MFA)
Authorization (ခွင့်ပြုချက်များ)
ရာထူးအလိုက် access ပေးထားခြင်း:
Cashier - ငွေကိုင်စက်ကိုပဲ သုံးခွင့်ရှိ
Store Manager - ကုန်ပစ္စည်းစာရင်း၊ ဝန်ထမ်းဇယား ကြည့်ခွင့်ရှိ
Security - CCTV monitor ကြည့်ခွင့်ရှိ
AWS မှာ user တွေကို လိုအပ်တဲ့ service တွေကိုပဲ access ပေးထားပါတယ်။ ဥပမာ:
Developer - EC2, S3 buckets access
Database Admin - RDS full access
Intern - Read only access
Access Control (ထိန်းချုပ်ခြင်း)
Super Market မှာ ဆိုရင် …
Cashier တွေ ငွေသိမ်းခန်းထဲ မဝင်ရ
Store Manager မဟုတ်ရင် ရုံးခန်းထဲ မဝင်ရ
Security မဟုတ်ရင် CCTV room ထဲ မဝင်ရ
AWS မှာ ဆိုရင် …
Developer တွေ billing information ကို မကြည့်နိုင်
Database Admin တွေ production server ကို တိုက်ရိုက် modify မလုပ်နိုင်
Federation Access
Super Market မှာဆိုရင် outsource လုပ်ထားတဲ့ AC technician တွေ၊ cleaner တွေဟာ temporary pass card နဲ့ဝင်ရသလိုပဲ AWS မှာလည်း external user တွေကို temporary credentials တွေနဲ့ access ပေးလို့ရပါတယ်။
ဒီလိုမျိုး လုံခြုံရေးစနစ်တွေကို လက်တွေ့ကျကျ နားလည်ထားမှ သင့်လျော်တဲ့ security design ကို ရေးဆွဲနိုင်မှာ ဖြစ်ပါတယ်။