Switch Role cho phép bạn truy cập tài nguyên trong một tài khoản AWS khác bằng cách giả lập một vai trò (role) từ tài khoản nguồn của bạn. Dưới đây là hướng dẫn từng bước để thiết lập switch role giữa hai tài khoản.

Bước 1: Cấu hình vai trò trong tài khoản đích (Account B)

Đầu tiên, bạn cần tạo một vai trò (role) trong tài khoản đích, cho phép tài khoản nguồn có quyền truy cập.

1. Đăng nhập vào AWS Management Console của tài khoản B.

2. Trong thanh tìm kiếm, nhập IAM và chọn IAM (Identity and Access Management).

3. Trong menu bên trái, chọn Roles, sau đó nhấp vào Create Role.

4. Chọn Another AWS account và nhập Account ID của tài khoản nguồn (Account A). Bạn có thể lấy Account ID từ trang My Account của tài khoản nguồn (nếu bạn muốn bất cứ user nào bên tài nguồn cũng có thể truy cập thì bỏ qua còn bạn muốn chỉ định user thì hãy chọn option này).

5. Chọn quyền (permissions) cho vai trò:

   • Tùy thuộc vào mục đích sử dụng, bạn có thể cấp quyền quản lý toàn bộ tài khoản hoặc chỉ một số tài nguyên cụ thể. Ví dụ:
     • Chọn chính sách AdministratorAccess để cấp quyền quản trị.
     • Hoặc chọn các chính sách giới hạn quyền hơn như S3FullAccess, EC2ReadOnlyAccess, v.v.
6. Ở tab Trust relationships thêm policy sau

   1. {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::SOURCE_ACCOUNT_ID:root"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }

7. Đặt tên cho vai trò của bạn (ví dụ: SwitchRoleAccountProd).

8. Sau khi hoàn thành, lưu lại vai trò.

Bước 2: Cấu hình IAM Policy cho vai trò

Trong bước này, bạn cần đảm bảo vai trò vừa tạo cho phép tài khoản nguồn thực hiện các hành động cần thiết. Bạn có thể tùy chỉnh policy của vai trò.

Ví dụ, để cho phép Account A chỉ truy cập tài nguyên S3 trong Account B, bạn có thể thêm policy sau:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "*"
    }
  ]
}​

Bước 3: Tạo vai trò IAM trong tài khoản nguồn (Account A)

1. Đăng nhập vào tài khoản A.
2. Vào IAM Console và chọn Roles.
3. Tạo một vai trò mới với policy tương ứng, nếu cần kiểm soát quyền của tài khoản A.

Bước 4: Cấu hình Switch Role trong Account A

1. Sau khi hoàn tất các bước trên, quay lại tài khoản nguồn (Account A).

2. Trong AWS Console của Account A, nhấp vào tên của bạn ở góc trên bên phải, sau đó chọn Switch Role.

3. Nhập thông tin tài khoản đích (Account B):

   • Account ID của tài khoản B.
   • Role name là tên của role bạn đã tạo trong Account B (ví dụ: SwitchRoleAccountProd).

4. Nhập Display name để dễ nhận diện vai trò khi chuyển đổi, sau đó nhấp vào Switch Role.

Bước 5: Cấu hình Switch Role qua AWS CLI

Nếu bạn muốn sử dụng Switch Role qua dòng lệnh (CLI), bạn có thể cấu hình profile trong file ~/.aws/config của AWS CLI.

Ví dụ:

[profile source-account]
aws_access_key_id=YourAccessKey
aws_secret_access_key=YourSecretKey
region=ap-northeast-1

[profile target-role]
role_arn=arn:aws:iam::ACCOUNT_B_ID:role/SwitchRoleAccountA
source_profile=source-account
region=ap-northeast-1

• source-account là IAM user của tài khoản A.
• role_arn là ARN của vai trò trong tài khoản B mà bạn muốn switch sang.

Sau đó, bạn có thể sử dụng switch role bằng CLI với profile target-role:

aws s3 ls --profile target-role

Lợi ích của việc sử dụng Switch Role

• Bảo mật tốt hơn: Thay vì sử dụng nhiều tài khoản với quyền hạn khác nhau, bạn có thể quản lý quyền truy cập từ một tài khoản duy nhất.
• Dễ dàng quản lý: Giảm bớt nhu cầu phải nhớ nhiều cặp access key cho từng tài khoản khác nhau.

Bài viết blog của bạn có thể kết thúc với phần hướng dẫn chi tiết như trên, giúp người đọc hiểu rõ cách tạo và sử dụng Switch Role một cách trực quan và dễ dàng.

Chúc bạn viết bài thành công!