[Update] วิธีสร้าง User เพื่อใช้ Login AWS Management Console

[Update] วิธีสร้าง User เพื่อใช้ Login AWS Management Console

เราสามารถสร้าง User สำหรับใช้ Login ได้หลาย User ใน AWS Management Console ได้ ซึ่งฟังก์ชันที่จะดำเนินการคือฟังก์ชัน IAM User ที่มีอยู่ใน IAM
Clock Icon2023.02.14

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

สวัสดีครับ POP จากบริษัท Classmethod (Thailand) ครับ

ครั้งนี้จะมาแนะนำเกี่ยวกับวิธีการสร้าง User เพื่อใช้ Login AWS Management Console

เราสามารถสร้าง User สำหรับใช้ Login ได้หลาย User ใน AWS Management Console ได้ ซึ่งฟังก์ชันที่จะดำเนินการคือฟังก์ชัน IAM User ที่มีอยู่ใน IAM

นอกจากนี้ AWS ได้มีการแนะนำให้สร้าง IAM User ของแต่ละ User เท่าที่ต้องการได้
และให้เราเพิ่มความปลอดภัยโดยตั้งค่า MFA เพราะเราสามารถเพิ่มระดับความน่าเชื่อถือได้โดยบันทึกประวัติการใช้งานใน CloudTrail

ทีนี้เรามาสร้าง IAM User กัน

การสร้าง User ใน IAM

ไปที่ค้นหา ?︎ Service แล้วป้อน IAM แล้วเลือก IAM

เลือก Users จากเมนูด้านซ้าย

คลิก Add users

หลังจากนี้คือขั้นตอนการตั้งค่าของแต่ละหัวข้อ

Step 1 - Specify user details

User details
» User name: test-user
» ✅ Enable console access (เมื่อติ๊ก ✅ แล้ว Console password จะขยายออกมาด้านล่าง)

» Console password จะมีให้เลือก 2 แบบคือ Autogenerated password(รหัสผ่านที่สร้างขึ้นโดยอัตโนมัติ) และ Custom password(รหัสผ่านที่กำหนดเอง) โดยครั้งนี้จะใช้เป็นค่าเริ่มต้นคือ Autogenerated password

» และขอแนะนำให้ติ๊ก ✅ Users must create a new password at next sign-in (recommended). เพื่อสร้างรหัสผ่านใหม่เมื่อลงชื่อเข้าใช้ครั้งถัดไป

» เมื่อตั้งค่าเสร็จแล้ว ให้คลิก Next

Step 2 - Set permissions

ตั้งค่าสิ่งที่สามารถทำได้ใน User ดังนี้

Permissions options
ครั้งนี้จะใช้ ◎ Attach policies directly

Set permissions
Add user to group สามารถให้สิทธิ์ร่วมกันได้โดยใช้ User groups ที่สร้างไว้แล้ว
Copy permissions ใช้ในกรณีที่ให้สิทธิ์เดียวกันกับ IAM User อื่นที่สร้างขึ้นแล้ว
Attach policies directly เลือกและแนบ Policy ที่สร้างไว้แล้ว

Permissions policies
» ค้นหา PowerUserAccess
» ติ๊ก PowerUserAccess
» คลิก Next

อธิบายเพิ่มเติม

AWS มี Policy (ชุดสิทธิ์) จำนวนมากตามค่าเริ่มต้น

* เนื่องจาก Policy มีจำนวนเยอะมาก ถ้าดูทีละอันทั้งหมดต้องใช้เวลามาก ดังนั้นจะแนะนำเฉพาะการอนุญาตหลักเท่านั้น

Policy name Permission
AdministratorAccess    นี่คือสิทธิ์ผู้ดูแล โดยพื้นฐานแล้วเป็นสิทธิ์ที่จะสามารถจัดการสิ่งต่างๆได้ทั้งหมด
PowerUserAccess นี่คือ Power user เป็นการให้สิทธิ์ที่สามารถทำสิ่งต่างๆได้นอกเหนือจากการจัดการ IAM
AmazonEC2FullAccess เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ EC2 เช่น Stop และ Start EC2
AmazonS3FullAccess การให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ S3 เช่น สร้าง S3 Bucket, อ่านและเขียนไฟล์
CloudFrontFullAccess เป็นการให้สิทธิ์ที่สามารถทำได้ทุกอย่างที่เกี่ยวกับ CloudFront เช่น การสร้างและแก้ไข Distoribution ใน CloudFront

Step 3 - Review and create

เราสามารถตรวจสอบข้อมูลการตั้งค่าได้ที่หน้าจอนี้ แล้วให้ระวังในส่วนนี้ด้วย เนื่องจาก User name ไม่สามารถเปลี่ยนแปลงได้ในภายหลัง และการลืมสิทธิ์ก็เป็นความผิดพลาดที่เกิดขึ้นบ่อย

สำหรับผู้ใช้งานที่ต้องการเพิ่ม tag ก็สามารถทำได้ แต่ครั้งนี้จะไม่ทำการตั้งค่าใดๆ

หลังจากที่เราสร้าง User แล้ว เราจะสามารถดูและดาวน์โหลด Password ที่สร้างโดยอัตโนมัติได้ หากทำการติ๊ก ✅ Enable console access ก่อนหน้านี้

เมื่อตรวจสอบข้อมูลการตั้งค่าอย่างดีแล้ว ให้คลิก Create user

Step 4 - Retrieve password

เราสามารถตรวจสอบ User name ที่สร้างเสร็จแล้วได้
กรณีที่เลือก Autogenerated password ในหัวข้อ Console password เราจะสามารถตรวจสอบรหัสผ่านได้ที่หน้าจอนี้

ข้อควรระวัง: หลังจากปิดหน้าจอนี้ไปแล้วจะไม่สามารถกลับมาหน้าจอนี้ได้
แนะนำให้ตรวจสอบและบันทึก User name กับ Console password โดยการ Copy หรือคลิก Download.csv เก็บไว้

เมื่อเปิดไฟล์ CSV ที่ดาวน์โหลดมาแล้ว จะแสดงหน้าจอแบบนี้ โดยมีข้อมูล User name, Password ที่จะใช้ Login และมี Console sign-in URL ที่ให้เราสามารถเข้าสู่หน้าจอ Login ได้ทันทีบันทึกอยู่ในไฟล์นี้

การ Login AWS Management Console

เปิดเว็บบราวเซอร์ที่ยังไม่มีการ Login AWS Management Console (แนะนำให้ทดสอบ Login โดยใช้เว็บบราวเซอร์อื่นที่ไม่ใช่เว็บบราวเซอร์ที่กำลัง Login อยู่) แล้วคัดลอก Console sign-in URL ในไฟล์ CSV ไปเปิดในเว็บบราวเซอร์

แล้วป้อน IAM user name และ Password แล้วคลิก Sign in
* หากเปิดตามลิงก์ของ Console sign-in URL แล้ว ช่อง Account ID (12 digits) or account alias จะถูกป้อนโดยอัตโนมัติ

ป้อน Old password, New password, Retype new password แล้วคลิก Confirm password change

เมื่อเสร็จเรียบร้อยแล้ว จะแสดงหน้าจอแบบนี้ (รีเจี้ยนเริ่มต้นครั้งนี้คือ Tokyo)
ก่อนดำเนินการสร้าง Resources ใน Services ต่างๆ แนะนำให้เลือกใช้รีเจี้ยนที่เราอาศัยอยู่ใกล้มากที่สุด เช่น ประเทศไทย เราขอแนะนำให้เลือกใช้ Singapore เป็นต้น

หลังจากสร้าง User

การสร้าง User เสร็จสมบูรณ์แล้ว แต่เราขอแนะนำให้ดำเนินการต่อด้วยการตั้งค่าตามบทความด้านล่างนี้ด้วย

  • การตั้งค่า MFA
    • สามารถตั้งค่าเพื่อตรวจสอบ MFA ตอนที่ Login ได้
    • อย่าลืมตั้งค่าเพื่อความปลอดภัย

วิธีตรวจสอบประวัติการทำงานของ User

เราสามารถตรวจสอบได้ว่า User ดำเนินการอะไรไปบ้างใน AWS Management Console ได้โดยใช้ฟังก์ชัน CloudTrail

ให้ดูบทความอ้างอิงตามลิงก์ด้านล่างนี้

สรุป

เมื่อเราสร้าง User และสามารถ Login AWS Management Console ได้แล้ว เราควรตั้งค่า MFA ให้ตรวจสอบตอนที่ Login เพื่อเพิ่มระดับความปลอดภัยของผู้ใช้งาน

ผมหวังว่าบทความนี้จะเป็นประโยชน์ให้กับผู้อ่านได้นะครับ

POP จากบริษัท Classmethod (Thailand) ครับ !

Link อ้างอิง

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.