Để quản lý chi phí bạn cần kiểm soát việc sử dụng tài nguyên AWS.
AWS cung cấp nhiều Region, do đó, tùy theo yêu cầu kinh doanh mà bạn có thể giới hạn quyền truy cập vào các dịch vụ AWS tùy theo Region.
Điều này có thể được dùng để đảm bảo việc sử dụng chỉ được phép ở một hoặc vài Region cụ thể, tiết kiệm chi phí hơn và giảm thiểu mức sử dụng cũng như chi phí liên quan, chẳng hạn như chi phí data transfer.
Ví dụ như end user (người dùng cuối) ở Việt Nam, bạn sẽ ưu tiên triển khai hệ thống của doanh nghiệp tại Region Singapore (ap-southeast-1) nơi có khoảng cách gần với Việt Nam hơn so với các AWS Region còn lại
Noted: bạn cần tối thiểu 2 IAM User để thực hiện bài lab này, tham khảo bài lab:QUẢN TRỊ QUYỀN TRUY CẬP VỚI AWS IAM (IDENTITY AND ACCESS MANAGEMENT )
Tạo Policy trên User Admin
IAM
JSON
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "ap-southeast-1"
}
}
}
]
}
RegionRestrict
EC2 access in ap-southeast-1 only
Tạo Group(nhóm)
CostTest
RegionRestrict
(là policy mà bạn đã tạo ở bước 1)Tạo TestUser
Tại mục User name, nhập TestUser
Chọn Provide user access to the AWS Management Console - optional, tức nghĩa: cho phép User này truy cập vào giao diện quản trị AWS account
Chọn I want to create an IAM user, tức nghĩa: bạn muốn tạo IAM user
Chọn Autogenerated password, tức nghĩa: AWS sẽ tự động tạo password để bạn đăng nhập vào giao diện quản trị AWS account
Chọn Users must create a new password at next sign-in - Recommended, tức nghĩa: bạn phải tạo mật khẩu mới khi dùng User này để truy cập vào giao diện quản trị AWS account - cho lần đăng nhập sắp tới
Noted: trọng thực tế, ở vai trò quản trị cloud, cloud admin, bạn nên cấu hình theo các bước như trên nhằm đảm bảo việc bạn không thể biết được password để truy cập vào IAMUser mà bạn khởi tạo và bàn giao cho team member.
Chọn Next
Kiểm thử quyền allow EC2 của Policy RegionRestrict tại region Singapore
EC2singapore
Kiểm tra quyền deny EC2 của Policy RegionRestrict tại region Tokyo
EC2tokyo
Kiểm tra quyền deny dịch vụ S3 của Policy RegionRestrict tại region Singapore
s3
, chọn S3