Giới thiệu về Amazon EC2 > Giới hạn sử dụng tài nguyên bằng dịch vụ IAM > Giới hạn sử dụng EC2 theo Instance Family

Giới hạn sử dụng EC2 theo Instance Family

create vpc for linux instance

AWS cung cấp các instance families khác nhau trong EC2. Tùy thuộc vào yêu cầu khối lượng công việc của bạn - các families khác nhau sẽ đạt hiệu quả cao nhất về mặt chi phí. Đối với các môi trường như dev/test, bạn có thể giới hạn instance families trong account đó ở type General Purpose (đa năng) - tối ưu về chi phí.
Chúng ta sẽ tạo policy chỉ cho phép thực hiện các thao tác trên một vài instance family cụ thể. Điều này không chỉ hạn chế việc khởi chạy một EC2 instance mà còn hạn chế tất cả các hoạt động khác trên các service còn lại.
- Noted: instance family là họ instance đại diện cho các tiêu chí như:
  1. C – Compute optimized
  2. R – Memory optimized
  3. M – General purpose
  - Bạn có thể tham khảo thêm qua tài liệu sau: Amazon Elastic Compute Cloud - Instance types

Yêu cầu về Compute
- Giả sử, dưới vai trò Cloud engineer, bạn nhận được yêu cầu của team Dev: cần các máy ảo thỏa mản tiêu chí như:
  1. Cấu hình phù hợp chạy cho development environments
  2. Chạy được kiến trúc CPU: x86 và Arm
  3. Chạy cho database vừa và nhỏ (small and medium databases)
  4. Máy ảo có thể dùng làm giải pháp code repositories
  5. Vì trong giai đoạn phát triển, nhu cầu sử dụng chỉ là General Purpose
Lựa chọn Compute
- Bạn cần vào trang EC2 của AWS để kiểm tra các Instance Family thỏa tiêu chí trên
- Tại mục PAGE CONTENT bạn sẽ thấy EC2 được chia theo nhóm với các mục đích sử dụng khác nhau, chọn General Purpose
- Chọn vào các instance family và kiểm tra:
  1. Features để nắm tổng quan về chip, performance,…
  2. Use Cases để hiểu chi tiết hơn về các mục đích sử dụng,…
- Với các tiêu chí trên, có khá nhiều instance family phù hợp, nhưng trong khuôn khổ bài lab này, chúng ta sẽ chọn: T3, T4g, M5 vì:
  1. development environments : T3, T4g
  2. CPU Architecture
    - x86 : T3, M5
    - Arm : T4g
  3. Small and medium databases : M5, T3
  4. code repositories : T3, T4g
  5. General Purpose : T3, T4g, M5
Tạo IAM Policy chỉ cho phép user khởi tạo EC2 với instance family: T3, T4g, M5
- Trong AWS console, tại khung search, nhập IAM
- Chọn dịch vụ IAM
- Tại bên trái màn hình, chọn Policies
- Chọn Create policy
- Tạo policy theo kiểu định dạng dữ liệu JSON thay vì Visual. Chọn JSON
- Quét toàn bộ đoạn code hiện tại và bấm nút Delete
- Sao chép đoạn code sau vào khung Policy editor, Cuộn xuống dưới và chọn Next.
  - Với ý nghĩa: User có quyền tạo EC2 với instance family: T3, T4g, M5
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:*:148922931563:instance/*",
            "Condition": {
                "StringNotLike": {
                    "ec2:InstanceType": [
                        "t3.*",
                        "t4g.*",
                        "m5.*"
                    ]
                }
            }
        }
    ]
}
```
- Noted: ở dòng Resource, thay thế dãy 12 con số bằng AWS account ID của bạn. Chọn ký hiệu tam giác, sau đó chọn ký hiệu ô vuông để copy AWS account ID
- Tại mục Policy name, nhập: EC2_FamilyRestrict
- Tại mục Description, nhập: Restrict to all, except t3, t4g and m5 families
- Cuộn xuống cuối trang và chọn Create policy
Thêm policy EC2_FamilyRestrict vào group CostTest
- Tại IAM Console, mục bên trái - chọn User groups
- Chọn CostTest
- Chọn Permissions
- Chọn Add permissions, chọn Attach policies
- Tại khung search 🔍, nhập EC2_FamilyRestrict.
- Tích vào ký hiệu ô vuông □ để chọn policy, chọn Attach policies
- Kiểm tra Permissions policies
  - Lúc này trong group CostTest đã có policy EC2_FamilyRestrict và policy RegionRestrict mà bạn đã tạo ở bài lab 8.1
- Loại bỏ policy RegionRestrict vì tiêu chí least-privilege permissions
  - Tích vào ký hiệu ô vuông □ để chọn policy, chọn Remove
- Kiểm tra policy của User
  - Chọn Users
  - Chọn TestUser
  - Lúc này, tại IAM User: TestUser, trong mục Policy Name bạn thấy có sự xuất hiện của policy EC2_FamilyRestrict
  - Tại mục Attached via - Group CostTest, có nghĩa là các policy này được gán vào User thông qua group, chứ không phải được gán trực tiếp vào User.
  - -> Điều này thỏa Best pratice của AWS về việc quản lý quyền tập trung thông qua Group
Kiểm tra Permissions policies cho Instance family: T4g
- Đăng nhập vào TestUser bằng thông tin mà bạn đã tạo ở bài lab 8.1, bước 4
- Đảm bảo, bạn đang ở Region Singapore
- Tại khung search 🔍, nhập EC2
- Tại giao diện EC2, giữa trang, chọn Launch instance
- Tại mục Name, nhập EC2_T4g_FamilyRestrict
- Tại mục Architecture, chọn ký hiệu tam giác , chọn 64-bit(Arm)
- Tại mục Instance type, chọn ký hiệu tam giác, chọn t4g.micro
- Tại mục key pair name, chọn ký hiệu tam giác, chọn Proceed without a key pair (Not recommended)
- Chọn Launch instance
- Chọn Instance ID vừa được tạo thành công
- Chúc mừng bạn đã tạo thành công EC2 với instance family là T4g
Kiểm tra Permissions policies cho Instance family: M6i
- Chọn Launch instance
- Tại mục Name, nhập EC2_M6i_FamilyRestrict
- Tại mục Architecture, giữ nguyên giá trị 64-bit(x86)
- Tại mục Instance type, chọn ký hiệu tam giác, chọn m6i.large
- Tại mục key pair name, chọn ký hiệu tam giác, chọn Proceed without a key pair (Not recommended)
- Chọn Launch instance
- Bạn đã nhận được phản hồi Instance launch failed (khởi tạo instance thất bại) - vì bạn không được ủy quyền. Điều này thỏa với permission policy: EC2_FamilyRestrict mà bạn đã khởi tạo ở bước 3.
Bạn có thể tiến hành thực hiện lại bước 5, tạo EC2 với instance family là T3 và M5 để kiểm tra tính hiệu quả permission policy: EC2_FamilyRestrict