Giới hạn quyền xóa tài nguyên theo khoảng thời gian

Giới hạn quyền xóa EC2 theo khoảng thời gian

• Tại một vài thời điểm quan trọng trong năm, ví dụ như các ngày lễ, black friday, audit time,….hệ thống cần phải hoạt động hiệu quả để đảm bảo phục vụ mục tiêu của doanh nghiệp. Vì thế, dưới vai trò cloud admin - cùng với tiêu chí zero trust bạn cần đảm bảo không có sự cố xóa tài nguyên ngoài ý muốn trong các thời điểm trên.

• Vì thế chúng ta sẽ thực hành bài lab này dựa vào thời gian của ngày 20/10

1. Tạo IAM Policy

• Trong AWS console, tại khung search, nhập IAM
• Chọn dịch vụ IAM

• Tại bên trái màn hình, chọn Policies
• Chọn Create policy

• Tạo policy theo kiểu định dạng dữ liệu JSON thay vì Visual. Chọn JSON

• Quét toàn bộ đoạn code hiện tại và bấm nút Delete

• Sao chép đoạn code sau vào khung Policy editor, cuộn xuống dưới và chọn Next

• Noted: Với định dạng yyyy-mm-dd và múi giờ UTC, bạn cần:

  • Thay đổi giá trị trong dòng DateGreaterThan thành 2026-01-25
  • Thay đổi giá trị trong dòng DateLessThan thành 2026-01-27
  • → Bạn phải điều chỉnh các mốc thời gian trên để phù hợp với thời điểm bạn thực hiện bài lab nhằm đạt được kết quả mong muốn.

  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0",
              "Effect": "Deny",
              "Action": "ec2:TerminateInstances",
              "Resource": "arn:aws:ec2:*:148922931563:instance/*",
              "Condition": {
                  "DateGreaterThan": {
                      "aws:CurrentTime": "2026-01-25"
                  },
                  "DateLessThan": {
                      "aws:CurrentTime": "2026-01-27"
                  }
              }
          }
      ]
  }
  

• Cuộn xuống dưới cùng và chọn next

• Tại mục Policy name, nhập: EC2_TimeRestrict

• Tại mục Description, nhập: Restrict terminate EC2 in one week

• Cuộn xuống cuối trang và chọn Create policy

2. Thêm policy EC2_TimeRestrict vào group CostTest

• Tại IAM Console, mục bên trái - chọn User groups
• Chọn CostTest

• Chọn Permissions
• Chọn Add permissions, chọn Attach policies

• Tại khung search 🔍, nhập EC2_TimeRestrict.
• Tích vào ký hiệu ô vuông □ để chọn policy, chọn Attach policies

• Kiểm tra Permissions policies
• Lúc này trong group CostTest đã có policy EC2_TimeRestrict, policy IP_Restrictvà policy EC2_InstanceTypeRestrict mà bạn đã tạo ở bài lab 8.3

3. Kiểm tra Permissions policies

• Đăng nhập vào TestUser bằng thông tin mà bạn đã tạo ở bài lab 8.1, bước 4
• Đảm bảo, bạn đang ở Region Singapore
• Tại khung search 🔍, nhập EC2
• Tại giao diện EC2, giữa trang, chọn Launch instance
• Tại mục Name, nhập EC2_Time

• Tại mục Architecture, giữ nguyên giá trị 64-bit (x86)

• Tại mục Instance type, chọn ký hiệu tam giác, nhập t3.small

• Tại mục key pair name, chọn ký hiệu tam giác, chọn Proceed without a key pair (Not recommended)

• Chọn launch instance

• Chọn Instance ID vừa được tạo thành công

• Tích vào ký hiệu ô vuông để chọn EC2 instance
• Chọn Instance state
• Chọn Terminate instance

• Chọn Terminate

• Hệ thống báo lỗi như trong hình vì bạn không được ủy quyền để làm hành động xóa EC2. Điều này thể hiện sự thành công của việc bạn tạo policy tại bước 1.

4. Kiểm tra Permissions policies với một khoảng thời gian khác

• Trong giao diện IAM, chọn Policies
• Tại khung search, nhập EC2_TimeRestrict
• Chọn EC2_TimeRestrict
• Chọn Edit

• Với formant yyyy-mm-dd và time zone UTC, bạn cần:
  • Thay giá trị tại dòng DateGreaterThan là 2026-02-25
  • Thay giá trị tại dòng DateLessThan là 2026-02-27
  • -> Bạn chuyển từ tháng 1 sang tháng 2
• Chọn Next
• Chọn Save changes

• Quay lại giao diện EC2
• Tích vào ký hiệu ô vuông để chọn EC2 instance mà bạn đã tạo tại bước 3
• Chọn Instance state
• Chọn Terminate instance

• Chọn Terminate
• Chúc mừng bạn đã xóa thành công EC2 khi thay đổi khoảng thời gian.

• Trong thật tế, chúng ta chỉ cần remove policy này ra khỏi group thì đã xóa được EC2 và khi có nhu cầu, chỉ cần edit lại thời gian tương ứng rồi thêm lại vào IAM User Group.