Giới hạn quyền xóa tài nguyên theo khoảng thời gian
Giới hạn quyền xóa EC2 theo khoảng thời gian
-
Tại một vài thời điểm quan trọng trong năm, ví dụ như các ngày lễ, black friday, audit time,….hệ thống cần phải hoạt động hiệu quả để đảm bảo phục vụ mục tiêu của doanh nghiệp. Vì thế, dưới vai trò cloud admin - cùng với tiêu chí zero trust bạn cần đảm bảo không có sự cố xóa tài nguyên ngoài ý muốn trong các thời điểm trên.
-
Vì thế chúng ta sẽ thực hành bài lab này dựa vào thời gian của ngày 20/10
-
Tạo IAM Policy
- Trong AWS console, tại khung search, nhập
IAM - Chọn dịch vụ IAM
- Tại bên trái màn hình, chọn
Policies - Chọn Create policy
- Tạo policy theo kiểu định dạng dữ liệu JSON thay vì Visual. Chọn
JSON
- Quét toàn bộ đoạn code hiện tại và bấm nút Delete
-
Sao chép đoạn code sau vào khung Policy editor, cuộn xuống dưới và chọn Next
-
Noted: ví dụ đang trong dịp lễ 20/10 (ngày Phụ Nữ Việt Nam), bạn không cho phép có bất kỳ việc xóa EC2 trong khoảng thời gian từ ngày 15/10 đến 22/10. Với formant yyyy-mm-dd và timezone là UTC, bạn cần:
- Thay giá trị tại dòng DateGreaterThan là 2023-10-15
- Thay giá trị tại dòng DateLessThan là 2023-10-22
- -> Bạn phải thay đổi các mốc thời gian phía trên tương ứng với thời điểm mà bạn đang làm bài lab để đạt kết quả như mục tiêu đề ra
- Trong AWS console, tại khung search, nhập
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "ec2:TerminateInstances",
"Resource": "arn:aws:ec2:*:148922931563:instance/*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2023-10-15"
},
"DateLessThan": {
"aws:CurrentTime": "2023-10-22"
}
}
}
]
}
-
Chọn next
-
Tại mục Policy name, nhập:
EC2_TimeRestrict -
Tại mục Description, nhập:
Restrict terminate EC2 in one week -
Cuộn xuống cuối trang và chọn Create policy
-
Thêm policy EC2_TimeRestrict vào group CostTest
- Tại IAM Console, mục bên trái - chọn User groups
- Chọn CostTest
- Chọn Permissions
- Chọn Add permissions, chọn Attach policies
- Tại khung search 🔍, nhập
EC2_TimeRestrict. - Tích vào ký hiệu ô vuông □ để chọn policy, chọn Attach policies
- Kiểm tra Permissions policies
- Lúc này trong group CostTest đã có policy EC2_TimeRestrict, policy IP_Restrictvà policy EC2_InstanceTypeRestrict mà bạn đã tạo ở bài lab 8.3
-
Kiểm tra Permissions policies
- Đăng nhập vào TestUser bằng thông tin mà bạn đã tạo ở bài lab 8.1, bước 4
- Đảm bảo, bạn đang ở Region Singapore
- Tại khung search 🔍, nhập
EC2
- Tại giao diện EC2, giữa trang, chọn Launch instance
-
Tại mục Name, nhập
EC2_Time -
Tại mục Architecture, giữ nguyên giá trị 64-bit (x86)
-
Tại mục Instance type, chọn ký hiệu tam giác, nhập
t3.small -
Tại mục key pair name, chọn ký hiệu tam giác, chọn Proceed without a key pair (Not recommended)
-
Chọn launch instance
- Chọn Instance ID vừa được tạo thành công
- Tích vào ký hiệu ô vuông để chọn EC2 instance
- Chọn Instance state
- Chọn Terminate instance
- Chọn Terminate
- Hệ thống báo lỗi như trong hình vì bạn không được ủy quyền để làm hành động xóa EC2. Điều này thể hiện sự thành công của việc bạn tạo policy tại bước 1.
-
Kiểm tra Permissions policies với một khoảng thời gian khác
- Trong giao diện IAM, chọn Policies
- Tại khung search, nhập EC2_TimeRestrict
- Chọn EC2_TimeRestrict
- Chọn Edit
- Với formant yyyy-mm-dd và time zone UTC, bạn cần:
- Thay giá trị tại dòng DateGreaterThan là 2023-12-15
- Thay giá trị tại dòng DateLessThan là 2023-12-22
- -> Bạn chuyển từ tháng 10 sang tháng 12
- Chọn Next
- Chọn Save changes
- Quay lại giao diện EC2
- Tích vào ký hiệu ô vuông để chọn EC2 instance mà bạn đã tạo tại bước 3
- Chọn Instance state
- Chọn Terminate instance
- Chọn Terminate
- Chúc mừng bạn đã xóa thành công EC2 khi thay đổi khoảng thời gian.
- Trong thật tế, chúng ta chỉ cần remove policy này ra khỏi group thì đã xóa được EC2 và khi có nhu cầu, chỉ cần edit lại thời gian tương ứng rồi thêm lại vào IAM User Group.