Wasabi Cloud hỗ trợ mô hình IAM (Identity and Access Management) tương tự như Amazon S3, giúp doanh nghiệp dễ dàng kiểm soát và phân quyền truy cập đến tài nguyên (buckets, objects). Các thành phần chính bao gồm:
- User: Đại diện cho một cá nhân hoặc ứng dụng cụ thể.
- Group: Tập hợp các user có cùng chức năng, được gán quyền truy cập tập trung.
- Policy: Tập hợp các quy tắc (định nghĩa bằng JSON) xác định quyền được phép thực hiện hành động nào trên tài nguyên nào.
- Tạo các user riêng biệt cho từng nhân viên/phòng ban.
- Nhóm các user vào group theo chức năng (IT, HR, MKT).
- Áp dụng chính sách phân quyền theo nhóm để dễ quản lý.
- Tăng tính bảo mật và kiểm soát truy cập trong hệ thống Wasabi Cloud
Doanh nghiệp VACIF có nhu cầu tổ chức người dùng như sau:
| Phòng ban | User | Nhóm (Group) |
| IT | son | IT |
| HR | simpson | HR |
| MKT | simon | MKT |
Mỗi nhóm sẽ được gán policy riêng biệt (tham khảo phần hướng dẫn JSON policy trước đó).
- Đăng nhập vào Wasabi Console với quyền Admin.
- Truy cập tab Groups → nhấn Create Group.
- Nhập tên group (ví dụ: IT, HR, MKT) → nhấn Create.
Lưu ý: Các group này sẽ được gán các policy phù hợp sau đó.
- Truy cập tab Users → nhấn Create User.
- Nhập tên user, ví dụ: son.
- Chọn quyền truy cập:
+ Programmatic Access: Cho phép truy cập qua CLI/API.
+ Console Access: Truy cập qua Web UI.
- Gán user vào group tương ứng (ví dụ: user son → group IT).
- Gán chính sách đã tạo sẵn (policy dạng JSON) cho user hoặc group.
Lặp lại quy trình này để tạo các user simpson và simon.
- Truy cập tab Users → chọn user → mục Access Keys.
- Nhấn Create Access Key → hệ thống sẽ sinh ra:
- Access Key ID
- Secret Access Key
- Tải file .csv chứa key để lưu trữ an toàn.
Lưu ý: Không thể xem lại secret key sau khi đóng hộp thoại. Phải lưu ngay.
Tương tự, tạo access key cho 2 users còn lại
Tải và cài đặt WinSCP:
Cấu hình kết nối Amazon S3 trong WinSCP:
- Mở WinSCP → nhấn New Site.
- Thiết lập các thông số:
+ File Protocol: Amazon S3
+ Access Key ID: (dán từ file key)
+ Secret Access Key: (dán từ file key)
+ Region: us-east-1 hoặc theo khu vực tạo bucket
+ Hostname: theo vùng Wasabi đang sử dụng (ví dụ: s3.us-east-1.wasabisys.com)
- Nhấn Login để kết nối.
Đăng nhập bằng user son (group IT):
→ Có quyền read/write tất cả thư mục được chỉ định.
Đăng nhập bằng user simpson (group HR):
→ Có quyền read/write thư mục HR
→ Chỉ được đọc, không ghi các thư mục khác.
Đăng nhập bằng user simon (group MKT):
→ Có quyền read/write thư mục MKT
→ Không thể ghi vào thư mục của nhóm khác.
Các quyền truy cập trên được kiểm soát bằng JSON policy gán cho từng group.
Với mô hình IAM trên Wasabi, việc cấu hình user, group và policy giúp doanh nghiệp:
- Tăng cường kiểm soát truy cập.
- Đảm bảo phân quyền chính xác cho từng vai trò.
- Hạn chế rủi ro bảo mật từ việc dùng chung tài khoản.
- Dễ dàng quản lý và mở rộng hệ thống người dùng khi doanh nghiệp phát triển.