Advanced Identity

AWS STS (Security Token Service)

Cấp temporary credentials (có thời hạn) để truy cập tài nguyên AWS – thay vì dùng long-term credentials như access key của IAM user.

Use cases quan trọng:

• Identity federation: User từ hệ thống bên ngoài (Google, Facebook, corporate IdP) → đổi lấy STS token → truy cập AWS. Không cần tạo IAM user riêng.
• Cross-account access: Role ở account A cho phép account B assume để truy cập tài nguyên.
• EC2 Instance Role: EC2 tự động nhận temporary credentials qua Instance Metadata – không cần hardcode key trong code.

Mấu chốt: STS không lưu user, chỉ phát token tạm thời theo yêu cầu.

Amazon Cognito

Quản lý identity cho web/mobile app với hàng triệu user bên ngoài công ty.

• User Pools: Xử lý authentication (đăng ký, đăng nhập, MFA) → trả về JWT token.
• Identity Pools: Đổi token (từ User Pool hoặc social provider) → lấy temporary AWS credentials (thông qua STS) để gọi trực tiếp AWS service.

So sánh nhanh: IAM dùng cho nhân viên nội bộ, Cognito dùng cho end-user của ứng dụng.

Microsoft Active Directory (AD)

Hệ thống quản lý tập trung các object trong mạng Windows: user, máy tính, printer, file share, security group. Mọi Windows Server đều có thể cài AD Domain Services.

AWS Directory Services – 3 tùy chọn

Chọn loại nào? Có on-prem AD + muốn mở rộng lên AWS → Managed AD. Chỉ muốn proxy → AD Connector. Không có on-prem, nhu cầu đơn giản → Simple AD.

AWS IAM Identity Center (trước đây là AWS SSO)

Single Sign-On – đăng nhập một lần, truy cập nhiều nơi.

Phạm vi SSO bao gồm:

• Nhiều AWS accounts trong AWS Organizations
• Business apps: Salesforce, Box, Microsoft 365
• Bất kỳ app nào hỗ trợ SAML 2.0
• EC2 Windows instances

Identity source (nguồn lưu user):

• Built-in store của IAM Identity Center
• Kết nối với Microsoft AD (on-prem hoặc AWS Managed AD)
• External IdP hỗ trợ SAML 2.0

Mấu chốt: Thay vì mỗi account có IAM user riêng, IAM Identity Center cho phép quản lý tập trung quyền truy cập toàn bộ tổ chức.

Bảng tổng kết nhanh