Phân quyền tài khoản phụ
Sau khi tạo tài khoản phụ, bạn có thể đổi vai trò, tạm khóa hoặc xóa qua trang IAM. Phân quyền đúng giúp mỗi thành viên chỉ có quyền cần thiết — giảm rủi ro thao tác nhầm và bề mặt tấn công.
Bốn vai trò mặc định
LANIT Cloud có 4 vai trò chuẩn:
| Vai trò | Số quyền | Mô tả ngắn | Phù hợp với |
|---|---|---|---|
| Member | 1 | Chỉ xem tài nguyên | Thực tập sinh, người đọc-only |
| Billing | 2 | Quản lý thanh toán + xem tài nguyên | Kế toán, phòng tài chính |
| Admin | 5 | Quản lý tài nguyên + thanh toán + xem user | Trưởng DevOps, kỹ thuật |
| Master | 9 | Toàn quyền — gồm quản lý user và đổi vai trò | Chủ tài khoản, CTO |
Chi tiết quyền
| Quyền | Member | Billing | Admin | Master |
|---|---|---|---|---|
get resources (xem máy ảo, mạng, volume…) | ✓ | ✓ | ✓ | ✓ |
manage billing (xem/thanh toán hóa đơn) | – | ✓ | ✓ | ✓ |
get user (xem thông tin user) | – | – | ✓ | ✓ |
list users | – | – | ✓ | ✓ |
manage resources (tạo/sửa/xóa máy ảo, mạng…) | – | – | ✓ | ✓ |
manage users (thêm/xóa/chặn user) | – | – | – | ✓ |
change role (đổi vai trò user khác) | – | – | – | ✓ |
Đổi quyền tài khoản phụ
Bước 1. Mở menu thao tác
Vào IAM. Trong bảng Tài khoản, bấm ⋯ ở cột THAO TÁC của user cần chỉnh.
Menu hiện ra với:
- Đổi quyền — đổi vai trò.
- Chặn — tạm khóa user (giữ tài khoản, chặn đăng nhập).
- Xóa — xóa vĩnh viễn user.
Bước 2. Đổi quyền
Chọn Đổi quyền → hộp thoại danh sách vai trò.
Chọn vai trò mới và bấm Xác nhận. Có hiệu lực:
- Ngay với các API call mới.
- Lần đăng nhập tiếp theo với session đang active — user nên đăng xuất/đăng nhập lại để áp dụng đầy đủ.
Tạm khóa tài khoản phụ
Dùng khi:
- Nhân viên đang nghỉ phép dài ngày.
- Nghi tài khoản bị compromise — chặn ngay để điều tra.
- Cần rà soát quyền trước khi cho phép tiếp tục.
Cách làm
Trong bảng Tài khoản, bấm ⋯ → Chặn → xác nhận.
Tài khoản chuyển trạng thái Bị chặn — không đăng nhập được. Dữ liệu user vẫn còn. Bấm ⋯ → Mở khóa để khôi phục.
Xóa tài khoản phụ
Xóa tài khoản là vĩnh viễn. Tài khoản và toàn bộ thông tin liên quan biến mất. Nếu chỉ muốn dừng tạm thời, dùng Chặn thay vì Xóa.
Trong bảng Tài khoản, bấm ⋯ → Xóa → xác nhận.
Nguyên tắc tối thiểu đặc quyền (Least Privilege)
| Tình huống | Vai trò khuyến nghị |
|---|---|
| Thực tập sinh, người mới gia nhập | Member |
| Kế toán xem/thanh toán hóa đơn | Billing |
| Kỹ thuật viên tạo/sửa máy ảo | Admin |
| Quản trị thực sự cần toàn quyền | Master |
Quy tắc chung:
- Không cấp Master trừ khi thực sự cần — Admin đã đủ cho mọi tác vụ kỹ thuật.
- Rà soát định kỳ (mỗi quý) — thu hồi quyền của user không còn cần.
- Off-boarding ngay — nhân viên rời tổ chức → khóa hoặc xóa tài khoản trong cùng ngày.
- Bật 2FA cho mọi tài khoản — đặc biệt là Admin và Master.
- Phân chia rủi ro — không gom kế toán + DevOps + admin vào một tài khoản; tách riêng theo nhiệm vụ.
Phân công tài nguyên cụ thể (Resources)
Trên IAM còn có tab Resources cho phép phân công tài nguyên cụ thể (server, volume, bucket…) cho tài khoản phụ với chính sách riêng — chi tiết hơn vai trò chung.
Vào IAM → Resources → + Phân công, chọn tài nguyên + tài khoản + chính sách. Khi không cần fine-grained, dùng vai trò chuẩn là đủ.
Liên kết
- Thêm tài khoản phụ — tạo user mới.
- Bảo mật 2FA — bật 2FA cho mọi user.