# Phân quyền truy cập vào tài nguyên cụ thể

Khi có nhu cầu phân quyền cụ thể trên từng tài nguyên, bạn cần tạo Policy và chỉ định chính xác Resource . Ở hướng dẫn này chúng tôi sẽ hướng dẫn bạn phân quyền trên từng server của vServer, ví dụ khi bạn có 2 servers là: web1-server, db-server, **và bạn muốn User: System1 đầy đủ quyền trên tất cả Resources của vServer, nhưng chỉ đầy đủ quyền trên Resource:server là web1-server, không cho phép thao tác vào server quan trọng là db-server**. Mô hình sẽ như bên dưới:

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-34368238bfb7b36b09d66af2897488e6f94ff9ea%2Fiam-specific-resource.drawio.png?alt=media" alt=""><figcaption></figcaption></figure>

Để thiết lập IAM theo mô hình trên chúng ta sẽ có các bước như sau:

**Bước 1**: Tạo User: System1 nếu chưa có User Account (lưu ý rằng nếu đã có sẵn User: System1, cần đảo bảo User: System1 không có quyền gì hoặc không có các quyền chồng lấn với hướng dẫn)

**Bước 2**: Lấy thông tin ID của server web1-server

**Bước 3**: Tạo Policy với tên vServerFullAccessWebServers cho phép truy cập toàn bộ Resource của vServer, nhưng chỉ đầy đủ quyền trên web1-server

**Bước 4**: Gắn Policy: vServerFullAccessWebServers cho User: System1

**Bước 5**: Đăng nhập và kiểm tra quyền của User: System1

Chi tiết các bước như sau

**Bước 1: Tạo User: System1 nếu chưa có User Account (lưu ý rằng nếu đã có sẵn User: System1, cần đảo bảo User: System1 không có quyền gì hoặc không có các quyền chồng lấn với hướng dẫn)**

Tiến hành tạo User Account bằng cách truy cập vào tab User Account ở trang quản lý IAM tại [đây](https://iam.console.vngcloud.vn/user-accounts), nhấn **Create a User Account,** điền thông tin Username và Password, sau đó nhấn **Create User Account**

Sau khi tạo thành công User Account, sẽ được liệt kê ở trang User Account.

**Bước 2: Lấy thông tin ID của server web1-server**

Truy cập vào trang quản lý server tại [đây](https://hcm-3.console.vngcloud.vn/vserver/v-server/cloud-server) để lấy thông tin server ID, nhấn **Copy ID** tại server web1-server để lấy ID, lưu lại để sử dụng cho các bước tiếp theo

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-f239d27eb5e4782e9835dd01d9f78363d2cf6369%2Fimage2023-7-12_16-25-13.png?alt=media" alt=""><figcaption></figcaption></figure>

**Bước 3: Tạo Policy với tên vServerFullAccessWebServers cho phép truy cập toàn bộ Resource của vServer, nhưng chỉ đầy đủ quyền trên web1-server**

Để tạo Policy bạn qua tab Policy ở trang IAM tại [đây](https://iam.console.vngcloud.vn/policies), nhấn **Create a Policy**, **đặt tên** cho Policy: vServerFullAccessWebServers và nhấn **Next step**

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-172a137db3e2cb016c45a22e4ea8ba5ff7fc77c9%2Fimage2023-7-12_15-22-45.png?alt=media" alt=""><figcaption></figcaption></figure>

Chọn **Product**: **vserver** và **Actions**: **All vserver actions** để chọn tất cả cả actions của vServer

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-ee71994e616b161da1a31ac18b8586219c4552fe%2Fimage2023-7-12_15-24-23.png?alt=media" alt=""><figcaption></figcaption></figure>

Sau đó tại mục **Resource,** nhấn vào **mũi tên chỗ Resource** để chọn thông tin Resource, bạn chọn **Any** cho các loại Resource khác, còn **Resource: server** bạn nhấn **Add a server** để thêm cụ thể server nào được phép thao tác

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-045b4f209c71a1ea00f540dd635c2e8cc4477fdf%2Fimage2023-7-12_15-36-37.png?alt=media" alt=""><figcaption></figcaption></figure>

Popup hiển thị bạn **điền thông tin server ID của web1-server**, nhấn **Add** để thêm.

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-a52723d25584e947654ad7a19ec3b22a57a72027%2Fimage2023-7-12_15-37-46.png?alt=media" alt=""><figcaption></figcaption></figure>

Lúc này bạn sẽ thấy thông tin Resouce: server đã có server ID của web1-server, nếu muốn thêm nhiều server ID khác bạn tiếp tục nhấn Add a server để thêm. Sau đó nhấn **Create Policy** để tạo Policy

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-9e6d22f1c2e2e309854a1fc845e5f423f711c7fc%2Fimage2023-7-12_15-39-6.png?alt=media" alt=""><figcaption></figcaption></figure>

**Bước 4: Gắn Policy: vServerFullAccessWebServers cho User: System1**

Sau khi tạo thành công Policy: vServerFullAccessWebServers, bạn tiến hành gắn Policy này cho User: System1, bạn có thể thực hiện ở User Account hoặc Policy, ở đây chúng tôi sẽ hướng dẫn ở Policy, **nhấn vào tên của Policy** để vào trang chi tiết Policy:

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-c401981a58fd56aac330c4804633a3d7cdcfabcf%2Fimage2023-7-12_15-46-16.png?alt=media" alt=""><figcaption></figcaption></figure>

**Chọn tab Policy usage** và **nhấn Attach** để thêm User: System1

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-5fe5b31870b90ec007d698b18bac6541699e94ee%2Fimage2023-7-12_15-46-46.png?alt=media" alt=""><figcaption></figcaption></figure>

**Chọn User: System1** và **nhấn Add**

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-2b7c6bd414b6e0a8f72296dc65a3b31e95563f83%2Fimage2023-7-12_15-48-3.png?alt=media" alt=""><figcaption></figcaption></figure>

Sau khi thêm User: System1 vào Policy: vServerFullAccessWebServer, bạn sẽ thấy thông tin như bên dưới

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-bc93c3938530979a191edee42ac93164e2d6854b%2Fimage2023-7-12_15-49-17.png?alt=media" alt=""><figcaption></figcaption></figure>

**Bước 5**: Đăng nhập và kiểm tra quyền của User: System1

Lúc này bạn có thể đăng nhập vào User: System1 để kiểm tra quyền

Truy cập vào vServer tại [đây](https://hcm-3.console.vngcloud.vn/vserver/v-server/cloud-server), khi chưa đăng nhập bất kì tài khoản nào bạn sẽ được chuyển hướng sang trang sign-in chọn "**Sign-in With IAM User Account**"

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-f1ec8036037417c4c04f256d68d8e0bd6b95b29e%2Fimage2023-7-12_13-48-49.png?alt=media" alt=""><figcaption></figcaption></figure>

Điền thông tin root user account email mà User: System1 trước đó đã được tạo, thông tin IAM username và password của User: System1, nhấn **Sign-in with IAM User Account**

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-7a546a6a894fe68b234ed124993733d0ba146808%2Fimage2023-7-12_15-56-13.png?alt=media" alt=""><figcaption></figcaption></figure>

Lúc này bạn sẽ thấy User: System1 sẽ có toàn quyền trên server web1-server và các Resource khác của vServer.

Truy cập trang chi tiết của web1-server thành công

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-3b1adbe2f1cbaf19b5c9172d67d14ed2d02e3408%2Fimage2023-7-12_15-58-35.png?alt=media" alt=""><figcaption></figcaption></figure>

Thực hiện tắt server web1-server thành công:

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-f262c3b8faaab19d153871ca5aae32f34f80dbfc%2Fimage2023-7-12_15-59-35.png?alt=media" alt=""><figcaption></figcaption></figure>

Truy cập trang chi tiết của db-server không thành công:

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-c194221ad5d5c4f0b15306bfe9191b83e72874fc%2Fimage2023-7-12_16-0-35.png?alt=media" alt=""><figcaption></figcaption></figure>

Thực hiện tắt server db-server không thành công:

<figure><img src="https://3672463924-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FB0NrrrdJdpYOYzRkbWp5%2Fuploads%2Fgit-blob-4463f544be919bc6d3f1b36212e636eceae01bd6%2Fimage2023-7-12_16-1-28.png?alt=media" alt=""><figcaption></figcaption></figure>

Như vậy là bạn đã hoàn thành việc phân quyền cho User: System1 đầy đủ quyền trên tất cả Resources của vServer, nhưng chỉ đẩy đủ quyền trên Resource:server là: web1-server, không cho phép thao tác vào server quan trọng là db-server

\\

\\


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.vngcloud.vn/vng-cloud-document/vn/identity-and-access-management-iam/ung-dung-pho-bien/phan-quyen-truy-cap-vao-tai-nguyen-cu-the.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.