Worklog Tuần 4

Mục tiêu tuần 4:

  • Hiểu sâu về Identity & Security trong hệ thống AWS:

    • Nắm được cách hoạt động của các dịch vụ quản lý truy cập như IAM, Cognito, AWS Identity Center (SSO)Organizations.
    • Biết cách mã hóa dữ liệu bằng AWS KMS và áp dụng Encrypt at rest trong thực tế.

  • Làm quen và thực hành AWS Security Hub để tổng hợp, đánh giá tiêu chuẩn bảo mật hệ thống.

  • Hiểu rõ cơ chế IAM Role, Condition key, và Permission Boundary, ứng dụng trong việc giới hạn và kiểm soát quyền truy cập tài nguyên.

  • Biết cách phân tích và tối ưu chi phí giữa EC2 và Lambda để lựa chọn dịch vụ phù hợp cho từng kịch bản.

  • Rèn luyện kỹ năng đọc hiểu và dịch tài liệu kỹ thuật AWS, phục vụ cho việc tổng hợp kiến thức chuyên sâu và chia sẻ nội bộ.

Các công việc cần triển khai trong tuần này:

ThứCông việcNgày bắt đầuNgày hoàn thànhNguồn tài liệu
2- Tìm hiểu các dịch vụ liên quan đến Identity & Security trong AWS:
  + Amazon Cognito: Dịch vụ xác thực, cấp phép, quản lý người dùng cho ứng dụng web & mobile.
  • Tìm hiểu User Pool (đăng ký/đăng nhập người dùng) và Identity Pool (cấp quyền truy cập dịch vụ AWS khác).

  + AWS Organizations: Quản lý tập trung nhiều AWS Account, áp dụng OU, Consolidated BillingService Control Policies (SCP).

  + AWS Identity Center (SSO): Quản lý quyền truy cập AWS Account & ứng dụng bên ngoài, tìm hiểu Identity sourcePermission Set.

  + AWS KMS: Quản lý khóa mã hóa, tìm hiểu CMK, Data Key và cơ chế Encryption at rest.

- Thực hành các lab:
  + Lab 2: IAM Role ✅
  + Lab 30: IAM Permission Boundary ✅
  + Lab 27: Tag and Resource Groups ✅
  + Lab 28: Quản lý EC2 qua Resource Tag
  + Lab 18: AWS Security Hub ✅
  + Lab 12: AWS SSO (SUS)
  + Lab 33: KMS Workshop ✅
  + Lab 44: IAM Role and Condition
  + Lab 48: IAM Role and Application
  + Lab 22 ✅		29/09/202529/09/2025AWS Study Group YouTube Playlist
3- Tìm hiểu & thực hành AWS Security Hub:
  + Kích hoạt Security Hub và tích hợp với các dịch vụ bảo mật khác (GuardDuty, Config, Inspector).
  + Kiểm tra và đánh giá các tiêu chuẩn bảo mật (CIS AWS Foundations Benchmark, PCI DSS, v.v).
  + Phân tích phát hiện (Findings) và cách xử lý cảnh báo bảo mật.

- So sánh & tối ưu chi phí giữa EC2 và AWS Lambda:
  + Phân tích mô hình tính phí giữa EC2 (theo thời gian chạy) và Lambda (theo request & thời lượng thực thi).
  + Đánh giá tình huống sử dụng phù hợp, lựa chọn dịch vụ hiệu quả chi phí hơn.

- Quản lý truy cập EC2 bằng Resource Tag và AWS IAM:
  + Tạo chính sách IAM dựa trên thẻ (Tag-based policy).
  + Giới hạn quyền truy cập tài nguyên EC2 theo Tag.
  + Thực hành kiểm tra và xác minh quyền truy cập.		30/09/202530/09/2025Get started with AWS Security Hub
Tối ưu chi phí EC2 và Lambda
Quản lý truy cập EC2 qua Resource Tag
4- Tìm hiểu IAM Role và Condition trong AWS IAM:
  + Ôn lại khái niệm IAM Role và cách gán Role cho dịch vụ AWS (EC2, Lambda…).
  + Phân biệt các loại Trust PolicyPermission Policy.
  + Nghiên cứu Condition key trong IAM Policy để giới hạn quyền truy cập dựa trên điều kiện (như aws:SourceIp, aws:RequestedRegion, hoặc theo Tag).
  + Thực hành lab: cấu hình và kiểm tra IAM Role với điều kiện cụ thể.

- Tìm hiểu cơ chế mã hóa dữ liệu “Encrypt at rest” với AWS KMS:
  + Ôn lại khái niệm CMK (Customer Managed Key)Data Key.
  + Thực hành mã hóa dữ liệu lưu trữ bằng AWS KMS trên S3/EC2.
  + Phân biệt giữa Encryption at restEncryption in transit.		01/10/202501/10/2025IAM Role Condition
Encrypt at rest with AWS KMS
5- Giới hạn quyền của User bằng IAM Permission Boundary:
  + Ôn lại khái niệm IAM PolicyRole-based Access Control (RBAC).
  + Tìm hiểu cách Permission Boundary hoạt động như một giới hạn tối đa cho quyền của IAM User hoặc Role.
  + Phân biệt giữa IAM Policy thông thườngPermission Boundary Policy.
  + Thực hành: tạo một User và gán Permission Boundary để giới hạn phạm vi hành động (ví dụ chỉ cho phép tạo EC2 trong region cụ thể).
  + Kiểm tra kết quả bằng AWS CLI và Console.		02/10/202502/10/2025Giới hạn quyền của User với IAM Permission Boundary
6- Dịch blog & tài liệu liên quan đến AWS / Cloud:
  + Dịch nội dung từ document 1: AWS recognized as Leader in 2024-25 Omdia Universe for Cloud Container Management & Services
  + Dịch nội dung từ document 2: AWS Savings Plans: How to Implement an Effective Chargeback Strategy
  + Dịch nội dung từ document 3: *AWS Weekly Roundup: Amazon S3 Express One Zone price cuts, Pixtral Large on Amazon Bedrock, Amazon Nova Sonic, and more (April 14, 2025)		03/10/202503/10/2025Google Doc 1
Google Doc 2
Google Doc 3

Kết quả đạt được tuần 4:

  • Hoàn thành tìm hiểu và thực hành các dịch vụ liên quan đến Identity & Security trong AWS, bao gồm:

    • Amazon Cognito – Quản lý xác thực và cấp quyền người dùng cho ứng dụng web/mobile.
    • AWS Organizations – Quản lý tập trung nhiều tài khoản AWS, áp dụng OU, SCP và Consolidated Billing.
    • AWS Identity Center (SSO) – Quản lý truy cập vào nhiều AWS Account & ứng dụng bên ngoài.
    • AWS KMS (Key Management Service) – Quản lý khóa mã hóa, thực hành mã hóa dữ liệu at rest.
    • AWS Security Hub – Giám sát & đánh giá tiêu chuẩn bảo mật toàn hệ thống.
    • IAM Permission Boundary – Thiết lập giới hạn tối đa cho quyền người dùng/role.

  • Hoàn thành các bài lab thực hành bảo mật & quản lý truy cập:

    • IAM Role và Condition ✅
    • Permission Boundary ✅
    • Security Hub ✅
    • Tag-based Access Control trên EC2 ✅
    • Encrypt at rest with AWS KMS ✅

  • Nắm vững khái niệm và ứng dụng của các chính sách trong AWS IAM:

    • Trust Policy, Permission Policy, và Condition Key.
    • Áp dụng tag-based policy để giới hạn quyền truy cập tài nguyên theo điều kiện thực tế.

  • Biết cách đánh giá & tối ưu chi phí giữa EC2 và Lambda, lựa chọn dịch vụ phù hợp tùy workload.

  • Dịch và tổng hợp 3 tài liệu/blog chuyên sâu về AWS & Cloud:

  • Nâng cao khả năng đọc – dịch – phân tích tài liệu kỹ thuật tiếng Anh về AWS, giúp củng cố kiến thức nền tảng về Cloud Security.