Nhật ký tự học Solution Architecture Associate AWS - Week 1 (4/10/2021 - 10/10/2021)

SAA-badge

Những thứ mình đã học được trong một tuần qua:

1st Pillar: Kiến trúc an toàn (Secure Architecture)

Một kiến trúc an toàn là kiến trúc có khả năng bảo vệ thông tin, hệ thống, tài nguyên, dữ liệu trên mây của bạn một cách đáng tin cậy và an toàn, trong khi vẫn cho phép bạn sử dụng tât cả tài nguyên này để phục vụ mục đích kinh doanh

Có 3 mối quan tâm chính khi xây dựng kiến trúc an toàn:

  1. Thiết kế các cách truy cập an toàn keywords: principal, user, group, role, IAM, policy, credentials,

Một principal là một đối tượng có quyền truy cập đến tài nguyên AWS (user, role,…) Các đối tượng này khi mới khởi tạo sẽ không có quyền gì, cho đến khi được gán IAM policy

Một user là một đối tượng tồn tại lâu dài trong hệ thống (người, chương trình…), ít nhất đến khi IAM admin xóa user này. User có quyền truy cập hệ tài nguyên qua các loại xác thực sau:

Root user có quyền lực tối cao và không hạn chế trong AWS. best practices:

Group cho phép chứa nhiều role, thuận tiện khi số user quá nhiều, không thể tạo và gắn policy riêng lẻ cho từng user

Role cho phép một đối tượng có quyền truy cập đến tài nguyên được quy định trong một thời hạn cố định. AWS sẽ cung cấp token tạm thời cho đối tượng được gắn role, token sẽ hết hạn sau một khoảng thời gian quy định best practices:

Để cấp quyền truy cập cho user/role/group, tạo và gán IAM Policy cho những đối tượng đó. IAM policy đươc viết bằng json, trong đó có 4 mục quan trọng nhất: