Tweet
TĂNG CƯỜNG BẢO MẬT AWS VỚI MFA, ACCESS KEY & IAM ROLES
TĂNG CƯỜNG BẢO MẬT AWS VỚI MFA, ACCESS KEY & IAM ROLES
Khi bạn bắt đầu quản trị hệ thống AWS Cloud, có một nguyên tắc “vàng” mà mọi kỹ sư Cloud đều phải nằm lòng:
“Tài khoản càng mạnh, càng phải bảo mật gấp đôi!”
Bảo mật trong AWS không chỉ là đặt mật khẩu mạnh.
AWS cung cấp cho chúng ta hệ thống bảo mật đa tầng IAM (Identity and Access Management) – nơi bạn có thể kiểm soát, phân quyền và giám sát mọi truy cập đến hạ tầng cloud của mình.
Trong bài này, chúng ta cùng tìm hiểu 6 yếu tố bảo mật trọng yếu: MFA, Access Key, AWS CLI, AWS SDK, IAM Roles và công cụ giám sát IAM.
1. MFA – Multi-Factor Authentication (Xác thực đa yếu tố)
Khi bạn hoặc người dùng khác có quyền truy cập vào tài khoản AWS, họ có thể thay đổi cấu hình hoặc xóa tài nguyên.
Vì vậy, để ngăn chặn truy cập trái phép, AWS khuyến nghị bật MFA cho cả Root Account lẫn các IAM Users.
MFA là gì?
MFA (Multi-Factor Authentication) là cơ chế bảo mật yêu cầu hai lớp xác thực:
Các loại thiết bị MFA trong AWS:
2. Access Keys – Truy cập lập trình vào AWS
Không chỉ truy cập bằng trình duyệt, bạn còn có thể điều khiển AWS qua dòng lệnh (CLI) hoặc code (SDK).
Để làm được điều đó, AWS sử dụng Access Keys, gồm:
Tuy nhiên:
Hãy nhớ rằng Access Key nhạy cảm như mật khẩu – không chia sẻ, không commit lên GitHub, và nên thay định kỳ. 
3. AWS CLI – Công cụ dòng lệnh quản lý AWS
AWS CLI (Command Line Interface) là công cụ giúp bạn tương tác trực tiếp với AWS thông qua dòng lệnh.
Thay vì thao tác thủ công trong giao diện web, bạn có thể:
4. AWS SDK – Bộ công cụ lập trình cho AWS
Nếu AWS CLI dành cho thao tác dòng lệnh, thì AWS SDK (Software Development Kit) dành cho lập trình ứng dụng.
Nó cung cấp API và thư viện để bạn tích hợp AWS vào code của mình.
SDK hỗ trợ nhiều ngôn ngữ:
Thực tế, AWS CLI được xây dựng dựa trên AWS SDK for Python (boto3).
Nhờ SDK, bạn có thể viết code để tự động khởi tạo, giám sát, và cấu hình tài nguyên AWS ngay trong ứng dụng của mình.
5. IAM Roles – Cấp quyền cho dịch vụ AWS
Không chỉ người dùng mới cần quyền, mà các dịch vụ AWS cũng cần quyền truy cập để hoạt động.
Ví dụ:
một dạng “user đặc biệt” được gắn quyền cụ thể và tự động cấp phát cho dịch vụ khi cần.
Các Role phổ biến:
6. IAM Security Tools – Công cụ giám sát và kiểm tra bảo mật
AWS cung cấp hai công cụ cực kỳ hữu ích để kiểm tra và đánh giá quyền truy cập trong tài khoản:
7. IAM Best Practices – Quy tắc vàng khi làm việc với IAM
Không dùng Root Account cho công việc hằng ngày.
Mỗi người thật = một IAM User riêng.
Gán quyền qua Groups, không qua từng cá nhân.
Áp dụng Password Policy mạnh mẽ.
Bật MFA cho tất cả tài khoản quan trọng.
Dùng IAM Roles thay vì chia sẻ Access Keys.
Thường xuyên kiểm tra bằng IAM Credential Report & Access Advisor. TỔNG KẾT
IAM là trung tâm bảo mật của AWS, kết hợp giữa:
Muốn hiểu sâu – thực hành thật về IAM, CLI, SDK, và Automation trên AWS?
Hãy tham gia khóa học “AWS” tại VnPro –nơi bạn sẽ thực hành trực tiếp trên hệ thống AWS thật, học cùng chuyên gia Cloud, và xây dựng kỹ năng quản trị bảo mật chuyên nghiệp!
Đăng ký ngay hôm nay để nhận ưu đãi học phí đặc biệt!
#VnPro #AWS #CloudComputing #IAM #Security #VnProTraining #CloudEngineer #DevOps #LearnAW
Khi bạn bắt đầu quản trị hệ thống AWS Cloud, có một nguyên tắc “vàng” mà mọi kỹ sư Cloud đều phải nằm lòng:
“Tài khoản càng mạnh, càng phải bảo mật gấp đôi!”Bảo mật trong AWS không chỉ là đặt mật khẩu mạnh.
AWS cung cấp cho chúng ta hệ thống bảo mật đa tầng IAM (Identity and Access Management) – nơi bạn có thể kiểm soát, phân quyền và giám sát mọi truy cập đến hạ tầng cloud của mình.
Trong bài này, chúng ta cùng tìm hiểu 6 yếu tố bảo mật trọng yếu: MFA, Access Key, AWS CLI, AWS SDK, IAM Roles và công cụ giám sát IAM.
1. MFA – Multi-Factor Authentication (Xác thực đa yếu tố)Khi bạn hoặc người dùng khác có quyền truy cập vào tài khoản AWS, họ có thể thay đổi cấu hình hoặc xóa tài nguyên.
Vì vậy, để ngăn chặn truy cập trái phép, AWS khuyến nghị bật MFA cho cả Root Account lẫn các IAM Users.
MFA là gì?MFA (Multi-Factor Authentication) là cơ chế bảo mật yêu cầu hai lớp xác thực:
- Một thứ bạn biết (mật khẩu)
- Và một thứ bạn sở hữu (thiết bị xác thực)
Các loại thiết bị MFA trong AWS:- Virtual MFA Device:
Sử dụng app như Google Authenticator hoặc Authy (dễ cài đặt trên điện thoại).
- U2F Security Key:
Thiết bị phần cứng như YubiKey – cắm trực tiếp vào máy tính để xác thực.
- Hardware Key Fob:
Thiết bị tạo mã OTP vật lý, dùng trong các môi trường đặc biệt như AWS GovCloud.
- Lời khuyên: Bật MFA cho cả tài khoản Root và từng người dùng IAM, đặc biệt với những ai có quyền quản trị cao (Admin, DevOps…).
2. Access Keys – Truy cập lập trình vào AWSKhông chỉ truy cập bằng trình duyệt, bạn còn có thể điều khiển AWS qua dòng lệnh (CLI) hoặc code (SDK).
Để làm được điều đó, AWS sử dụng Access Keys, gồm:
- Access Key ID – tương tự như tên đăng nhập.
- Secret Access Key – tương tự như mật khẩu bí mật.
Tuy nhiên:
Hãy nhớ rằng Access Key nhạy cảm như mật khẩu – không chia sẻ, không commit lên GitHub, và nên thay định kỳ. 3. AWS CLI – Công cụ dòng lệnh quản lý AWSAWS CLI (Command Line Interface) là công cụ giúp bạn tương tác trực tiếp với AWS thông qua dòng lệnh.
Thay vì thao tác thủ công trong giao diện web, bạn có thể:
- Viết script để tự động tạo, xóa hoặc cấu hình tài nguyên.
- Quản lý nhiều tài khoản AWS cùng lúc.
- Truy cập nhanh hơn, đặc biệt trong môi trường DevOps hoặc Automation.
4. AWS SDK – Bộ công cụ lập trình cho AWSNếu AWS CLI dành cho thao tác dòng lệnh, thì AWS SDK (Software Development Kit) dành cho lập trình ứng dụng.
Nó cung cấp API và thư viện để bạn tích hợp AWS vào code của mình.
SDK hỗ trợ nhiều ngôn ngữ:
- Python (boto3), Java, .NET, Node.js, Go, PHP, Ruby, C++, v.v.
- Ngoài ra còn có Mobile SDK (Android, iOS) và IoT SDK (Arduino, Embedded C).
Thực tế, AWS CLI được xây dựng dựa trên AWS SDK for Python (boto3).Nhờ SDK, bạn có thể viết code để tự động khởi tạo, giám sát, và cấu hình tài nguyên AWS ngay trong ứng dụng của mình.
5. IAM Roles – Cấp quyền cho dịch vụ AWSKhông chỉ người dùng mới cần quyền, mà các dịch vụ AWS cũng cần quyền truy cập để hoạt động.
Ví dụ:
- Một EC2 Instance cần quyền đọc dữ liệu từ S3.
- Một Lambda Function cần ghi log vào CloudWatch.
một dạng “user đặc biệt” được gắn quyền cụ thể và tự động cấp phát cho dịch vụ khi cần.
Các Role phổ biến:
- EC2 Instance Role
- Lambda Execution Role
- CloudFormation Role
6. IAM Security Tools – Công cụ giám sát và kiểm tra bảo mậtAWS cung cấp hai công cụ cực kỳ hữu ích để kiểm tra và đánh giá quyền truy cập trong tài khoản:
- IAM Credential Report (account-level):
Báo cáo toàn bộ danh sách người dùng IAM, tình trạng password, Access Key, MFA…
→ Giúp bạn phát hiện user nào chưa bật MFA hoặc có Access Key cũ.
- IAM Access Advisor (user-level):
Hiển thị các dịch vụ mà user đã truy cập, và thời điểm truy cập gần nhất.
→ Giúp bạn tinh chỉnh hoặc thu hẹp quyền cho phù hợp.
7. IAM Best Practices – Quy tắc vàng khi làm việc với IAM Không dùng Root Account cho công việc hằng ngày. Mỗi người thật = một IAM User riêng. Gán quyền qua Groups, không qua từng cá nhân. Áp dụng Password Policy mạnh mẽ. Bật MFA cho tất cả tài khoản quan trọng. Dùng IAM Roles thay vì chia sẻ Access Keys. Thường xuyên kiểm tra bằng IAM Credential Report & Access Advisor. TỔNG KẾTIAM là trung tâm bảo mật của AWS, kết hợp giữa:
- Xác thực người dùng (Users, MFA)
- Quản lý truy cập (Policies, Roles)
- Giám sát an ninh (Credential Report, Access Advisor)
Muốn hiểu sâu – thực hành thật về IAM, CLI, SDK, và Automation trên AWS? Hãy tham gia khóa học “AWS” tại VnPro –nơi bạn sẽ thực hành trực tiếp trên hệ thống AWS thật, học cùng chuyên gia Cloud, và xây dựng kỹ năng quản trị bảo mật chuyên nghiệp! Đăng ký ngay hôm nay để nhận ưu đãi học phí đặc biệt!#VnPro #AWS #CloudComputing #IAM #Security #VnProTraining #CloudEngineer #DevOps #LearnAW