Blog
Thoughts on engineering, design, and building great products.
Bảo Mật: IAM Least-Privilege, Throttling và WAF
Siết bảo mật cho sản phẩm. Thu quyền IAM của từng hàm về đúng hành động nó cần thay vì cấp cả bộ đọc-ghi, đặt throttle ở API Gateway để chống lạm dụng, bàn về nơi cất bí mật, và cách gắn WAF cho một HTTP API. Kiểm rằng least-privilege không làm hỏng chức năng, và quan sát hệ thống tự gạt tải khi bị dội.
Nền Tảng: IAM Service Role và S3 Artifact Bucket
Trước khi dựng pipeline, cần hai thứ nền: các IAM service role để dịch vụ AWS được phép làm việc thay bạn, và một bucket S3 chứa artifact. Bài này mổ cơ chế service role và trust policy — vì sao một dịch vụ assume role để có quyền tạm thời thay vì lưu khóa — rồi tạo role cho CodeBuild và bucket artifact (bật versioning) bằng AWS CLI.
Mở Tài Khoản AWS An Toàn và Cấu Hình Cảnh Báo Hóa Đơn
Tạo tài khoản AWS đúng cách: bật MFA cho tài khoản root, tạo IAM user để dùng hằng ngày, cài AWS CLI, và đặt Budget để không bị hóa đơn bất ngờ.