Giới Thiệu
Bài tập thực hành toàn diện này được thiết kế cho các thành viên tham gia AWS Student Cloud Club Camp, hướng dẫn bạn thiết kế và triển khai một hệ thống quản lý điểm số an toàn, mở rộng dễ dàng bằng cách sử dụng các dịch vụ cốt lõi của AWS. Bạn sẽ học cách triển khai các biện pháp kiểm soát truy cập hợp lý, an ninh mạng và lưu trữ dữ liệu trong khi tuân theo các phương pháp bảo mật trên đám mây tốt nhất.
Bạn có thể tìm hiểu thêm về AWS Student Cloud Club Camp bằng cách đọc bài viết này.
Mục Tiêu Học Tập
- Cấu hình Quản lý Danh tính và Truy cập (IAM) với quyền hạn dựa trên vai trò.
- Thiết kế kiến trúc Mạng Riêng Ảo (VPC) an toàn.
- Triển khai lưu trữ S3 với các chính sách bucket phù hợp.
- Áp dụng nguyên tắc quyền hạn tối thiểu trong bảo mật đám mây.
- Hiểu lợi ích của việc di chuyển đám mây từ cơ sở hạ tầng tại chỗ.
Yêu Cầu
Đảm bảo bạn có:
- Một tài khoản AWS hoạt động với quyền truy cập quản trị.
- Kiến thức cơ bản về các khái niệm điện toán đám mây.
- Làm quen với việc điều hướng Bảng điều khiển Quản lý AWS.
- Một trình soạn thảo văn bản để tạo các chính sách JSON.
Và đây là những gì chúng ta sẽ đạt được vào cuối bài:
- Lớp Danh Tính: Người dùng IAM và các chính sách kiểm soát truy cập.
- Lớp Mạng: VPC với các subnet cách ly và nhóm bảo mật.
- Lớp Lưu trữ: Các bucket S3 với quyền truy cập chi tiết.
Bước 1: Cấu Hình IAM
Tạo Tài Khoản Người Dùng Sinh Viên
- Điều hướng đến dịch vụ IAM trong Bảng điều khiển Quản lý AWS.
- Nhấn Người dùng → Tạo người dùng.
- Cấu hình thông tin người dùng:
- Tên người dùng:
student-user1 - Loại truy cập: Đánh dấu "Cung cấp quyền truy cập cho người dùng đến Bảng điều khiển Quản lý AWS".
- Chọn "Tôi muốn tạo một người dùng IAM".
- Chọn "Mật khẩu tùy chỉnh" và tạo một mật khẩu an toàn.
- Lưu ý: Ghi lại mật khẩu một cách an toàn để sử dụng sau này.
- Tên người dùng:
Gán Quyền Cơ Bản
- Trong bước quyền, gán chính sách quản lý sau:
AmazonS3ReadOnlyAccess- Cho phép quyền truy cập đọc vào các tài nguyên S3.
Tạo Chính Sách Giới Hạn Tùy Chỉnh
- Nhấn Tạo chính sách để tạo một chính sách giới hạn tùy chỉnh.
- Chọn tab JSON và nhập chính sách sau:
json
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyGradebookAccess", "Effect": "Deny", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::cs-dept-gradebook-2024", "arn:aws:s3:::cs-dept-gradebook-2024/*" ] } ] } - Đặt tên chính sách:
Student-Gradebook-Restriction-Policy. - Thêm mô tả: "Ngăn chặn sinh viên truy cập dữ liệu điểm số bí mật".
- Nhấn Tạo chính sách.
Hoàn Tất Tạo Người Dùng
- Quay lại tạo người dùng và gán chính sách tùy chỉnh.
- Xem lại các cài đặt và nhấn Tạo người dùng.
- Tải xuống hoặc lưu trữ an toàn thông tin đăng nhập người dùng.
Bước 2: Thiết Kế VPC
Tạo VPC
- Điều hướng đến dịch vụ VPC trong Bảng điều khiển AWS.
- Nhấn Tạo VPC.
- Cấu hình cài đặt VPC:
- Tài nguyên để tạo: Chỉ VPC.
- Thẻ tên:
cs-dept-vpc. - Khối CIDR IPv4:
10.32.0.0/16. - Khối CIDR IPv6: Không có khối CIDR IPv6.
- Tenancy: Mặc định.
Thiết lập Subnet
-
Tạo một Subnet Công:
- Tên:
cs-dept-public-subnet. - VPC: Chọn VPC đã tạo.
- Zone khả dụng: Chọn bất kỳ AZ nào.
- Khối CIDR IPv4:
10.32.1.0/24.
- Tên:
-
Tạo một Subnet Riêng:
- Tên:
cs-dept-private-subnet. - VPC: Chọn VPC đã tạo.
- Zone khả dụng: Khác với subnet công.
- Khối CIDR IPv4:
10.32.2.0/24.
- Tên:
Cấu Hình Kết Nối Internet
-
Tạo Cổng Internet:
- Tên:
cs-dept-igw. - Gán cho VPC của bạn.
- Tên:
-
Tạo Bảng Định Tuyến:
Bảng Định Tuyến Công:- Tên:
cs-dept-public-rt. - Thêm định tuyến:
0.0.0.0/0→ Cổng Internet. - Liên kết với subnet công.
Bảng Định Tuyến Riêng:
- Tên:
cs-dept-private-rt. - Giữ định tuyến nội địa mặc định.
- Liên kết với subnet riêng.
- Tên:
Cấu Hình Nhóm Bảo Mật
-
Tạo Nhóm Bảo Mật Web:
- Tên:
cs-dept-web-sg. - Mô tả: "Nhóm bảo mật cho máy chủ web".
- Quy tắc inbound:
- HTTP (80) từ 0.0.0.0/0.
- HTTPS (443) từ 0.0.0.0/0.
- SSH (22) từ IP của bạn chỉ.
- Tên:
-
Tạo Nhóm Bảo Mật Cơ Sở Dữ Liệu:
- Tên:
cs-dept-db-sg. - Mô tả: "Nhóm bảo mật cho máy chủ cơ sở dữ liệu".
- Quy tắc inbound:
- MySQL/Aurora (3306) từ Nhóm Bảo Mật Web.
- SSH (22) từ IP của bạn chỉ.
- Tên:
Bước 3: Cấu Hình Lưu Trữ S3 cho Dữ Liệu Điểm Số
Tạo Bucket Điểm Số
- Điều hướng đến dịch vụ S3.
- Nhấn Tạo bucket.
- Cấu hình cài đặt bucket:
- Tên bucket:
cs-dept-gradebook-2024(phải là duy nhất toàn cầu). - Khu vực: Giống như VPC của bạn.
- Chặn Truy Cập Công: Giữ tất cả các cài đặt được kiểm tra (an toàn theo mặc định).
- Phiên bản Bucket: Bật.
- Mã hóa mặc định: Bật với SSE-S3.
- Tên bucket:
Tạo Chính Sách Bucket để Kiểm Soát Truy Cập
- Sau khi tạo bucket, đi tới tab Quyền.
- Chỉnh sửa Chính sách bucket và thêm:
!!!Lưu ý!!!: Thay thếjson
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TeacherAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::YOUR-ACCOUNT-ID:root" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::cs-dept-gradebook-2024", "arn:aws:s3:::cs-dept-gradebook-2024/*" ] }, { "Sid": "DenyStudentAccess", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::YOUR-ACCOUNT-ID:user/student-user1" }, "Action": "*", "Resource": [ "arn:aws:s3:::cs-dept-gradebook-2024", "arn:aws:s3:::cs-dept-gradebook-2024/*" ] } ] }YOUR-ACCOUNT-IDbằng ID tài khoản AWS thực tế của bạn.
Tạo Bucket Tài Nguyên Công (Tùy Chọn)
-
Tạo một bucket thứ hai cho tài liệu khóa học công cộng:
- Tên bucket:
cs-dept-public-assets-2024. - Truy cập công: Cho phép quyền truy cập đọc công cộng.
- Lưu trữ trang web tĩnh: Bật nếu cần.
- Tên bucket:
-
Đối với chính sách bucket công cộng:
json{ "Version": "2012-10-17", "Statement": [ { "Sid": "PublicReadAccess", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::cs-dept-public-assets-2024/*" } ] }
Bước 4: Kiểm Tra và Xác Thực
Kiểm Tra Hạn Chế Truy Cập Sinh Viên
- Đăng nhập với tư cách
student-user1. - Cố gắng truy cập bucket S3 điểm số.
- Xác minh quyền truy cập bị từ chối với thông báo lỗi phù hợp.
- Xác nhận quyền truy cập đọc vào tài nguyên công cộng hoạt động.
Kiểm Tra Kết Nối Mạng
- Khởi động một phiên bản EC2 trong subnet công.
- Kiểm tra kết nối internet.
- Khởi động một phiên bản EC2 trong subnet riêng.
- Xác minh rằng nó không thể truy cập internet trực tiếp.
- Kiểm tra giao tiếp giữa các subnet thông qua nhóm bảo mật.
Bước 5: Dọn Dẹp Tài Nguyên
Để tránh các khoản phí không cần thiết:
- Xóa các phiên bản EC2.
- Xóa và dọn dẹp các bucket S3.
- Xóa Cổng NAT (nếu đã tạo).
- Xóa Cổng Internet.
- Xóa các subnet.
- Xóa VPC.
- Xóa người dùng IAM và các chính sách tùy chỉnh.
Tại Sao Việc Di Chuyển Đám Mây Lợi Ích Cho Các Trường Đại Học
1. Giảm Thiểu Tải Hoạt Động
Các trường đại học có thể tập trung vào giáo dục thay vì quản lý cơ sở hạ tầng. AWS tự động xử lý bảo trì phần cứng, các bản vá bảo mật và cập nhật hệ thống.
2. Tăng Cường Khả Năng Mở Rộng
Các dịch vụ đám mây tự động mở rộng để xử lý tải cao trong các giai đoạn đăng ký hoặc kỳ thi, khác với các máy chủ vật lý có sức chứa cố định tại chỗ.
3. Tính Năng Bảo Mật Nâng Cao
- Xác thực đa yếu tố.
- Mã hóa tại chỗ và trong quá trình truyền.
- Phát hiện mối đe dọa tự động.
4. Tối Ưu Chi Phí
Giá cả theo mức sử dụng giúp loại bỏ chi phí vốn lớn.
5. Khả Năng Sẵn Sàng Cao và Khôi Phục Thảm Họa
Dự phòng tích hợp đảm bảo thời gian hoạt động 99,99%. Sao lưu tự động và sao chép đa vùng đảm bảo bảo vệ dữ liệu khỏi mất mát.
6. Khả Năng Truy Cập Toàn Cầu
Sinh viên và giảng viên có thể truy cập hệ thống từ bất kỳ đâu với hiệu suất nhất quán thông qua hạ tầng toàn cầu của AWS.
Kết Luận
Bài thực hành này cho thấy cách các dịch vụ AWS có thể tạo ra một hạ tầng giáo dục an toàn và mở rộng. Bằng cách kết hợp IAM cho kiểm soát truy cập, VPC cho an ninh mạng và S3 cho lưu trữ dữ liệu, chúng ta đã xây dựng một hệ thống bảo vệ dữ liệu học thuật nhạy cảm trong khi cung cấp quyền truy cập phù hợp cho các loại người dùng khác nhau.
