blog-blueprint 0.0.2

package/BlueprintTemplate/public/assets/lessons/core/aws-dynamodb-guide.md

@@ -0,0 +1,139 @@
+# Amazon DynamoDB: Dịch vụ NoSQL Serverless, mở rộng tự động và hiệu năng cao
+
+Amazon DynamoDB là dịch vụ cơ sở dữ liệu **NoSQL** do AWS cung cấp, chạy hoàn toàn trên nền tảng đám mây (serverless). DynamoDB lưu trữ dữ liệu dưới dạng **bảng (table)**, **mục (item)**, và **thuộc tính (attribute)**, giống như bảng tính Excel nhưng mở rộng tới quy mô hàng triệu dòng và truy xuất cực nhanh.
+
+---
+
+## 1. Khái niệm & phân loại
+
+- Thuộc nhóm **cơ sở dữ liệu NoSQL** (không quan hệ).
+- Dạng **key-value** và **document** (giống MongoDB, Redis...).
+- Hoàn toàn **managed**: không cần quản lý máy chủ, tự động co giãn.
+
+---
+
+## 2. Thành phần chính
+
+- **Table**: Bảng chứa các mục dữ liệu (items).  
+- **Item**: Một bản ghi trong bảng (giống 1 dòng).  
+- **Attribute**: Trường dữ liệu của mỗi item (giống cột).  
+- **Primary Key**: Khóa chính để truy cập nhanh (Partition key hoặc Partition + Sort key).  
+- **Secondary Index**: Chỉ mục phụ để tìm kiếm nhanh theo nhiều thuộc tính.  
+- **Provisioned/On-demand Capacity**: Cách định lượng tài nguyên đọc/ghi.  
+- **Streams**: Luồng sự kiện ghi nhận thay đổi trên bảng.  
+- **TTL (Time To Live)**: Tự động xóa dữ liệu hết hạn.
+
+---
+
+## 3. Sử dụng & giải quyết vấn đề
+
+### Dùng để:
+- Lưu trữ dữ liệu truy xuất nhanh, khối lượng lớn, không cần lược đồ cứng nhắc.  
+- Ứng dụng web/mobile, game, IoT, hệ thống logs, bảng leaderboard.  
+
+### Giải quyết vấn đề:
+- Truy xuất dữ liệu với độ trễ thấp (milliseconds).  
+- **Tự động mở rộng** khi lượng truy cập tăng đột biến.  
+- Không phải lo bảo trì, vá lỗi, backup vật lý như truyền thống.  
+
+### Khi nên dùng:
+- Dữ liệu **linh hoạt, không quan hệ phức tạp**.  
+- Truy xuất theo khóa chính hoặc chỉ mục phụ.  
+- Ứng dụng yêu cầu **tốc độ và co giãn linh hoạt**.  
+
+### Khi không nên dùng:
+- Cần **join nhiều bảng** phức tạp như SQL.  
+- Cần **transaction phức tạp** trên nhiều bảng.  
+- Dữ liệu liên kết ràng buộc chặt chẽ.
+
+---
+
+## 4. Ưu điểm & nhược điểm
+
+**Ưu điểm:**
+- Hiệu năng cao, **latency thấp** (vài milliseconds).  
+- **Serverless**, tự động mở rộng, không lo bảo trì.  
+- Đáp ứng lượng truy cập cực lớn.  
+- Tích hợp sâu với dịch vụ AWS khác (Lambda, API Gateway...).  
+- Tính **sẵn sàng và bền vững cao** (dữ liệu nhân bản nhiều AZ).
+
+**Nhược điểm:**
+- Không hỗ trợ **join** hoặc truy vấn phức tạp như SQL.  
+- Thiết kế bảng ban đầu cần **tư duy truy xuất** rõ ràng, khó thay đổi sau này.  
+- Giá thành có thể cao nếu thiết kế chưa tối ưu (provisioned thừa, access pattern không hợp lý).
+
+---
+
+## 5. So sánh với các dịch vụ tương tự
+
+| Dịch vụ       | Loại dữ liệu       | Managed | Hiệu năng | Truy vấn phức tạp | Trường hợp dùng                  |
+|---------------|-----------------|---------|-----------|-----------------|---------------------------------|
+| DynamoDB      | NoSQL (KV, Doc) | Có      | Rất cao   | Không           | Ứng dụng web, IoT, game, logs  |
+| RDS (MySQL)   | Quan hệ (SQL)   | Có      | Trung bình| Có              | Ứng dụng cần join, transaction  |
+| MongoDB Atlas | NoSQL (Document)| Có      | Cao       | Trung bình      | Dữ liệu bán cấu trúc, cần query phức tạp hơn DynamoDB |
+| ElastiCache   | NoSQL (Key-value)| Có     | Cực cao   | Không           | Cache, session, leaderboard realtime |
+
+---
+
+## 6. Luồng hoạt động
+
+Ví dụ đơn giản:
+1. App gửi yêu cầu tới AWS SDK/API.  
+2. DynamoDB nhận request, xác thực quyền (IAM).  
+3. DynamoDB truy xuất bảng theo khóa chính hoặc chỉ mục phụ.  
+4. Trả về dữ liệu cho ứng dụng.
+
+---
+
+## 7. Cách mở rộng
+
+- **Auto Scaling:** DynamoDB tự động tăng/giảm tài nguyên dựa trên lưu lượng truy cập.  
+- **Global Tables:** Đồng bộ dữ liệu đa vùng (multi-region replication).  
+- **Streams + Lambda:** Kết hợp xử lý sự kiện mở rộng ngoài DynamoDB.
+
+---
+
+## 8. Cách bảo mật
+
+- **IAM Policies:** Kiểm soát truy cập theo user/role.  
+- **Encryption at rest:** Dữ liệu mã hóa khi lưu trữ.  
+- **Encryption in transit:** Dữ liệu mã hóa khi truyền tải.  
+- **VPC Endpoints:** Hạn chế truy cập chỉ từ VPC nội bộ.  
+- **Backup & Restore:** Hỗ trợ backup định kỳ và point-in-time restore.
+
+---
+
+## 9. Tích hợp với các dịch vụ AWS khác
+
+- **AWS Lambda:** Xử lý sự kiện khi dữ liệu thay đổi (DynamoDB Streams).  
+- **API Gateway:** Xây dựng API serverless.  
+- **S3:** Đưa dữ liệu ra S3 để phân tích.  
+- **Redshift:** Trích xuất dữ liệu để phân tích lớn.  
+- **CloudWatch:** Theo dõi logs, cảnh báo.  
+- **SNS/SQS:** Thông báo hoặc hàng đợi khi có thay đổi.
+
+---
+
+## 10. Kiến trúc thực tế dùng DynamoDB
+
+Ví dụ kiến trúc:
+- Ứng dụng di động gửi request qua API Gateway.  
+- Lambda xử lý logic và truy vấn DynamoDB.  
+- DynamoDB lưu trữ trạng thái, thông tin user, log.  
+- DynamoDB Streams kích hoạt Lambda để xử lý sự kiện (ví dụ: cập nhật index, gửi email).
+
+---
+
+## 11. Sự cố thường gặp & cách xử lý
+
+- **Hot Partition:** Truy cập tập trung vào một partition key → phân phối key đều hơn, dùng random suffix.  
+- **Provisioned Throughput Exceeded:** Quá giới hạn đọc/ghi → tăng provisioned throughput, bật auto-scaling.  
+- **Throttling:** Quá nhiều request cùng lúc → thiết kế retry logic, exponential backoff.  
+- **Data Inconsistency (Eventually Consistent):** Đọc dữ liệu chưa cập nhật kịp → dùng strongly consistent read nếu cần dữ liệu mới nhất.  
+- **Chi phí cao:** Truy vấn hoặc ghi/lưu trữ không tối ưu → xem lại access pattern, xóa dữ liệu không cần thiết, dùng TTL.
+
+---
+
+## 12. Tóm tắt dễ nhớ
+
+> DynamoDB là dịch vụ NoSQL key-value/document của AWS, hoạt động **serverless**, mở rộng tự động, phù hợp cho ứng dụng cần **truy xuất nhanh, dữ liệu lớn**, không cần join phức tạp. Ưu điểm là dễ dùng, hiệu năng cao; nhược điểm là không hỗ trợ truy vấn phức tạp như SQL. Thường kết hợp **Lambda, API Gateway, S3, Redshift**, phù hợp với **web, mobile, game, IoT**.

package/BlueprintTemplate/public/assets/lessons/core/aws-ec2-guide.md

@@ -0,0 +1,152 @@
+# AWS EC2: Máy chủ ảo linh hoạt, scale dễ dàng và toàn quyền kiểm soát
+
+Amazon EC2 (Elastic Compute Cloud) là dịch vụ cung cấp **máy chủ ảo trên đám mây** cho phép bạn thuê theo giờ hoặc theo nhu cầu. Thay vì mua máy tính vật lý, bạn có thể khởi tạo một instance với CPU, RAM, ổ đĩa và mạng, bật/tắt theo nhu cầu, scale lên/xuống và trả tiền theo mức sử dụng.
+
+---
+
+## 1. Khái niệm đơn giản
+
+- EC2 = “máy chủ ảo” thuê theo giờ trên AWS.  
+- Tương tự một máy tính vật lý nhưng chạy trên đám mây, dễ dàng quản lý, mở rộng, và thanh toán theo nhu cầu.
+
+---
+
+## 2. Phân loại tinh tế
+
+### Theo family / instance types:
+- **General-purpose**: Cân bằng CPU/RAM.  
+- **Compute-optimized**: Ưu tiên CPU.  
+- **Memory-optimized**: Ưu tiên RAM.  
+- **Storage-optimized**: Ưu tiên IOPS/throughput.  
+- **GPU**: Hỗ trợ deep learning, HPC.  
+- **Graviton (ARM)**: Hiệu năng/cost tối ưu trên chip ARM.
+
+### Theo purchase model:
+- **On-Demand**: Trả theo giờ, linh hoạt.  
+- **Reserved / Savings Plans**: Cam kết dài hạn, giá rẻ hơn.  
+- **Spot**: Rẻ nhưng có thể bị terminate bất cứ lúc nào.
+
+### Theo storage:
+- **Instance-store**: Tạm thời, mất khi stop/terminate.  
+- **EBS (Elastic Block Storage)**: Bền, gắn với instance, hỗ trợ snapshot, resize.
+
+---
+
+## 3. Thành phần chính
+
+- **Instance (VM)** + **AMI (Amazon Machine Image)**: mẫu OS + cấu hình.  
+- **EBS volumes**: ổ đĩa gắn vào instance.  
+- **VPC / Subnet / Security Group / NACL**: mạng & firewall.  
+- **Key pair / EC2 Instance Profile (IAM role)**: đăng nhập & quyền truy cập.  
+- **Auto Scaling Group (ASG) & ELB**: scale & High Availability.  
+- **CloudWatch / Systems Manager**: giám sát & quản lý.
+
+---
+
+## 4. EC2 dùng để làm gì?
+
+### Khi nên dùng:
+- Full control trên OS, cài phần mềm tùy ý.  
+- Chạy workload lâu, nền background, database không được managed.  
+- Ứng dụng legacy cần VM, GPU/HPC, hoặc workload không phù hợp container/serverless.
+
+### Khi không nên dùng:
+- Nếu muốn **không quản lý server** → cân nhắc Lambda, ECS/EKS, hoặc RDS/Managed DB.
+
+---
+
+## 5. Ưu / nhược điểm
+
+**Ưu điểm:**
+- Toàn quyền kiểm soát OS, kernel-level tweaks, custom drivers.  
+- Rộng nhất về cấu hình phần cứng (CPU/RAM/IOPS/GPUs).  
+- Hỗ trợ nhiều model mua để tối ưu chi phí (Spot/Reserved).
+
+**Nhược điểm:**
+- Phải quản lý OS (patch, bảo mật).  
+- Scale & availability cần thiết kế (ASG, ELB, multi-AZ).  
+- Chi phí có thể cao nếu chạy nhiều instance luôn bật.
+
+---
+
+## 6. So sánh với dịch vụ tương tự
+
+| Dịch vụ       | Khi dùng phù hợp |
+|---------------|----------------|
+| **Lambda**    | Short-lived function, serverless, auto scale, trả tiền theo thực thi |
+| **ECS/EKS**   | Container orchestration, có thể chạy trên EC2 hoặc Fargate (serverless) |
+| **Lightsail** | VPS đơn giản, prototype, web nhỏ; EC2 linh hoạt hơn cho production scale |
+
+---
+
+## 7. Luồng hoạt động của một instance
+
+1. Tạo AMI / chọn AMI.  
+2. Launch instance (chọn type, subnet, SG, IAM role, key pair, EBS).  
+3. Boot (kernel loads, cloud-init chạy).  
+4. Connect (SSH / SSM Session Manager).  
+5. Chạy ứng dụng.  
+6. Scale / replace (ASG theo dõi & tự động thay thế).
+
+---
+
+## 8. Cách mở rộng
+
+- **Horizontal scaling (recommended)**: ASG + ELB (ALB/NLB), mixed instances + Spot để tối ưu chi phí.  
+- **Vertical scaling**: đổi instance type (stop → change type → start) → downtime.  
+- **Stateless design**: giữ state ngoài instance (S3 / RDS / EFS / shared caches).
+
+---
+
+## 9. Bảo mật thực tiễn
+
+- **Shared responsibility**: AWS bảo vệ hạ tầng; bạn chịu trách nhiệm OS, firewall, IAM, dữ liệu.  
+- **Network**: Security Groups + NACL + private subnets, hạn chế public IP.  
+- **IAM**: Dùng IAM roles thay access keys.  
+- **Access**: Systems Manager Session Manager thay SSH nếu có thể; SSH thì dùng keypair + disable root + giới hạn IP.  
+- **Storage encryption**: EBS encryption at rest, snapshot encryption.  
+- **Patch & hardening**: SSM Patch Manager, host-based firewall, EDR/IDS, CloudWatch, GuardDuty, Security Hub.
+
+---
+
+## 10. Tích hợp với các dịch vụ AWS khác
+
+- **Storage**: EBS / Instance Store / EFS.  
+- **Load balancing**: ELB (ALB/NLB).  
+- **Scale/HA**: Auto Scaling.  
+- **Giám sát & quản lý**: CloudWatch, CloudTrail, SSM.  
+- **Storage & database**: S3, RDS, DynamoDB.  
+- **Mạng & bảo mật**: VPC, IAM, KMS.
+
+---
+
+## 11. Kiến trúc thực tế (ví dụ 3-tier web app)
+
+- **Public subnet**: ALB (người dùng tới đây).  
+- **Private subnets**: ASG chứa EC2 (app servers) với launch template (AMI + IAM role + userdata). EBS gắn root; logs → CloudWatch.  
+- **Database**: RDS (private subnet).  
+- **Shared storage**: S3 / EFS.  
+- **Backup & snapshots**: EBS snapshot → S3.  
+- Đảm bảo multi-AZ, health checks, auto-replace instances, deploy via CI/CD (AMI baking + blue/green hoặc rolling updates).
+
+---
+
+## 12. Sự cố thường gặp & cách xử lý
+
+1. **Instance không khởi động**: Kiểm tra System Log/Console Output; revert AMI hoặc mount EBS trên instance khác.  
+2. **SSH không vào được**: Kiểm tra SG, NACL, route table, public IP, keypair; dùng SSM nếu có.  
+3. **Disk full (EBS đầy)**: Modify volume, resize filesystem, attach thêm EBS, CloudWatch alert.  
+4. **High CPU/memory**: Scale out via ASG hoặc đổi instance type; kiểm tra runaway process, throttling I/O.  
+5. **Instance bị terminate**: Spot interruption / ASG replace → lưu trạng thái ra S3/RDS, dùng mixed instances + lifecycle hooks.  
+6. **Network issues**: Kiểm tra route table, IGW, NAT gateway, security groups.  
+7. **Snapshot/backup fail**: Kiểm tra permissions, quotas, lock do I/O.
+
+---
+
+## 13. Best practices tóm tắt
+
+- Thiết kế **stateless app servers**, giữ state trên RDS/S3/EFS.  
+- **AMI baking** + immutable deployments.  
+- **ASG + ELB + health checks** → tự động thay thế instance lỗi.  
+- **Bảo mật**: least privilege IAM, instance roles, EBS encryption, SSM thay SSH.  
+- **Giám sát**: CloudWatch + alarms + centralized logging.

package/BlueprintTemplate/public/assets/lessons/core/aws-eventbridge-guide.md

@@ -0,0 +1,152 @@
+# AWS EventBridge: Trung tâm điều phối sự kiện serverless cho ứng dụng hiện đại
+
+Amazon EventBridge là một **event bus serverless**, cho phép nhận, lọc và chuyển sự kiện giữa các dịch vụ AWS, SaaS hoặc ứng dụng của bạn mà không cần tích hợp trực tiếp.  
+
+Hãy tưởng tượng EventBridge như một **trung tâm điều phối sự kiện trong thành phố**:
+- Bạn gửi một thông điệp vào bến xe (event bus)  
+- Bến xe có các luật (rules) quyết định ai được nhận  
+- Xe buýt (targets) mang sự kiện đến nơi cần đến (Lambda, SQS, Step Functions…)
+
+---
+
+## 1. Khái niệm
+
+- EventBridge giúp xây dựng **event-driven architecture**.  
+- Tách rời microservices, chuyển đổi trạng thái theo sự kiện, lập lịch cron jobs và tích hợp SaaS.  
+
+---
+
+## 2. Phân loại Event Bus
+
+- **Default Event Bus**: Có sẵn trong mọi tài khoản, nhận sự kiện từ AWS (EC2, S3, CodePipeline…).  
+- **Custom Event Bus**: Tạo bởi bạn, nhận sự kiện từ ứng dụng/microservices.  
+- **Partner Event Bus**: Tích hợp với SaaS (Zendesk, Shopify), SaaS gửi sự kiện trực tiếp vào bus của bạn.
+
+---
+
+## 3. Thành phần chính
+
+1. **Event Bus**: Nơi tất cả sự kiện được gửi vào.  
+2. **Rules (luật lọc)**: Xác định khi nào và loại sự kiện nào được kích hoạt, giống bộ lọc email.  
+3. **Targets**: Nơi sự kiện được chuyển đến:  
+   - Lambda, SQS, SNS, Step Functions, Kinesis Firehose, API Gateway, ECS Tasks, Pipe đến SQS/Kinesis…  
+4. **Event Schema Registry**: Tự động sinh schema sự kiện, dễ tạo code binding.
+
+---
+
+## 4. EventBridge dùng để làm gì?
+
+### Khi nên dùng
+- Xây dựng **hệ thống event-driven**.  
+- Bài toán **automation, monitoring**.  
+- Tích hợp giữa các microservices.  
+- Fan-out: một event → nhiều subscribers.  
+- Hệ thống không cần phản hồi real-time (<100ms).
+
+### Khi không nên dùng
+- Cần **latency cực thấp** → dùng Kinesis.  
+- Stream dữ liệu lớn liên tục → Kinesis hoặc Kafka.  
+- Flow logic phức tạp, nhiều bước tuần tự → Step Functions.
+
+### Giải quyết vấn đề
+| Vấn đề | Giải pháp bằng EventBridge |
+|--------|---------------------------|
+| Microservices tight coupling | Tách rời bằng event bus |
+| Dữ liệu sự kiện không đồng nhất | Rule lọc theo pattern |
+| Tích hợp SaaS phức tạp | Partner Event Bus |
+| Cron jobs không ổn định | EventBridge Scheduler |
+
+---
+
+## 5. Ưu & Nhược điểm
+
+**Ưu điểm**
+- Serverless, không quản lý hạ tầng.  
+- Gửi và nhận event dễ dàng, lọc theo pattern mạnh mẽ.  
+- Hỗ trợ SaaS, retry, DLQ, batch, routing.  
+- Cron/scheduler mạnh, tích hợp sâu với AWS.
+
+**Nhược điểm**
+- Không dành cho real-time low latency.  
+- Không stream dữ liệu throughput lớn.  
+- Rule pattern đôi khi khó debug.  
+- Chi phí tăng khi event nhiều.
+
+---
+
+## 6. So sánh với các dịch vụ tương tự
+
+| So sánh | EventBridge | SNS | SQS | Kinesis |
+|---------|------------|-----|-----|---------|
+| Loại | Event routing | Pub/sub | Message queue | Data stream |
+| Filtering | Mạnh, pattern | Yếu, attribute | Không | Không |
+| Fan-out | Mạnh | Mạnh | Giới hạn | Giới hạn |
+| Message order | Không đảm bảo | Không | FIFO | Có |
+| Latency | ~100ms | ~100ms | ~100ms | <10ms |
+| Use case | Event-driven, decoupling | Notification/pubsub | Buffer messages | Real-time streaming |
+
+---
+
+## 7. Luồng hoạt động
+
+1. Producer gửi sự kiện vào EventBus (EC2, S3, Custom App).  
+2. Rule kiểm tra event pattern: match → kích hoạt target, không match → bỏ qua.  
+3. Event chuyển đến target (Lambda, SQS, SNS, Step Functions…).  
+4. Retry & DLQ nếu lỗi.
+
+---
+
+## 8. Cách mở rộng (Scalability)
+
+- EventBridge tự động scale (serverless).  
+- Hỗ trợ hàng triệu event/giờ.  
+- Batch + retry tự động.  
+- Tạo nhiều custom event bus để tách microservice.  
+
+---
+
+## 9. Bảo mật (Security)
+
+- IAM policy kiểm soát gửi/nhận event.  
+- Resource-based policy, encryption in-transit (TLS).  
+- Event archiving + replay.  
+- Cross-account event sharing qua AWS Organizations.  
+- Private event bus trong VPC.
+
+---
+
+## 10. Tích hợp với các dịch vụ
+
+- Lambda, SQS, SNS, Step Functions, Kinesis Firehose, API Gateway, ECS/EKS Tasks  
+- CloudTrail, Scheduler, S3, EC2, CodePipeline, ECR, GuardDuty, CloudWatch…
+
+---
+
+## 11. Kiến trúc thực tế
+
+**Ví dụ eCommerce (microservices)**:  
+1. User tạo order → Order Service gửi event `OrderCreated`.  
+2. EventBridge nhận sự kiện.  
+3. Fan-out đến: Payment Service, Inventory Service, Notification Service, Analytics Service.  
+4. Mỗi service xử lý độc lập, không cần gọi trực tiếp nhau.  
+5. EventBridge đảm bảo retry nếu consumer lỗi.
+
+---
+
+## 12. Sự cố thường gặp & cách xử lý
+
+1. **Rule không nhận được event**  
+   - Nguyên nhân: Event không match pattern, gửi sai event bus  
+   - Cách xử lý: Kiểm tra JSON event, dùng Event Pattern Tester, check bus name
+
+2. **Lambda target không được invoke**  
+   - Nguyên nhân: IAM permission thiếu, concurrency full  
+   - Fix: Thêm policy `events.amazonaws.com → Lambda invoke`, kiểm tra concurrency limit
+
+3. **Event bị drop**  
+   - Nguyên nhân: Target error, không có DLQ  
+   - Fix: Enable DLQ cho rule, kiểm tra CloudWatch Logs
+
+4. **EventBridge Scheduler không chạy**  
+   - Nguyên nhân: Sai timezone, input payload format  
+   - Fix: Kiểm tra cron expression, validate JSON input

package/BlueprintTemplate/public/assets/lessons/core/aws-iam-guide.md

@@ -0,0 +1,132 @@
+# AWS IAM: Quản lý truy cập và bảo mật tài nguyên AWS hiệu quả
+
+**IAM (Identity and Access Management)** là dịch vụ trên AWS dùng để quản lý **người dùng, nhóm người dùng và quyền truy cập tài nguyên AWS**.  
+Nói đơn giản: IAM cho phép bạn quyết định “ai” có thể làm “gì” trên “tài nguyên nào” trong AWS.
+
+---
+
+## 1. Khái niệm và phân loại
+
+**Phân loại chính:**
+- **IAM User**: Tài khoản người dùng cá nhân (cho từng người).  
+- **IAM Group**: Nhóm người dùng, giúp quản lý quyền tập thể.  
+- **IAM Role**: Vai trò, cấp quyền tạm thời cho user/service.  
+- **IAM Policy**: Bộ quy tắc xác định quyền truy cập (ví dụ: chỉ đọc S3).  
+- **IAM Identity Provider**: Kết nối với hệ thống xác thực ngoài (Google, Facebook, SAML...).
+
+---
+
+## 2. Thành phần chính
+
+- **User**: Người hoặc ứng dụng.  
+- **Group**: Tập hợp user.  
+- **Role**: Quyền hạn tạm thời, gán cho user, service, hoặc account khác.  
+- **Policy**: Tập hợp các rule/statement cho phép hoặc từ chối các hành động trên tài nguyên.  
+- **Identity Provider**: Cho phép xác thực từ hệ thống ngoài.
+
+---
+
+## 3. Mục đích sử dụng
+
+### Dùng để
+- **Kiểm soát truy cập:** Ai được phép làm gì trên dịch vụ/tài nguyên AWS.  
+- **Phân quyền chi tiết:** Mỗi người chỉ có quyền cần thiết.  
+- **Audit (ghi log):** Xác định ai đã làm gì, lúc nào.
+
+### Giải quyết vấn đề
+- **Bảo mật:** Ngăn truy cập trái phép.  
+- **Tách biệt nhiệm vụ:** Nguyên tắc “least privilege” (chỉ cấp quyền tối thiểu).  
+- **Quản lý tập trung:** Dễ dàng thêm/xóa user, đổi quyền, audit.
+
+### Khi nên dùng
+- Kiểm soát truy cập tài nguyên AWS chi tiết.  
+- Nhiều user hoặc service cần truy cập AWS theo vai trò khác nhau.
+
+### Khi không nên dùng
+- Xác thực user ứng dụng cuối (dùng Amazon Cognito hoặc IdP ngoài).  
+- Quản lý user nội bộ công ty không dùng AWS.
+
+---
+
+## 4. Ưu và nhược điểm
+
+### Ưu điểm
+- **Miễn phí:** Không tính phí tạo user, group, role, policy.  
+- **Phân quyền chi tiết, linh hoạt.**  
+- **Tích hợp sẵn với các dịch vụ AWS.**  
+- **Hỗ trợ Audit, MFA, Federation.**
+
+### Nhược điểm
+- **Quản lý phức tạp** nếu có quá nhiều policy, role.  
+- Dễ cấu hình sai (over-permission hoặc under-permission).  
+- Không dùng cho user cuối ứng dụng.
+
+---
+
+## 5. So sánh với các dịch vụ tương tự
+
+| Dịch vụ | Đặc điểm chính | Khi nào dùng |
+|---------|----------------|--------------|
+| **IAM** | Quản lý user/service, phân quyền chi tiết AWS | Quản lý truy cập tài nguyên AWS |
+| **Cognito** | Quản lý user cuối, xác thực OAuth/OpenID/SAML | Xây dựng app cho end-user, đăng nhập web/app |
+| **AWS SSO** | Đăng nhập một lần, tích hợp AD/SAML | Công ty lớn, nhiều AWS account/app |
+
+---
+
+## 6. Luồng hoạt động cơ bản
+
+1. Admin tạo IAM User/Role/Policy.  
+2. Gán policy cho user/role.  
+3. User/role sử dụng Access Key/Secret Key hoặc STS token để truy cập AWS.  
+4. Khi user gửi request, AWS IAM kiểm tra quyền.  
+5. Nếu policy cho phép, request được thực thi; nếu không, request bị từ chối.
+
+---
+
+## 7. Cách mở rộng
+
+- Tạo role cho từng service, từng ứng dụng riêng biệt.  
+- Sử dụng Policy versioning hoặc Managed Policy để dễ bảo trì.  
+- Sử dụng AWS Organizations để quản lý nhiều tài khoản AWS.
+
+---
+
+## 8. Cách bảo mật
+
+- **Sử dụng MFA** cho user quan trọng.  
+- **Chỉ cấp quyền tối thiểu** (Principle of Least Privilege).  
+- **Audit bằng CloudTrail.**  
+- Thường xuyên xoát xét các policy cũ.  
+- Không dùng **root account** cho thao tác hàng ngày.
+
+---
+
+## 9. Tích hợp với các dịch vụ
+
+- Hầu hết dịch vụ AWS: EC2, S3, Lambda, RDS, DynamoDB…  
+- CloudTrail (audit), Organizations (multi-account).  
+- Các IdP ngoài như Google, Facebook, SAML.
+
+---
+
+## 10. Kiến trúc thực tế
+
+**Ví dụ:**  
+- Web app chạy trên EC2, truy cập S3: EC2 instance gán IAM Role chỉ cho phép đọc S3 bucket.  
+- Lambda function truy cập DynamoDB: Lambda role chỉ cho phép thao tác trên bảng DynamoDB.  
+- CI/CD Pipeline: CodeBuild, CodeDeploy, CodePipeline có role riêng, chỉ truy cập tài nguyên cần thiết.  
+- Tổ chức lớn: Organizations + SSO + IAM để kiểm soát truy cập đa tài khoản.
+
+---
+
+## 11. Sự cố thường gặp và cách xử lý
+
+- **Lỗi PermissionDenied:** Policy thiếu quyền → kiểm tra và bổ sung policy.  
+- **Lạm quyền (over-permission):** Ai đó có nhiều quyền hơn cần thiết → audit, thu hẹp quyền.  
+- **Quên xóa user/role cũ:** Rò rỉ bảo mật → định kỳ kiểm tra và xóa.  
+- **Lộ Access Key:** Khóa key ngay lập tức, rotate key.
+
+---
+
+> **Tóm lại:**  
+IAM là dịch vụ quản lý truy cập trung tâm của AWS, giúp kiểm soát “ai được làm gì” với tài nguyên AWS, rất mạnh mẽ nhưng cần cẩn trọng khi cấu hình để tránh lỗi bảo mật hoặc thiếu quyền.