Mục lục (13)Mô hình cần nhớ: workload nhận quyền, không giữ secretChọn cơ chế đúng theo nơi workload chạyEC2: instance profile là “ổ cắm” cho roleECS: task role khác task execution roleLambda: execution role là identity của functionEKS: cấp role theo service account, không theo cả nodeViết policy từ nhu cầu thậtTrust policy cũng phải least privilegeRotation và incident response thay đổi như thế nào?Khi nào vẫn cần access key dài hạn?Checklist trước khi đưa lên productionKết luậnNguồn tham khảoBài viếtAWS IAM role cho workload: bỏ access key tĩnh trên EC2, ECS, Lambda và EKSawsaws-iamcloud-securityleast-privilege