> ## Documentation Index
> Fetch the complete documentation index at: https://docs.cloudthinker.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Bảo Mật & Xác Thực

> Bảo vệ quyền truy cập CloudThinker bằng MFA, SSO và kiểm soát truy cập dựa trên vai trò

CloudThinker triển khai bảo mật cấp doanh nghiệp để bảo vệ dữ liệu hạ tầng cloud và đảm bảo chỉ người dùng được ủy quyền mới có thể truy cập các thao tác nhạy cảm.

***

## Tại sao bảo mật quan trọng với nền tảng vận hành AI

Agent của CloudThinker có quyền đọc (và tùy chọn ghi) vào hạ tầng cloud của bạn. Điều này rất mạnh mẽ — nó cho phép phân tích và tối ưu hóa tự chủ trên toàn bộ tài khoản cloud. Nhưng điều đó cũng có nghĩa là bản thân nền tảng cần được tăng cường bảo mật chống lại truy cập trái phép, rò rỉ thông tin xác thực và tấn công prompt injection.

Mô hình bảo mật được thiết kế xung quanh các nguyên tắc sau:

* **Đặc quyền tối thiểu theo mặc định**: agent sử dụng thông tin xác thực chỉ đọc trừ khi quyền ghi được cấu hình và phê duyệt rõ ràng
* **Không tồn lưu**: không có hành động agent nào sửa đổi hạ tầng mà không qua [quy trình phê duyệt](/vi/guide/approval)
* **Phòng thủ theo chiều sâu**: MFA, SSO, RBAC, ghi nhật ký kiểm tra và cách ly sandbox kết hợp để bảo vệ chống cả tấn công bên ngoài lẫn lạm dụng nội bộ
* **Minh bạch**: mọi hành động agent đều được ghi lại kèm người dùng đã khởi tạo, chuỗi phê duyệt và lệnh chính xác được thực thi

## Phương thức xác thực

| Phương thức          | Mô tả                                                 |
| -------------------- | ----------------------------------------------------- |
| Email & Mật khẩu     | Xác thực tiêu chuẩn với yêu cầu mật khẩu bảo mật      |
| Xác thực đa yếu tố   | MFA dựa trên TOTP để tăng cường bảo mật               |
| Single Sign-On (SSO) | Tích hợp SAML/OIDC với nhà cung cấp danh tính của bạn |
| Khóa API             | Truy cập lập trình an toàn vào API                    |

***

## Xác thực đa yếu tố (MFA)

Thêm một lớp bảo mật bổ sung với MFA dựa trên TOTP:

### Bật MFA

<Steps>
  <Step title="Điều hướng đến Cài đặt bảo mật">
    Vào **Profile > Security Settings**
  </Step>

  <Step title="Bật MFA">
    Nhấp **Enable Multi-Factor Authentication**
  </Step>

  <Step title="Quét mã QR">
    Dùng ứng dụng xác thực (Google Authenticator, Authy, 1Password, v.v.) để quét mã QR
  </Step>

  <Step title="Xác minh thiết lập">
    Nhập mã 6 chữ số từ ứng dụng xác thực để xác nhận thiết lập
  </Step>

  <Step title="Lưu mã dự phòng">
    Tải xuống và lưu trữ an toàn các mã dự phòng để khôi phục tài khoản
  </Step>
</Steps>

### MFA khi đăng nhập

Khi MFA được bật:

1. Nhập email và mật khẩu của bạn
2. Nhập mã 6 chữ số hiện tại từ ứng dụng xác thực
3. Được cấp quyền truy cập

### Tùy chọn khôi phục

Nếu bạn mất quyền truy cập vào ứng dụng xác thực:

* Dùng mã dự phòng (dùng một lần)
* Liên hệ admin tổ chức để đặt lại MFA
* Liên hệ hỗ trợ với xác minh danh tính

<Warning>
  Lưu trữ mã dự phòng an toàn. Mỗi mã chỉ có thể dùng một lần. Nếu bạn mất tất cả mã dự phòng và ứng dụng xác thực, việc khôi phục tài khoản có thể yêu cầu xác minh danh tính.
</Warning>

***

## Single sign-on (SSO)

Gói Enterprise hỗ trợ tích hợp [SSO](/vi/guide/security/sso):

SSO được cấu hình bởi Chủ sở hữu tổ chức trong **Admin Settings → Identity and access**. Các khả năng chính:

* **Xác minh domain** — chứng minh quyền sở hữu domain email của bạn trước khi bật SSO
* **SAML hoặc OIDC** — chọn giao thức mà nhà cung cấp danh tính của bạn hỗ trợ
* **Bắt buộc SSO** — tùy chọn yêu cầu tất cả người dùng có domain đã xác minh phải xác thực qua SSO
* **JIT provisioning** — tự động tạo tài khoản người dùng khi đăng nhập SSO lần đầu
* **Đồng bộ thư mục SCIM** — tự động hóa cấp phép người dùng và nhóm từ IdP của bạn

### Cấu hình SSO

<Card title="Hướng dẫn thiết lập SSO" icon="key" href="/vi/guide/security/sso">
  Thiết lập từng bước cho Google Workspace, Azure AD, AWS IAM Identity Center, Okta, OneLogin và SAML/OIDC chung
</Card>

### Bắt buộc SSO

Admin tổ chức có thể bắt buộc SSO:

* Yêu cầu tất cả người dùng xác thực qua SSO
* Tắt đăng nhập bằng mật khẩu
* Tự động cấp phép người dùng khi đăng nhập SSO lần đầu
* Tự động hủy cấp phép khi bị xóa khỏi IdP

***

## Kiểm soát truy cập dựa trên vai trò (RBAC)

Kiểm soát những gì người dùng có thể làm với quyền chi tiết:

### Vai trò tổ chức

| Vai trò    | Mô tả                    | Quyền                                                        |
| ---------- | ------------------------ | ------------------------------------------------------------ |
| **Owner**  | Kiểm soát tổ chức đầy đủ | Tất cả quyền, thanh toán, quản lý thành viên                 |
| **Admin**  | Quản trị tổ chức         | Quản lý workspace, thành viên, cài đặt (không có thanh toán) |
| **Member** | Truy cập tiêu chuẩn      | Truy cập workspace được giao, sử dụng agent                  |
| **Viewer** | Chỉ đọc                  | Xem bảng điều khiển và báo cáo                               |

### Vai trò workspace

| Vai trò             | Mô tả                      | Quyền                                                |
| ------------------- | -------------------------- | ---------------------------------------------------- |
| **Workspace Admin** | Kiểm soát workspace đầy đủ | Tất cả thao tác workspace, quản lý thành viên        |
| **Editor**          | Thao tác tiêu chuẩn        | Chạy agent, tạo đề xuất, chỉnh sửa cài đặt           |
| **Operator**        | Thao tác giới hạn          | Chạy agent, xem dữ liệu, không thể chỉnh sửa cài đặt |
| **Viewer**          | Chỉ đọc                    | Xem bảng điều khiển, báo cáo và đề xuất              |

### Ma trận quyền

| Hành động            | Owner | Admin | Editor | Operator | Viewer |
| -------------------- | ----- | ----- | ------ | -------- | ------ |
| Xem bảng điều khiển  | Có    | Có    | Có     | Có       | Có     |
| Chạy hội thoại agent | Có    | Có    | Có     | Có       | Không  |
| Tạo đề xuất          | Có    | Có    | Có     | Không    | Không  |
| Phê duyệt thao tác   | Có    | Có    | Có     | Không    | Không  |
| Quản lý kết nối      | Có    | Có    | Có     | Không    | Không  |
| Quản lý thành viên   | Có    | Có    | Không  | Không    | Không  |
| Cài đặt tổ chức      | Có    | Có    | Không  | Không    | Không  |
| Thanh toán           | Có    | Không | Không  | Không    | Không  |

***

## Xác thực API

Truy cập lập trình an toàn vào CloudThinker:

### Khóa API

Tạo khóa API để tự động hóa:

1. Vào **Profile > API Keys**
2. Nhấp **Create API Key**
3. Đặt tên khóa và thời hạn hết hạn
4. Sao chép khóa (chỉ hiển thị một lần)
5. Dùng trong các yêu cầu API

```bash theme={null}
# Ví dụ yêu cầu API
curl -H "Authorization: Bearer <api_key>" \
  https://api.cloudthinker.io/v1/workspaces
```

### Quản lý khóa

* **Xoay vòng**: Thường xuyên xoay vòng khóa (khuyến nghị: mỗi 90 ngày)
* **Giới hạn phạm vi**: Giới hạn khóa cho các thao tác cụ thể khi có thể
* **Giám sát**: Xem xét sử dụng khóa trong nhật ký kiểm tra
* **Thu hồi**: Ngay lập tức thu hồi các khóa bị xâm phạm

<Warning>
  Không bao giờ commit khóa API vào kiểm soát phiên bản. Dùng biến môi trường hoặc công cụ quản lý secret.
</Warning>

### Token OAuth

Đối với các tích hợp dùng OAuth:

* Token được tự động làm mới
* Thu hồi quyền truy cập từ **Settings > Connected Apps**
* Giám sát sử dụng token trong nhật ký kiểm tra

***

## Bảo mật dữ liệu

### Mã hóa

CloudThinker bảo vệ dữ liệu của bạn với:

| Lớp            | Bảo vệ                            |
| -------------- | --------------------------------- |
| **Truyền tải** | TLS 1.3 cho tất cả kết nối        |
| **Lưu trữ**    | Mã hóa AES-256                    |
| **Secret**     | Lưu trữ thông tin xác thực mã hóa |
| **Sao lưu**    | Sao lưu cơ sở dữ liệu được mã hóa |

### [Tự cung cấp khóa mã hóa (BYOK)](/vi/guide/byok)

Khách hàng Enterprise có thể dùng khóa mã hóa của riêng họ:

1. Cấu hình AWS KMS hoặc tương tự
2. Cung cấp ARN khóa cho CloudThinker
3. Khóa của bạn mã hóa dữ liệu nhạy cảm
4. Duy trì toàn quyền kiểm soát khóa

<Card title="Cấu hình BYOK" icon="key" href="/vi/guide/byok">
  Thiết lập mã hóa Bring Your Own Key
</Card>

### Lưu trú dữ liệu

* Chọn vùng dữ liệu khi tạo workspace
* Dữ liệu ở trong vùng đã chọn
* Tùy chọn đa vùng cho dự phòng

***

## Ghi nhật ký kiểm tra

Theo dõi tất cả hoạt động trong CloudThinker:

### Sự kiện được ghi lại

* Xác thực người dùng (đăng nhập, đăng xuất, MFA)
* Truy cập và chỉnh sửa tài nguyên
* Hội thoại và hành động agent
* Thay đổi quản trị
* Truy cập API

### Xem nhật ký kiểm tra

1. Điều hướng đến **Admin Settings > Organization**
2. Lọc theo:
   * Người dùng
   * Loại hành động
   * Tài nguyên
   * Khoảng thời gian
3. Xuất nhật ký để tuân thủ

### Lưu giữ nhật ký

* Tiêu chuẩn: 90 ngày
* Professional: 1 năm
* Enterprise: Có thể cấu hình (lên đến 7 năm)

***

## Thực tiễn bảo mật tốt nhất

<AccordionGroup>
  <Accordion title="Bật MFA cho tất cả người dùng">
    Yêu cầu MFA cho tất cả thành viên tổ chức, đặc biệt là những người có quyền admin. Cân nhắc bắt buộc qua chính sách [SSO](/vi/guide/security/sso).
  </Accordion>

  <Accordion title="Dùng đặc quyền tối thiểu">
    Giao vai trò tối thiểu cần thiết cho trách nhiệm của mỗi người dùng. Thường xuyên xem xét và điều chỉnh quyền.
  </Accordion>

  <Accordion title="Thường xuyên xoay vòng thông tin xác thực">
    Xoay vòng khóa API, token làm mới và thông tin xác thực cloud theo lịch đều đặn.
  </Accordion>

  <Accordion title="Giám sát nhật ký kiểm tra">
    Thường xuyên xem xét nhật ký kiểm tra để phát hiện hoạt động đáng ngờ. Thiết lập cảnh báo cho các sự kiện quan trọng.
  </Accordion>

  <Accordion title="Bảo mật kết nối cloud">
    Dùng thông tin xác thực chỉ đọc khi có thể. Giới hạn phạm vi cho các dịch vụ và vùng cần thiết.
  </Accordion>

  <Accordion title="Định kỳ xem xét quyền truy cập">
    Thực hiện kiểm tra quyền truy cập hàng quý. Xóa người dùng không hoạt động và thu hồi quyền không cần thiết.
  </Accordion>
</AccordionGroup>

***

## Tuân thủ

CloudThinker duy trì tuân thủ với:

* **SOC 2 Type II**: Bảo mật, tính khả dụng và bảo mật thông tin
* **GDPR**: Bảo vệ dữ liệu cho người dùng EU
* **HIPAA**: Xử lý dữ liệu y tế (Enterprise)
* **ISO 27001**: Quản lý bảo mật thông tin

<Card title="Yêu cầu tài liệu tuân thủ" icon="file-certificate" href="mailto:security@cloudthinker.io">
  Liên hệ chúng tôi để được hỗ trợ bảng câu hỏi bảo mật và tài liệu tuân thủ
</Card>

## Liên quan

<CardGroup cols={2}>
  <Card title="Single sign-on" icon="key" href="/vi/guide/security/sso">
    Cấu hình SSO SAML hoặc OIDC với Google Workspace, Azure AD, Okta và nhiều hơn nữa
  </Card>

  <Card title="Cấp phép SCIM" icon="users-gear" href="/vi/guide/security/scim">
    Tự động hóa đồng bộ người dùng và nhóm từ nhà cung cấp danh tính của bạn
  </Card>
</CardGroup>
