aws

IAM 概述 集中管理访问AWS资源的访问权限和用户身份认证 支持联合访问管理，支持LADP第三方服务 （Identity Provider） 是非区域相关的服务，全局有效 创建用户、组和角色以应用策略 安全凭证类型包括： 电子邮件和密码、IAM用户名和密码、访问密匙、多重验证（MFA）、密匙对 密码策略管理和KMS加密解密管理 建议始终使用创建和管理IAM账户来进行操作 IAM遵循最低特权原则，即所有权限被隐式拒绝，而显式拒绝拥有最高优先级 IAM是权限与实体进行匹配的正式语句 策略可以应用于任何实体，包括用户、组和角色 策略可以一对多也可以多对一 委托人 委托人是允许与AWS资源交互的IAM实体，可以是人或应用程序，也可以是临时或永久的。 有三种委托人身份：根用户、IAM用户(组)和角色 根用户 第一次创建AWS时的登录主体，可以完全访问所有账户中的AWS资源与服务 强烈建议不要将根账户用于任何的日常任务或是管理员 必须安全的锁定根用户的用户凭证 根用户也是Billing Account 等同于Owner ，创建AWS账户的实体和Email地址 IAM用户 可以通过IAM服务创建持久性身份，可以是个人或应用程序 IAM用户可以随时由IAM管理权限的主体创建 需要提供与AWS交互的方法, 支持AWS控制台用户名密码、CLI或者SDK等方式管理IAM用户

AWS CloudWatch 概念 基于确定的内容监控基础设施组件 基于指定的指标发送通知并触发各种操作 分布式统计数据和收集系统，用于收集并跟踪指标 默认情况下，在管理程序级别无缝收集指标，如CPU利用率、IO字节操作、网络字节操作 CloudWatch可以触发包括启动终止重启EC2，增加减少AutoScaling组，将消息发送至SNS等操作 属性 面板（Dashboards）-可创建自定义面板来方便观察AWS环境中的不同监控对象 告警（Alarms）- 当某个监控对象超过阈值时，会发出告警信息 事件（Events）- 针对AWS环境中所发生的变化进行的反应 日志（Logs）-Cloudwatch日志帮助收集、监控和存储日志信息 监控指标 支持对绝大多数AWS服务的监控和指定指标，包括： Auto Scaling，Amazon CloudFront，Amazon CloudSearch，Amazon DynamoDB，Amazon EC2，Amazon EC2容器服务 (Amazon ECS)，Amazon ElastiCache，Amazon Elastic Block Store(Amazon EBS) ，Elastic Load Balancing，Amazon Elastic MapReduce(Amazon EMR)，Amazon Elasticsearch服务，

基础设施即代码 概述 手动配置的挑战：可能因为人为错误导致缺乏可靠性，环境无法完全再现，同时需要额外文档 基础设施即代码，是软件开发中用于创建可重用、可维护、可扩展及可测试基础设施的技术、实践和工具，而不降基础设施定义为捆绑硬件的组件。 基础设施即代码的好处： 可靠性 可再现性 - 可重复性、可重用性 可维护性 一致性 并行化 文档性 环境自动化 只要可能，都应该自动对资源执行预置、终止和配置操作，通过取消手动流程，提高系统的稳定性和一致性、以及组织的效率 使用可释放的资源 利用云计算的动态配置特性，将服务器和其他组件视为临时资源 自动部署相同配置的新资源 终止未使用的资源 自动切换到新的IP地址 测试新资源的更新，然后用更新的资源替代旧资源 AWS Lambda 概述 无需配置和管理任何服务器和应用程序就能运行代码。 只需要上传代码，Lambda就会处理运行并且根据需要自动进行横向扩展 Lambda 是完全托管的计算服务，在响应事件或以事件间隔运行无状态代码 Lambda支持的代码语言 Python Java Node.js (JavaScript) C# Go Lambda 可以支持： 服务器 容量需求 部署 扩展和容错 操作系统和语言更新 指标和日志记录 Lambda 可以实现： 使用自己的代码甚至原生库 并行运行代码 创建后端、事件处理程序和数据处理系统

7月30日，“2019AWS医疗及生命科学科技主题日”活动在北京举行。AWS中国跨国企业及市场营销拓展部总经理林家伟，AWS医疗及生命科学行业总监黄庆春，启迪控股副总裁、启迪之星董事长张金生，启迪之星常务副总经理王永瑞等领导与逾千位云界技术精英齐聚一堂，围绕云技术和智慧医疗进行探讨与经验分享。活动中，AWS医疗健康加速营正式启动。本次加速营由AWS与启迪之星携手打造，借助AWS的技术和产业资源，以及启迪之星全球网络的集群式创新优势精准赋能医疗健康领域的创新创业公司。 AWS 医疗及生命科学团队在行业内深耕超过 10 年，逾 4,000 家医疗及生命科学用户正在使用 AWS 云实现业务的敏捷创新、合规安全和洞察先机。 本次活动，是 AWS 医疗及生命科学生态圈的大聚会，作为医疗及生命科学行业峰会预热专场。现场大咖云集，干货不断。 全球医疗生命科学的发展趋势是什么？ 民营医院的发展之道是什么？ AWS 如何赋能生命科学人工智能的发展？ 小云为大家准备好了本次大会的全部资料 回复“ 医疗资料 “快来获取吧！ 来源： https://blog.csdn.net/yundingyun/article/details/99292069

在删除客户主密钥 (CMK) 之前 ，您可能想要了解使用该密钥加密了多少密文。AWS KMS 不会存储此信息，也不会存储任何密文。要获取此信息，您必须自行确定 CMK 的过去使用情况。了解 CMK 的过去使用情况可帮助您决定将来是否需要此 CMK。以下指南有助于您确定 CMK 的过去使用情况。 主题 检查 CMK 权限以确定潜在使用范围 检查 AWS CloudTrail 日志以确定实际使用情况 检查 CMK 权限以确定潜在使用范围 通过确定当前有权访问客户主密钥 (CMK) 的对象，可帮助您确定 CMK 的广泛使用程度以及是否仍然需要此 CMK。要了解如何确定当前有权访问 CMK 的对象，请转到 确定对 AWS KMS 客户主密钥的访问权限 。 检查 AWS CloudTrail 日志以确定实际使用情况 AWS KMS 已与 AWS CloudTrail 集成，因此所有 AWS KMS API 活动都会记录在 CloudTrail 日志文件中。如果您在客户主密钥 (CMK) 所在的区域中启用了 CloudTrail，则可以检查 CloudTrail 日志文件，以查看特定 CMK 的所有 AWS KMS API 活动的历史记录，从而了解其使用情况历史记录。您或许能够使用 CMK 的使用情况历史记录来帮助确定是否依然需要此 CMK。 来源： https://www.cnblogs

部署方法 方法 部署失败带来的影响 部署时间 零停机时间 无 DNS 更改 回滚过程 代码部署到 一次部署全部 停机时间 ☓ ✓ 手动重新部署 现有实例 滚动 单个批次服务中断；任何在故障之前成功的批次将运行新应用程序版本 † ✓ ✓ 手动重新部署 现有实例 附加批次滚动部署 如果第一个批次失败，则影响最小；否则类似于 滚动 † ✓ ✓ 手动重新部署 新实例和现有实例 不可变的 最低 ✓ ✓ 终止新实例 新实例 蓝/绿 最低 ✓ ☓ 交换 URL 新实例 † 根据批处理大小而变化。 来源： https://www.cnblogs.com/cloudrivers/p/11334564.html

存储桶策略的大小限制为 20 KB。 假设您拥有一个网站，其域名为 ( www.example.com 或 example.com )，并且带有指向存储在 S3 存储桶中的照片和视频的链接 examplebucket 。默认情况下，所有 S3 资源都是私有的，因此只有创建资源的 AWS 账户才能访问它们。要允许从您的网站对这些对象进行读取访问，您可以添加一个存储桶策略允许 s3:GetObject 权限，并附带使用 aws:Referer 键的条件，即获取请求必须来自特定的网页。以下策略指定带有 StringLike 条件键的 aws:Referer 条件。 { "Version":"2012-10-17", "Id":"http referer policy example", "Statement":[ { "Sid":"Allow get requests originating from www.example.com and example.com.", "Effect":" Allow ", "Principal":"*", "Action":"s3:GetObject", "Resource":"arn:aws:s3:::examplebucket/*", "Condition":{ " StringLike ":{" aws:Referer ":["http:/

您可使用 AWS WAF 控制 API 网关 、Amazon CloudFront 或 应用程序负载均衡器 如何响应 Web 请求。您首先需创建条件、规则和 Web 访问控制列表 ( Web ACL )。您需要定义条件、将条件合并为规则并将规则合并为 Web ACL。 条件 条件定义您希望 AWS WAF 在 Web 请求中监视的基本特征： 可能是 恶意的脚本 。攻击者会嵌入可以利用 Web 应用程序漏洞的脚本。这称为 跨站点脚本 。 请求源自的 IP 地址或地址范围 。 请求源自的 国家/地区或地理位置。 请求的指定部分的长度 (如查询字符串)。 可能是 恶意的 SQL 代码。 攻击者会尝试通过在 Web 请求中嵌入恶意 SQL 代码从数据库提取数据。这称为 SQL 注入 。 请求中出现的字符串，例如，在 User-Agent 标头中出现的值或是在查询字符串中出现的文本字符串。您还可以使用正则表达式 (regex) 指定这些字符串。 某些条件采用多个值。例如，您可以在 IP 条件中指定最多 10,000 个 IP 地址或 IP 地址范围。 来源： https://www.cnblogs.com/cloudrivers/p/11331436.html

要在 AWS Direct Connect 位置使用 AWS Direct Connect，您的网络必须满足以下条件之一： 您的网络托管于现有的 AWS Direct Connect 节点。有关可用 AWS Direct Connect 位置的更多信息，请参阅 AWS Direct Connect 产品详细信息 。 您正与作为 AWS Partner Network (APN) 成员的 AWS Direct Connect 合作伙伴开展合作。有关信息，请参阅 支持 AWS Direct Connect 的 APN 合作伙伴 。 您正与独立的服务供应商合作连接到 AWS Direct Connect。 此外，您的网络必须符合以下条件： 您的网络必须使用具有适用于 1 GB 以太网的 1000BASE-LX (1310nm) 收发器或适用于 10 GB 以太网的 10GBASE-LR (1310nm) 收发器的 单模光纤 。 必须禁用端口的自动协商功能。必须手动配置端口速度和 全双工模式。 必须跨整个连接 (包括中间设备) 支持 802.1Q VLAN 封装。 您的设备必须支持边界网关协议 (BGP) 和 BGP MD5 认证。 (可选) 您可以在网络上配置双向转发检测 (BFD)。异步 BFD 对 AWS Direct Connect 虚拟接口自动启用

I was looking for some online tools to create impressive AWS diagram for my learning process. Most of online diagram websites provide certain free usages. Here are some websites I found useful to me. 1. AWS 3D Diagram from Cloudcraft.co It is quite impressive when I started to make my first diagram. Limit grid size is a big pain when you try to draw a detail diagram for your AWS VPC, but it is good enough to draw a three tier application deployment. Cloudcraft allows registered user to create AWS diagrams for free using all available components with some feature limited. Upgrade to Cloudcraft