# AWS Could Practioner [TOC] ## 介绍 ### 考试介绍以及教材推荐 原文：https://zhuanlan.zhihu.com/p/295326042 中文教程视频（两个半小时）：https://www.bilibili.com/video/BV1nz4y1d7Jb/ ### 为什么要考AWS Cloud Practioner 第一因为有用，AWS是很多工作招聘时所要求的技能之一。不过这只是最AWS中最低等级的证书。  第二因为这是IT职业生涯中少有的难度简单的考试，即比较容易获得的成就感，只要刷1350道真题就行了，不需要过多的理解。你可以考完之后去LinkedIn做认证，以及在LinkedIn发一条post并且@AWS让它给你点赞和回复，这样你拿到证书的post就会被关注了AWS的所有用户所看到，也是一个非常好的宣传自己的方式。  ### 为什么要用AWS 【声明：个人总结，水平有限，会有瑕疵】 首先我们可以想想我们平时准备自己准备应用时所需要的步： (1) 假设我们已做好了一个网站，然后这个网站我们要部署到服务器上，所以我们首先需要买自己的服务器主机（物理主机），这是一笔费用，对主机的维护，供电，全安设置等等，都是我们需要提前准备的。 (2) 假设这些东西都准备好了，把应用部署到了服务器上，我们还需要准备各种配套的软件，毕竟企业级应用不可能只靠一个框架，一门语言就能实现。安装这些软件，配置这些软件，如果到时候更新了，还需要更新这些软件，这也是一笔费用。 (3) 假设这些都搞定了，我们还要日常维护漏洞和防御黑客的攻击，这还是成本，而且因为主机在本地（本国，本市），不访问全球用户的访问，别的地区的人无法访问，或者龟速访问你的应用，人家还买个屁的你的服务。所以为了全球化，你还得在海外或者其他地区多买物理主机，还得维护，这又是一大笔费用。 (4) 所以使用AWS的好处就是，你不需要管上面这些，AWS全部给你提供了（甚至更多你想不到的，可能会用到的服务），**你只需要专注你的应用（即你想为客户提供的服务）。** ## 别人对AWS practioner的总结 原文：https://docs.google.com/document/d/1VYMMw-95k-BYHaITwpuQa1FQ6VUa9OUYmCUgBYKdvMs/edit 写得挺好的挺全面的，可以自己按照他的总结来做自己的总结，也可以总结完后查漏补缺。 ## 基础概念总结 ### AWS global infrastructure AWS全球基础设施 原文：https://aws.amazon.com/cn/about-aws/global-infrastructure/regions_az/#:~:text=%E4%B8%80%E4%B8%AA%E5%8F%AF%E7%94%A8%E5%8C%BA(AZ)%20%E6%98%AF,%E5%92%8C%E4%BD%8E%E5%BB%B6%E8%BF%9F%E7%9A%84%E8%81%94%E7%BD%91%E3%80%82 范围：区域 > 可用区 > 边缘站点 直白理解：为了满足AWS用户的全球化需要，也就是我部署在AWS上面的应用**想要被全世界的网民快速的访问到**，那么就需要AWS在全世界范围提供各种节点（理解：比如人在中国想访问美国的网站，那么如果直接访问，就是我们通过各种路由慢慢的访问到在美国的服务器，然后该服务器再通过同样复杂的路线把网站资源回应给我们，网络延迟可想而知。），有了AWS提供的区域，可用区，边缘站点之后，用户就能就近原则访问AWS的站点（具体的实现看下面），**从而提高访问速度**。 #### 区域 Region AWS 设定了区域的概念，即我们在世界各地聚集数据中心的物理位置。我们将每个逻辑数据中心组称为可用区。每个 AWS 区域由一个地理区域内的多个隔离的且在物理上分隔的可用区组成。 #### 可用区 availability zone 一个可用区 (AZ) 是指一个 AWS 区域中的一个或多个离散的数据中心，具有冗余电源、联网和连接。可用区让客户能够运行在可用性、容错能力和可扩展性方面比单个数据中心更强的生产应用程序和数据库。一个 AWS 区域中的所有可用区都通过高带宽、低延迟网络与完全冗余的专用城域光纤互连，为可用区之间提供高吞吐量和低延迟的联网。可用区之间的所有流量都进行了加密。网络性能足以确保可用区之间的同步复制。可用区使分区应用程序更容易获得高可用性。如果应用程序在可用区之间进行分区，则可以更好地隔离公司并防止断电、雷击、龙卷风、地震等问题的影响。可用区与任何其他可用区都间隔一定距离，不过彼此都在 100 公里（60 英里）以内。 #### 边缘站点 edge location AWS为了保证网站的全球性，即部署在AWS上的网站可以被全球任何一个地方的用户快速的访问到，AWS设置了很多的边缘站点，这些边缘站点会缓存该网站在该地区的用户访问该网站之后。 ### Amazon Elastic Compute Cloud (Amazon EC2) 原文： https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/concepts.html Amazon Elastic Compute Cloud (Amazon EC2) 在 Amazon Web Services (AWS) 云中提供可扩展的计算容量。使用 Amazon EC2 可避免前期的硬件投入，因此您能够快速开发和部署应用程序。您可以使用 Amazon EC2 启动所需数量的虚拟服务器，配置安全性和联网以及管理存储。Amazon EC2 可让您扩展或缩减以处理需求变化或使用高峰，从而减少预测流量的需求  对EC2的直白理解：就是一个虚拟的物理主机，用EC2可以省去购置物理设备的步骤，并且还有很多其他机制，比如弹性扩容。 举个例子，你部署一个应用预计要500G的储存空间，然后你就准备了500G的硬盘。但是随着使用运行应用所产生的文件快要超过500G了，这个时候你就得加硬盘才行，但是AWS EC2可以很轻松的实现，给钱立马分配新的空间给你。 其次，如果你对你的应用所产生的文件，内容进行了大幅度的优化，使他们减少了90%的空间占用，这个时候你就相当于之前的500G硬盘白买了，但是EC2也可以很好的解决这个问题，你不用另外500G的时候，取消就行了。 再者AWS EC2也有自动检测的功能，该功能可以帮助用户自动增加/减少实例"aws auto scaling"（需求大时增加，需求少时减少）。 #### Amazon Elastic Compute Cloud（Amazon EC2） 官方： https://aws.amazon.com/cn/ec2/ Amazon Elastic Compute Cloud（Amazon EC2）提供最广泛、最深入的计算平台，拥有超过 500 个实例，可选择最新的处理器、存储、网络、操作系统和购买模型，以帮助您最好地满足工作负载的需求。我们是首家支持英特尔、AMD 和 Arm 处理器的主要云提供商，既是唯一具有按需 EC2 Mac 实例的云，也是唯一具有 400 Gbps 以太网网络的云。我们为机器学习培训提供最佳性价比，同时也为云中的每个推理实例提供了最低的成本。与任何其他云相比，有更多的 SAP、高性能计算 (HPC)、机器学习 (ML) 和 Windows 工作负载在 AWS 上运行。 #### EC2 功能 官方： https://aws.amazon.com/cn/ec2/features/?trk=ec2_landing Amazon EC2 提供最广泛和最深入的实例选择，以满足您的工作负载需求。通用型、计算优化型、内存优化型、存储优化型和加速计算实例类型可为您的工作负载提供最佳的计算、内存、存储和网络平衡。Intel、AMD、NVIDIA 和 AWS 的处理器为这些实例类型提供支持，并提供额外的性能和成本优化。实例类型提供的本地存储和增强型联网选项进一步帮助优化磁盘或网络 I/O 绑定的工作负载的性能。许多实例类型还提供裸机实例，让您的应用程序可以直接访问底层服务器的处理器和内存，以便在非虚拟化环境中运行或用于您想要使用自己的管理程序的应用程序。 #### Amazon EC2 定价 官方文档：https://aws.amazon.com/cn/ec2/pricing/?nc1=h_ls Amazon EC2 提供免费试用。Amazon EC2 云服务器有五种付费方式：按需实例、Savings Plans、预留实例、Spot 实例，以及专用主机。专用主机可在专供您使用的物理服务器上提供 EC2 实例容量。 有关如何优化。  这里面比较难理解的应该是Spot实例与专用主机Dedicated Host，下面会详细介绍一下这两个点。 #### Amazon EC2 Spot 实例 推荐阅读：https://zhuanlan.zhihu.com/p/27606489  （在阅读过程中，你可能会遇到“无状态”这个名词，可以阅读这篇文章：https://www.redhat.com/zh/topics/cloud-native-apps/stateful-vs-stateless） 直白理解： * EC2 Spot实例与EC2实例一样，只不过EC2 Spot用的是闲置的资源。 * 竞价实例使用的是空闲的实例，反正每年会有段时间没人用，造成资源的浪费，AWS不如以较低的起始价格拍卖给用户。 * 在这个竞价实例规则内，出价越高，就越能够获得实例的使用权。 * 但是竞价实例不是完全由自由市场控制的，不然不符合EC2 Spot省钱的特性，竞价实例推测是由AWS自己以一定折扣定价的，这个结论是推测出来的，因为AWS没有公布定价规则。  推荐阅读： https://www.infoq.cn/article/2018/02/amazon-ec2-spot-streamlining  阅读全文请点击上面的推荐阅读 #### Compute Savings Plans 官方： https://aws.amazon.com/cn/savingsplans/compute-pricing/ Savings Plans 是一种灵活的定价模式，它提供较低的 Amazon EC2、AWS Lambda 和 AWS Fargate 使用价格，作为交换，您需要在 1 年或 3 年的期限内达到稳定的**承诺用量**（以 USD/小时为单位衡量）。注册 Savings Plan 后，不超过承付额的用量将按 Savings Plans 折扣价格计费。AWS 提供两种类型的 Savings Plans： Compute Savings Plans 的灵活性最高，最高可帮助您节省 66% 的费用。这些计划会自动应用于 EC2 实例用量，不分实例系列、大小、可用区、区域、操作系统或租期，并且还适用于 Fargate 和 Lambda 的使用。 例如，注册 Compute Savings Plans 后，您可以随时从 C4 实例更改为 M5 实例，将工作负载从欧洲（爱尔兰）区域转移到欧洲（伦敦）区域，或者将工作负载从 EC2 迁移到 Fargate 或 Lambda，并继续自动支付 Savings Plans 价格。 #### Amazon Elastic Container Service (Amazon ECS) 官方： https://aws.amazon.com/cn/ecs/ Amazon ECS 是一项完全托管式容器编排服务，可帮助您轻松部署、管理和扩展容器化的应用程序。它与 AWS 平台的其余部分深度集成，可提供安全、易于使用的解决方案，以便在云中运行容器工作负载，现在还可以通过 Amazon ECS Anywhere 在您的基础设施上运行容器工作负载。  #### Amazon Elastic Block Store (EBS) 官方：https://aws.amazon.com/cn/ebs/ Amazon Elastic Block Store (Amazon EBS) 是一种易于使用且可扩展的高性能数据块存储服务，适合用于 Amazon Elastic Compute Cloud (Amazon EC2)。  #### Amazon Elastic File System(EFS) 官方： https://aws.amazon.com/cn/efs/   #### AWS Fargate 官方：https://aws.amazon.com/cn/fargate/ 适用于容器的无服务器计算 Amazon Fargate 是一种适用于 Amazon ECS 的计算引擎，让您无需管理服务器或集群即可运行容器。使用 Amazon Fargate，您不必再预置、配置和扩展虚拟机集群，即可运行容器。这样一来，您就无需再选择服务器类型、确定扩展集群的时间和优化集群打包。Amazon Fargate 让您省去了考虑服务器或集群以及与之交互的麻烦。使用 Fargate，您可以专注于设计和构建应用程序，而不是管理运行应用程序的基础设施。 Amazon ECS 具有两种模式：Fargate 启动类型和 EC2 启动类型。使用 Fargate 启动类型，您只需将应用程序打包到容器中，指定 CPU 和内存要求，定义联网和 IAM 策略，然后启动应用程序即可。EC2 启动类型让您可以对运行容器应用程序的基础设施进行更精细的服务器级控制。借助 EC2 启动类型，您可以使用 Amazon ECS 来管理服务器集群并安排容器在服务器上的放置。Amazon ECS 跟踪集群中的所有 CPU、内存和其他资源，还会根据指定的资源需求找到容器运行的最佳服务器。而您负责预置、修补和扩展服务器集群。您可以决定使用哪种类型的服务器，在集群中运行哪些应用程序和运行多少容器来优化利用率，以及何时应在集群中添加或删除服务器。EC2 启动类型让您能够更有效地控制服务器集群，并提供支持特定应用程序或可能的合规性和政府要求所需的更广泛的自定义选项。 #### Elastic Load Balancing 官方： https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/application/introduction.html Elastic Load Balancing 在一个或多个可用区中的多个目标（如 EC2 实例、容器和 IP 地址）之间自动分配传入的流量。它会监控已注册目标的运行状况，并仅将流量传输到运行状况良好的目标。Elastic Load Balancing 根据传入流量随时间的变化对负载均衡器进行扩展。它可以自动扩展来处理绝大部分工作负载。 Elastic Load Balancing 支持以下负载均衡器：Application Load Balancer、Network Load Balancer、Gateway Load Balancer 和 Classic Load Balancer。您可以选择最适合自己需求的负载均衡器类型。本指南讨论 Application Load Balancer #### Amazon EC2 Auto Scaling 官方：https://docs.amazonaws.cn/zh_cn/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html Amazon EC2 Auto Scaling 帮助您确保具有正确数量的 Amazon EC2 实例以处理应用程序负载。您可创建 EC2 实例的集合，称为 Auto Scaling 组。您可以指定每个 Auto Scaling 组中最少的实例数量，Amazon EC2 Auto Scaling 会确保您的组中的实例永远不会低于这个数量。您可以指定每个 Auto Scaling 组中最大的实例数量，Amazon EC2 Auto Scaling 会确保您的组中的实例永远不会高于这个数量。如果您在创建组的时候或在创建组之后的任何时候指定了所需容量，Amazon EC2 Auto Scaling 会确保您的组一直具有此数量的实例。如果您指定了扩展策略，则 Amazon EC2 Auto Scaling 可以在您的应用程序的需求增加或降低时启动或终止实例。 例如，以下 Auto Scaling 组的最小大小为 1 个实例，所需的容量为 2 个实例，最大大小为 4 个实例。您制定的扩展策略是按照您指定的条件，在最大最小实例数范围内调整实例的数量。  #### 对比Amazon EC2 Auto Scaling 和 Elastic Load Balancing Amazon EC2 Auto Scaling： 按需求增加和减少EC2实例 Elastic Load Balancing： EC2实例的流量分配机制 #### VPC Flow Logs 官方： https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html 使用 VPC 流日志**记录 IP 流量**  ### S3理解 Amazon Simple Storage Service (S3) 原文：https://zhuanlan.zhihu.com/p/112057573 对S3的通俗理解就是“云盘”，比如百度云盘，你可以用S3方便的存/取一些文件。  S3的数据可以归档到S3 Glacier中，理解为一个“**取**”不方便的云盘，可以把一些不常用的资源放置到S3 Glacier中，因为收费更便宜。  #### S3-生命周期 原文理解：https://www.ecloudture.com/s3-lifecycle/   #### 实例：基于S3的图片处理服务 原文：https://aws.amazon.com/cn/blogs/china/image-processing-service-based-on-s3/  #### AWS Snowball 官方： https://aws.amazon.com/cn/snowball/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc AWS Snowball 属于 AWS Snow 系列，是一种边缘计算、数据迁移和边缘存储设备，具有两个选项。Snowball Edge Storage Optimized 设备同时提供数据块存储和兼容 Amazon S3 的对象存储以及 40 个 vCPU。它非常适合本地存储和大型数据传输。Snowball Edge Compute Optimized 设备提供了 52 个 vCPU、数据块和对象存储，及适用于断开连接的环境中的高级机器学习和完全动态视频分析等使用案例的可选 GPU。您可使用这些设备在连接时断时续的环境（例如制造业、工业和运输）或在极其偏远的位置（例如军事或海事作业）进行数据收集、机器学习、处理和存储，然后再将其运送回 AWS。这些设备也可以安装在机架上并通过集群化一起使用，以构建更大型的临时安装设施。 Snowball 支持特定的 Amazon EC2 实例类型以及 AWS Lambda 函数，因此您可以在 AWS 云中进行开发和测试，然后在偏远位置的设备上部署应用程序以收集、预处理并将数据运送到 AWS。常见使用案例包括数据迁移、数据传输、图像整理、IoT 传感器流捕获和机器学习。  #### AWS Snowmobile 官方： https://aws.amazon.com/cn/snowmobile/ 将 EB 级数据集迁入和迁出 AWS AWS Snowmobile 是一种用于将海量数据移动到 AWS 中的 EB 级数据传输服务。Snowmobile 是一个 45 英尺长的坚固的集装箱，由一台半挂卡车牵引，一次可以传输高达 100PB 的数据。Snowmobile 可以将海量数据轻松移动到云中，实现视频库、图片存储库甚至整个数据中心的迁移。用 Snowmobile 传输数据，更快、更安全、更经济高效。 经过初步评估后，我们会将 Snowmobile 运输到您的数据中心，而 AWS 工作人员会对其进行配置，使您可以将其作为一个网络存储目标来访问。Snowmobile 到达现场后，AWS 工作人员会与您的团队合作，通过一台可移动的高速网络交换机将 Snowmobile 接入您的本地网络，然后您就可以从数据中心内任意数量的数据源将数据高速传输到 Snowmobile。数据加载完成后，Snowmobile 会被运回 AWS，而您的数据会被导入 Amazon S3。 ### AWS IAM 原文：https://zhuanlan.zhihu.com/p/111676632  直白理解： 权限管理 ### AWS GovCloud(US) 原文：https://aws.amazon.com/tw/govcloud-us/?nc1=h_ls&whats-new-ess.sort-by=item.additionalFields.postDateTime&whats-new-ess.sort-order=desc 直白理解：AWS专门为了美国人的网络安全顾虑所提供的一项服务。主要就是为了保证美国相关资料在AWS里的安全可靠。   ### CloudFront 原文：https://www.agilewing.net/news/20201104.html 直白理解：如果交钱用这个功能，你的用户就能够**更加快速的**获取到你应用中的静态资源（图片，.avi等资源）   * 常见问题及解答： https://aws.amazon.com/cn/cloudfront/faqs/?nc1=h_ls  * 另一种介绍CloudFront的例子（帮助理解）：  ### AWS Support Plans 官方文档： https://aws.amazon.com/cn/premiumsupport/plans/  别人的总结：  #### AWS Trusted Advisor 官方文档： https://aws.amazon.com/cn/premiumsupport/technology/trusted-advisor/  #### AWS Personal Health Dashboard 官方文档：https://aws.amazon.com/cn/premiumsupport/technology/personal-health-dashboard/  #### ### Database Services AWS数据库服务： https://aws.amazon.com/cn/free/database/?nc1=h_ls #### Amazon RDS 官方：https://aws.amazon.com/rds?p=ft&c=db&z=3 Amazon Relational Database Service（RDS）是一个托管式服务的集合，可以简化在云中设置、运营和扩展数据库的过程。从以下七种热门引擎中选择 – 兼容 MySQL 的 Amazon Aurora、兼容 PostgreSQL 的 Amazon Aurora、MySQL、MariaDB、PostgreSQL、Oracle 以及 SQL Server – 并在本地使用 Amazon RDS on AWS Outposts 部署。  #### Amazon Aurora https://aws.amazon.com/cn/rds/aurora/?pg=ln&sec=hiw 与 MySQL 和 PostgreSQL 兼容的关系数据库，专为云而打造。性能和可用性与商用数据库相当，成本只有其 1/10。 Amazon Aurora 提供内置的安全性、几乎连续的备份、无服务器计算、最高 15 个只读副本、自动多区域复制以及与其他 AWS 服务的集成。  #### Amazon DynamoDB 官方：https://aws.amazon.com/dynamodb/?p=ft&c=db&z=3 Amazon DynamoDB 是一种完全托管式、无服务器的 NoSQL 键值数据库，旨在运行任何规模的高性能应用程序。DynamoDB 提供内置安全性、连续备份、自动多区域复制、内存缓存和数据导出工具。  #### Amazon ElastiCache 官方：https://aws.amazon.com/cn/elasticache/?p=ft&c=db&z=3 Amazon ElastiCache 是完全托管式的内存缓存服务，支持灵活、实时的使用案例。您可以将 ElastiCache 用于加速应用程序和数据库性能的缓存，也可以将其用作不需要持久性的使用案例（如会话存储、游戏排行榜、流式传输和分析）的主要数据存储。ElastiCache 与 Redis 和 Memcached 兼容。  #### Amazon Athena 官方： https://aws.amazon.com/cn/athena/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc Amazon Athena 是一种交互式查询服务，让您能够轻松使用标准 SQL 分析 Amazon S3 中的数据。Athena 没有服务器，因此您无需管理任何基础设施，且只需为您运行的查询付费。 Athena 简单易用。只需指向您存储在 Amazon S3 中的数据，定义架构并使用标准 SQL 开始查询。就可在数秒内获取最多的结果。使用 Athena，无需执行复杂的 ETL 作业来为数据分析做准备。这样一来，具备 SQL 技能的任何人都可以轻松快速地分析大规模数据集。 Athena 可与 AWS Glue 数据目录进行开箱即用集成，让您能够跨各种服务创建统一的元数据存储库、抓取数据源以发现架构并使用新的和修改后的表与分区定义填充数据目录，以及维护架构版本控制。 ### Provisioning and orchestration预制和编排 原文： https://aws.amazon.com/products/management-and-governance/use-cases/provisioning-and-orchestration/?nc1=h_ls 有了亚马逊云科技的帮助，您既能保持管控，又能提高业务敏捷性。亚马逊云科技提供了预置和编排解决方案，让您可以一致且可重复地预置资源，从而可持续地扩展您的组织。您可以将基础设施作为代码来构建可扩展和可重复的基础设施，使您的构建器在预置资源时能够进行自助服务，并在不影响在亚马逊云科技或本地的工作速度或安全性的情况下保持合规性。 #### AWS Elastic Beanstalk 官方： https://aws.amazon.com/cn/elasticbeanstalk/ AWS Elastic Beanstalk 是一项易于使用的服务，用于在熟悉的服务器（例如 Apache 、Nginx、Passenger 和 IIS ）上部署和扩展使用 Java、.NET、PHP、Node.js、Python、Ruby、GO 和 Docker 开发的 Web 应用程序和服务。 您只需上传代码，Elastic Beanstalk 即可自动处理包括容量预配置、负载均衡、自动扩展和应用程序运行状况监控在内的部署工作。同时，您能够完全控制为应用程序提供支持的 AWS 资源，并可以随时访问底层资源。 Elastic Beanstalk 不额外收费 – 您只需为存储和运行应用程序所需的 AWS 资源付费。 ### Management and Governance on AWS(AWS 上的管理与监管) 官方：https://aws.amazon.com/cn/products/management-and-governance/?nc1=h_ls 在过去，是要加快创新，还是要控制成本、遵从合规性和确保安全性，组织不得不在这两者之间选择其一。借助 AWS 管理与监管服务，客户不必在创新和控制之间选择，而是可以同时拥有两者。通过 AWS，客户可以启用、预置和运营您的环境，以实现业务敏捷性和监管控制。  #### Amazon CloudWatch 官方： https://aws.amazon.com/cn/cloudwatch/ Amazon CloudWatch 是一种专门为 DevOps 工程师、开发人员、站点可靠性工程师 (SRE)、IT 经理和产品拥有者设计的监控和可观测性服务。CloudWatch 为您提供相关数据和切实洞察，以监控应用程序、响应系统范围的性能变化并优化资源利用率。CloudWatch 以日志、指标和事件的形式收集监控和运营数据。您可以统一查看运行状况，获得在 AWS 和本地运行的 AWS 资源、应用程序和服务的完全可见性。您可以使用 CloudWatch 来检测环境中的异常行为、设置告警、并排显示日志和指标、执行自动化操作、排查问题，以及发现可确保应用程序正常运行的洞察。  ### AWS Artifact 官方： https://aws.amazon.com/cn/artifact/ 免费的自助门户，允许按需访问 AWS 合规性报告。 AWS Artifact 是对您很重要的与合规性相关的信息的首选中央资源。它允许按需访问 AWS 安全性与合规性报告以及选择在线协议。AWS Artifact 提供的报告包括我们的服务组织控制 (SOC) 报告、支付卡行业 (PCI) 报告，以及验证 AWS 安全控制的实施和运行效果的不同地域和合规行业的资格鉴定机构签发的认证。AWS Artifact 提供的协议包括商业伙伴协议增订条约 (BAA) 和保密协议 (NDA)。  #### AWS CloudTrail 官方： https://aws.amazon.com/cn/cloudtrail/?c=mg&sec=srv 跟踪用户活动和 API 使用情况  #### AWS CloudTrail 与 CloudWatch CloudTrail： 考试中如果提及API，就选它 CloudWatch： 以日志、指标和事件的形式收集监控和运营数据 ### Amazon Route 53 官方：https://aws.amazon.com/cn/route53/ 将最终用户路由到互联网应用程序的可靠且经济高效的方法（人话：提供域名）     ### Amazon Redshift 通过快速、简单、安全的大规模云数据仓储缩短您的洞察时间。 如今已有成千上万的客户依靠 Amazon Redshift 分析 EB 级数据和运行复杂的分析查询，使 Amazon Redshift 成为使用最广泛的云数据仓库。在数秒内对您的所有数据运行和扩展分析，而无需管理您的数据仓库基础设施。  ### AWS Storage Gateway 官方： https://aws.amazon.com/cn/storagegateway/ 提供几乎不受限制的云存储的本地应用程序访问权限  AWS Storage Gateway 是一组混合云服务，提供几乎不受限制的云存储的本地访问权限。  ### Amazon Virtual Private Cloud (VPC) 官方： https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/what-is-amazon-vpc.html 通过 Amazon Virtual Private Cloud (Amazon VPC)，您可以将 AWS 资源启动到您定义的虚拟网络中。这个虚拟网络与您在数据中心中运行的传统网络极其相似，并会为您提供使用的可扩展基础设施的优势AWS  #### Amazon VPC peering https://docs.aws.amazon.com/zh_cn/vpc/latest/peering/what-is-vpc-peering.html 通过 Amazon Virtual Private Cloud（Amazon VPC），您可以将AWS资源启动到您定义的虚拟网络中。 VPC 对等连接是两个 VPC 之间的网络连接，通过此连接，您可以使用私有 IPv4 地址或 IPv6 地址在两个 VPC 之间路由流量。这两个 VPC 中的实例可以彼此通信，就像它们在同一网络中一样。您可以在自己的 VPC 之间创建 VPC 对等连接，或者在自己的 VPC 与其他AWS账户中的 VPC 之间创建连接。VPC 可位于不同区域内（也称为区域间 VPC 对等连接）。  #### AWS Transit Gateway 官方：https://aws.amazon.com/cn/transit-gateway/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc 将 Amazon VPC、AWS 账户和本地网络轻松连接到一个网关中 AWS Transit Gateway 通过中央枢纽连接 Amazon Virtual Private Cloud (VPC) 和本地网络。这简化了您的网络，并且结束了复杂的对等关系。它用作云路由器 - 每个新连接都只进行一次。 随着您进行全球扩展，区域间的对等使用 AWS 全球网络将 AWS Transit Gateway 连接在一起。您的数据可自动加密，且从来不会通过公共互联网传播。而且，由于处于中央位置，AWS Transit Gateway Network Manager 对您的整个网络有独特的视角，甚至会连接到软件定义的广域网 (SD-WAN) 设备。 ### Amazon Connect 官方： https://docs.aws.amazon.com/zh_cn/connect/latest/adminguide/what-is-amazon-connect.html Amazon Connect 是一个全渠道云联系中心。只需执行几个步骤，便能设置联系中心，添加任意位置的客服，并开始与客户接洽。 您可以使用全渠道通信为客户创建个性化体验。例如，您可以根据客户偏好和预计等待时间等因素动态提供聊天和语音联系。同时，客服可以从一个界面来便捷地处理所有客户。例如，他们可以与客户聊天，在发送给客户时创建或响应任务。 Amazon Connect 是一个开放平台，您可以将它与其他企业应用程序（如）集成。销售部队. 此外，您可以利用AWS为客户提供创新体验的生态系统 ### AWS Direct Connect 官方： https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/Welcome.html AWS Direct Connect 通过标准的以太网光纤电缆将您的内部网络链接到 AWS Direct Connect 位置。电缆的一端接到您的路由器，另一端接到 AWS Direct Connect 路由器。有了这种连接，你可以创建虚拟接口直接向公众AWS服务（如 Amazon S3）或 Amazon VPC，从而绕过您的网络路径中的 Internet 服务提供商。网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的AWS Direct Connect位置提供访问AWS在其关联的区域。您可以使用公有区域或中的单个连接。AWS GovCloud (US)访问公有AWS所有其他公共区域的服务。  ### AWS Directory Service 官方： https://aws.amazon.com/cn/directoryservice/ 适用于 Microsoft Active Directory 的 AWS Directory Service 又称为 AWS Managed Microsoft Active Directory (AD)，可以支持目录感知型工作负载和各种 AWS 资源，以在 AWS 中使用托管的 Active Directory (AD)。AWS Managed Microsoft AD 基于实际的 Microsoft AD 构建，不需要您将数据从现有 Active Directory 同步或复制到云中。您可以使用标准的 AD 管理工具，还可利用各种内置的 AD 功能，例如组策略和单点登录。借助 AWS Managed Microsoft AD，您可以将 Amazon EC2 和 Amazon RDS for SQL Server 实例轻松加入到域中，并使用 Amazon WorkSpaces 等 AWS 最终用户计算 (EUC) 服务以及 AD 用户和组  ### DESIGN FOR FAILURE 原文：http://www.v-wiki.net/design-for-failure/ The concept of “Design for Failure” is often used to describe the approach that assumes that there will be a hardware or system failure somewhere, sometime – and instead of architecting for hardware and server clustering and availability, to design applications so that recovery can be performed quickly. 概括：对待错误的一种自我修复的机制 ### Hybrid cloud architecture 中文翻译为混合架构，用户用了AWS云服务，但是没有完全用，还保留部分的本地服务。这种情况下就叫做混合架构。 ### AWS cost management 官方： https://aws.amazon.com/cn/aws-cost-management/ #### AWS Budgets 官方： https://aws.amazon.com/cn/aws-cost-management/aws-budgets/ 企业和组织需要围绕云成本制定计划和设定预期。但是，云敏捷性要求您调整预测过程和工具，以适应具体使用情况的动态特性。设置自定义预算，及时了解成本和使用情况进展，并在成本或使用情况超出阈值时迅速做出响应。 通过 AWS 预算，您可以设置自定义预算，不管是最简单还是最复杂的使用案例，都能跟踪其成本和使用情况。使用 AWS 预算，您可以选择在发生如下情况时是通过电子邮件还是短信通知接收提醒：实际或预测成本和使用情况超出预算阈值时，或者在实际 RI 和 Savings Plans 的利用率或覆盖率低于所需阈值时。借助 AWS Budget Actions，您还可以配置特定的操作来响应您账户中的成本和使用情况状态，如果您的成本或使用情况超出或预测超出阈值，则可以自动执行操作或经您审批再执行操作，以减少意外超支。 AWS 预算可以与多项其他 AWS 服务集成，例如与 AWS Cost Explorer 集成，您可以轻松查看和分析成本和使用情况驱动因素；与 AWS Chatbot 集成，您可以在指定的 Slack 通道或 Amazon Chime 聊天室中接收预算提醒；与 AWS Service Catalog 集成，您可以跟踪已获批准的 AWS 产品组合和产品的成本。 #### AWS Cost Explorer 官方： https://aws.amazon.com/cn/aws-cost-management/aws-cost-explorer/ AWS Cost Explorer 的界面易于使用，可让您直观看到、理解和管理随时间变化的 AWS 成本和使用情况。 通过创建分析成本和使用情况数据的自定义报告，快速入门。高水平分析数据（例如，所有账户的总成本和使用情况），或者更深入地研究成本和使用情况数据，从而发现趋势，查明成本动因素并检测异常情况。 #### Cost Explorer与Budgets的区别 Budgets是可以对你的cost做一些操作的，比如设置阈值等等 Cost Explorer是一个界面，能够让你更加直观的看到各种cost #### pricing calculator 官方：https://calculator.aws/#/ 配置成本估算，选择满足您独特业务或个人需要的 AWS 产品和服务 **注意：这个可以导出估价分析，这是其他成本计算功能没有的**  ### AWS Cloud Development Kit 官方：https://aws.amazon.com/cn/cdk/?nc1=h_ls AWS Cloud Development Kit (AWS CDK) 是一种开源软件开发框架，可让您使用熟悉的编程语言来定义云应用程序资源。 预置云应用程序是一个具有挑战性的过程，您需要执行手工操作、编写自定义脚本、维护模板或学习特定领域的语言。AWS CDK 利用编程语言的常见性和表达能力为应用程序建模。CDK 提供名为结构的高级组件，使用经过验证的默认值预置云资源，因此您无需成为专家即可构建云应用程序。AWS CDK 通过 AWS CloudFormation 以安全、可重复的方式预置您的资源。它还支持您编写和分享体现组织要求的自定义结构，帮助您更快启动新项目。 对于喜欢使用 Terraform 的客户，cdktf 提供了 CDK 结构，供您在 TypeScript 和 Python 中定义 Terraform HCL 状态文件。对于 Kubernetes 用户，cdk8s 项目允许您使用 CDK 结构定义 TypeScript、Python 和 Java 的 Kubernetes 配置。此外，cdk8s 可以用于定义在任何位置运行的 Kubernetes 基础设置，可以与 AWS CDK 的 Amazon Elastic Kubernetes Service (Amazon EKS) 结构库一起使用。cdk8s 和 cdktf 均为 alpha 版本。 要在一个位置找到所有这些 CDK，请查看 Construct Hub，这里可以发现和共享开源社群、AWS 和合作伙伴发布的结构库。 ### Amazon基于机器学习的相关服务 #### Amazon Rekognition 官方： https://docs.aws.amazon.com/zh_cn/rekognition/latest/dg/what-is.html 利用 Amazon Rekognition，可将图像和视频分析轻松添加到您的应用程序。您只需向 Amazon Rekognition API 提供图像或视频，此服务就能识别物、人、文字、场景和活动。它还可以检测到任何不合适的内容。Amazon Rekognition 还提供高精度的人脸分析、人脸比较和人脸搜索功能。您可以在各种使用案例中检测、分析和比较不同面孔，例如用户验证、编录、人员计数和公共安全等领域。 Amazon Rekognition 基于同样由 Amazon 计算机视觉科学家开发的成熟且高度可扩展的深度学习技术，每天能够分析数十亿图像和视频。它不需要机器学习专业知识即可使用。Amazon Rekognition 包含一个简单易用的 API，该 API 可快速分析存储在 Amazon S3 中的任何图像或视频文件。Amazon Rekognition 始终从新数据进行学习，我们会不断向此服务添加新的标签和人脸比较功能。有关更多信息，请参阅 。Amazon Rekognition 常见问题. 利用 Amazon Rekognition 的常见使用案例包括： * 可搜索的图像和视频库-Amazon Rekognition 使图像和存储视频可搜索，以便您能够发现图像中显示的物体和场景。 * 基于脸部的用户验证-Amazon Rekognition 使您的应用程序能够通过将用户的实时图像与参考图像进行比较来确认用户身份。 * ...... #### Amazon Polly 官方： https://aws.amazon.com/cn/polly/ Amazon Polly 是一种将文本转换为逼真语音的服务，它允许您创建能够说话的应用程序，并构建全新类别的支持语音功能的产品。Polly 的文本转语音 (TTS) 服务使用高级深度学习技术来合成听起来像自然人类语言的语音。Amazon Polly 提供众多语言的几十种逼真语音，您可以构建适用于许多不同国家/地区的具有语音功能的应用程序。 除了标准 TTS 语音外，Amazon Polly 还提供神经文本转语音 (NTTS) 声音，通过全新的机器学习方法提高语音质量。Polly 的神经 TTS 技术还支持新闻主播说话风格，这是针对新闻叙述用例量身定制。 #### Amazon Comprehend 官方：https://aws.amazon.com/cn/comprehend/ Amazon Comprehend 是一项自然语言处理 (NLP) 服务，可使用机器学习发现文本中有价值的见解和关联。 #### Amazon Lex 官方：https://aws.amazon.com/cn/lex/ Amazon Lex 是一种完全托管式人工智能 (AI) 服务，具有高级自然语言模型，可用于在应用程序中设计、构建、测试和部署对话界面。  ### Amazon SageMaker? 官方：https://aws.amazon.com/cn/pm/sagemaker/?nc1=h_ls AWS SageMaker允许用户自带机器学习算法 To make it easier to get started, Amazon SageMaker JumpStart provides a set of solutions for the most common use cases that can be deployed readily with just a few clicks. Prepare, build, train, and deploy high-quality machine learning models quickly by bringing together a broad set of capabilities purpose-built for machine learning. ### AWS 安全 #### AWS Shield 官方： https://aws.amazon.com/cn/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc 托管式 DDoS 防护 AWS Shield 是一种托管式分布式拒绝服务 (DDoS) 防护服务，可以保护在 AWS 上运行的应用程序。AWS Shield 提供持续检测和自动内联缓解功能，能够尽可能缩短应用程序的停机时间和延迟，因此您不需要联系 AWS Support 来获得 DDoS 防护。AWS Shield 有两个层级，分别为 Standard 和 Advanced。 所有 AWS 客户都可以使用 AWS Shield Standard 的自动防护功能，不需要额外支付费用。AWS Shield Standard 可以防护大多数以网站或应用程序为攻击对象并且频繁出现的网络和传输层 DDoS 攻击。将 AWS Shield Standard 与 Amazon CloudFront 和 Amazon Route 53 一起使用时，您将获得针对所有已知基础设施（第 3 层和第 4 层）攻击的全面可用性保护。 对于以在 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 资源上运行的应用程序为目标的攻击，如果想要获得更高级别的防护，您可以使用 AWS Shield Advanced。除了 Standard 版本提供的常见网络和传输层防护之外，AWS Shield Advanced 还可以针对复杂的大型 DDoS 攻击提供额外的检测和缓解服务，让您能够近实时查看各种攻击，并且集成了 AWS WAF 这一 Web 应用程序防火墙。使用 AWS Shield Advanced，您还可以联系随时待命的 AWS Shield 响应团队 (SRT) 并可以获得针对您 Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 费用中出现的 DDoS 相关高峰的全天候防护。 #### report aws abuse 官方： https://aws.amazon.com/cn/premiumsupport/knowledge-center/report-aws-abuse/  #### AWS WAF – Web 应用程序防火墙 官方： https://aws.amazon.com/cn/waf/ AWS WAF 是一种 Web 应用程序防火墙，可帮助保护您的 Web 应用程序或 API 免遭常见 Web 漏洞和机器人程序的攻击，这些漏洞可能会影响可用性、损害安全性或消耗过多的资源。AWS WAF 允许您创建控制机器人程序流量和防范常见攻击模式（例如 SQL 注入或跨站点脚本）的安全规则，从而让您可以控制流量到达您的应用程序的方式。您还可以自定义滤除特定流量模式的规则。您可以使用 AWS WAF 的托管规则快速入门，这是由 AWS 或 AWS Marketplace 卖家管理的一系列预先配置的规则，可用于解决 OWASP 10 大安全风险和消耗过多资源、扭曲指标或可能导致停机的自动机器人程序等问题。这些规则会随新问题的出现定期更新。AWS WAF 包含功能全面的 API，借此您可以让安全规则的创建、部署和维护实现自动化。 您可以将 AWS WAF 作为 CDN 解决方案的一部分部署到 Amazon CloudFront 上，也可以将其部署到位于 Web 服务器或来源服务器（运行于 EC2 上）之前的 Application Load Balancer、适用于您的 REST API 的 Amazon API Gateway 或者是适用于您的 GraphQL API 的 AWS AppSync 上。 AWS WAF 仅需按实际使用量付费，定价基于您部署的规则数量和您的应用程序收到的 Web 请求数量。 #### Amazon Inspector 官方： https://aws.amazon.com/cn/inspector/ 大规模自动化和持续的漏洞管理  #### Amazon Macie 官方： https://aws.amazon.com/cn/macie/ Amazon Macie 是一项完全托管的数据安全和数据隐私服务，它利用机器学习和模式匹配来发现和保护 AWS 中的敏感数据。 随着组织管理越来越多的数据，大规模地识别和保护它们的敏感数据会变得越来越复杂、昂贵和耗时。Amazon Macie 可以大规模自动发现敏感数据，同时降低保护数据的成本。Macie 会自动提供 Amazon S3 存储桶的清单，包括未加密的存储桶、可公开访问的存储桶以及与 AWS 账户共享的存储桶的列表，其中这些账户不属于您在 AWS Organizations 中定义的账户。然后，Macie 将机器学习和模式匹配技术应用于您选择的存储桶，以识别敏感数据，并向您发出警报，例如个人身份信息 (PII)。 #### Amazon GuardDuty 官方：https://aws.amazon.com/cn/guardduty/ Amazon GuardDuty 是一项威胁检测服务，它持续监控您的 AWS 账户和工作负载的恶意活动，并提供详细的安全侦察结果以实现可见性和补救。  #### WS Key Management Service (AWS KMS) 官方：https://aws.amazon.com/cn/kms/ AWS Key Management Service (AWS KMS) 可让您轻松创建和管理加密密钥，并控制其在各种 AWS 服务和应用程序中的使用。AWS KMS 是一种安全且有弹性的服务，它使用已经过 FIPS 140-2 验证或正在验证的硬件安全模块来保护您的密钥。AWS KMS 还能与 AWS CloudTrail 集成，从而为您提供所有密钥的使用记录，帮助您满足监管和合规性要求。 #### AWS CloudHSM 官方： https://aws.amazon.com/cn/cloudhsm/ AWS CloudHSM 是基于云的硬件安全模块 (HSM)，让您能够在 AWS 云上轻松生成和使用自己的加密密钥。借助 CloudHSM，您可以使用经过 FIPS 140-2 第 3 级验证的 HSM 管理自己的加密密钥。CloudHSM 让您可以灵活选择使用行业标准的 API 与应用程序集成，这些 API 包括 PKCS#11、Java 加密扩展 (JCE) 和 Microsoft CryptoNG (CNG) 库等。 此外，CloudHSM 符合标准，让您可以将所有密钥导出到大多数其他商用 HSM，具体取决于您的配置。它是一项完全托管的服务，可为您自动执行耗时的管理任务，例如硬件预置、软件修补、高可用性和备份。借助 CloudHSM，您还能够通过按需添加和删除 HSM 容量进行快速扩展和收缩，无任何预付费用。 #### AWS Security Hub 官方： https://aws.amazon.com/cn/security-hub/ AWS Security Hub 是一项云安保状况管理服务，可执行安全最佳实践检查，整合警告并支持自动修复。 #### AWS Control Tower 官方：https://aws.amazon.com/cn/controltower/?control-blogs.sort-by=item.additionalFields.createdDate&control-blogs.sort-order=desc 设置和管理安全、多账户 AWS 环境的最简单方法 如果您有多个 AWS 账户和团队，那么云设置和管理可能会非常复杂并且耗时，这就会减慢您希望加快的创新速度。AWS Control Tower 提供了一种最简单的方法，用于设置和管理名为登录区的安全多账户 AWS 环境。它使用 AWS Organizations 创建登录区，从而提供持续的账户管理和监管，以及基于 AWS 帮助数千位客户迁移到云的经验的最佳实践实施。构建者只需点击几下即可预置新的 AWS 账户，同时，您可以更加安心，因为您的账户符合公司政策。将监管扩展到新的或现有账户，并快速了解其合规性状态。如果您将要构建新的 AWS 环境、开始您的 AWS 之旅或者启动新的云方案，AWS Control Tower 可以通过内置的监管和最佳实践帮助您快速入门。 #### security groups security groups充当虚拟防火墙，控制允许到达和离开与其关联的资源的流量。例如，在将安全组与 EC2 实例关联后，它将控制该实例的入站和出站流量。 创建 VPC 时，它带有一个默认安全组。您可以为每个 VPC 创建额外的安全组。您只能将安全组与为其创建的 VPC 中的资源关联。 对于每个安全组，您可以添加用于根据协议和端口号控制流量的规则。入站流量和出站流量具有单独的规则集。 您可以设置网络 ACL，使其规则与您的安全组相似，以便为您的 VPC 添加额外安全层。有关安全组和网络 ACL 之间的差别的更多信息，请参见比较安全组和网络 ACL。 #### Access control list (ACL) 官方：https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html Amazon S3 访问控制列表 (ACL) 使您可以管理存储桶和对象的访问权限。每个存储桶和对象都有一个作为子资源而附加的 ACL。它定义了哪些 AWS 账户或组将被授予访问权限以及访问的类型。收到针对某个资源的请求后，Amazon S3 将检查相应的 ACL 以验证请求者是否拥有所需的访问权限。 预设情况下，当另一个 AWS 账户 将对象上载到您的 S3 Bucket，该账户（对象编写者）拥有该对象，拥有对象的访问权限，并可以授予其他用户通过 ACL 访问该数据元的权限。您可以使用对象所有权来更改此原定设置行为，以便禁用 ACL，并且作为存储桶拥有者，您可以自动拥有存储桶中的每个对象。因此，数据的访问控制基于策略，例如 IAM 策略、S3 Bucket 策略、virtual private cloud (VPC) 终端节点策略和 AWS Organizations 服务控制策略 (SCP)。 **Amazon S3 中的大多数现代使用案例不再需要使用 ACL，我们建议您禁用 ACL，除非在需要单独控制每个对象的访问的异常情况下**。使用对象所有权，您可以禁用 ACL 并依赖策略进行访问控制。禁用 ACL 时，您可以轻松通过不同的 AWS 账户 上载的对象维护存储桶。作为存储桶拥有者，您拥有存储桶中的所有对象，并可以使用策略管理对它们的访问。有关更多信息，请参阅 为您的存储桶控制对象所有权和禁用 ACL。 #### security groups 与 Access control list (ACL) 官方：https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison  #### AWS Secrets Manager 官方： https://docs.aws.amazon.com/zh_cn/secretsmanager/latest/userguide/intro.html 过去，在创建自定义应用程序以从数据库中检索信息时，您通常会嵌入凭证（密钥）以直接在应用程序中访问数据库。在需要轮换凭证时，除了创建新的凭证以外，您还必须执行一些其他操作。您必须花一些时间更新应用程序以使用新凭证。然后，您分发更新的应用程序。如果您有多个应用程序具有共享凭证，而您错过更新其中一个，则该应用程序会失败。由于存在这种风险，很多客户选择不定期轮换凭证，这实际上带来了新的风险。 Secrets Manager 允许您将代码中的硬编码凭证（包括密码）替换为对 Secrets Manager 的 API 调用，以便以编程方式检索密钥。这有助于确保密钥不会被检查代码的人员泄露，因为密钥不再位于代码中。此外，您还可以配置 Secrets Manager 以根据指定的计划自动轮换密钥。这样，您就可以将长期密钥替换为短期密钥，从而显著降低泄露风险。 ### AWS CloudFormation 官方： https://docs.aws.amazon.com/zh_cn/AWSCloudFormation/latest/UserGuide/Welcome.html AWS CloudFormation 是一项服务，可帮助您对 AWS 资源进行建模和设置，以便能花较少的时间管理这些资源，而将更多的时间花在运行于 AWS 中的应用程序上。您创建一个描述您所需的所有 AWS 资源（如 Amazon EC2 实例或 Amazon RDS 数据库实例）的模板，并且 CloudFormation 将负责为您设置和配置这些资源。您无需单独创建和配置 AWS 资源并了解 what; CloudFormation 句柄处理该工作时所依赖的内容。以下方案演示 CloudFormation 如何提供帮助。 ### AWS Config 官方：https://aws.amazon.com/cn/config/ AWS Config 服务可供您评估、审计和评价您的 AWS 资源配置。Config 持续监控和记录您的 AWS 资源配置，并支持您自动依据配置需求评估记录的配置。借助 Config，您可以查看配置更改以及 AWS 资源之间的关系、深入探究详细的资源配置历史记录并判断您的配置在整体上是否符合内部指南中所指定的配置要求。如此一来，您将能够简化合规性审计、安全性分析、变更管理和操作故障排除。 ### AWS Systems Manager 官方： https://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/what-is-systems-manager.html AWS Systems Manager （之前被称为 SSM）是一项 AWS 服务，可用于查看和控制 AWS 上的基础设施。通过使用 Systems Manager 控制台，您可以查看来自多个 AWS 服务的操作数据并在 AWS 资源之间自动执行操作任务。Systems Manager 通过扫描托管式节点并报告其检测到的所有策略违规行为（或采取纠正措施）来帮助您维护安全性与合规性。 托管式节点是为 Systems Manager 配置的任何计算机。Systems Manager 支持 Amazon Elastic Compute Cloud (Amazon EC2) 实例、边缘设备以及本地服务器和虚拟机 (VM)，包括其他云环境中的虚拟机。对于操作系统，Systems Manager 支持 Windows Server、macOS、Raspberry Pi OS（原为 Raspbian）以及 Linux 的多个发行版本。 使用 Systems Manager，您可以通过分配资源标签来关联 AWS 资源。然后，您可以将这些资源的操作数据作为资源组进行查看。资源组可帮助您监控资源并进行故障排除。 例如，您可以为以下资源分配资源标签“Operation=Standard OS Patching”： * 一组 AWS IoT Greengrass 核心设备 * 一组 Amazon EC2 实例 * 您自己的机构中的一组本地服务器 * Systems Manager 补丁基准，用于指定要应用于托管实例的补丁 * 用于存储补丁操作日志输出的 Amazon Simple Storage Service (Amazon S3) 存储桶 * Systems Manager 维护时段，用于指定修补操作计划 标记资源之后，您可以在 Systems Manager 整合控制面板中查看这些资源的补丁状态。如果其中的任何资源出现问题，您可以立即采取纠正措施。 ### AWS code deployment #### AWS OpsWorks 官方： https://aws.amazon.com/cn/opsworks/ AWS OpsWorks 是一款配置管理服务，提供 Chef 和 Puppet 的托管实例。Chef 和 Puppet 是自动化平台，允许您使用代码来自动配置服务器。借助 OpsWorks，您可以使用 Chef 和 Puppet 自动完成所有 Amazon EC2 实例或本地计算环境中的服务器配置、部署和管理。OpsWorks 提供三种产品：AWS Opsworks for Chef Automate、AWS OpsWorks for Puppet Enterprise 和 AWS OpsWorks Stacks。 #### AWS CodeDeploy 官方： https://aws.amazon.com/cn/codedeploy/ AWS CodeDeploy 是一项将软件自动部署到各种计算服务（例如 Amazon EC2、AWS Fargate、AWS Lambda 和本地服务器）的完全托管的部署服务。借助 AWS CodeDeploy，您可以更轻松地快速发布新功能，避免在应用程序部署过程中出现停机，并简化应用程序的更新工作。您可以使用 AWS CodeDeploy 自动执行软件部署，而无需执行容易出错的手动操作。服务根据您的部署需求进行扩展。 #### AWS CodePipeline 官方： https://aws.amazon.com/cn/codepipeline/ AWS CodePipeline 是一种**完全托管的持续集成与持续交付服务**，可以帮助您实现发布管道的自动化，从而实现快速而可靠的应用程序和基础设施更新。代码一旦发生更改，CodePipeline 都会根据您定义的发布模型自动构建、测试和部署您的发布流程。这使您能够快速而可靠地提供各种功能和更新。您可以将 AWS CodePipeline 与 GitHub 等第三方服务或您自己的自定义插件轻松集成。利用 AWS CodePipeline，您只需按实际使用量付费。无需预付费用或长期承诺。 ### aws management console 官方：https://docs.aws.amazon.com/zh_cn/awsconsolehelpdocs/latest/gsg/learn-whats-new.html AWS Management Console 是一款 Web 应用程序，包含并引用多种用于管理 AWS 的服务控制台。首次登录时，您会看到控制台主页。主页提供了对每个服务控制台的访问权限，并提供了访问执行 AWS 相关任务所需信息的单一位置。它还允许您通过添加、移除和重新排列小组件（如最近访问、AWS 健康状况、Trusted Advisor 等）来定制 Console Home 体验。 另一方面，单独的服务控制台提供了广泛的云计算工具，以及有关您账户和账单的信息。 ### AWS Managed Services 官方： https://aws.amazon.com/cn/managed-services/?nc1=h_ls AWS Managed Services (AMS) 可帮助您更高效安全的运维您的 AWS 基础设施。利用 AWS 服务和不断增长的自动化、配置和运行手册库，AMS 可以在新的和现有的 AWS 环境中增强和优化您的运营能力。无论客户是刚刚开始使用、迁移数据中心，还是在云中构建优化的解决方案，持续的卓越运营都是云成功的关键因素。AMS 可以作为短期加速器或长期解决方案帮助您增强云运维技能和经验；让您专注于在云中进行应用程序和业务转型。AMS 为您提供了运营灵活性，增强了安全性和合规性，并将帮助您优化容量，并对已确定的成本节省采取行动。AMS 为您的整个 AWS 队列提供一致的操作模型，利用针对传统和现代化工作负载的检测护栏、监控、安全性和事件管理最佳实践。 ### AWS Client VPN 官方： https://docs.aws.amazon.com/zh_cn/vpn/latest/clientvpn-admin/what-is.html AWS Client VPN 是一种基于客户端的托管式 VPN 服务，让您能够安全地访问 AWS 资源和本地网络中的资源。借助 Client VPN，您可以使用基于 OpenVPN 的 VPN 客户端从任何位置访问您的资源。  ### AWS Global Accelerator 官方： https://aws.amazon.com/cn/global-accelerator/?blogs-global-accelerator.sort-by=item.additionalFields.createdDate&blogs-global-accelerator.sort-order=desc&aws-global-accelerator-wn.sort-by=item.additionalFields.postDateTime&aws-global-accelerator-wn.sort-order=desc AWS Global Accelerator 是一项联网服务，可通过使用 Amazon Web Services 的全球网络基础设施将您的用户流量性能提升高达 60%。当互联网拥塞时，AWS Global Accelerator 会优化应用程序路径，帮助您将数据包丢失、抖动和延迟水平持续维持在低水平。 借助于 Global Accelerator，您会得到两个全球静态公有 IP 并将其作为您的应用程序的固定切入点，从而提升其可用性。在后端，增加或删除您的 AWS 应用程序终端节点，如 Network Load Balancers、Application Load Balancer、Network Load Balancer、EC2 实例和弹性 IP，无需做出面向用户的更改。Global Accelerator 自动将您的流量重新路由至您最近的正常运行的可用终端节点，以减少终端节点故障。 ### Amazon Neptune 官方： https://docs.aws.amazon.com/zh_cn/neptune/latest/userguide/intro.html AWS上完全托管的图形数据库服务。 Amazon Neptune 是一项快速、可靠且完全托管式的图数据库服务，可帮助您轻松构建和运行适用于高度互连数据集的应用程序。Neptune 的核心是一个专门打造的高性能图形数据库引擎。此引擎经过优化，可存储数十亿条关系并以数毫秒级延迟查询图形。Neptune 支持流行的图表查询语言 Apache TinkerPop W3C SPARQL Grimlin 和 Neo4J 的 OpenPher，可让您构建查询，高效地浏览高度互连数据集。Neptune 支持图形用例，如建议引擎、欺诈检测、知识图形、药物开发和网络安全。 Neptune 具有高度可用性，带有只读副本， point-in-time Amazon S3 的持续备份以及跨可用区的复制。Neptune 提供了数据安全功能，并支持加密静态数据和传输中的数据。Neptune 是完全托管的，因此，您再也无需担心数据库管理任务，例如硬件预配置、软件修补、设置、配置或备份。 ### AWS Compute Services 官方：https://docs.aws.amazon.com/whitepapers/latest/aws-overview/compute-services.html#amazon-lightsail 需要知道常用的组件和一些不常用组件的名字即可。  ### AWS 上的无服务器(serverless) 官方： https://aws.amazon.com/cn/serverless/    ### AWS X-Ray 官方：https://aws.amazon.com/cn/xray/ AWS X-Ray 可以帮助开发人员分析与调试分布式生产应用程序，例如使用微服务架构构建的应用程序。借助 X-Ray，您可以了解应用程序及其底层服务的执行方式，从而识别和排查导致性能问题和错误的根本原因。X-Ray 可在请求通过应用程序时提供请求的端到端视图，并展示应用程序底层组件的映射。您可以使用 X-Ray 分析开发和生产中的应用程序，从简单的三层应用程序到包含上千种服务的复杂微服务应用程序。 ### Amazon QuickSight 官方：https://aws.amazon.com/cn/quicksight/ Amazon QuickSight 允许您的企业中的所有人通过使用自然语言提问以了解您的数据，通过**交互式控制面板**探索，或自动查找由机器学习支持的模式和异常值 ### AWS Glue 官方：https://aws.amazon.com/cn/glue/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc AWS Glue 是一项无服务器数据集成服务，它简化了发现、准备和合并数据以进行分析、机器学习和应用程序开发的工作。 AWS Glue 提供数据集成所需的全部功能，使您只需几分钟时间便可以开始分析数据并将数据投入使用，而不用耗时几个月。 **数据集成是指准备和合并数据以进行分析、机器学习和应用程序开发**的过程。该过程包含多项任务，例如从各种来源发现和提取数据，丰富、清理、标准化和合并数据，以及在数据库、数据仓库和数据湖中加载和组织数据。这些任务通常由各自使用不同产品的不同类型的用户来处理。 AWS Glue 为您提供可视化界面和基于代码的界面来简化数据集成。用户使用 AWS Glue 数据目录可以轻松找到并访问数据。数据工程师和 ETL（即提取、转换和加载）开发人员只需在 AWS Glue Studio 中点击几次，便能够以可视化的方式创建、运行和监控 ETL 工作流程。**数据分析师和数据科学家可以使用** AWS Glue DataBrew 以可视化方式丰富、清理和标准化数据，而无需编写代码。使用 AWS Glue Elastic 视图，应用程序开发人员可以使用熟悉的结构化查询语言 (SQL)，在不同数据存储之间合并和复制数据。 ### AWS Certificate Manager 官方：https://aws.amazon.com/cn/certificate-manager/ AWS Certificate Manager 是一项服务，**可帮助您轻松地预置、管理和部署公有和私有安全套接字层/传输层安全性 (SSL/TLS) 证书**，以便用于 AWS 产品和您的内部互联资源。SSL/TLS 证书用于保护网络通信的安全，并确认网站在 Internet 上的身份以及资源在私有网络上的身份。使用 AWS Certificate Manager，您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。 利用 AWS Certificate Manager，您可以快速请求证书，在与 ACM 集成的 AWS 资源（例如 Elastic Load Balancing、Amazon CloudFront 分配和 Amazon API Gateway 上的 API）上部署该证书，并让 AWS Certificate Manager 处理证书续订事宜。它还让您能够为内部资源创建私有证书并集中管理证书生命周期。通过 AWS Certificate Manager 预置的用于 ACM 集成服务的公有和私有证书均免费。您只需为您创建的用于运行应用程序的 AWS 资源付费。通过 AWS Certificate Manager Private Certificate Authority，您每月为私有 CA 的运作和您颁发的私有证书付费。 ### Amazon Lightsail 官方：https://aws.amazon.com/tw/lightsail/ 使用低成本、預先設定的雲端資源快速建置應用程式和網站  ### Amazon WorkLink 官方： https://aws.amazon.com/cn/about-aws/whats-new/2019/01/introducing-amazon-worklink/ 让移动设备安全访问内部网站和 Web 应用程序。 Amazon WorkLink 是一项完全托管的服务，可让您的员工使用手机安全地一键式访问内部公司网站和 Web 应用程序。借助 Amazon WorkLink，员工可以像访问任何公共网站一样轻松访问内部 Web 内容，而无需连接到公司网络。当用户访问内部网页时，Amazon WorkLink 会在 AWS 中的安全容器中运行的浏览器中隔离该页面。然后，Amazon WorkLink 将该页面的内容作为矢量图形发送到员工手机，同时保留页面的功能和交互性。这种方法比传统解决方案更安全，因为内部的内容绝不会被员工手机上的浏览器存储或缓存，也从来不会直接连接到公司网络。 ### AWS Outposts 官方： https://docs.aws.amazon.com/zh_cn/outposts/latest/userguide/what-is-outposts.html AWS Outposts 是一项完全托管的服务，可将 AWS 基础设施、服务、API 和工具扩展到客户场所。通过提供对 AWS 托管基础设施的本地访问，AWS Outposts 使客户能够使用与 AWS 区域中相同的编程接口在本地构建和运行应用程序，同时使用本地计算和存储资源来满足更低的延迟和本地数据处理需求。 Outpost 是部署在客户站点的 AWS 计算和存储容量池。AWS 作为 AWS 区域的一部分运营、监控和管理此容量。您可以在 Outpost 上创建子网，并在创建 EC2 实例、EBS 卷、ECS 集群和 RDS 实例等 AWS 资源时指定这些子网。Outpost 子网中的实例使用私有 IP 地址与 AWS 区域中的其他实例通信，全部都在相同 VPC 内进行。 ### Amazon Cognito 官方：https://aws.amazon.com/cn/cognito/ 借助 Amazon Cognito，您可以快速轻松地为 Web 和移动应用程序添加用户注册、登录和访问控制功能。Amazon Cognito 可将用户规模扩展到数百万，并支持通过 SAML 2.0 和 OpenID Connect 使用社交身份提供商（如 Apple、Facebook、Google 和 Amazon）以及企业身份提供商进行登录。 ### Amazon Kinesis 官方：https://aws.amazon.com/cn/kinesis/ **实时轻松收集、处理和分析视频和数据流** Amazon Kinesis 可让您轻松收集、处理和分析实时流数据，以便您及时获得见解并对新信息快速做出响应。Amazon Kinesis 提供多种核心功能，可以经济高效地处理任意规模的流数据，同时具有很高的灵活性，让您可以选择最符合应用程序需求的工具。借助 Amazon Kinesis，您可以获取视频、音频、应用程序日志和网站点击流等实时数据，也可以获取用于机器学习、分析和其他应用程序的 IoT 遥测数据。借助 Amazon Kinesis，您可以即刻对收到的数据进行处理和分析并做出响应，无需等到收集完全部数据后才开始进行处理。 #### Amazon Kinesis Data Analytics 官方：https://docs.aws.amazon.com/zh_cn/kinesisanalytics/latest/dev/what-is.html 借助适用于 SQL 应用程序的 Amazon Kinesis Data Analytics，您可以使用标准 **SQL 处理和分析流数据**。您可以使用该服务针对流式传输源快速编写和运行强大的 SQL 代码，以执行时间序列分析，为实时控制面板提供信息以及创建实时指标。 要开始使用 Kinesis Data Analytics，您可以创建一个 Kinesis Data Analytics 应用程序，以便持续读取和处理流数据。此服务支持从 Amazon Kinesis Data Streams 和 Amazon Kinesis Data Firehose 流式传输源中提取数据。然后，您可以使用交互式编辑器编写 SQL 代码，并使用实时流数据测试它。您还可以配置 Kinesis Data Analytics 将结果发送到的目标。 Kinesis Data Analytics 支持 Amazon Kinesis Data Firehose（Amazon S3、Amazon Redshift、亚马逊）OpenSearch服务和 Splunk），AWS Lambda和 Amazon Kinesis Data Streams 作为目标。 ## 内容扩展 ### 有状态 VS 无状态（IT） 原文： https://www.redhat.com/zh/topics/cloud-native-apps/stateful-vs-stateless   ### 关系和非关系数据库 推荐阅读： https://zhuanlan.zhihu.com/p/78619241 * 关系型数据库是指采用了关系模型来组织数据的数据库。简单来说，关系模式就是二维表格模型。 主要代表：SQL Server，Oracle,Mysql,PostgreSQL。 * NoSQL非关系型数据库，主要指那些非关系型的、分布式的，且一般不保证ACID(一致性的意思)的数据存储系统，主要代表MongoDB，Redis、CouchDB。 NoSQL提出了另一种理念，以键值来存储，且结构不稳定，每一个元组都可以有不一样的字段，这种就不会局限于固定的结构，可以减少一些时间和空间的开销。使用这种方式，为了获取用户的不同信息，不需要像关系型数据库中，需要进行多表查询。仅仅需要根据key来取出对应的value值即可。 ### 如何向小白解释什么是 SaaS SaaS，Software as a service，软件即服务。 原文：https://www.zhihu.com/question/35087138 ### REST通俗理解 原文：https://www.zhihu.com/question/28557115 （这篇知乎里的其他答案也值得看，都写得非常好。） REST是缩写，全称REpresentational State Transfer（表现层状态转移）   直白的理解：  #### SOAP 和 REST 区别解析 原文：https://www.redhat.com/zh/topics/integration/whats-the-difference-between-soap-rest 概述： REST 和 SOAP 是在线传输数据的两种不同的方法。具体而言，它们都定义了应用编程接口（API）（该接口允许数据在 Web 应用之间交换）的构建方式。表述性状态传递（REST）是一组架构原则。简单对象访问协议（SOAP）则是一个由万维网联盟（W3C）制定的官方协议。二者的主要区别在于 SOAP 是一种协议，而 REST 不是。通常，取决于实际用例和开发人员偏好，API 会遵循 REST 或 SOAP 准则。 ### CI/CD是什么 原文： https://www.redhat.com/zh/topics/devops/what-is-ci-cd DevOps、CI、CD到底是什么？十分钟理解 https://cloud.tencent.com/developer/article/1751634 如何理解持续集成、持续交付、持续部署？ https://www.zhihu.com/question/23444990 ### 滲透測試(penetration testing) 推薦閲讀： https://medium.com/@RiverChan/%E4%B8%80%E5%88%86%E9%90%98%E8%AA%8D%E8%AD%98%E6%BB%B2%E9%80%8F%E6%B8%AC%E8%A9%A6-penetration-testing-e1f6ad4fa698 一句話概括：模擬黑客攻擊來測試安全性。 ### 单点登录（SSO） 推荐阅读： https://developer.aliyun.com/article/636281 在企业发展初期，企业使用的系统很少，通常一个或者两个，每个系统都有自己的登录模块，运营人员每天用自己的账号登录，很方便。 但随着企业的发展，用到的系统随之增多，运营人员在操作不同的系统时，需要多次登录，而且每个系统的账号都不一样，这对于运营人员 来说，很不方便。于是，就想到是不是可以在一个系统登录，其他系统就不用登录了呢？这就是单点登录要解决的问题。 单点登录英文全称Single Sign On，简称就是SSO。它的解释是：在多个应用系统中，只需要登录一次，就可以访问其他相互信任的应用系统。  如图所示，图中有4个系统，分别是Application1、Application2、Application3、和SSO。Application1、Application2、Application3没有登录模块，而SSO只有登录模块，没有其他的业务模块，当Application1、Application2、Application3需要登录时，将跳到SSO系统，SSO系统完成登录，其他的应用系统也就随之登录了。这完全符合我们对单点登录（SSO）的定义