AWS workshop - HackMD

--- tags: aws, architecture --- # AWS workshop https://github.com/awshktsa/AWS-Well-Architected-Bootcamp-2020-08-20/wiki/Workshop-Agenda [Well architecture principle]( https://aws.amazon.com/tw/architecture/well-architected/?wa-lens-whitepapers.sort-by=item.additionalFields.sortDate&wa-lens-whitepapers.sort-order=desc) Trace User 使用狀況 cloudtrai(Free aws service) 建議設置方式： 1 盡可能自動化安全設置 2 Identity Base Setup 3 先預想安全問題定期演練 4 避免使用root account 登入 5 MFA for grant IAM login [Google Authenticator](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=zh_TW) 6 AWS STS(Security Token Service)[AWS STS detail](https://aws.amazon.com/tw/about-aws/whats-new/2019/04/aws-security-token-service-sts-now-supports-enabling-the-global-sts-endpoint-to-issue-session-tokens-compatible-with-all-aws-regions/) 7 key rotation(定期) 8 Tokenization: DynamoDB Secure 面向： data security, application access,network security 確認 https 憑證狀態 domain name 權限管理安全防護： 1 定期Security Backup 2 做安全預演 3 IAM role 賦予某個允算單元就部需要使用 iam secret key 跟 access key來存取 resource 4 [System manager](https://aws.amazon.com/tw/systems-manager/), [Session manager](https://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/session-manager.html) 5 先Capture, Analyze, Restore 本日實做 https://wellarchitectedlabs.com/ ### high available 透過CDN 來對存取做最優化 [AWS global accelerator](https://aws.amazon.com/tw/global-accelerator/?blogs-global-accelerator.sort-by=item.additionalFields.createdDate&blogs-global-accelerator.sort-order=desc&aws-global-accelerator-wn.sort-by=item.additionalFields.postDateTime&aws-global-accelerator-wn.sort-order=desc) ### 節流 [spot instance](https://aws.amazon.com/tw/ec2/spot/) [reserve instance](https://aws.amazon.com/tw/aws-cost-management/reserved-instance-reporting/) ### pdf [5-pillars-pdf](https://github.com/awshktsa/AWS-Well-Architected-Bootcamp-2020-08-20/tree/master/5-pillars-pdf) case2 problem: 1. S3存取權限如何定義？ 2. ansible部署環境的細節沒交代，是否存在風險？ 3. gitlab是如何做CICD？細節有無風險？ 4. 使用自己開發的加密模組是否有引用第三方套件，是否有風險？ 5. 使用自己開發的加密模組是否通過了完整的驗證測試？ 6. 使用KMS,ACM的權限管理是否有做好？ 7. 使用TerraForm取代CloudFormation，但又手動修改infra怎確定手動修改後是沒問題？如果有問題要如何rollback？ 8. 使用TerraForm應該只能做到general操作？ 9. log隨著instance消失跟著消失是否要考慮把log存放到外部服務？ 10. 全公司用同一個pem，如果一個人離職pem不就要全部人重發？ 11. 全公司用同一個pem，出事要如何釐清誰的責任？ 12. 全公司用同一個pem，但每個人開發的業務不同，也就代表該pem權限超大？ 13. 全公司如果是用同一個pem也就代表，這個pem是不能替換的，一替換全部人跟服務都會出問題。 case3 problem: 1. 關於Billing 是否有設定Notification? 2. 有權限開設resource 的IAM總共有幾個？ 3. 地端雲端監控複雜，要如何確實釐清問題發生點？ 4. 地端跟雲端機器的互動是否有資安保護？ 5. 地端雲端有無同一套部署方式？ 6. 每個人都可以開資源，是否預算會爆炸？ 7. 各自負責deploy如果人離職要如何確實交接？ 8. user 資料十分敏感，如何確保是經過使用者授權？ 9. 對於每個ap 是否有設定metric監控，如何匯集每個機器的用量？ 10. 雖然使用VPN傳遞資料但有無加密？