###### tags: `aws` `note` `thu` # AWS考試筆記-01-有點實用的，但有點煩 ## 1. 安全 ### a. Shared Responsibility Model(共同背鍋模型) - AWS提供的部份出包: 他的錯 - 你設定出包: 你的錯 - 結案 ### b. Identity and Access Management(IAM) #### 存取方式 - 程式(CLI,SDK): Access key ID, Secret access key - 瀏覽器(Console): Account ID, Username, Password #### 權限管理 - Policy: 表示你可以幹什麼。可被指派給Group, User, Resource(部份) - IAM是預設什麼事都不能做的，你只有允許了才能做。 - Role: 可以跟一堆Policy做連結，然後被指派給User  - Group：可以包含一群User。也可以連結Policies。  - 但也可以使用Resource-based policies來指定誰可以在這個資源上做什麼。  #### 帳號安全 - 不要用root做事 - 使用MFA - 使用CloudTrail記錄使用者的操作行為(基本設定是免$的) - 也可用Cost and Usage Report（免$，一天一更） ## 2. 網路管理 ### a. VPC - 每個VPC只有一個網段(x.x.x.x/16 ~ x.x.x.x/28) - 但可以有多個subnet - 可以跨多個AZ，但只能在同一個區域(Region)  - 但你可以用VPC Peering連接多個VPC，只要ip-range沒疊到。(連了才有，沒有遞移性)  ### b. 連線 #### Gateway (WIP) - 要連網就要用gateway，要public subnet(外面能連到)就要nat gateway + public ip。 - Elastic Public IP要錢，是申請了就固定，不會每次開機都不同。 - 管理連線使用: - 使用Security groups: 最小單位為instances - 使用Network ACL: 最小單位為Subnet - Direct Connect可以直接跟On-Premise的Server處在同一個VPC下。 #### DNS - Route 53利用DNS的特性，可為進來的流量指向他該去的地方。 #### CDN - 提供CDN的服務。(也有一些防ddos的功能) - Edge location: 提供快取 - Regional Edge Cache: 提供沒那麼常用的快取