AWS在全球范圍內(nèi)運(yùn)營(yíng)數(shù)據(jù)中心���,并將其分組到各個(gè)區(qū)域,還提供了50多種不同的服務(wù)�。
圖片來(lái)源于網(wǎng)絡(luò)
1.為root用戶(hù)啟用MFA
您的root用戶(hù)授予對(duì)AWS賬戶(hù)每個(gè)部分的訪(fǎng)問(wèn)權(quán)限,從啟動(dòng)虛擬機(jī)到刪除數(shù)據(jù)庫(kù)�����。換句話(huà)說(shuō),您的root用戶(hù)是各種壞人的寶貴目標(biāo)�。創(chuàng)建AWS賬戶(hù)后,您應(yīng)該做的第一件事是為root用戶(hù)啟用MultiFactor-Authentication(MFA)�����。您可以使用虛擬設(shè)備(智能手機(jī)上的移動(dòng)應(yīng)用程序)或硬件令牌���。啟用MFA后����,您必須從MFA設(shè)備輸入電子郵件�����,密碼和一次性密碼才能登錄����。
2.創(chuàng)建結(jié)算警報(bào)
AWS對(duì)其服務(wù)使用按使用付費(fèi)的定價(jià)模型。例如���,如果啟動(dòng)虛擬機(jī)�,則必須按小時(shí)付費(fèi)-或者對(duì)存儲(chǔ)在對(duì)象庫(kù)中的每GB數(shù)據(jù)進(jìn)行計(jì)費(fèi)�。如果您忘記終止未使用的虛擬機(jī)或刪除S3中不再需要的數(shù)據(jù)�����,則可能會(huì)產(chǎn)生不必要的成本�。為避免AWS的月度帳單上出現(xiàn)意外結(jié)算金額�,您應(yīng)該創(chuàng)建結(jié)算提醒。如果當(dāng)月的費(fèi)用超過(guò)您的限額�,結(jié)算提醒會(huì)向您發(fā)送電子郵件。
3.熟悉身份和訪(fǎng)問(wèn)管理
身份和訪(fǎng)問(wèn)管理(IAM)服務(wù)對(duì)AWS API的請(qǐng)求進(jìn)行身份驗(yàn)證和授權(quán)���。IAM是云中安全性的基礎(chǔ)部分�。它允許您限制對(duì)所有AWS服務(wù)的訪(fǎng)問(wèn)����。一些例子:
·Bob是否允許啟動(dòng)新的虛擬服務(wù)器?
·是否允許應(yīng)用程序在對(duì)象存儲(chǔ)上存儲(chǔ)數(shù)據(jù)�����?
·Mary是否有權(quán)訪(fǎng)問(wèn)存儲(chǔ)在NoSQL數(shù)據(jù)庫(kù)中的客戶(hù)信息����?
了解IAM的概念并遵循最佳實(shí)踐非常重要��。因此����,從一開(kāi)始就做好自己的幫助并熟悉身份和訪(fǎng)問(wèn)管理服務(wù)�。
4.使用免費(fèi)套餐
AWS為其許多服務(wù)提供免費(fèi)套餐。在AWS第一年免費(fèi)啟動(dòng)虛擬機(jī)每月750小時(shí)�����。在AWS上第一年免費(fèi)在對(duì)象存儲(chǔ)區(qū)中存儲(chǔ)5GB�。使用NoSQL數(shù)據(jù)庫(kù)可以免費(fèi)存儲(chǔ)最多25GB。
繼續(xù)使用免費(fèi)套餐來(lái)發(fā)現(xiàn)這些服務(wù)等等����。
5.選擇一個(gè)地區(qū)
AWS在全球范圍內(nèi)運(yùn)營(yíng)數(shù)據(jù)中心,并將其分組到各個(gè)區(qū)域。在使用AWS服務(wù)之前�,您應(yīng)該考慮為您的用例選擇最佳區(qū)域。選擇地區(qū)時(shí)需要考慮的事項(xiàng):
·服務(wù)的可用性:您想在該地區(qū)使用的所有服務(wù)是否都可用���?
·延遲:哪個(gè)區(qū)域最接近您的客戶(hù)���?
·合規(guī)性:您是否可以在該地區(qū)的管轄區(qū)內(nèi)存儲(chǔ)和處理數(shù)據(jù)?
·成本:在該地區(qū)運(yùn)行工作負(fù)載的成本是多少�?
6.啟用CloudTrail
使用CloudTrail跟蹤對(duì)AWS API的每次調(diào)用��。只要您或您的某個(gè)團(tuán)隊(duì)成員更改了您的云基礎(chǔ)架構(gòu)(例如����,調(diào)整防火墻配置),就會(huì)存儲(chǔ)日志事件�。這樣做可以讓您調(diào)試失敗或調(diào)查安全事件。
立即啟用CloudTrail�����,您可以選擇在以后需要時(shí)瀏覽日志文件。
7.了解基本服務(wù)
AWS提供50多種不同的服務(wù)�。通過(guò)了解最受歡迎的旅程開(kāi)始您的旅程:
·亞馬遜彈性計(jì)算云(EC2)
·亞馬遜虛擬私有云(VPC)
·亞馬遜簡(jiǎn)單存儲(chǔ)服務(wù)(S3)
·亞馬遜關(guān)系數(shù)據(jù)庫(kù)服務(wù)(RDS)
·AWS身份和訪(fǎng)問(wèn)管理(IAM)
8.安裝和配置AWS命令行界面(CLI)
AWS管理控制臺(tái)允許您通過(guò)單擊Web界面來(lái)管理AWS服務(wù)。AWS命令行界面(CLI)允許您從命令行訪(fǎng)問(wèn)AWS服務(wù)��。如果你是一個(gè)命令行忍者�,這是一個(gè)很有價(jià)值的選擇。
通過(guò)在計(jì)算機(jī)上安裝和配置CLI開(kāi)始��。
9.旨在實(shí)現(xiàn)自動(dòng)化
使用AWS的最大優(yōu)勢(shì)之一是API允許您自動(dòng)化云基礎(chǔ)架構(gòu)的每個(gè)部分;從啟動(dòng)和配置虛擬機(jī)到創(chuàng)建整個(gè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)�。我的經(jīng)驗(yàn)證實(shí),使用自動(dòng)化可以提高基礎(chǔ)架構(gòu)的質(zhì)量��,并大大減少管理工作量����。您應(yīng)該以自動(dòng)化為目標(biāo),以充分利用AWS(嘗試AWS CloudFormation)�。
10.咨詢(xún)Trust Advisor
我強(qiáng)烈建議聘請(qǐng)顧問(wèn)定期審核您的AWS架構(gòu)和安全性。另一種選擇是利用AWS Trusted Advisor;這是您的AWS賬戶(hù)的自動(dòng)化專(zhuān)家�����。您將從AWS Trusted Advisor中的以下類(lèi)別中找到有價(jià)值的建議來(lái)優(yōu)化您的AWS賬戶(hù):
·成本優(yōu)化
·性能
·安全
·容錯(cuò)
請(qǐng)務(wù)必定期查看Trusted Advisor的調(diào)查結(jié)果
閩公網(wǎng)安備 35010202001226號(hào)
