IAM是一种WEB服务,可安全的控制用户,控制哪些人可以用哪种方式访问AWS哪些资源。
也可以使用IAM来调用用户的IP进行开发,IAM和AWS的服务集成在一起使用的,可以提供身份认证完成授权来达到权限控制的目的。
功能与特点(function&Feature)1.账户内共享访问权限:授予其他人管理和使用你的AWS账户资源权限而无需共享密码或者访问密钥。
2.细化权限:可以根据需要为每个用户的职责授予所需的不同权限。
3.对在EC2上运行的应用程序的AWS资源的安全访问:IAM可以帮助提供再EC2实例上运行的应用程序访问其他AWS资源所需的临时凭证。
4.多重验证(MFA multi-factor authentication)
可以向你的账户和各个用户添加的双重身份验证以实现更高安全性,借助MFA,你或者你的用户不仅必须提供使用账户密码或者访问密钥,还需要来自经过特殊配置的设别的代码。
5.联合身份
IAM允许用户通过提供临时凭证,(例如自己公司的旺火过着Google等身份验证)访问AWS资源,而 无需用户拥有AWS账户。
6.安全的身份信息:cloudtrail 可以用于接受日志记录,其中包含有关账户中提出资源请求的人员信息。
7.PCI DSS合规性:IAM支持由商家或者服务商处理,存储和传输信用卡数据,而且已经验证符合支付卡行业(PCI)数据安全标准(DSS)
8.与AWS服务集成:IAM与大部分的AWS服务集成,,以提供为其他的AWS服务提供身份验证与授权服务。
9.最终一致性:与许多其他的AWS服务一样,IAM 通过在亚马逊全球数据中心内的多个服务器之间复制数据,最终保持一致并实现高可用性。对IAM所做的更改最终会保持一致,因此需要一些时间来反映。
10.免费试用:IAM免费提供,比如你咋其他资源上使用IAM控制权限,所收取的费用只是收取其他资源的费用。
11.安全令牌服务(security token service):IAM提供STS,这是AWS账户的附带功能,免费提供,AWS进队使用STS临时安全凭证访问的其他AWS服务收费。
基本概念(basic concept)用户:IAM用户时在aws中创建的实体,使用用户名和密码可以控制登录aws控制台。
组:是IAM用户的集合,可以给用户加入到组,并为组指定权限,从而使其更易于管理。
角色:IAM角色类似于用户,但不是用户,因为不能用来登录。一般被赋予某个资源,使它临时具备某些权限,角色在账户内是部分区域的,并且角色比起使用用户密钥来说更加安全也更容易管理。可以在任何时候将角色赋予EC2实例,并且不需要重启而能够马上生效。
策略与权限:策略与权限允许你定义谁可以访问什么资源,通过策略文档描述具体的权限设置,策略描述的文件为JSON。
身份验证(Authentication)AWS CLI:命令行模式 SDKs:可以调用AWS的IP console :控制台--从安全角度上建议删除根用户密钥,
授权(Authorization)策略可以指定给角色,用户和组。
最佳实践(the best practice)删除根用户的访问密钥(access key)
为特权用户启用多重身份验证(MFA)
授予最少特权
使用组为IAM用户分配权限
配置密码策略
使用角色(role)委派权限
设置定期修改密码
删除不必要的用户和授权
使用策略条件配置额外的安全规则
监控AWS账户中活动
Amazon EC2是一种Web服务,向用户提供虚拟化服务器(虚拟计算环境),被称为实例。允许用户通过配置自动按需调整计算容量,例如 实例数量,CPU数量,内存大小,存储大小及网络性能进行弹性缩放。
服务器,虚拟机而已
elastic 是指如果配置正确,可以根据业务需求自动增加或者减少所需的服务器数量,compute 是指计算服务器资源,cloud指的是云托管。
EC2协同工作的主要组件:块存储 elastic block store,EBS 负载均衡 elastic load balance ,ELB 自动扩展组 Auto-scaling Group ,ASG
EC2价格模型有很多,举几个例子
1.免费套餐:AWS免费套餐包括为期一年,每月750小时Linux和Windows t2.micro(微型)实例的使用时间
2.按需实例:无需签订长期合同或者预付款,根据运行实例以按小时或者按分钟的方式计算容量付费。
用途:
希望拥有低成本和Amazon EC2提供的灵活性,且不想支付预付款或者签订长期合同的用户,具有短期,难应付或者无法预测且不能中断的工作负载的应用程序首次在Amazon E2上开发或者测试的应用程序。3.专用主机:专用主机是指专供你使用的物理EC2服务器,专用主机可以用来绑定软件许可证。
4.预留实例:可以提供容量预定,并且于按需实例相比,提供大量折扣,合同期为1年或者3年。
用途:
使用率稳定的应用程序可能需要预留容量的应用程序愿意使用EC2 1年或者3年以上来降低总计算成本的客户预留实例的类型:
标准预留实例:与按需实例的定价相比,预留实例的折扣高达75%,并且能按照1,3年的试用期进行购买。客户可以灵活的更改其标准预留实例的可用区,实例大小和联网类型。可转换预留实例:如果需要额外的灵活性(例如能够在预留实例使用期内使用不同实例系列,操作系统或租期)可以购买可转换预留实例。与按需实例的定价相比,可转换预留实例可以提供高达54%的折扣,并且能按照1或者3年进行购买。计划预留实例:可以以一年为期购买具有指定的开始时间和使用时长,需要提前续订预留容量以确定在需要的时间可用,一旦购买,即使你未使用也需要付费。这个适用于运营稳定的应用程序。5.竞价实例:可以以任何加个竞拍实例,与按需实例相比,这类实例最多可以节省90%的成本。
用途:
开始时间和结束时间灵活的应用程序:批处理只能承受极低的计算价格的应用程序具有紧急计算需要,需要获取大量附加容量的用户6.专用实例:按小时付费的,在单一租户硬件上运行的实例。
EC2实例类型EC2的启动过程专用主机用途:
可以按需购买可作为预留实例购买,与按需实例的价格相比,最多可以节省70%的成本非常适合不支持多租户或云部署的许可。区别:专用实例是在单一客户专用硬件上运行的Amazon EC2 实例,专用主机与专用实例在性能,安全性或物理方面没有区别。不同的是,使用专用主机,可以及查看和控制实例在服务器中的放置。
EC2 启动过程:
1.选定区域:选择距离客户物理位置比较近的区域
2.开启EC2向导
3.选择Amazon系统映像(AMI)
4.根据需求选择实例类型
5.配置实例详细信息(网络,安全组,存储卷,标签,IAM角色等)
6.审核配置信息
7.启动完成
相当于EC2的内置防火墙,控制可访问性,默认拒绝所有入向流量,允许出向流量,可以控制入向流量和出向流量。
应用示例 安全组demo考试小贴士相当于EC2的内置防火墙,控制可访问性,默认拒绝所有入向流量,允许出向流量,可以控制入向流量和出向流量。
可扩展块存储设备,我们可以利用EBS创建存储卷并挂载到EC2实例上,挂载之后可以在存储卷上创建文件系统,运行数据库或者其他的用途。EBS卷可以放置在一个指定的可用区,我们可以设置自动复制来避免EBS卷坏掉导致数据丢失。
EBS类型EBS的特点 类型分为:HDD,SSD,Magnetic 磁介质:现在已经很少有、挂载在EC2上面的持久的,自定义块存储设备同可用区复制通过快照备份简单容易加密可拓展EBS demo
在创建的过程中,如果卷不是加密的那么快照也不是加密的。
考试小贴士 分为:SSD,HDDM,magnetic磁介质,通常使用的是SSD中的通用型SSD (gp2),以及预配置IOPS(io1)同可以用区可以复制通过快照备份和数据恢复。传统的负载均衡是一种将访问流量通过调度算法分发到后台服务器的设备,同时对后台应用服务器做周期性的健康检查,当发现某台应用服务器出现故障的时候就不再派发任务到此台服务器,以此来达到服务的高可用性。
这样的话,前端用户其实很难察觉到后台有一台服务器故障。
什么是弹性负载均衡(ELB )
弹性负载均衡分发传入应用程序或者网络流量到横跨多个可用区中的多个已注册目标(如EC2)。并且随流量发生更改时自动扩展负载均衡器,已处理大部分工作负载。
ELB的类型和特点
分为三种:
传统负载均衡(classic load balancer )
ELB模式Demo考试贴士