CSAA PRACTICE TEST 5

18

1. 創(chuàng)建AWS Security Account的時(shí)機(jī)：Most AWS customers with multiple AWS accounts would like to organize them in some sort of security hierarchy. If you answer “yes” to any of the following questions, it is a good indication that you should consider establishing one or more security relationships between AWS accounts:

1. Do you want to manage AWS user identities in one account and federate access to other accounts?
2. Do you want to centrally store, secure, analyze, and report on AWS generated log data from services such as AWS CloudTrail, AWS Config, Amazon S3, Amazon CloudFront, Elastic Load Balancing, or Amazon VPC Flow Logs?
3. Do you want to empower security and compliance organizations to apply security baselines and monitor security compliance across multiple AWS accounts?
4. Do you want to centrally manage approved Amazon Elastic Compute Cloud (Amazon EC2), Amazon Machine Images (AMIs), or AWS Service Catalog portfolios and products?

2. AWS賬戶安全結(jié)構(gòu)：

Many companies group AWS accounts into logical structures to better organize and secure their AWS resources. While AWS accounts are not technically hierarchical, you can use organizational units (OUs) with AWS Organizations to create hierarchical and logical account groupings. When creating a new AWS account in an organization, you can use service control policies (SCPs) to filter and restrict the services and actions its users and roles are able to access. All management of the organization is performed centrally in the master account; this includes creating SCPs, creating OUs, and attaching SCPs to OUs (IAM policies are managed on the account level, independently of AWS Organizations). The following security account structures are based on common approaches for creating and securing AWS account groups.

3 . 創(chuàng)建AWS Security Account是最高級(jí)別的安全隔離方案

4. 為EC2資源打生產(chǎn)環(huán)境的標(biāo)簽，然后設(shè)置資源的訪問權(quán)限，對(duì)于生產(chǎn)環(huán)境的EC2資源進(jìn)行刪除權(quán)限進(jìn)行顯式拒絕；
5. MFA是在用戶名密碼之外增加的一層賬戶資源保護(hù)方案；\

23

1. EBS自動(dòng)提供了同region內(nèi)的冗余能力：Amazon Elastic Block Store (Amazon EBS) 可在 AWS 云中提供用于 Amazon EC2 實(shí)例的持久性塊存儲(chǔ)卷。每個(gè) Amazon EBS 卷都會(huì)在其可用區(qū)內(nèi)自動(dòng)復(fù)制，以保護(hù)您免受組件故障的影響，同時(shí)提供高可用性和持久性。Amazon EBS 卷為您提供處理工作所需的穩(wěn)定低延遲性能。通過 Amazon EBS，您可在幾分鐘內(nèi)調(diào)整用量大小 - 所有這些您只需為配置的資源量支付低廉的價(jià)格。
2. EBS應(yīng)用場(chǎng)景：Amazon EBS 設(shè)計(jì)用于優(yōu)化性能、成本和容量即可受益的應(yīng)用程序工作負(fù)載。典型使用案例包括：大數(shù)據(jù)分析引擎（如 Hadoop/HDFS 生態(tài)系統(tǒng)和 Amazon EMR 集群）、關(guān)系和 NoSQL 數(shù)據(jù)庫(kù)（如 Microsoft SQL Server 和 MySQL 或 Cassandra 和 MongoDB）、流和日志處理應(yīng)用程序（如 Kafka 和 Splunk），以及數(shù)據(jù)倉(cāng)庫(kù)應(yīng)用程序（如 Vertica 和 Teradata）。

30

1. Elastic Beanstalk是一個(gè)容易使用的，支持?jǐn)U展部署的服務(wù)；
2. 我們可以簡(jiǎn)單的將代碼上傳，Elastic Beanstalk會(huì)自動(dòng)的處理部署，容量獲取，負(fù)載均衡，自動(dòng)擴(kuò)展，健康監(jiān)控；同時(shí)我們可以獲取全部的Resource的控制權(quán)，及訪問底層的資源在任何時(shí)間；
3. 創(chuàng)建一個(gè)Lamp堆棧的web應(yīng)用程序是 Beanstalk的對(duì)外標(biāo)準(zhǔn)案例；

31

1. API GateWay有兩種權(quán)限控制策略：使用 IAM 權(quán)限通過控制對(duì)以下兩個(gè) API Gateway 組件進(jìn)程的訪問來控制對(duì) Amazon API Gateway API 的訪問：

1. 要在 API Gateway 中創(chuàng)建、部署和管理 API，您必須授予 API 開發(fā)人員相關(guān)許可，使其可執(zhí)行受 API Gateway 的 API 管理組件支持的必要操作。
2. 要調(diào)用已部署的 API 或者刷新 API 緩存，您必須授予 API 調(diào)用方相應(yīng)許可，使其可執(zhí)行受 API Gateway 的 API 執(zhí)行組件支持的必要 IAM 操作。

2. 用于創(chuàng)建和管理API的API GATEWAY許可模型（發(fā)布方）：

要使 API 開發(fā)人員可在 API Gateway 中創(chuàng)建和管理 API，您必須創(chuàng)建 IAM 許可策略，允許特定的 API 開發(fā)人員創(chuàng)建、更新、部署、查看或刪除必要的 API 實(shí)體。您可以將許可策略掛載到代表開發(fā)人員的 IAM 用戶、包含用戶的 IAM 組，或者是用戶擔(dān)任的 IAM 角色。

3. 用于創(chuàng)建和管理 API 的 API Gateway 許可模型（調(diào)用方）：

要使 API 調(diào)用方可調(diào)用 API 或刷新其緩存，您必須創(chuàng)建相關(guān)的 IAM 策略，允許指定的 API 調(diào)用方調(diào)用已啟用 IAM 用戶身份驗(yàn)證的 API 方法。API 開發(fā)人員可將該方法的 authorizationType 屬性設(shè)置為 AWS_IAM，要求調(diào)用方提交 IAM 用戶的訪問密鑰以進(jìn)行身份驗(yàn)證。然后將策略掛載到代表 API 調(diào)用方的 IAM 用戶、包含用戶的 IAM 組，或者是用戶擔(dān)任的 IAM 角色。

45

1. 一個(gè)VPC內(nèi)的WebServer和DB instance的訪問主要是通過SecurityGroup限定的，如果需要增加對(duì)于某些IP或者CIDR的限制，可以配合NACL進(jìn)行控制；

50

1. RDS是不提供底層資源操作系統(tǒng)級(jí)別的訪問權(quán)限，只能通過參數(shù)組來修改默認(rèn)配置；
2. 參數(shù)組設(shè)置：

如果您在創(chuàng)建數(shù)據(jù)庫(kù)實(shí)例時(shí)未指定客戶創(chuàng)建的數(shù)據(jù)庫(kù)參數(shù)組，則將創(chuàng)建默認(rèn)的數(shù)據(jù)庫(kù)參數(shù)組。該默認(rèn)組包含數(shù)據(jù)庫(kù)引擎默認(rèn)值和 Amazon RDS 系統(tǒng)默認(rèn)值，具體根據(jù)引擎、計(jì)算等級(jí)及實(shí)例的分配存儲(chǔ)空間而定。您無法修改默認(rèn)數(shù)據(jù)庫(kù)參數(shù)組的參數(shù)設(shè)置；您必須創(chuàng)建自己的數(shù)據(jù)庫(kù)參數(shù)組才能更改參數(shù)設(shè)置的默認(rèn)值。請(qǐng)注意，并非所有數(shù)據(jù)庫(kù)引擎參數(shù)都可在客戶創(chuàng)建的數(shù)據(jù)庫(kù)參數(shù)組中進(jìn)行更改。

3. 自定義參數(shù)組：

如果您想使用您自己的數(shù)據(jù)庫(kù)參數(shù)組，只需創(chuàng)建一個(gè)新的數(shù)據(jù)庫(kù)參數(shù)組，修改所需的參數(shù)并修改數(shù)據(jù)庫(kù)實(shí)例，就可以使用新的數(shù)據(jù)庫(kù)參數(shù)組。與特定數(shù)據(jù)庫(kù)參數(shù)組關(guān)聯(lián)的所有數(shù)據(jù)庫(kù)實(shí)例都將獲得該數(shù)據(jù)庫(kù)參數(shù)組的所有參數(shù)更新。您還可使用 AWS CLI copy-db-parameter-group命令復(fù)制現(xiàn)有參數(shù)組。當(dāng)您已創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)參數(shù)組并且想在新的數(shù)據(jù)庫(kù)參數(shù)組中包含該組中的大部分自定義參數(shù)和值時(shí)，復(fù)制參數(shù)組是一個(gè)方便的解決方案。

4. 數(shù)據(jù)庫(kù)參數(shù)組操作注意事項(xiàng)：

1. 當(dāng)您更改動(dòng)態(tài)參數(shù)并保存數(shù)據(jù)庫(kù)參數(shù)組時(shí)，將立即應(yīng)用更改，而不管“立即應(yīng)用”設(shè)置如何。當(dāng)您更改靜態(tài)參數(shù)并保存數(shù)據(jù)庫(kù)參數(shù)組時(shí)，參數(shù)更改將在您手動(dòng)重啟數(shù)據(jù)庫(kù)實(shí)例后生效。您可通過使用 RDS 控制臺(tái)或顯式調(diào)用RebootDbInstance API 操作來重啟數(shù)據(jù)庫(kù)實(shí)例 (沒有故障轉(zhuǎn)移，前提是數(shù)據(jù)庫(kù)實(shí)例處于多可用區(qū)部署中)。在靜態(tài)參數(shù)更改后重啟關(guān)聯(lián)的數(shù)據(jù)庫(kù)實(shí)例的要求可幫助緩解影響 API 調(diào)用的參數(shù)誤配置的風(fēng)險(xiǎn)，例如調(diào)用 ModifyDBInstance 來更改數(shù)據(jù)庫(kù)實(shí)例類或擴(kuò)展存儲(chǔ)。
2. 當(dāng)您更改與數(shù)據(jù)庫(kù)實(shí)例關(guān)聯(lián)的數(shù)據(jù)庫(kù)參數(shù)組時(shí)，必須在數(shù)據(jù)庫(kù)實(shí)例使用新的數(shù)據(jù)庫(kù)參數(shù)組之前手動(dòng)重啟實(shí)例。
3. 可以將數(shù)據(jù)庫(kù)參數(shù)值指定為整數(shù)，也可以將其指定為通過公式、變量、函數(shù)和運(yùn)算符創(chuàng)建的整數(shù)表達(dá)式。函數(shù)可以包含數(shù)學(xué)對(duì)數(shù)表達(dá)式。有關(guān)更多信息，請(qǐng)參閱 數(shù)據(jù)庫(kù)參數(shù)值。
4. 在創(chuàng)建數(shù)據(jù)庫(kù)實(shí)例以及在數(shù)據(jù)庫(kù)實(shí)例中創(chuàng)建數(shù)據(jù)庫(kù)之前，在參數(shù)組中設(shè)置與字符集或數(shù)據(jù)庫(kù)排序規(guī)則相關(guān)的任何參數(shù)。這將確保數(shù)據(jù)庫(kù)實(shí)例中的默認(rèn)數(shù)據(jù)庫(kù)以及新數(shù)據(jù)庫(kù)使用您指定的字符集和排序規(guī)則值。如果您更改數(shù)據(jù)庫(kù)實(shí)例的字符集或排序規(guī)則參數(shù)，則參數(shù)更改不會(huì)應(yīng)用于現(xiàn)有數(shù)據(jù)庫(kù)。 您可使用 ALTER DATABASE 命令更改現(xiàn)有數(shù)據(jù)庫(kù)的字符集或排序規(guī)則值，例如 1. ALTER DATABASE database_name CHARACTER SET character_set_name COLLATE collation;
5. 在數(shù)據(jù)庫(kù)參數(shù)組內(nèi)設(shè)置參數(shù)不恰當(dāng)可能會(huì)產(chǎn)生意外的不利影響，包括性能降低和系統(tǒng)不穩(wěn)定。修改數(shù)據(jù)庫(kù)參數(shù)時(shí)應(yīng)始終保持謹(jǐn)慎，且修改數(shù)據(jù)庫(kù)參數(shù)組前要備份數(shù)據(jù)。將參數(shù)組更改應(yīng)用于生產(chǎn)數(shù)據(jù)庫(kù)實(shí)例前，您應(yīng)當(dāng)在測(cè)試數(shù)據(jù)庫(kù)實(shí)例上試用這些參數(shù)組設(shè)置更改。
6. Amazon Aurora 同時(shí)使用了數(shù)據(jù)庫(kù)參數(shù)組和數(shù)據(jù)庫(kù)集群參數(shù)組。數(shù)據(jù)庫(kù)參數(shù)組中的參數(shù)適用于 Aurora 數(shù)據(jù)庫(kù)集群中的單個(gè)數(shù)據(jù)庫(kù)實(shí)例。數(shù)據(jù)庫(kù)集群參數(shù)組中的參數(shù)適用于數(shù)據(jù)庫(kù)集群中的每個(gè)數(shù)據(jù)庫(kù)實(shí)例。有關(guān)更多信息，請(qǐng)參閱 Amazon Aurora 數(shù)據(jù)庫(kù)群集和數(shù)據(jù)庫(kù)實(shí)例參數(shù)。

62

1. RDS Multi-AZ部署：Amazon RDS 多可用區(qū)域部署為數(shù)據(jù)庫(kù) (DB) 實(shí)例提供了增強(qiáng)的可用性和持久性，使其成為生產(chǎn)型數(shù)據(jù)庫(kù)工作負(fù)載的理想之選。當(dāng)您配置多可用區(qū)域數(shù)據(jù)庫(kù)實(shí)例時(shí)，Amazon RDS 會(huì)自動(dòng)創(chuàng)建主數(shù)據(jù)庫(kù)實(shí)例并將數(shù)據(jù)同步復(fù)制到其他可用區(qū)域 (AZ) 中的備用實(shí)例。每個(gè)可用區(qū)域在其獨(dú)立的、物理上顯著不同的基礎(chǔ)設(shè)施中運(yùn)行，并已設(shè)計(jì)為具備高可靠性。萬一發(fā)生基礎(chǔ)設(shè)施故障，Amazon RDS 可自動(dòng)故障轉(zhuǎn)移至備用實(shí)例中 (如果是 Amazon Aurora，則會(huì)故障轉(zhuǎn)移至只讀副本中)，以便您能夠在故障轉(zhuǎn)移結(jié)束后立即恢復(fù)數(shù)據(jù)庫(kù)操作。由于故障轉(zhuǎn)移后數(shù)據(jù)庫(kù)實(shí)例的終端節(jié)點(diǎn)維持不變，因此應(yīng)用程序可在無需手動(dòng)管理干預(yù)的情況下恢復(fù)數(shù)據(jù)庫(kù)操作。

2. Amazon Aurora 采用專為數(shù)據(jù)庫(kù)工作負(fù)載構(gòu)建的 SSD 型虛擬存儲(chǔ)層。Amazon Aurora 可以跨三個(gè)可用區(qū)，通過六種方法自動(dòng)復(fù)制存儲(chǔ)。Amazon Aurora 存儲(chǔ)是容錯(cuò)型的，可透明應(yīng)對(duì)多達(dá)兩個(gè)數(shù)據(jù)副本的損失，而不會(huì)影響數(shù)據(jù)庫(kù)寫入可用性，還能在不影響讀取可用性的情況下應(yīng)對(duì)多達(dá)三個(gè)副本。Amazon Aurora 存儲(chǔ)還具有自我修復(fù)能力?？蛇B續(xù)掃描數(shù)據(jù)塊和磁盤的錯(cuò)誤并自動(dòng)更換。有關(guān) Amazon Aurora 高可用性的更多信息，請(qǐng)參閱在線文檔。

3. Web架構(gòu)自愈的幾個(gè)關(guān)鍵服務(wù)：使用AS 服務(wù)，監(jiān)控web layer的利用率，根據(jù)利用率進(jìn)行彈性自動(dòng)擴(kuò)展；