AWS Website:https://www.doczj.com/doc/d514778659.html,
AWS Blog:https://www.doczj.com/doc/d514778659.html,/awschina AWS Weibo:https://www.doczj.com/doc/d514778659.html,/amazonaws AWS WeChat:aws China
联系我们:APN-China@https://www.doczj.com/doc/d514778659.html,
AWS官方微信AWS官方微博
AWS 中国生态圈2015年8月号 总第1期
云计算技术是当前互联网市场最重要的核心技术,当前“互联网+”概念的提出促进了互联网技术与传统产业的结合并有力地促进了彼此的发展,云计算技术必将有更大的用武之地。作为全球云计算市场的重要一员,自从2013年正式进入中国,AWS始终以客户需求为中心,进行产品的完善及服务的本地化工作,与我们的运营合作伙伴共同向客户提供有限预览服务。通过我们的共同努力逐步优化客户服务流程、提高客户服务质量,目前参加有限预览的客户涵盖商业零售、电子商务、制造业、物流、科学研究、教育、健康、消费电子、游戏等诸多行业,其中不但有大型企业,也包括数量众多的初创型公司。
作为共有公有云服务商,AWS并不提供端到端的解决方案,多年以来我们始终致力于建设一个以合作伙伴为中心的健康生态系统,向合作伙伴提供支持,协助技术类合作伙伴开发自己的产品和服务,通过培训、市场支持等形式提高咨询类合作伙伴的云计算服务水平。AWS提供的云计算技术和基础服务在行业中处于领先地位,再加上强大的全球服务交付能力,合作伙伴可以通过与AWS的合作帮助其技术和服务走在行业前沿。在AWS的生态系统合作伙伴中有很多杰出的公司从小长到大、从服务单一客户扩展到提供丰富业务服务大量客户、从本地业务扩展到全球业务,在更好服务客户的同时获得自身的健康快速发展。
在成立之初,AWS中国就将生态系统建设放在首要地位。越来越多的中国客户不仅对云服务本身的可靠性、弹性、服务丰富度和服务商的经验有着很高的要求,也希望能有一个强大的合作伙伴生态系统能够满足客户多方面的个性化需求。这样的生态系统应当能够帮助客户获得高价值的软件解决方案、构建企业应用、开发工具、以及专业的咨询服务,更好地帮助客户在AWS云平台上部署和管理关键业务。
AWS合作伙伴计划APN(AWS PartnerNetwork,简称APN)就是支持这一云服务合作伙伴生态系统的平台,向合作伙伴提供技术、商务和市场营销方面的支持。APN目前在全球已经有超过一万家技术和咨询合作伙伴,其中包括数百家来自中国的合作伙伴,APN已经落地中国并陆续推出了一系列针对中国区合作伙伴的支持政策。作为全球生态系统的重要组成部分,AWS将为中国区合作伙伴提供合作伙伴名录、APN门户网站、在线培训、专享技术及销售培训计划、市场推广支持、专职合作伙伴经理、AWS技术专家支持以及成长加速计划等支持政策,力求通过立体多维度的支持,建立中国特色的AWS生态系统。
创新是AWS的发展之本,对于合作伙伴而言,则是一种“联合”的创新,我们希望与合作伙伴共同成长。AWS将在中国帮助合作伙伴评估其云计算技能,帮助其制定云商业转型计划,最大化云应用的商业价值,合作伙伴通过AWS 的支持将有机会在给最终客户提供IT规划、架构、集成与运维服务方面开拓新的商机,也可以把自身的软件解决方案按照云服务的方式,以按需付费的方式交付给用户。
今天,AWS中国正式推出“AWS中国生态圈”,并以此建立并加强与合作伙伴持续、通畅的沟通和交流,我们坚信,一切颠覆、创新最终都是通过人的努力来实现的,我们希望能够与生态系统的每一成员一起奋斗,成为彼此愿意信任、能够信任、长期携手的合作伙伴,通过我们的共同努力,一定能够更好地满足客户的需求,在“大众创业、万众创新”的大潮中发挥我们的作用、贡献我们的价值,推动中国云计算市场的健康快速发展。
亚马逊AWS全球副总裁 中国执行董事
AWS创新历程
AWS 2015中国有限预览区域新服务介绍AWS合作伙伴网络APN
AWS培训与认证
AWS Support技术支持
AWS云安全
AWS合作伙伴解决方案
百度安全宝
厦门服云信息科技有限公司
东软集团股份有限公司
英普华
北京启明星辰信息技术股份有限公司
北京山石网科信息技术有限公司
天云趋势科技有限公司
飞塔信息科技(北京)有限公司
2 4 8 10 1
3 15 20 20 22 2
4 26 28 30 32 34
目录
版权归 2015 Amazon Web Services, Inc. 及其附属公司所有。保留所有权利。
?
AWS新创新历程
为了更好的支持任何基于云的工作,AWS一直以来不断致力于研发拓展其服务及产品。
至今,AWS已经发布了40多种服务,从计算、存储、网络、数据库、分析、应用程序服
务,到部署与管理、安全和移动服务。AWS提供的全方位服务
AWS创新历程
2006
2007
200820092010
20112012Amazon S3
Amazon SQS
Amazon EC2Amazon EBS Amazon CloudFront
Amazon SNS Amazon IAM Amazon Route 53AWS Storage Gateway Amazon DynamoDB Amazon CloudSearch
Amazon SWF
Amazon Glacier
Amazon Redshift
AWS Data Pipeline Amazon Simple DB Elastic Load Balancing Auto Scaling Amazon VPC Amazon RDS Amazon SES AWS Elastic Beanstalk AWS CloudFormation Amazon Elasticache AWS Direct Connect AWS GovCloud 企业级应用平台服务
管理&安全核心服务基础设施
AWS新创新历程
敏捷性
平台功能的广度和深度
持续的迭代和创新
成本节省和灵活性
帮助中国客户快速走向全球
“AWS是拥有巨大市场份额的领导者,使
用中的计算能力超过其它14家云服务商总
和的10倍 ”。
·连续5年在所有指标上全都领先
·战略部署云最常用的选择
·唯一推荐供企业级应用使用
·提供IaaS和PaaS类服务最丰富的功能
·安全的云选择
·领先其它云服务商数年
AWS云计算的优势
2015 Gartner Cloud IaaS魔力象限2013
20142015Amazon ECS
Amazon Lambda
Amazon Con?g AWS CodeDeploy
Amazon RDS for Aurora
AWS KMS
Amazon Cognito
Amazon WorkDocs
AWS Directory Service
Amazon Mobile Analytics
Amazon Elastic Transcoder
AWS OpsWorks
Amazon CloudHSM Amazon AppStream
Amazon CloudTrail Amazon WorkSpaces Amazon Kinesis Amazon EFS Amazon WorkMail
Amazon Machine Learning
AWS新服务介绍
Direct Connect
专线直连
AWS Direct Connect服务帮助用户建立一个可连接本地设施和AWS的专线网络。通过AWS Direct Connect 服务,用户可在他们的本地设施和AWS北京区域之间直接建立起专线网络。这一专线连接可分割成多个虚拟结构,以便用户通过同一个连接访问共享资源(如存储在使用公有IP地址空间的Amazon S3中的对象)和专有资源(如使用私有IP空间在VPC中运行的Amazon EC2实例),同时又能在共享和专用环境之间保持网络隔离。AWS Direct Connect不仅仅为用户提供了更安全有效的专线网络,更帮助用户降低网络成本、提高带宽流量,提供一个比基于Internet连接更为一致的网络体验。
为了更好的支持任何基于云的工作,AWS一直以来不断致力于研发拓展其服务及产品。
至今,AWS已经发布了40多种服务,从计算、存储、网络、数据库、分析、应用程序服
务,到部署与管理、安全和移动服务。其中很多服务已在中国有限预览区域发布,并且
未来将会引入更多的新服务。以下是近期AWS在中国推出的重要服务:服务简介
AWS 2015
中国有限预览区域新服务介绍
覆盖全球190个国家
1,500+ 政府机构
3,600+ 教育机构
11,200+ 非政府机构
11区域 (Regions)
29可用区 (Availability Zones)
53边缘站点 (Edge Locations)
中国(北京)区域正在有限预览中
4月推出Direct Connect专线直连
5月推出第二个EC2可用区AZ
AWS新服务介绍降低带宽成本AWS Direct Connect可通过以下两种方式在运行高带宽工作量时降低进出AWS的网络成
本。首先,直接与AWS互传数据,那样降低用户向Internet服务提供商支出的带宽费用。其次,通过专用连接
传输的所有数据都按照降低的AWS D ir ect Connect数据传输费率收费,而不是按照Internet数据传输费率。
稳定的网络性能由于Internet不断更改将数据从A点传输到B点的过程,因此,Internet上的网络延迟情况也
会发生相应的变化。使用AWS Direct Connect时,用户可选择利用专用网络传数据,并设置这些数据的路径,
那样AWS Direct Connect的网络体验比Internet连接更一致。可与所有AWS服务兼容AWS Direct Connect是一种网络服务,它可与所有AWS服务共同工作,如Amazon Simple Storage Service (Amazon S3)、Elastic Compute Cloud (Amazon EC2)和Amazon Virtual Private Cloud (Amazon VPC)。
通向Amazon VPC的专用连接用户可以使用AWS Direct Connect在用户的内部网络与Amazon VPC之间直
接建立一个专用虚拟接口,在用户的网络和VPC之间提供一个专用的高带宽网络连接。用户可使用多个虚拟
接口,甚至能与多个虚拟接口建立专用连接,同时保持网络隔离性。灵活应变用户可利用AWS Direct Connect调整连接以满足各种需求。AWS Direct Connect提供1Gbps
和10Gbps连接。对于小带宽需求,也可以透过我们的合作伙伴接入。简便用户可以通过AWS管理控制台,快速且方便地注册AWS Direct Connect服务。该控制台提供单一的视
图,能够高效地管理用户的所有连接和虚拟接口。
服务亮点
Kinesis
实时大数据分析服务亮点
服务简介
Amazon Kinesis是一种完全托管的云服务,用于对大型分布式数据流进行实时数据处理。Amazon Kinesis每
小时可从数十万种来源中连续捕获和存储数TB数据,如网站点击流、财务交易、社交媒体源、IT日志和定位
追踪事件。通过Amazon Kinesis Client Library(KCL),用户可以构建Amazon Kinesis应用程序并使用流媒
体数据来带动实时控制面板、生成警报、实施动态定价和广告等等。用户还可以将数据从Amazon Kinesis发
送到AWS服务中,如Amazon Simple Storage Service(Amazon S3)、Amazon Redshift、Amazon Elastic Map Reduce(Amazon EMR)和AWS Lambda。
实时Amazon Kinesis可以实时处理数据。借助Amazon Kinesis,用户可以在数据生成的同时连续收集数
据,并能对业务和运营关键信息及时作出回应。易用只需数秒,即可创建Amazon Kinesis流。借助Amazon Kinesis Producer Library (KPL)和Amazon Kinesis Client Library(KCL),用户可以轻松地向Amazon Kinesis流添加数据,并构建用于处理数据的
Amazon Kinesis应用程序。并行处理
Amazon Kinesis允许用户同时使用多个Amazon Kinesis应用程序处理同一个流。
AWS新服务介绍服务亮点
AWS CloudTrail记录了一个AWS账号所做的所有API调用,用于日志记录和审计场景,包括安全分析、更改追
踪、法规遵从和故障排除。CloudTrial记录的信息包括API调用者的身份、API调用的时间、API调用者的源IP
地址、请求参数以及AWS服务返回的响应元素。利用CloudTrail,用户可以获得关于账户的AWS API调用的历
史记录,包括通过AWS管理控制台、AWS软件开发工具包、命令行工具和更高级别的AWS服务(例如AWS
CloudFormation)进行的API调用。
服务简介提高了可见性CloudTrail通过记录AWS API调用,提高了对用户活动的可见性。
牢靠而实惠的日志文件存储CloudTrail使用Ama zon S3存储和传送日志文件,所以日志文件的存储既牢靠
又经济实惠。用户可以使用Amazon S3生命周期配置规则进一步降低存储成本。轻松的管理CloudTrail是一种完全托管型的服务;用户只需使用AWS管理控制台、命令行界面或CloudTrail
软件开发工具包就可以为用户账户启动CloudTrail,然后开始在用户指定的Amazon Simple Storage Service
(Amazon S3)存储段中接收CloudTrail的日志文件。日志文件传送的通知CloudTrail可配置为每传送一个日志文件便发布一个通知,从而使用户能够在日志文件送
达时自动执行操作。CloudTrail使用Amazon Simple Notification Service(SNS)发布通知。日志文件合并
CloudTrail可配置为合并多个账户和地区的日志文件,这样多个日志文件便可以传送到一个存
储段中。及时可靠地分发CloudTrail利用高可用性和容错处理管道,连续地从AWS服务中传送事件。故障排除操作性或安全性问题用户可以查找针对其AWS账户捕捉的API活动,以此来处理故障排除操作性问
题或进行安全性分析。使用AWS CloudTrail控制台、AWS CLI或AWS软件开发工具包,用户可以快速轻松
地解答最近7天中与API活动相关的问题并立即进行操作。
弹性
可将Amazon Kinesis流的吞吐量单位从MB/小时扩展为TB/小时,并将每秒支持的PUT记录数从数千个扩展为数百万个。用户可以根据输入数据量,随时动态调整流的吞吐量。低成本
Amazon Kinesis没有前期成本,用户只需为使用的资源付费。可靠Amazon Kinesis可以跨AWS区域中的多个设施同步复制流数据,并保留用户的数据24小时,以防止在
发生应用程序故障、个别机器故障或设施故障时丢失数据。
Cloud Trail 日志记录, 审计和提高管理安全服务
AWS新服务介绍
多可用区域部署
服务简介
Amazon RDS多可用区域部署为数据库实例提供了增强的可用性和持久性,使其成为生产型数据库工作负载的
理想之选。当用户配置多可用区域数据库实例时,Amazon RDS会自动创建主数据库实例并将数据同步复制
到其他可用区域(AZ)中的备用实例。每个可用区域在其独立的、物理上显著不同的基础设施中运行,并已
设计为具备高可靠性。万一发生基础设施故障(例如,实例硬件故障、存储故障或网络中断),Amazon
RDS可自动执行故障转移至该备用实例,以便用户能够在故障转移结束后立即恢复数据库操作。由于故障转
移后数据库实例的终端节点维持不变,所以应用程序可以无需手动管理干预即可恢复数据库操作。
服务亮点
增强的持久性适用于MySQL、Oracle和PostgreSQL引擎的多可用区部署采用同步物理复制,以使备用数据Array
与主数据保持同步。适用于SQL Server引擎的多可用区部署使用同步逻辑复制来获取与采用本地SQL Server
镜像技术相同的结果。这两种方法均可以在数据库实例发生故障或丢失可用区时保护用户数据。
更高的可用性当用户运行多可用区域部署时,还将受益于更高的数据库可用性。如果发生可用区故障或数据
库实例故障,则可用性影响将仅限于完成自动故障转移的时间,通常为一到两分钟。多可用区部署的可用性优
势还可延伸到计划的维护和备份操作。如果遇到系统升级,如操作系统修补或数据库实例扩展,这些操作首先
会应用到备用实例,然后才用于自动故障转移。因此,可用性影响将仅限于完成自动故障转移所需的时间。
无需管理干预数据库实例故障转移完全自动化,无需管理干预。Amazon RDS会监控用户的主实例和备用
实例的运行状况,并且会启动故障转移以应对各种故障条件。Amazon RDS可检测多可用区域部署中最常见的
故障并自动从中恢复过来,这样用户可在无管理干预的情况下尽快恢复数据库操作。如果发生以下任何一种情
况,Amazon RDS将自动执行故障转移:
·主可用区域的可用性受损
·主区域的网络连接受损
·主区域的计算设备出现故障
·主区域的存储故障
注意:为了获得更强的可用性,对多可用区域部署启动诸如数据库实例扩展或系统升级之类的操作时,如操作
系统安装补丁程序,这些操作首先会应用于备用,之后才应用于自动故障转移。因此,可用性影响将仅限于完
成自动故障转移所需的时间。请注意,Amazon RDS多可用区域部署不会自动切换来响应某些数据库操作,
如长时间运行查询、锁死或数据库崩溃错误。
AWS合作伙伴网络APN
AWS合作伙伴网络(APN)是AWS推出的一项全球合作伙伴计划,其目的是为AWS合作伙伴提供系统的技
术,市场及销售支持。完成APN注册,意味着加入并成为AWS整个合作伙伴生态系统的一员,将有更多更好
的机会开展从产品到服务的各种业务,为AWS云计算的客户提供更多服务。
加入APN计划,合作伙伴不但可以根据自身的能力申请成为咨询合作伙伴或技术合作伙伴,而且还可以通过自
身的成长实现级别的提升,并获得参加各种增值计划的资格。
中国区域合作伙伴计划提供额外的针对中国市场的营销、技术和业务支持工具,支持合作伙伴满足AWS中国
基础设施上的中国客户的独特需求。该计划为APN合作伙伴提供利用AWS在中国开展业务并为其客户提供中
国区域业务的能力。
要成为APN中国区域合作伙伴,APN合作伙伴必须是现有标准级(Standard)、进阶级(Advanced)或高级
(Premier)的AWS全球合作伙伴网络APN成员,并且为在中国境内注册的法人实体,完成中国市场商业计划。
访问AWS针对中国市场提供的销售、市
场及技术资源
参加AWS针对中国市场制定的发展、支
持及合作伙伴培养计划
AWS中国团队的业务代表支持咨询合作伙伴APN中国区域合作伙伴的要求
APN中国区域合作伙伴计划益处
技术合作伙伴AWS合作伙伴网络APN
APN中国区域合作伙伴计划
咨询
系统集成运维服务数字内容服务增值分销业务支持
作为AWS中国区域合作伙伴进入AWS全球合作伙伴目录使用专享的AWS中国区域合作伙伴徽标Logo AWS中国区域合作伙伴年度授权牌优先受邀参加AWS中国市场活动市场营销支持咨独立应用软件开发SaaS/PaaS 操作系统数据库开发工具安全管理产品
AWS合作伙伴网络APN APN咨询合作伙伴
APN技术合作伙伴
AWS合作伙伴网络门户:https://www.doczj.com/doc/d514778659.html,/cn/partners/
联系我们:APN-China@https://www.doczj.com/doc/d514778659.html,
AWS培训与认证
AWS培训与认证
讲师指导课程
讲师指导课程
基于角色的讲师指导课程,帮助您学习和掌握在AWS中架构、开发和运营基础设
施和应用程序的最佳实践。资深AWS技术讲师亲自授课,课程融合演示、小组讨
论和AWS快速上手实验室练习等多种形式,让您学到扎实的技能。
AWS授课特色:
·AWS专业讲师授课并讨论问题,强化的动手实验室,官方电子教材
·案例演练,分组讨论,获得做出IT解决方案决策的信心
·在真实的AWS环境中动手练习,快速上手AWS服务
·主题丰富、不断更新的在线课程和教学视频,满足快速学习的需求
AWS培训与认证计划,帮助您培养在AWS云中设计、部署和运营基础设施和开发应用程序的能力。免费基础
教学视频、AWS快速上手实验室、在线研讨会、讲师指导课程和权威技术认证,丰富的学习资源帮助您成功
开启AWS云之旅。
“AWS简介”系列教学视频和动手实验练习
通过一系列免费教学视频和实验练习,只要几分钟就能上手一项AWS服务。
了解“AWS简介”系列的全部视频和实验,请访问:https://www.doczj.com/doc/d514778659.html,/training/intro_series
了解更多培训课程介绍,请访问:
https://www.doczj.com/doc/d514778659.html,/cn/training/course-descriptions
观看简短视频
学习重要的概念和术语,
提供AWS服务的分步式控
制台演示 动手实践将从视频中学到的关于AWS服务的知识转化为实际操练,即学即用
AWS培训与认证
AWS认证授予合格的IT专业人士,认可其具备在AWS基础设施上设计、部署和操作
应用程序所需的技术知识和技能。AWS认证被CIO评选为“2014's Hottest IT
Certification”和“IT Certification Hot List 2015: 10 That Deliver Higher Pay”,被Tom's IT Pro评选为“Best Cloud IT Certifications for 2015”。
AWS快速上手实验室
通过AWS认证,彰显专业能力
在实验中学习,You Learn as You Go!
AWS快速上手实验室为您提供真实的AWS服务管理与操作机会,在不同预设场景的实验环境下,从实验中学
习,快速上手AWS服务,满足您的即刻所需。通过自主进度实验,辅以教学视频和实验手册,让参加者体验
全新高效的学习方式:
AWS快速动手实验室提供3种学习任务主题,涉及38个具体实验课程,其中包括10个免费的实验课程。
了解更多信息,请访问:https://www.doczj.com/doc/d514778659.html,
了解更多AWS认证信息,请访问: https://www.doczj.com/doc/d514778659.html,/certification
·与您的应用场景高度相关的动手学习内容,即学即用
·直接在AWS平台上动手练习,无需注册AWS账号
·比阅读海量文档,更快速、更精准、更有效的学习方法
·多样化的学习挑战任务,完成实验获得勋章
·可与教学视频、线上培训和面授课程组成完整的学习路径
AWS培训与认证
联系咨询:AWS中国培训与认证部:aws-education-cn@https://www.doczj.com/doc/d514778659.html,
AWS培训与认证路线图
入门基于角色的学习与
认证路径APN
合作伙伴
认证
专项课程
AWS Support技术支持
Access Key泄露事件AWS Support技术支持
AWS Support是一对一快速反应支持通道,配备富有经验的技术支持工程师,全年全天(24x7x365)无休地为客户提供中英文双语服务。该服务有助于各种规模和技术能力的客户成功使用亚马逊AWS提供的产品和功能。引用HTC高级总监兼连接服务主管James Pratt对AWS Support的评价:“AWS Support为我们提供的帮助可谓包罗万象,大到为备份服务设计AWS友好型架构支持,小到某个实例不能如期运作的故障排除。”AWS Support致力于为客户快速定位和解决问题,并且让客户从问题中获得对AWS架构和最佳
实践更深层次的了解。AWS支持团队全年无休地为客户解决各种各样的问题,透过以下两个案例,大家可以更加直观地了解AWS Support团队在日常工作如何帮助客户。某部署在AWS上的网站发现在自己的账户下突然启动了很多实例,而这些实例的启动操作并不是由该公司的员工自己完成,所以客户怀疑自己受到了黑客攻击。每个公司都知道安全的重要性,也或多或少了解AWS安全最佳实践,如果用户不幸中招,他们会非常关心当下应该如何应对这糟糕的局面。通过AWS的检查,发现是客户将含有Access Key ID 和Secret Access Key的程序发到了github,从而被
黑客利用。AWS Support团队在处理案例过程中总结了大概的过程:首先用户需要来控制事态的进一步恶化。比如停用受影响的帐户,更新受影响的Access/Secret Key等等,隔离受影响的应用系统等等。 这
里有一点非常重要的信息用户需要了解的是,在用
户允许的情况下,AWS可以冻结其帐户API访问
AWS资源,这样可以阻止进一步破坏型行为的发生
(比如:终止某一个EC2实例,删除磁盘卷,启动大
量AWS资源产生巨额的费用,等等),用户可以在事
件失控的状况下第一时间采用这样的方式首先控制
事态的发展。
接下来和客户一起进一步定位根本问题,检查和优
化客户的系统。
定位事件原因,解决问题帮助用户定位事件产生
的原因,以便采用合理的方式来修复所遇到的问
题。在故障定位的过程中,隔离可疑的用户,系
统,先建立一套安全管理帐户,比如IAM用户和
Access/Secret Key,赋予最小的权限。需要额外注
意的是,在执行修改密码,设置帐户,更新
Access/Secret Key等操作的时候,一定要在一台确
认安全的电脑上执行(没有木马程序运行,没有被
监听等等,因为之前有用户遇到过更改后的密码依
然被盗用的情况,原因是执行更改动作的电脑被木
马程序窃取了新的密码),在问题原因得到确认和
修复之后,再逐步放开其他帐户的权限。审计现有系统,应用中是否有潜在的安全隐患由于
担心恶意人员在获取访问的同时可能会植入一些后
门程序,用户需要重新检查所有的AWS资源,比如EC2实例中是否有被添加更多的公钥,EC2中的秘钥是否有被人为修改过(将原来的删除掉,替换成新的Key,但保留原有的名字),是否有木马程序在向外发送数据,安全组中是否允许某些可能来源的访问,等等。用户可以考虑使用专业的审计工具来完成此任务,比如审计Windows,Linux,数据库等系统,或是某些应用系统的安全性。评估现有管理方式中的弱点,部署有效的监控和预警机制在问题已经得到定位,事态已经得到控制
之后,用户还有一个任务需要去完成,就是重新评估现有AWS资源访问控制和系统管理方式中存在的问
AWS Support技术支持
AWS Support为寻求技术支持的客户提供高度个性
化的服务。更多详情请参考:
https://www.doczj.com/doc/d514778659.html,/support-plans/S3性能调优问题
题(比如使用了过多的IAM用户,访问规则过于简
单,Access/Secret没有得到必要的保护),在必要
的情况下需要增强现有的访问权限控制或是重新部
署新的管理方式以实现最佳的安全实践,比如启用
MFA来增强root帐户的认证方式,使用组的方式管理
IAM用户,只提供最小权限,可以限制用户只能通过
某个可以信任的IP地址发起API访问请求,等等。另
外需要部署安全可靠的监控,预警,和审计手段,
以防止安全事件的再次发生。
关于具体的实践,用户需要根据自己的业务模式,
系统管理方式,事件场景等的不同,采用相应的措
施。以上内容可以作为参考。某公司希望将服务迁移到AWS北京区域。在迁移前
的架构设计和验证测试中,与AWS团队一起讨论了
EC2、RDS、DynamoDB、S3等多种服务的设计原
则,并解决了很多测试中出现的实际问题。
但是客户在测试EC2到S3的上传性能时,发现远远
达不到他们预期。发现该性能问题后,客户尝试了
多种方法进行改善:在EC2网络方面,尝试了使用网
络性能更高的实例以排除EC2单点网络瓶颈问题;在
EC2磁盘方面,尝试了使用通用SSD 3000 IOPS
EBS卷以排除磁盘读写性能问题;在S3设计方面,
根据AWS最佳实践已经将S3 Bucket Key做了前缀哈
希处理,以均衡S3 Bucket的I/O负载。经过各个方面
的排查和尝试,S3的上传性能仍然没有明显改善。
AWS支持团队接到问题并了解背景后,进一步从客户
应用程序逻辑层面了解客户的设计。经过沟通,发现
在客户的场景中利用S3 Python SDK将EC2日志目录
上万个压缩文件上传到S3中。我们查看了客户提供的代码示例片段,发现客户的代码逻辑中只用了一个线程对大量零散文件做顺序上传,所以频繁的文件读写和EC2到S3服务端点的单连接成为了性能瓶颈。AWS 支持团队在测试环境下根据客户提供的代码片段模拟了实际场景,利用S3服务端点高带宽和高并发特性,分别提供了多线程和多线程改善的示例,成功将S3上传消耗的时间减少到了原来的25%,相当于S3的传输效率提高了4倍。该问题的排查过程让客户更深入地了解了S3服务端点的高带宽和高并发特性,以及如何在客户端程序设计中利用该特性提高S3传输效率。
AWS云安全
世界一流的保护 世界一流云安全的保护
内置云安全功能
AWS云安全AWS云安全性基础设施致力于成为当今可用的最灵活和安全的云计算环境之一。它提供了一个可扩展性极强、高度可靠的平台,允许客户快速安全地部署应用程序和数据。AWS云基础设施存放在AWS高度安全的数据中心里,这些数据中心全部利用最先进的电子监控设备和多重访问控制系统。数据中心每周7天、每天24小时由训练有素的保安看守,访问严格遵循最小特权原则。任何离开包含客户数据区域的人员必须接受检查。数据中心中的环境系统设计为最大程度降低操作中断的影响,并且利用多个地理区域和可用区,您可以在面临大部分故障节点时保持弹性,包括自然灾难或系统故障。AWS基础设施旨在提供最优可用性,同时完全确保客户的隐私和分离。默认情况下,AWS区域、可用区和个别数据中心之间的网络流量会通过私有网段。这些私有网段完全与公共Internet隔离,并且可以在外部路由。AWS资源可以配置为仅驻留在隔离的AWS网段中,并避免利用任何公共IP地址或避免在公共Internet上路由。有关AWS云基础设施、平台和服务内置的所有安全措施的完整列表,请参阅:Overview of Security Processes白皮书。您的应用程序和数据不仅受到高安全性的设施和基础设施的保护,也受到广泛网络和安全监控系统的保护。这些系统提供了基本却重要的安全措施,例
如分布式拒绝服务(DDoS)保护和AWS账户的密码
暴力检测。其他安全措施包括:
安全访问 – 客户端接入点,又称API终端节点,允
许安全的HTTP访问(HTTPS),让您能够使用
SSL/TLS和您的AWS服务建立安全的通信会话。
内置防火墙 – 您可以通过配置内置防火墙规则来控
制您的实例的可访问性:既可完全公开,又可完全
私有,或者介于两者之间。当您的实例驻留在虚拟
私有云(VPC)子网中时,您便可控制出口和入口。
唯一用户 – AWS Identity and Access Management
(IAM)工具允许您控制您自己的用户对于您的
AWS基础设施服务的访问级别。使用AWS IAM的每
位用户都拥有唯一的安全证书,消除了共享密码或
密钥的需求,从而允许角色分离和最小特权的安全
最佳实践。
多重验证 (MFA) – AWS为与您的AWS根账户和单个IAM用户账户一起使用多重验证(MFA)提供了内置支持。
私有子网 – AWS虚拟私有云(VPC)服务允许您为您的实例添加另一层网络安全保护,方法是创建私有子网,甚至在您的家庭网络和您的AWS VPC之间添加一个IPsec VPN隧道。
加密数据存储 – 通过使用高级加密标准(AES)256(一种使用256位加密密钥的对称密钥式加密标准),客户存储在Amazon EBS、Amazon S3、Glacier、Redshift和Oracle及SQL Server RDS中的数据会自动进行加密。
专用连接选项 – 使用AWS Direct Connect服务可以建立一个从本地设施到AWS的专用网络连接。此专用连接使用行业标准802.1q VLAN,可以分割为多个逻辑连接,方便访问您的AWS云中的公有和私有IP环境。
完全正向保密 – 对于更大的通信隐私,诸如Elastic
Load Balancer和Amazon CloudFront等多种AWS服务
AWS云安全
云安全 + 速度 = 客户满意 可提供更新和更强大的加密套件。这些加密套件允许
SSL/TLS客户端采用完全正向保密,该技术采用短暂而不随处存储的会话密钥进行加密。即使秘密长期密钥本身存在漏洞,也会阻止捕获的数据解码。
安全日志– AWS CloudTrail在您的AWS账户中提供所有用户活动的日志。您可以看到对每项AWS资源执行了哪些操作以及操作者是谁。由CloudTrail生成的AWS API调用历史记录可用于安全分析、资源变更追踪以及合规性审计。
资产识别和配置– 凭借AWS Config服务,您可以立即发现所有的AWS资源并查看各种配置。每当配置变更时以及挖掘配置历史记录以执行事件分析时,您都会收到通知。
集中密钥管理–对于广泛采用加密以及需要严格控制密钥的客户来说,AWS密钥管理服务可提供便捷的管理方案,以便创建和管理用于静态加密数据的密钥。
隔离的GovCloud –针对需要附加措施以符合美国 ITAR法规的客户,AWS提供了完全分离的AWS GovCloud(US)地区,该地区提供了让客户可以运行符合ITAR的应用程序的环境,并提供利用FIPS 140-2加密的特殊终端节点。
CloudHSM– 针对必须使用硬件安全模块(HSM)来实现加密密钥存储的客户,使用AWS CloudHSM 存储和管理密钥是一种非常安全便捷的方式。Trusted Advisor– 当您注册premium support后会自动提供,Trusted Advisor服务为您提供了一种了解何处需要提高安全性的便利方法。它会监控AWS资源并提醒您关于安全配置漏洞的问题,例如对特定 EC2实例端口和S3存储段的过度开放访问、使用 IAM进行角色分离时的不足,以及密码策略薄弱等。正因为AWS云基础设施提供了如此多的内置安全功能,您只需重点关注来宾OS和应用程序。AWS安全工程师和解决方案架构师开发了whitepapers and operational checklists帮助您选择适合您的需求的最佳选项,并推荐例如安全存储密钥和密码、定期轮替或改变密码等安全最佳实践。 我们知道,有些安全功能可能会影响性能,所以我们正在寻找减少现有安全流程中冲突的方法。例如,本年度Amazon CloudFront增加了SSL会话票据,该功能可省去客户端/服务器SSL协商信息,从而当连接恢复或重启时,可以加快协商流程。
我们还推出了OCSP Stapling,该功能可减少SSL协商过程中客户端验证证书授权的工作量。这些功能在后台运行,不会增加您的配置工作量,而是会加快重要的安全功能。
我们也会继续寻找新的方法,来强化您所依赖的安全流程。例如,对于采用椭圆曲线Diffie-Hellman密钥算法(ECDHE)协议的高级加密套件,我们将此方法添加到多种服务。ECDHE允许SSL/TLS客户端提供完全正向保密,该技术采用短暂而不随处存储的会话密钥进行加密。即使秘密长期密钥本身存在漏洞,也会阻止未授权第三方解码捕获的数据。
上述新功能都不会产生任何费用。只会让我们的客户更加满意。
共担云安全责任
验证AWS的云安全性
我们知道,让您了解我们为了保护AWS云基础设施所采取的保护措施是非常重要的。不过,既然您无法亲自触摸到服务器或在数据中心散步,您又如何能确信安全控制是有效的呢?
答案就是AWS进行的第三方认证和鉴证。AWS已取得ISO 27001认证,同时根据支付卡行业(PCI)数据安全标准(DSS),已被确认为一个1级服务提供商。我们进行了年度SOC 1审计,成功获得了联邦政府系统的中级鉴证和针对DoD系统的DIACAP 2级。每个认证都表明审计师验证了特定安全控制已妥善到位并如预期运行。您可以联系AWS客户代表查看适用的合规性报告。更多有关AWS遵循的安全法规和标准的信息,请参阅AWS Compliance网页或 AWS Risk and Compliance白皮书。
AWS云安全
AWS合规性
Amazon Web Services云合规性使客户能够理解AWS对在云中维护安全和数据保护的强大控制能力。我们在
AWS云基础设施上构建系统时,也就分担了合规性责任。通过将注重管理并利于审核的服务功能与相应的合
规性或审核标准结合在一起,AWS正在以推动合规性实现为己任,在传统项目的基础上全力为客户构建和运
行安全可控的AWS环境。
AWS合规性- 最新资讯
·AWS宣布了三项符合HIPAA条件的新服务(DynamoDB、EMR、RDS [MySQL 和 Oracle 引擎])
-2015 年 7 月 8 日
·AWS合规性在云常见问题中心页面上发布了FedRAMP合规性信息-2015 年 6 月 26 日
·AWS合规性发布了自动化AWS管理-2015 年 6 月 26 日
·AWS合规性发布了CJIS(Criminal Justice Information Services,刑事司法信息服务)常见问题中心页面
-2015 年 6 月 25 日
·AWS和Anitian发布了PCI云合规性业务手册-2015 年 6 月 22 日
·AWS发布了信息请求报告-2015 年 6 月 12 日
·AWS合规性发布了AWS ASD认证文件-2015 年 6 月 10 日
AWS合规性项目
更多内容 ,请访问AWS云安全中心:https://www.doczj.com/doc/d514778659.html,/cn/compliance/