删除AWS账户（根）访问密钥、创建单独的IAM用户、使用组为IAM用户分配权限、授予最小权限、配置强大的密码策略、为授权用户启用MFA、针对在Amazon EC2实例上运行的应用程序使用角色、使用角色而非共享凭证来委派访问权限、定期轮换凭证、删除不必要的用户和凭证、使用策略条件来提高安全性、监控您的AWS账户活动。

不要随便使用AWS的Root用户。

因为这样不安全。正常情况下，可以使用Root用户建立一个权限类似Root的用户来管理下面的用户。并且采取最小权限策略。

其次配合角色来进行使用，最好多使用角色，因为角色颁发的都是一些临时凭证，一般都有时间限制。而用户和组的权限一旦给定就有可能是很长时间了。

在aws中所有权限默认都是拒绝操作。除非有显式允许操作，否则不会判断。

策略可以附加到用户，组，角色。

可以决定控制：执行的操作。资源，条件。

策略类型：AWS托管，由客户托管，内联

一个IAM里可以由多个用户和组，策略可以给他们相应权限。

aws Organizations 是一项账户管理的托管服务，一个组织就是一个实体。

1. AWS CloudTrail

记录账户的AWS API调用、将日志文件和信息发送到Amazon S3存储桶、使用AWS管理控制台、AWS开发工具包、AWS CLI和较高级的AWS服务进行调用

AWS CloudTrail 是一项AWS服务，可帮助对您的AWS账户进行监管、合规性检查、操作审核和风险审核。

用户、角色或AWS服务执行的操作将记录为CloudTrail中的事件。事件包括在AWS管理控制台、AWS Command Line Interface 和 AWS 开发工具包和API中执行的操作。

可以将操作信息输出到Event history里。

工作原理：

在您创建AWS账户时，将对账户启用CloudTrail。当您的AWS账户中发生活动时，该活动将记录在CloudTrail事件中。

可以通过查看Event history 轻松查看CloudTrail控制台中的事件。

CloudTrail 日志存放：

可将记录存放在S3内，以.gz结尾，打开后为键值对形式，下载后可用Notepad++来进行修改与编辑。

四、AWS存储服务

1. Amazon S3

托管服务、软件交付、服务全球、对象存储、事件通知功能

桶Bucket 名称全球唯一、arn区分桶名称

对象无层级模式，folder是对象前缀

持久性：数据不丢失可能性（11个9）

可用性：服务的可达性即硬盘的损失性+AZ损失性（4个9）

存储桶访问控制

默认情况下，存储桶与对象都是私有的

桶—权限—公有访问设置—设置权限

通过设置桶策略、ACL、权限、CORS（跨域资源共享）可以控制访问桶和对象

版本控制无法关闭、只能挂起

arn:aws:s3:::bucket/*

arn:aws区域:服务：region-ID:count-ID:控制的对象

Get、put

先写后读

不启用版本控制再上传相同名称对象，旧对象被覆盖，有几率读到老副本

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/662756