AWS Notes

date

Jan 7, 2025

slug

aws-test-note

status

Published

Production VPC

Production Virtual Private Cloud，生产虚拟私有云

是指专门为生产环境配置的虚拟私有云网络，用于运行企业的核心业务应用和服务。

Amazon GuardDuty

是一种威胁检测服务，专注于检测潜在的恶意活动和异常行为，但不执行漏洞扫描。

检测 EC2 是否有恶意流量，提供威胁警报，但不会对流量进行实时过滤或拦截。

问题：

GuardDuty 的功能是监控和报告威胁，而不是直接进行流量过滤或拦截。

不能实时执行流量过滤规则。

Traffic Mirroring

用于将网络流量复制到一个流量分析工具或检测服务器。

通常用于流量监控和分析，但不能直接拦截或过滤流量。

问题：

Traffic Mirroring 是一种被动监控工具，无法实时过滤或阻止流量。

需要额外配置流量分析工具，增加了复杂性。

AWS Network Firewall

是一种托管的网络防火墙服务，用于保护VPC流量。

提供状态检查、流量过滤、以及基于规则的流量控制。

可以创建自定义规则来控制入站、出站和跨VPC流量。

优势：

提供集中式流量过滤和检查。

无需额外管理服务器，减少运维负担。

AWS Firewall Manager

是一种集中管理安全策略的工具，用于跨多个账户和资源管理防火墙规则。

与AWS Network Firewall、WAF、和Shield集成，适合大规模分布式环境。

问题：

Firewall Manager 本身不直接提供流量检查或过滤功能，而是用于集中管理防火墙规则。

需要依赖其他服务（如AWS Network Firewall）实现具体的流量检查和过滤。

Amazon QuickSight

商业智能服务，允许用户创建交互式仪表板和报告。

可以连接到多个数据源，包括 Amazon S3 和 Amazon RDS。

Amazon QuickSight only support users(standard version) and groups (enterprise version). users and groups only exists without QuickSight. QuickSight don't support IAM. We use users and groups to view the QuickSight dashboard

AWS Glue

托管的 ETL 服务，用于在 AWS 上进行数据转换。

用于提取、转换和加载（ETL）数据，并为 Amazon S3 数据创建表和爬虫。

has no native functionality to query REST APIs

是批处理服务，不适合实时数据流

job bookmarks help AWS Glue maintain state information and prevent the reprocessing of old data.

支持存储为 Apache Parquet 格式（Parquet 适合大规模分析），提高 Athena 查询性能。

问题：

虽然可以使用 S3 存储报告并通过 S3 策略来控制访问，但该方法没有直接提供数据可视化和报告的功能。

Amazon Athena

无服务器 SQL 查询服务，可以直接查询 S3 上存储的数据（JSON、CSV、Parquet 等）

Athena Federated Query：允许访问不同的数据源（如 Amazon RDS）。

问题：

Athena 本身并不提供数据可视化功能。

IAM role

IAM role is an AWS resource that allows you to delegate access to AWS resources and services

当 EC2 实例启动并附加了 IAM 角色时，实例会自动获得临时的访问密钥（由 AWS 提供），这些密钥允许实例访问指定的 AWS 服务。

IAM 角色是 AWS 访问控制的推荐方式，比直接使用 IAM 策略更安全

类似一个“工作证”，用户必须“戴上”这个角色才能访问 AWS 资源

与 IAM 用户不同，IAM 角色没有固定用户，而是可以被多个用户或 AWS 服务临时使用。

IAM policy

IAM policy is used to define permissions for an IAM user or group, not for an EC2 instance

必须将策略附加到 IAM 用户、组或角色，才能生效（必须通过 IAM 角色绑定到 EC2 实例）

定义允许或拒绝用户/角色执行哪些操作，比如“读数据”“管理 EC2 实例”等

IAM group

IAM group is used to group together IAM users and policies, not to grant access to resources

用于组织 IAM 用户的一种机制，可以通过附加策略来管理一组用户的权限

多个 IAM 用户可以被放入一个 IAM 组，并共享相同的权限

IAM user

IAM user is used to represent a person or service that interacts with AWS resources, not to grant access to resources.

Amazon EventBridge (formerly Amazon CloudWatch Events)

事件总线服务，允许用户从不同的服务和应用中收集和路由事件，并将事件发送到指定的目标（如 S3、SNS、Lambda 等）。

可以用于处理跨多个应用的事件，并将其发送到其他 AWS 服务或外部应用

触发基于事件的规则，响应特定资源活动

can used to configure scheduled events

适用场景：

构建事件驱动的自动化流程，但需要与其他服务结合使用。

能够轻松处理大量的事件，适合需要高扩展性的场景

2025.1.8⬇️

Network Load Balancer

网络负载均衡器（NLB）通常用于 TCP 和 UDP 流量的负载均衡。

虽然 NLB 可以处理流量，但它不具备应用层流量的深度检查功能。

只能根据 IP 和端口转发流量，不能解析 HTTP 头信息（如 User-Agent：用户设备信息）

does not support least outstanding requests routing algorithm (it only supports Flow Hash)

does not allow to enable Sticky Sessions, this is always enabled with Flow Hash where each TCP/UDP connection is routed to a single target for the life of the connection

not a serverless solution

Application Load Balancer

应用负载均衡器（ALB）通常用于入站 HTTP 和 HTTPS 流量的负载均衡，适用于 Web 应用程序。ALB 可以检查应用层流量并执行路由决策。

不适合处理非应用层流量（如 TCP 流量）

具有内置的健康检查功能，可以自动将流量分配到健康的 EC2 实例。如果某个 EC2 实例变得不可用，ALB 会自动停止将流量发送到该实例

支持 round robin（轮询）算法，均衡流量到多个实例

Network ACL (Access Control List)：

基于 IP 地址控制进入和离开 VPC subnet流量的网络安全层。它是基于规则的，允许或拒绝流量。简单的流量过滤
ACL is stateless，必须成对（入站 + 出站）配置
返回流量通常使用的是临时端口范围（32768-65535）

can offload the SSL termination process from the EC2 instances, which can help to increase the compute capacity available for the web application

ALB Sticky Sessions（会话粘性）：

让相同的用户请求始终路由到同一个 EC2 实例
不适用于大规模分布式应用，仅适合少量固定 EC2 实例的场景

Transit Gateway（TGW）

传输网关 (Transit Gateway) 是一个网络传输枢纽，用于连接多个 VPC 和本地数据中心。它提供了跨多个 VPC 的流量转发和路由功能，可以简化跨账户和跨区域的大规模网络架构管理

可以路由流量，但它本身并不提供流量检查、过滤或安全功能。

更适合用于跨 VPC 的网络连接，而不是直接用于流量检查

支持大规模扩展，可以连接数百个 VPC，适合未来扩展 100+ 个应用

集中管理路由，支持跨区域连接

provides a hub-and-spoke model for connecting multiple VPCs, simplifying network management by providing a single point of connectivity for all VPCs

适用于大规模 VPC 互连，不能提供跨区域 Direct Connect 连接

Gateway Load Balancer

网关负载均衡器 (GWLB)是一种专为流量检查、过滤和转发设计的负载均衡器。它能够将流量转发到第三方虚拟网络设备（如防火墙）进行深度包检查。

支持所有类型的网络流量，包括应用层流量和非应用层流量

use when you have virtual appliances like IDP/IPS(instruction detection, prevention system.. ) & Firewall etc

make it easy to deploy, scale, and manage third-party virtual appliances, such as security appliances.

2025.1.9⬇️

Amazon EBS（Elastic Block Store）

高性能的块存储服务，专为与 EC2 实例一起使用而设计，每个 EC2 实例都有自己的 EBS 存储卷

EBS 不能被多个 EC2 实例同时访问，除非使用 Windows 共享，但配置复杂

即使 EC2 实例终止，EBS 数据也会保留。

支持多种卷类型（如 gp3、gp2、io1、io2），适合不同性能需求

支持创建数据快照（Snapshot），这些快照存储在 Amazon S3 中，用于备份和恢复。

does not scale automatically

the data in EBS will be accessible only to the EC2 instance and that is not as available as S3 would be

EBS 默认加密：

AWS 允许在账户级别启用 EBS 默认加密，确保所有新创建的 EBS 卷自动加密
可通过 AWS KMS 指定默认加密密钥

EBS Snapshots

用于备份 EC2 实例的存储卷，可跨区域复制。需要手动创建 EBS 快照、手动复制到其他区域

存储在 Amazon S3 中。可以用快照创建新的 EBS 卷，快速恢复数据。

快照仅存储与上次快照不同的数据，减少存储成本

可以将快照复制到其他 AWS 区域，用于灾备。

普通快照恢复需要时间，因为数据从 S3 分层加载到新卷

EBS Snapshots Standard Tier：

标准存储层适用于短期快照存储，存储费用较高
适合1个月的短期存储，但不适合长期存储

EBS Snapshots Archive：

为 EBS 快照长期存储设计，存储成本比标准快照降低 75%
适用于长期存储（如 7 年），但是检索时间较长（24-72 小时）
最适合合规性存储需求

EBS fast snapshot restore (FSR)

EBS 快速快照恢复功能允许在特定可用区内，从快照创建的新卷具备“预热”状态，无需等待数据从 Amazon S3 中分层加载，卷在创建后即可达到最大性能。

适用场景：

需要快速启动新卷的高性能应用。

大量数据克隆或快速恢复场景。

特性：

需要为特定快照和可用区启用该功能。

EBS Multi-Attach

允许多个 EC2 实例同时挂载一个 io1 或 io2 类型的 EBS 卷。

适用场景：

用于需要多个实例并行访问共享存储的高可用架构（如分布式文件系统）。

局限性：

数据一致性需要由应用程序自行处理。

不适合数据克隆场景，因为生产环境的卷会被直接使用。

EC2 instance store

EC2 实例存储是临时块存储，与 EC2 实例绑定，适合需要高 IOPS 和低延迟的临时数据。

实例停止或终止时，存储数据会丢失。

不能从 EBS 快照直接恢复到实例存储。

Max instance store possible at this time is 30TB for NVMe which has the higher I/O compared to EBS.

Amazon EC2 (Elastic Compute Cloud)

EC2 是 AWS 的弹性云计算服务，用于运行虚拟机实例。提供按需虚拟服务器

EBS 卷可以作为 EC2 实例的持久性存储，可以在不同 EC2 实例间迁移或挂载卷

Auto Scaling：

自动扩展 EC2 实例以满足流量需求，根据应用负载自动增加或减少 Amazon EC2 实例数量
支持多 AZ 部署。但仍需要手动管理 EC2 服务器。
适用于无状态（stateless）应用
Cooldown（冷却时间）：Auto Scaling在进行一次扩展操作之后等待的时间，以防止过于频繁的扩展。减少冷却时间可以更快速地响应流量变化
Step Scaling（步骤扩展）：自动扩展策略。当某个特定的监控指标（如 CPU 使用率）超出设置的阈值时，会增加或减少 EC2 实例的数量，每次扩展的幅度是预定义的“步骤”。流量波动大的情况下，不够灵活且不够高效
Target Tracking Scaling（目标追踪扩展）：自动扩展策略。根据设定的目标值来调整实例数量。目标通常是某个性能指标（如 CPU 使用率、请求延迟等），比如可以设置目标是保持 CPU 使用率在 50% 左右。
Scheduled Action（计划操作）：允许在特定时间点预先设置实例数量。

Reserved Instances (RI):

AWS 提供的一种定价选项，允许用户以折扣价运行 EC2 实例。主要用于长期成本优化
用户购买的是 EC2 实例的折扣，而不是实际的容量预留。
for a duration of 1 to 3 years with a lock-in contract (no refunds!)
需要长期运行才能最大化节省成本，适合长期稳定负载，可显著降低成本
Standard Reserved Instances：仅适用于某个实例家族。可以变更实例大小，但不能跨家族变更
Zonal Reserved Instances：锁定具体实例和 AZ，不能跨家族、跨区域调整

On-Demand Capacity Reservation:

按小时或秒计费，无需预付或长期承诺
灵活性高，随用随开
成本较高，适合短期、不可预测的负载
a type of Amazon EC2 reservation that enables you to create and manage reserved capacity on Amazon EC2. With an On-Demand Capacity Reservation, you can specify the Region and Availability Zones where you want to reserve capacity, and the number of EC2 instances you want to reserve. This allows you to guarantee capacity in specific Availability Zones in a specific Region
enable you to reserve compute capacity for your Amazon EC2 instances in a specific Availability Zone for any duration

Spot Instances：

EC2 的一种定价模式，利用 AWS 闲置的计算资源提供实例，价格低于 On-Demand，但可能被随时中断。
成本最低，适合短期或非关键任务。
可能被 AWS 回收，适合容错性较高的任务。
Spot Blocks 是一种特殊的 Spot 模式，允许用户在固定的时间窗口内（最多 6 小时）运行实例，且不会被中断。

M5（通用型实例 - General Purpose）：适用于大多数通用计算任务

R5（内存优化实例 - Memory Optimized）：适用于内存占用高的应用

T3（突发性能实例 - Burstable Performance）：适用于间歇性 CPU 负载的应用

Local Zones：区域扩展服务，适用于低延迟本地计算，主要用于计算密集型任务

Cluster Placement Group：

EC2 放置策略，专门用于低延迟、高吞吐量的应用
group packs instances close together inside an Availability Zone. improves throughput between the instances which means less EC2 instances would be needed thus reducing costs
所有 EC2 实例在同一个 AZ 内，避免了跨 AZ 传输费用（AWS 跨可用区（AZ）传输数据需要付费）

Partition Placement Group：

主要用于大规模分布式应用，如 HDFS、大数据计算等，强调容错能力，而不是低延迟
更适合 NoSQL 数据库（如 Cassandra）或大规模存储，不适合低延迟内存数据库

Compute Savings Plan：

可以跨实例家族、跨区域、跨操作系统变更
适用于 EC2、Fargate 和 Lambda，但不包括 SageMaker

EC2 Instance Savings Plan：

只适用于某个实例家族（仅适用于特定 EC2 实例系列），不能跨家族调整，但可以在该家族内改变实例大小
不够灵活，适用范围小，只能优化 EC2 成本

Conditional forwarder：条件转发器是单点故障，需要额外 HA 机制（如 Auto Scaling）

Amazon CloudFront

完全托管的内容分发网络 (CDN) 服务，通过边缘节点缓存和分发内容，减少用户访问延迟

可缓存静态内容并加速动态内容的请求传输。

用于加速 HTTP/HTTPS 流量，不支持 UDP

acts as a globally distributed cache, can be set up very quickly

Downtime is not acceptable for the website = high availability

可配置多个缓存行为（cache behaviors），基于 User-Agent（用户设备信息）缓存不同版本的页面

可能仍然提供旧版本的缓存，可以自动配置 CI/CD 管道，使每次部署时 CloudFront 自动刷新缓存

Lambda@Edge：

CloudFront 的边缘计算功能，可以在 CloudFront 的边缘位置运行自定义代码
可以修改 CloudFront 请求，返回适合不同设备的内容（比如移动用户请求网站时，Lambda@Edge 可以修改请求路径，返回移动版页面）
可拦截请求并返回 301/302 重定向

CloudFront function：ideal for lightweight, short-running functions for the following use cases: Header manipulation – Insert, modify, or delete HTTP headers in the request or response

Signed URLs（签名 URL）：

允许为特定 URL 生成临时访问权限的链接
适用于无法使用 Cookies 的客户端（即可以直接通过 URL 进行身份验证）
适用于硬编码 URL 的情况，可以替换原 URL 为签名 URL，而不需要用户更改访问方式
可以设定过期时间，增强安全性

Signed Cookies（签名 Cookie）

一种 CloudFront 访问控制方式，允许多个用户在一定时间内访问受保护的内容
要求客户端支持 Cookies

可绑定 ACM 生成的 SSL 证书，确保所有流量通过加密传输。只接受在 us-east-1 颁发的 ACM 证书，不能使用私有证书

Amazon S3 (Simple Storage Service)

对象存储服务，支持高可用性、无限扩展能力，特别适合存储静态内容（如图片、HTML 文件）。

与 CloudFront 配合使用，支持快速内容分发。

不适合存储和处理动态数据（如订单数据），因为 S3 的写操作不具备数据库的事务性。

不直接支持 Windows 文件共享协议（如 SMB）。

S3 buckets do not have subnets

CRR (Cross-Region Replication)：

S3 提供的跨区域数据复制功能，支持将一个区域中的 S3 存储桶的数据复制到另一个区域的存储桶，保持 S3 存储桶数据同步
复制时可以保留源数据的加密状态，支持在不同区域之间复制加密数据。
支持目标存储桶使用不同的 KMS 密钥来解密和重新加密数据
不提供自动故障转移，如果一个存储桶不可用，需要手动切换

默认情况下，AWS S3 服务没有特别限制带宽或性能的限制。

Versioning: 在启用版本控制后，每次修改或删除对象时，S3 都会保留之前的版本

MFA Delete（Multi-Factor Authentication Delete）：启用后，删除 S3 中的对象或关闭版本控制需要提供多重身份验证（MFA）

Bucket Policy: 定义对存储桶的访问控制规则，可以限制哪些用户或角色可以执行哪些操作

Default Encryption: 确保存储在 S3 中的所有对象在写入时自动加密

Lifecycle Policy: 根据预定义的规则，自动将对象迁移到其他存储类别或删除对象

S3 Object Lock: 防止对象被删除或覆盖。

合规模式（Compliance Mode）：在设置的保留期内，任何用户（包括根用户）都无法更改或删除锁定对象。
治理模式（Governance Mode）：管理员或根用户可以更改或移除锁定设置。

Legal Hold：Object Lock 提供的功能，允许为对象添加“法律保留”标志，防止删除或修改。

只有具备 s3:PutObjectLegalHold 权限的用户才能移除 Legal Hold
支持版本控制，确保所有对象变更都有记录
The Object Lock legal hold operation enables you to place a legal hold on an object version. Like setting a retention period, a legal hold prevents an object version from being overwritten or deleted. However, a legal hold doesn't have an associated retention period and remains in effect until removed

S3 PUT event: S3 支持事件通知，可以配置 PUT 事件，在文件上传时触发 Lambda 函数

Requester Pays：使得访问 S3 bucket 数据的成本（如 GET 请求和数据传输费用）由数据请求者承担，而不是数据所有者

Presigned URL：for upload or download from S3 for temporary time and for specific users outside the company

S3 Storage Lens：

a fully managed S3 storage analytics solution that provides a comprehensive view of object storage usage, activity trends, and recommendations to optimize costs. Storage Lens allows you to analyze object access patterns across all of your S3 buckets and generate detailed metrics and reports
includes an interactive dashboard which you can find in the S3 console. The dashboard gives you the ability to perform filtering and drill-down into your metrics to really understand how your storage is being used. The metrics are organized into categories like data protection and cost efficiency, to allow you to easily find relevant metrics

Multi-Region Access Points（MRAP）：

提供一个全球端点，自动将请求路由到最近的 S3 存储桶，减少公共网络拥塞
具有自动故障转移，如果一个区域宕机，会自动切换到另一个区域的 S3 存储桶
在主动-主动（active-active）模式，并配置 S3 跨区域复制（CRR），确保不同区域的 S3 存储桶数据同步
管理成本最低，因为无需应用程序管理不同区域的端点

Access Points：

S3 访问点允许为不同的应用程序提供针对特定数据的访问权限，每个访问点有独立的访问控制策略
访问点简化了访问控制，并支持细粒度的权限控制
最低的运维开销，不需要管理多个 S3 桶，也不需要复制数据

Amazon Elastic Kubernetes Service (EKS)

AWS 提供的托管 Kubernetes 服务，支持容器化应用

Kubernetes 集群管理复杂，运维成本高

Amazon API Gateway

是托管服务，用于创建和管理 API。通常用于处理 HTTP 请求、集成 Lambda 或其他后端服务。

支持无服务器架构。几乎不需要运维工作。

自动扩展，处理高并发流量。

不是跨区域的，每个区域都需要单独部署 API Gateway

Amazon API Gateway 和证书区域

Regional Endpoint（区域端点）：API Gateway 部署在特定的 AWS 区域。ACM 证书必须存放在同一 AWS 区域，因为区域端点不支持跨区域证书
Edge-Optimized Endpoint（边缘优化端点）：API Gateway 使用 AWS 的全球边缘网络进行优化（类似于 CloudFront）。ACM 证书必须存放在 us-east-1 区域，因为所有边缘优化的请求都由 AWS 全球网络起始点（us-east-1）处理

Stage Variables：API Gateway 的一种动态配置功能，用于在不同阶段（stage）中切换配置（如 API URL、版本等）

API throttling（限流）：

可防止单个客户发送过多请求，从而导致错误增加
客户端会收到 HTTP 429（Too Many Requests）错误，但可以配置客户端进行自动重试
Usage Plan 可以：

限制每个 API Key 客户的请求速率（requests per second）
配置 API 限流（如每秒最多 10 个 PUT 请求）

API caching（缓存）：适用于 GET 请求，不适用于 PUT 请求（缓存不会存储写入操作）

REST API：

支持 AWS Service 直接集成
can invoke DynamoDB directly
适合API 逻辑简单（CRUD 操作）的情况

HTTP API：

主要用于 Lambda 或 HTTP 端点集成，不支持 AWS Service 直接集成
适用于复杂查询，可以在 Lambda 逻辑中处理额外的业务逻辑、身份验证、数据转换等

AWS Lambda

事件驱动的无服务器轻量级计算服务，按需运行代码，无需管理底层服务器

自动扩展，支持毫秒级响应

需要设计无状态函数

快速响应 API Gateway 请求

按调用次数收费，单个 Lambda 执行最长 15 分钟

有一定的资源限制（如内存、执行时间等），对于大文件的处理可能需要特别考虑

不是全局函数，Lambda 必须在每个区域单独部署

可读取 JSON 文档，基于请求域名返回 301/302 重定向

reserved concurrency（并发）：Lambda 并发管理用于防止 Lambda 资源耗尽，适用于 CPU 或内存瓶颈

Amazon DynamoDB

高性能 NoSQL 文档和键值数据库，支持高并发和毫秒级延迟。不支持 SQL 查询

自动扩展，处理数百万请求。非常适合快速存储和访问数据

完全托管，无需管理底层基础设施。

has a 400KB max to upload files

无法直接设置规则移除敏感数据。清理敏感数据需要额外的预处理（例如通过 Lambda）

DynamoDB Streams: 允许在数据更改时触发事件，这可以与 Lambda 配合使用

Point-in-Time Recovery (PITR)：

提供连续的备份功能，可以恢复到最近 35 天内的任意时间点
恢复操作简单，用户只需选择一个时间点并创建新表即可，恢复时间通常在数分钟到几十分钟之间

On-Demand Capacity Mode：

按需模式允许根据流量自动扩展或缩减，无需手动管理容量
不需要设置读写容量单位 (RCU/WCU)，只需为实际使用付费
适用于不规则流量模式和间歇性使用场景

Global Secondary Index

全局二级索引提供额外查询能力，但与容量模式无关
会增加存储和查询费用

Provisioned Capacity:

预置容量模式允许手动设置初始 RCU 和 WCU，并使用自动扩展功能调整容量
自动扩展存在延迟，无法立即响应突发流量
is recommended for known patterns
provisioning is costly

Global table:

全局表用于多区域复制，增强数据可用性和延迟优化，确保数据一致性
解决的是“跨区域数据同步”问题
与容量模式无关。

TTL（Time to Live）：

DynamoDB 的自动过期数据删除机制
可为每条数据设置“过期时间”，自动删除超时数据，无需手动管理

Amazon RDS for MySQL

RDS 是 AWS 的托管关系数据库服务，支持事务性和复杂查询。

自动化管理（备份、修复）。

对于每小时数百万请求的写入需求，RDS 的性能可能不足。

支持 Multi-AZ 部署，用于提高数据库的高可用性

局限性：

性能和扩展性不如 Aurora。

不支持快速克隆功能。

2025.1.10⬇️

S3 Standard

是默认的存储级别，适用于需要频繁访问的数据，具有高可用性和高持久性。

数据存储在多个可用区，具有 11 个 9 的数据持久性（99.999999999%）

提供低延迟和高吞吐量访问。

高存储成本，低访问成本

S3 Intelligent-Tiering

自动根据访问频率在多个存储层之间移动数据，无需用户干预。适用于访问模式不可预测的场景。

支持多个存储层，包括频繁访问层和不频繁访问层。

自动优化存储成本，数据未访问时会移动到更低成本的存储层。

提供高可用性，数据跨多个可用区存储。

S3 Standard-Infrequent Access (S3 Standard-IA)

标准低频访问适合不常访问但需要高可用性的数据。

较低存储成本，但访问成本较高。

数据跨多个可用区存储。

S3 One Zone-Infrequent Access (S3 One Zone-IA)

适合低访问频率且可以容忍数据丢失的场景。

数据存储在单个可用区。

最低存储成本，但无高可用性保障。

2025.1.11⬇️

S3 Glacier Deep Archive

Amazon S3 中最便宜的存储选项，适用于长期存储几乎不访问的数据。

生命周期规则可以在指定时间后自动将文件从 S3 Standard 转移到 Glacier Deep Archive。You can directly migrate from S3 standard to glacier without waiting

检索延迟较长，但成本极低

不能直接存 EBS 快照，必须先转换成 AMI 或其他格式，然后手动导入到 S3

can't create a S3 bucket with Glacier deep archive as a default storage class. Need lifecycle transition from any other S3 classes

Retrieval times can range from 12 hours to 48 hours, can't be used for website hosting

AWS Budgets

主要用于创建预算和追踪开支

提供了对成本的阈值提醒，但不支持详细的历史成本分析或图表生成

适用于成本控制，不是数据分析工具

适用场景：

监控和管理成本超出预算的风险。

设置阈值提醒。

AWS Cost Explorer

用于分析 AWS 服务的成本和使用情况

支持基于时间段、服务类型、实例类型等多维度的细化过滤和分析

提供图表和可视化工具，便于比较和识别趋势。

操作简单，无需额外设置或配置，适合快速分析需求

适用场景：

快速生成过去的成本分析报告。

分析不同服务、实例类型或时间段的成本分布。

AWS Billing and Cost Management

提供对账户总成本的高层次概览

支持按服务查看成本，适合查看整体成本趋势，但分析深度有限。

AWS Cost and Usage Reports

提供详细的使用和成本数据

数据可存储在 Amazon S3 中，然后使用 Amazon QuickSight 生成图表。可以生成复杂的自定义图表，但配置 S3 和 QuickSight 需要较高的操作开销

Amazon Simple Notification Service (SNS)

完全托管的消息通知服务，允许将通知消息推送到多个订阅者，可以是邮件、短信、HTTP、Lambda 函数等。

发布/订阅消息服务，主要用于事件广播，而不是可靠的消息传递。

数据丢失风险高，不提供消息持久化。

不适合处理高数据量的情况。

不适合处理需要严格顺序或事务性操作的场景。

普通 SNS 支持 SMS 发送，但 FIFO 主题不支持。SNS 不能接收 SMS 回复

Amazon Simple Queue Service (SQS)

托管消息队列服务，用于解耦分布式系统的组件和管理消息流。

提供消息持久化、顺序保证和重试机制。消息保留时间可配置

decouple (no more drops)

标准队列的最大消息保留时间为 14 天

可靠地处理和存储高吞吐量的消息。

主要用途是消息传递，而非高效存储或分析

需要开发和维护消费者应用程序来处理数据

CreateQueue API：用于创建新的队列

AddPermission API：用于设置队列的访问权限，允许其他 AWS 服务或 IAM 用户访问该队列。

ReceiveMessage API：用于从队列中检索消息。提供 WaitTimeSeconds 参数，用于实现长轮询，即客户端等待指定时间以减少空轮询请求。

ChangeMessageVisibility API：

用于修改消息的可见性超时时间（Visibility Timeout）。Visibility Timeout 是指一条消息被接收后，在该超时时间内不会被其他消费者读取。
如果消费者在超时时间内没有确认处理完成（例如删除消息），消息会重新变为可见，从而可能被其他消费者重新处理，导致重复处理。

SQS Extended Client Library：

允许自动将超过 256 KB 的消息存入 Amazon S3（Amazon SQS has a limit of 256 KB for the size of messages）
SQS 仍然传递消息，只是变成 S3 存储地址，然后应用从 S3 读取完整的消息

Amazon Aurora PostgreSQL

兼容 PostgreSQL 的高性能关系数据库。

自动扩展读写能力，支持事务和复杂查询。

Babelfish for Aurora PostgreSQL：

让 Aurora PostgreSQL 兼容 SQL Server 的 T-SQL
可以让应用代码无需修改，直接执行 SQL Server 查询

Amazon DynamoDB Accelerator (DAX)

全托管的缓存服务，专门用于 DynamoDB，可以大幅提高查询性能，提供微秒级读取延迟

完全兼容现有 DynamoDB API，不需要修改应用代码

2025.1.12⬇️

AWS Config

用于记录和评估 AWS 资源的配置

支持变更跟踪，会记录配置历史，便于审计

支持对资源配置进行时间点快照和历史记录回溯。

提供内置规则，检查资源是否符合最佳实践或合规性要求。

适用场景：

审计 AWS 资源配置变更。

确保资源符合合规性和安全要求。

Configuration changes = AWS Config

AWS Trusted Advisor

提供多种最佳实践检查，提供成本优化、安全性、容错性和性能的建议

不支持配置历史记录或变更跟踪。

只能提供静态检查，不适合持续监控

合并计费账户（consolidated billing account）可以访问所有 AWS 账户的 Trusted Advisor 检查，而无需登录到每个账户

Amazon Inspector

漏洞扫描服务，提供自动化报告，可集成 AWS Lambda 进行通知

自动化的安全评估服务，专注于检测 EC2 和容器的安全漏洞和不良配置

不能生成完整的补丁合规报告，而是侧重于安全合规性

Amazon S3 server access logging

S3 服务器访问日志记录对 S3 存储桶的访问请求（如 GET、PUT）。

分析存储桶访问行为，但不适合配置变更跟踪。

Amazon CloudWatch Dashboard

提供可视化界面，显示 AWS 服务的指标和日志。

支持自定义仪表板，用于展示特定应用程序的性能和健康状态。

共享功能：

允许通过公开 URL 共享仪表板，供没有 AWS 账户的用户访问。
可配置为公开访问或受限制访问。

Public Subnet

公有subnet是指在云环境（如 AWS、Azure、GCP）中，能够直接访问互联网的subnet

适合托管需要公开访问的资源，例如 Web 服务器或 API 服务器。

尽管资源可以公开访问，但通过配置安全组（Security Group）和网络访问控制列表（NACL），可以严格限制入站和出站流量。

公有subnet中的资源通常被设计为为其他私有subnet中的资源提供支持，例如作为负载均衡器或跳板服务器。

Bastion Server/Host

部署在公共subnet中的中转服务器

用于提供安全的远程访问，通常用于管理私有subnet中的资源

用于通过 SSH 或 RDP 连接到私有subnet中的资源。

部署成本高，不适合简单的仪表板访问场景。

on-prem -----> bastion host (we use internet, means that we need external IPs of the company) bastion host -----> private subnet (we use private IP since we are in the same AWS network)

AWS Single Sign-On (AWS SSO)

AWS 提供的单点登录服务，允许用户通过一个身份访问多个 AWS 账户和业务应用程序。

支持与本地 AD 或第三方 IdP 集成。

AWS Organizations

账户管理服务，用于集中管理多个 AWS 账户。

提供分层组织结构、服务控制策略 (SCP) 和集中计费功能。

允许创建组织单元（OU, Organizational Unit），并使用服务控制策略（SCP, Service Control Policies）来限制或允许女账户的访问权限

可启用共享资源功能，那么 AWS RAM 可以自动与组织内的账户共享资源，而不需要每个账户手动接受邀请

Service Control Policies, SCP（服务控制策略）：

权限管理工具，全局限制 AWS 账户和 IAM 角色的权限
作用于整个 AWS Organizations 组织，比 IAM 策略更强。即使 IAM 角色有权限，SCP 也可以强制阻止（IAM 策略只能控制个别角色或用户的权限，而 SCP 可以全局限制 AWS 账户）
不会授予权限，只能限制权限
可以应用于组织（root）、OU 或特定账户
可以阻止创建 Internet Gateway (IGW) 和 NAT Gateway，防止 VPC 连接外网。
可限制 AWS 账户禁止使用其他区域
拒绝列表（Deny List）模式：允许所有操作，但显式拒绝特定服务或 API
允许列表（Allow List）模式：只允许特定操作，默认拒绝所有未列出的操作

Organizational Unit, OU（组织单元）：

用于分组管理 AWS 账户的层级结构
允许将账户从一个 OU 移动到另一个 OU，从而应用不同的 SCP 访问策略
Production OU（生产环境 OU）：包含正式运行的 AWS 账户
Onboarding OU（入职 OU）：用于临时管理新加入的 AWS 账户

AWS Directory Service

提供托管的 Microsoft Active Directory（称为 AWS Managed Microsoft AD）

支持与本地 AD 建立单向或双向信任，便于混合身份管理

单向信任与双向信任

单向信任：A 信任 B，B 的用户可以访问 A 的资源，但反之不行。
双向信任：A 和 B 互相信任，双方用户都可以访问对方资源。
Create a two-way trust relationship – When two-way trust relationships are created between AWS Managed Microsoft AD and a self-managed directory in AD, users in your self-managed directory in AD can sign in with their corporate credentials to various AWS services and business applications. One-way trusts do not work with IAM Identity Center

Microsoft Active Directory

Microsoft 提供的目录服务，用于集中管理用户、组、计算机和资源。

通过域控制器提供身份验证和授权服务

Identity Provider (IdP)

身份提供商是一个身份验证系统，用于管理用户的登录和认证。

常见的 IdP 包括 Okta、Ping Identity、AD FS 等。

AWS Global Accelerator

提供静态 IP 地址，通过 AWS 的全球网络优化流量路径，减少延迟。

主要用于优化 TCP/UDP 流量，适用于低延迟路由（如加速 API 请求、VPN 连接）。

提供全局端点，自动选择最优的区域路由用户流量。

提供低延迟路由和自动化跨区域故障转移功能 (automatic failover)

高级服务，成本较高

通常用于动态流量，而不是静态内容分发

it does not provide edge caching like CDN. Global Accelerator only points the user to nearest functioning node which is helpful for real-time streaming but not best for on-demand.

进行健康检查。AWS Global Accelerator directs traffic to the optimal healthy endpoint based on health checks, it can also route traffic to the closest healthy endpoint based on geographic location of the client

Amazon Route 53

托管 DNS 服务，支持延迟路由、加权路由等多种流量分配策略。

根据用户与区域的网络延迟，将用户流量路由到延迟最低的目标。

Weighted Record（加权记录）：

根据设定的权重比例将流量分配到多个目标。
不提供基于延迟的路由。

Geolocation Routing：根据用户的地理位置（国家/地区）选择最近的实例

health checks：健康检查功能可以根据目标的健康状态进行流量路由

multivalue answer routing policy(多值应答路由)：对请求进行随机负载分配，允许返回多个 IP 地址。与健康检查结合，确保仅返回健康的 EC2 实例 IP

failover routing policy：主要用于主-备（Active-Passive）架构

Simple Routing Policy：仅返回一个 IP 地址，不会做健康检查

Latency Routing Policy：基于用户到 AWS 各区域的延迟选择最近的实例。不会返回所有健康实例，而是返回一个最低延迟的实例

Private Hosted Zone（PHZ）：

私有托管区域只能解析与之关联的 VPC 内的请求，适用于 VPC 内部 DNS 解析
默认情况下不对本地环境解析，必须借助 Route 53 Resolver 进行解析
私有托管区域不会自动同步，也无法在 AWS 内部跨账户复制
授权和关联是两个步骤：

PHZ 存在于 Account A，运行应用程序和数据库的 VPC 存在于 Account B
在 Account A 执行授权，允许 Account B 的 VPC 访问 PHZ。在 Account B 关联 VPC 到 PHZ（授权后可以删除授权记录，因为关联成功后授权就不再需要）

Route 53 Resolver：托管 DNS 解析器

Inbound Resolver（入站解析器）：

允许本地系统查询 AWS 内的 Route 53 解析器
on-premises systems resolve by forwarding the DNS queries to the inbound resolver in the shared services VPC, which will then forward the queries to the private hosted zone

Outbound Resolver（出站解析器）：允许 AWS 资源查询本地 DNS 服务器

Amazon RDS Stop/Start 功能

RDS 支持手动停止和启动实例。

停止的实例会保留所有数据、配置和设置。

While your database instance is stopped, you are charged for provisioned storage, manual snapshots and automated backup storage within your specified retention window, but not for database instance hours.

You can stop a DB instance for up to seven days. If you don't manually start your DB instance after seven days, your DB instance is automatically started so that it doesn't fall behind any required maintenance updates. So, the "auto starting" behaviour is expected.

(Stop and Restart) is less operationally complex and provides a quicker way to resume the database. It's suitable if the primary concern is operational simplicity and quick availability.

Amazon RDS Snapshots

快照是数据库实例的备份，可用于数据恢复。

终止 (terminate) 实例后，仅需支付存储快照的费用

(Snapshot, Terminate, and Restore) may offer higher cost savings, especially if the instance is large and expensive to run, as you're avoiding charges for the time the instance is down. However, it comes with higher operational complexity and longer lead times to bring the database back online

2025.1.13⬇️

DynamoDB Streams

允许捕获 DynamoDB 表中数据的修改事件（如新增、更新、删除）。

数据可用于触发下游应用或 Lambda 函数处理

Amazon Kinesis Data Firehose

完全托管的数据流传输服务。将数据流自动传输到其他 AWS 服务

支持实时或近实时的数据处理和存储到 Amazon S3, Amazon Redshift, Amazon OpenSearch Service, Splunk, Datadog, NewRelic, Dynatrace, Sumo logic, LogicMonitor, MongoDB, and HTTP End Point 等目的地。

does not suppport DynamoDB

支持与 Lambda 集成进行数据预处理（如清理敏感数据）

通常用于简单传输和批量存储，而不是处理复杂的实时共享需求

cannot generate a report

Amazon Kinesis Data Streams

高度可扩展的实时数据流处理服务。用于实时数据流的收集和处理

支持多种消费者（如 Lambda）从数据流中读取和处理数据。

可支持多应用并发消费，支持多个消费者实时共享数据

AWS CloudTrail

主要用于记录对 AWS 资源的 API 调用历史，包括由 AWS 管理控制台、SDK、CLI 等发起的操作。适用于审计和安全分析

可以详细跟踪所有配置更改，并能够获取 API 请求的日志

记录的内容包括：

谁发起了调用（用户/角色）。
调用的时间。
调用的目标资源和操作。

Amazon CloudWatch

主要用于监控 AWS 资源和应用程序的运行状况

收集指标数据（如 CPU 使用率、内存使用情况）和日志数据

不记录 API 调用历史

offers a subscription where you can stream data to other AWS services

Composite Alarms：支持多个指标组合同时监控，只有多个条件都满足才触发警报，避免误报。

Amazon CloudWatch Synthetics：

监控 API 是否正常运行，用于模拟用户访问 API 和 Web 应用，并检测故障
定期发送 HTTP 请求到 API / 网站，检查是否正常返回响应
发现异常时触发 CloudWatch Alarms，帮助发现 Web API 可用性问题

CloudWatch agent：

allows for the generation of custom application latency metrics, which can provide valuable insights into the application's performance

可帮助识别使用情况，但并没有直接提供成本优化的建议

AWS Shield

AWS 提供的 DDoS 防护服务，分为 Standard 和 Advanced 两个版本：

Shield Standard：默认启用，提供基本的 DDoS 防护。

Shield Advanced：提供增强的防护功能，包括实时监控、响应支持和费用保护。

provides expanded DDoS attack protection for your Amazon EC2 instances, Elastic Load Balancing load balancers, CloudFront distributions, Route 53 hosted zones, and AWS Global Accelerator standard accelerators

large-scale DDos leads to advanced instead of standard AWS Shield

Elastic Load Balancer (ELB)

用于分发流量，支持处理高流量和分布式攻击。

提供高可用性，通过负载均衡分配流量。

SSE-S3 (Server-Side Encryption with S3-Managed Keys)

服务器端加密的一种模式。

由 S3 自动管理加密密钥，无需用户提供密钥。

只对新上传的对象生效。

SSE-KMS (Server-Side Encryption with KMS Keys)

S3 的服务器端加密选项之一

数据在上传到 S3 时由 AWS KMS 密钥加密，用户可以完全控制密钥的使用和权限。

只对新上传的对象生效。对于现有对象，它不会自动进行加密

AWS KMS (Key Management Service)

提供密钥管理服务，用于加密数据和控制密钥的访问权限

rotates keys automatically，仅适用于 KMS 密钥，不适用于数据库密码

Customer Managed KMS Key：用户在 AWS KMS 中创建和管理的密钥。提供细粒度的权限控制。

用户可以完全控制的密钥，提供了更高的加密安全性和灵活性

Customer Managed Multi-Region KMS Key：多区域密钥功能允许在多个 AWS 区域中使用同一个逻辑密钥进行加密和解密。

Customer Imported keys cannot be auto rotated. the customer would have to provide/import new keys

Client-Side Encryption

数据在上传到 S3 之前，在客户端完成加密

应用程序需要处理加密和解密逻辑，增加了复杂性。

Client side encryption means that key is generated in from the client without storing that in the KMS

LEAST operational overhead

减少手动配置或额外维护工作

With AWS, a managed service is "less operational overhead" regardless of the complexity of the setup

EC2 Serial Console (串行控制台)

提供直接访问 EC2 实例控制台的方法。

主要用于排查启动失败、SSH 无法访问等问题

不依赖网络连接，因此在实例的网络配置有问题时非常有用

缺点：

不适合作为日常的远程管理工具。

管理员需要通过 AWS 控制台操作，无法直接进行批量管理或自动化。

provides direct access to the terminal interface of each instance, but it may not be practical for administration purposes and can be cumbersome to manage, especially for multiple instances.

AWS Systems Manager Session Manager

管理 EC2 服务器，提供无需 SSH 密钥的远程管理解决方案。

使用 IAM role 和 AWS Identity and Access Management (IAM) 控制访问权限

Session Manager provides secure and auditable node management without the need to open inbound ports, maintain bastion hosts, or manage SSH keys.

Cross-platform support for Windows, Linux, and macOS

优点：

不需要暴露实例的 SSH 端口（22），从而减少潜在攻击面。

通过 IAM 管理权限，避免手动管理 SSH 密钥。

操作开销低。配置完成后，管理员可以直接通过 AWS 控制台或 CLI 访问实例。

新实例只需附加正确的 IAM 角色即可，无需额外配置

SSH Key Pair

使用 SSH 密钥对实现加密认证。

AWS Site-to-Site VPN

在本地网络和 AWS VPC 之间建立安全加密连接

数据通过 VPN 隧道加密传输，安全性较高。

需要配置和维护 VPN 连接。

不适合多区域部署，需要额外配置多个 VPN 连接

S3 Transfer Acceleration

提供通过 AWS 边缘网络加速 S3 数据上传和下载的功能

主要目的是优化大文件上传和下载，而不是针对静态网站的访问优化。

价格高于 CloudFront，且不提供缓存功能

Provisioned IOPS SSD（io2/io1）

提供高性能的存储，允许用户预配置 IOPS（输入/输出操作每秒），以满足工作负载的需求。

特别适合高频读写工作负载。

相比 General Purpose SSD（gp2），提供更高的 IOPS 和更低的延迟。

价格较高，需要根据性能需求额外支付费用

Memory Optimized Instance

提供更多内存，适合内存密集型工作负载，如内存缓存、大型数据库查询等。

可以提高查询性能（例如通过缓存更多数据）

不解决存储性能瓶颈。More memory won't increase storage performance

Burstable Performance Instance

提供弹性性能实例，可以在短时间内使用额外 CPU 资源。

对于 CPU 受限的工作负载可能有帮助。

Multi-AZ RDS

提供高可用性，通过在不同可用区中部署副本

Read Replicas：提供只读副本，分担读操作负载

适合读密集型工作负载（瓶颈在读操作），不适用于写性能问题

配置多区域和副本会增加成本和运维复杂性

Amazon OpenSearch Service (Elasticsearch Service)

分布式搜索和分析引擎，适合复杂查询和实时分析，主要用于搜索和日志分析

提供强大的实时搜索和分析能力

OpenSearch 集群的运行成本高

S3 Event Notification

S3 事件通知允许 Amazon S3 在发生特定事件时（如文件上传、删除等）触发通知，可以将通知发送到 Amazon SNS、Lambda、SQS 等服务。

Amazon AppFlow

完全托管的集成服务，旨在简化不同软件即服务（SaaS）应用和 AWS 服务之间的数据传输

可以从 SaaS 应用（如 Salesforce、ServiceNow 等）获取数据，并将其上传到 AWS。

简化 SaaS 数据集成，适用于需要从多个 SaaS 服务获取数据的场景。

SaaS integration

a fully managed integration service that enables you to securely transfer data between Software-as-a-Service (SaaS) applications like Salesforce, SAP, Zendesk, Slack, and ServiceNow, and AWS services like Amazon S3 and Amazon Redshift, in just a few clicks

Amazon ECS (Elastic Container Service)

用于运行 Docker 容器的完全托管服务

帮助用户在 AWS 上运行和扩展 Docker 容器应用程序

支持集群管理、任务调度等功能。

ECS Anywhere：

允许本地容器集群加入 AWS ECS 进行统一管理，非常适合混合云部署
只能运行在本地 EC2 或裸机，不支持 Fargate

适用于：

需要拆分单体应用为多个微服务

Amazon CloudWatch Container Insights

用于监控和管理容器化应用性能的服务，能够提供容器级别的性能数据。

2025.1.14⬇️

NAT Gateway (Network Address Translation Gateway)

托管服务，用于允许私有subnet中的 EC2 实例访问互联网，同时避免暴露到公网。所有出站流量通过 NAT 网关传输。

enable instances in private subnets to connect to internet or aws services. data transferred is charged as traffic would still flow over the internet

NAT Instance

NAT 实例是运行在 EC2 上的自定义 NAT 解决方案，提供与 NAT Gateway 类似的功能。

网络吞吐量受限于 EC2 实例类型（不像 NAT Gateway 是托管的高性能服务）

Gateway VPC Endpoint

AWS 提供的 VPC 功能，允许 VPC 中的资源通过 AWS 内部网络直接与服务（如 S3、DynamoDB）通信，而无需通过 NAT 网关或互联网网关。

a fully managed service that allows connectivity from a VPC to AWS services such as S3 without the need for a NAT gateway or a public internet gateway.

Data transfer between the VPC and the service through a gateway VPC endpoint is free of charge, while data transfer between the VPC and the Internet through an Internet gateway or NAT device is subject to data transfer charges

privately connects vpc to aws services via privatelink.

EC2 Dedicated Host

专用主机是一种物理服务器，完全由单个客户占用，适合需要满足特定合规性要求的工作负载。

提供物理隔离，适合需要满足合规性要求（合规要求严格）的工作负载

专用主机的成本远高于共享实例

would not affect data transfer charges as it only pertains to the physical host that the instances are running on and not the data transfer charges for accessing

AWS VPN (Virtual Private Network)

提供加密隧道，允许本地数据中心安全地连接到 AWS 云

VPN 通常通过公共互联网运行，其带宽受限且无法完全避免互联网带宽限制

Virtual Private Gateway

AWS Direct Connect

专用网络连接服务，允许本地数据中心与 AWS 之间进行高带宽、低延迟的专用通信。

不依赖公共互联网，因此不会影响公司内部用户的带宽

Private Virtual Interface（Private VIF）主要用于 Direct Connect 到 VPC 连接

需要额外的硬件支持（例如路由器）和安装时间，昂贵且复杂，适合长期需求

通常用于大型数据中心或高带宽需求的场景，不是针对普通应用的最佳方案

Direct Connect Gateway（DXGW）：

允许跨区域访问，支持多个 VPC 连接到 Direct Connect 连接
不依赖于单个 VPC，可以跨区域支持多个 VPC
适用于需要多个 AWS 区域连接的架构
allows you to connect multiple VPCs and on-premises networks in different accounts and different regions to a single Direct Connect connection. also provides automatic failover and routing capabilities

2025.1.15⬇️

AWS Snowball

离线数据传输设备，允许将大规模数据传输到 AWS 云，而无需依赖互联网。

适合一次性或周期性的批量数据迁移，不适合高频率、实时备份场景。

AWS Snowball Edge Storage Optimized：

专为大规模数据迁移设计，支持存储容量高达 80 TB。
提供高速数据传输并支持边缘计算功能，可在边缘设备上直接运行现有应用

Amazon Macie

基于机器学习的服务，专门用于检测和保护 S3 中的敏感数据（如 PII）。

a data security and data privacy service that uses machine learning (ML) and pattern matching to discover and protect your sensitive data

automatically detects a large and growing list of sensitive data types, including personally identifiable information (PII) such as names, addresses, and credit card numbers. It also gives you constant visibility of the data security and data privacy of your data stored in Amazon S3

Macie detects a potential issue with the security or privacy of your data, such as a bucket that becomes publicly accessible, Macie generates a finding for you to review and remediate as necessary

Amazon Simple Email Service (Amazon SES)

简单电子邮件服务，用于发送电子邮件通知

功能类似于 SNS，但更专注于电子邮件。

can format the data into an easy-to-read HTML report and send the email to multiple recipients efficiently

Amazon ElastiCache for Redis

内存中的键值存储，主要用于缓存和快速数据访问

不是持久存储解决方案，数据在节点故障或未启用持久化时可能丢失

Amazon Elastic File System (Amazon EFS)

高度可用、可扩展且持久的文件存储服务。适合需要频繁访问且需要持久存储的应用数据

数据在多个可用区中复制，避免单点故障

支持并发访问，适合多个实例同时访问数据

a shared file storage service and may not provide optimal performance for conversion process, especially as demand and file sizes increase.

针对 Linux 工作负载的文件系统，支持 NFS（Network File System）协议。不支持 SMB 协议，无法直接与 Windows 文件共享兼容。

2025.1.18⬇️

S3 Glacier Instant Retrieval

提供毫秒级检索延迟，适合频繁访问的数据。

存储成本较低，但高于 S3 Standard 和 S3 Intelligent-Tiering。

S3 Glacier Flexible Retrieval

存储成本低，适合长期存储且访问频率极低的数据

支持查询和检索，但延迟较高（几分钟到小时级）

比 S3 Standard 和 Intelligent-Tiering 更便宜

Amazon S3 Glacier Select

直接查询归档数据。支持 SQL 查询，可以直接从 S3 Glacier 中筛选所需数据，而无需检索整个对象。

只提取查询所需的数据，节省了网络带宽和检索费用

适合在大规模归档数据中快速提取特定字段或记录

AWS Systems Manager Patch Manager

自动化工具，用于应用和管理操作系统的安全补丁

允许对 EC2 和本地服务器进行集中式补丁管理

AWS Systems Manager Maintenance Window

允许用户计划在特定时间窗口内运行任务，通常用于计划性维护

更适合定期任务，而非一次性紧急补丁任务

AWS Systems Manager Run Command

一种无服务器、无代理的方法，允许管理员远程执行命令或脚本来管理 Amazon EC2 实例或本地服务器。

需要完全自定义的命令

无需提前配置复杂的自动化任务，可以立即发送命令

不会强制重启实例

Amazon S3 File Gateway

用于将本地文件系统扩展到 S3 的解决方案，将本地文件存储映射到 Amazon S3

enables you to store and retrieve objects in S3 using file protocols such as Network File System (NFS) and Server Message Block (SMB)

适用于文件存储，不适用于 iSCSI 块存储

Amazon FSx for Windows File Server

高性能，低延迟，完全托管的 Windows 共享存储解决方案

专为 Windows 工作负载设计的文件系统。支持 SMB 协议和 Active Directory 集成。支持加入现有的本地 AD 域

提供高可用性选项（Multi-AZ 配置）和自动故障转移。

Amazon FSx File Gateway: a service that provides low latency and efficient access to Amazon FSx for Windows File Server shares from on-premises facilities

适用场景：

Windows 文件共享。

与 Active Directory 集成的环境。

Subnet

VPC 中的 IP 地址范围划分。每个subnet与一个路由表相关联，可以是公有subnet（有路由到 Internet Gateway）或私有subnet（没有直接互联网访问）

Subnet不能跨多个 AZ (可用区)，每个 AZ 只能有自己的子网

Public Subnet：包含能通过互联网网关（Internet Gateway）直接访问的资源。

Private Subnet：包含不能直接通过互联网访问的资源，通常通过 NAT 网关或其他方式访问外部网络。

Database Subnet：专门用于部署数据库实例，需确保仅可信来源能访问

Security Group（安全组）

VPC 的虚拟防火墙，用于控制实例的入站和出站流量。规则基于允许原则（默认拒绝所有流量）。

精确控制哪些流量可以访问实例。

基于 IP 地址、CIDR 范围或其他安全组设置规则。不支持基于“国家”进行访问控制

IP 控制不是可靠的 URL 访问控制方式

为不同资源分配独立的访问控制。

focus on inbound traffic since by default outbound traffic is allowed. only have allow rules

By default, a security group is set up with rules that deny all inbound traffic and permit all outbound traffic.

used to control inbound and outbound traffic to resources, and do not grant permissions to access resources

Web 层配置：

端口：443（HTTPS 流量）
来源：0.0.0.0/0，允许来自互联网的所有流量。Allows inbound HTTPS access from any IPv4 address

Microsoft SQL Server 配置：

默认端口：1433。The default port to access a Microsoft SQL Server database
建议：仅允许来自 Web 层的流量访问数据库。

Route Table

路由表用于控制subnet的流量路由规则。每个subnet都必须与一个路由表关联。

更适合用于流量转发，而不是基于来源或安全组的访问控制。

CIDR Blocks（无类别域间路由块）

CIDR（Classless Inter-Domain Routing）是 IP 地址分配的方式。CIDR 块定义了 IP 地址范围。

定义 VPC 或subnet的 IP 地址范围。

通过 CIDR 范围限制网络访问，例如仅允许特定subnet访问

VPC Peering Connection（VPC 对等连接）

VPC Peering 是一种网络连接方式，用于在两个 VPC 之间建立私有连接，使得两个 VPC 的资源可以通过私有 IP 地址相互通信。

适用于跨账户或跨区域的网络连接

may not meet security requirement as it can allow communication between all resources in both VPCs

无单点故障，因为它是AWS 内部高可用网络，不会依赖额外的硬件或 VPN

CIDR block：

VPC Peering 只支持非重叠的 CIDR
CIDR /32 代表只有 1 个 IP 地址，而 VPC 需要一个子网才能工作
VPC 不能只有 1 个 IP 地址，最小 CIDR 必须是 /28（16 个 IP）或更大
/24 表示 256 个 IP 地址，足够创建子网
The allowed block size is between a /28 netmask and /16 netmask.

AWS Certificate Manager (ACM)

托管证书服务，用于免费创建、管理和自动续订 SSL/TLS 证书，为应用程序提供 HTTPS 访问。

自动续订功能仅适用于由ACM签发的证书。如果从外部证书颁发机构（CA）获得证书并将其导入ACM，则不支持自动续订功能。

ACM Private Certificate Authority (CA)：ACM的私有证书颁发机构（CA）允许创建和管理内部证书

可以提供两种证书:

公共证书（Public Certificate） → 适用于 Internet 访问（免费）
私有证书（Private Certificate） → 适用于 AWS Private CA（收费），不能用于 CloudFront

Amazon Comprehend

自然语言处理 (NLP) 服务，主要用于文本分析，例如情感分析、实体识别等

Amazon Comprehend Medical：AWS 提供的一项专门服务，用于从医疗文本中提取信息。自动识别医疗术语、药物名称、疾病名称以及患者的个人信息（如姓名、地址等）。

Amazon Rekognition

图像和视频分析服务，专门用于识别图像中的对象、场景、面部等内容。

提供了不适当内容检测的功能，能够检测暴力、成人内容等。

支持从图像中提取文本，但文本提取功能相对简单，无法像 Textract 一样支持复杂的表格或表单解析

Amazon SageMaker

AWS 的机器学习平台，用户可以在上面构建、训练和部署自定义模型。

Ground Truth

用于标注数据集的服务，通常与 SageMaker 配合使用。

需要人工标注数据，开发工作量较大。

AWS Fargate

无服务器计算引擎，用于运行容器化应用。专门为容器化工作负载设计

自动为容器化应用程序提供所需的计算资源，自动扩展并确保高可用性

不需要管理任何 EC2 实例或底层基础设施

Amazon Machine Image (AMI)

用于启动 EC2 实例的预配置虚拟机镜像。包含了操作系统、应用程序以及相关的配置文件。用户可以从 AMI 启动一个或多个 EC2 实例。

当你希望快速启动多个 EC2 实例并且使用相同的配置时，可以使用 AMI。通过自定义 AMI，用户可以保存和共享自己的配置环境。

AWS Data Pipeline

数据处理服务，能在不同的 AWS 服务之间传输和处理数据。它支持定期的数据 ETL 操作（转移、转换和加载）

自动化的批处理、灵活的数据流转和转换。

适合处理周期性任务和大规模的 ETL 工作流，但不适合实时流数据处理

Amazon EMR（Elastic MapReduce）

托管的 Hadoop 和 Spark 服务，用于处理大规模数据集。它支持使用 Hadoop、Spark、Hive 等大数据框架进行分布式数据处理。

用于数据分析、ETL 处理、机器学习等

适合需要进行大规模并行处理的批量数据分析。

typically used for processing large datasets and running big data frameworks like Apache Spark or Hadoop

Amazon Redshift

托管的数据仓库服务，专门用于大规模数据集的分析。

基于 PostgreSQL 构建，但做了优化，适用于高性能 SQL 查询，适合处理大规模的分析查询。

快速、高效、支持 SQL 查询和复杂的分析任务

AWS Secrets Manager

专门用于管理、存储和自动旋转凭证、API 密钥等敏感信息的服务。

支持自动轮换、加密存储、访问控制和集成等功能

可以配置定期自动更新数据库凭证，并通过内置的 Lambda 函数实现自动更新

a service that enables you to easily rotate, manage, and retrieve database credentials, API keys, and other secrets throughout their lifecycle. By storing the database credentials as a secret in Secrets Manager, you can ensure that they are not hardcoded in the application and that they are automatically rotated on a regular basis. To grant the EC2 instance access to the secret, you can attach the required permission to the EC2 role. This will allow the application to retrieve the secret from Secrets Manager as needed.

AWS Systems Manager Parameter Store

用于存储配置数据和敏感信息（如数据库凭证）的服务。

支持加密存储和版本控制，但不像 Secrets Manager 那样专门设计用于凭证管理。

does not support autorotation

AWS Elastic Beanstalk

AWS 提供的 PaaS 服务，一个完全托管的平台，可以轻松部署和管理应用程序，支持多种编程语言（包括 Java 和 PHP）。

expensive

URL swapping：Elastic Beanstalk 提供环境版本控制和 URL 交换功能，可以轻松切换应用的不同版本，以进行新特性的测试。

least amount of changes to the application：automatically handles the deployment, from capacity provisioning, load balancing, auto-scaling to application health monitoring

Amazon Textract

可以高效地从 PDF 或图像中提取文本

支持自动检测表格和字段，非常适合从报告中提取文本。

2025.1.19⬇️

Amazon RDS Proxy

管理数据库连接池，优化应用程序和数据库之间的连接性能。

减少应用程序因为数据库连接中断导致的故障，进一步提高高可用性。

minimizes application disruption from outages affecting the availability of your database by automatically connecting to a new database instance while preserving application connections. When failovers occur, RDS Proxy routes requests directly to the new database instance. This reduces failover times for Aurora and RDS databases by up to 66%.

Recovery point objective (RPO)

一种衡量灾难恢复能力的指标。在灾难发生后，系统可以容忍的最大数据丢失时间。

需要有定期备份机制，且备份的间隔时间不超过 RPO 的时间

AWS DataSync

完全托管的数据传输服务，适用于将本地数据传输到 AWS 存储服务（如 S3）

支持增量传输、高吞吐量，数据传输过程自动加密。

a service specifically designed for data transfer and synchronization between on-premises storage systems and AWS storage services like S3. It provides reliable and efficient data transfer capabilities, ensuring the secure movement of large volumes of data.

需要网络连接，支持带宽控制，可控制迁移流量（Bandwidth control = Data Sync）

专门设计用于大规模数据迁移，支持 Windows 共享（SMB）

AWS Backup

提供集中式备份管理，支持为 DynamoDB 表创建备份计划和保留策略。

支持长期备份存储（如 7 年或更长）。

备份过程全自动化，备份计划和保留策略均由 AWS Backup 管理。运维开销非常低。

a fully managed backup service that simplifies the process of creating and managing backups across various AWS services, including DynamoDB. It allows you to define backup schedules and retention policies to automatically take backups and retain them for the desired duration. By using AWS Backup, you can offload the operational overhead of managing backups to the service itself, ensuring that your data is protected and retained according to the specified retention period

2025.1.20⬇️

AWS Systems Manager OpsCenter

用于集中管理运维任务（例如查看和解决问题、执行操作）。

primarily used for managing and resolving operational issues

Amazon Aurora MySQL

一种高度优化的关系型数据库服务，与 MySQL 兼容（应用代码改动小）

自动分布式存储，默认存储副本跨 3 个可用区

提供更高的性能和可扩展性，读性能比 MySQL 高 5 倍

适用于需要高吞吐量和低延迟的场景。

支持 Multi-AZ Aurora Replicas 分担读负载。无法在主实例故障时直接提升为主实例，需要手动提升

Database Cloning：

Aurora 的内置功能，可以快速创建生产数据库的只读或读写副本。
克隆过程只需数分钟，无需物理数据复制

mysqldump

MySQL 的命令行工具，用于导出数据库的逻辑备份

可以生成 SQL 文件以便恢复或迁移数据。

导出过程会增加生产数据库的负载

Standby instance

用于高可用性故障切换的，无法用作测试环境，不能用作读副本。

10.100.100.0/24

IP 范围： 10.100.100.0 到 10.100.100.255

可用地址： 10.100.100.1 到 10.100.100.254（254 个地址）。

Amazon FSx for Lustre

Lustre 文件系统：高性能分布式文件系统，常用于游戏、高性能计算（HPC）和机器学习等场景。

完全托管的 Lustre 文件系统服务，原生支持 Lustre 客户端访问。

is optimized for high-performance computing workloads running on Linux, matching the EC2 environment.

sub-millisecondes == Lustre

Batch Loading：一次性加载全部数据

Lazy Loading：按需加载数据

2025.1.26⬇️

Internet gateway

associated with public subnets and cannot be directly associated with private subnets

egress-only internet gateways: used for IPv6 traffic

2025.1.27⬇️

Amazon Kinesis Data Analytics

实时数据流处理服务，用于捕获、处理和分析数据流。

支持通过 SQL 查询实时分析数据流。

数据在流中有持久性，避免了EC2实例重启导致的数据丢失问题

Amazon RDS event notification

RDS events only provide operational events :

DB instance created/deleted/restarted/shutdown
Maintenance , patching , backup & Recovery
Configuration changes, snapshot actions

RDS does not create event notifications based on database update

2025.1.28⬇️

AWS Snowcone

最小的 AWS 边缘设备，容量为 8 TB，主要用于小规模数据迁移。

AWS WAF (Web Application Firewall)

Web 应用防火墙，用于保护 HTTP/HTTPS 入站流量

用于保护 Web 应用程序和 API 免受常见攻击（如 SQL 注入、XSS 等）。

通过配置 Web ACL（访问控制列表）规则来过滤流量。

支持 Geo Match（地理匹配规则），可以限制访问仅来自特定国家

不能控制 EC2/VPC 是否访问互联网

2025.1.29⬇️

Origin access identity (OAI)

CloudFront 访问 S3 的专用身份，可以用来防止直接访问 S3。

防止 S3 直接暴露给互联网，仅允许 CloudFront 访问 S3，所有外部流量必须先经过 CloudFront

a special CloudFront user that is associated with a CloudFront distribution and is used to give CloudFront access to the files in an S3 bucket. By using an OAI, the company can serve the files through the CloudFront distribution while preventing direct access to the S3 bucket.

Amazon RDS Custom for Oracle

has access to the underlying OS

适用于需要特权访问的 Oracle 部署，允许访问底层数据库服务器

支持 BYOL（可以使用已有的 Oracle 许可证），降低迁移成本

适合使用特定的第三方功能（如插件、自定义扩展）

AWS PrivateLink

provides private connectivity between VPCs, AWS services, and your on-premises networks, without exposing your traffic to the public internet

makes it easy to connect services across different accounts and VPCs to significantly simplify your network architecture

2024.1.30⬇️

AWS Database Migration Service (DMS)

专为数据库迁移设计，适合迁移关系数据库、NoSQL 数据库或数据流

帮助将数据库从本地或云端迁移到 AWS，支持一次性迁移和持续同步

适用于同构数据库迁移（如 PostgreSQL → Amazon Aurora PostgreSQL）和异构数据库迁移（如 Oracle → PostgreSQL）

不适用于文件传输，例如 JSON 文件。

primarily focused on database migration and replication, and it may not be the most appropriate tool for general-purpose data transfer like JSON files

Replication Server

DMS 运行的核心组件，用于处理数据库同步和迁移任务。
任何 AWS DMS 迁移任务，都需要一个 DMS Replication Server 作为数据处理中心

AWS Schema Conversion Tool（AWS SCT）

用于跨数据库引擎的架构转换（如Oracle → PostgreSQL）

支持 AWS DMS 结合使用，用于先转换架构，再进行数据迁移

Amazon MQ

托管的消息队列服务，支持 RabbitMQ 和 ActiveMQ

自动提供高可用性（Multi-AZ），不需要自己维护 EC2 RabbitMQ 集群。

AWS Amplify

主要用于前端托管（React、Vue、Angular 等前端框架），不适合托管复杂的后端服务

2025.2.1⬇️

AWS Control Tower

多账户治理与安全管理服务，用于自动设置和管理 AWS 账户结构，以符合企业的安全和合规性要求。

数据驻留 (Data Residency) 保护：确保数据和资源只能部署在特定区域

强制执行 Guardrails：

防止 Internet Gateway (IGW) 部署，保证 VPC 无法访问互联网。
限制跨区域资源创建，防止误操作导致数据泄露。

提供自动化账户管理，减少手动操作的复杂性。

IAM（Identity and Access Management）

用户、组、角色和权限管理服务，用于控制 AWS 资源的访问权限。

IAM 策略不能限制 AWS 账户的 Region 使用，只能控制用户对 AWS 资源的访问权限

Permissions Boundary（权限边界）：

用于限制 IAM 角色或用户的最大权限范围，即使 IAM 策略授予更多权限，也不能超出边界
只能限制新加的权限，但不能移除已有权限

IAM 预定义托管策略（Managed Policies）：

AWS 提供了一些预定义好的 IAM 权限策略，可以直接附加到 IAM 用户、组或角色上，无需手动创建
PowerUserAccess（超级用户访问）：

允许用户管理 AWS 资源，但不允许管理 IAM 和安全策略
适用于需要创建、修改、删除 AWS 资源，但不能更改权限设置（添加或删除 IAM 用户，修改 IAM 角色权限）

AdministratorAccess（管理员访问）：

拥有 AWS 账户的所有权限，包括管理 IAM 和安全策略（管理 AWS Organizations 和 SCP）
等同于 root 账户权限（权限太大），但可以分配给 IAM 用户或角色

2025.2.2⬇️

AWS Lake Formation

自动化数据湖管理工具，简化数据收集、分类和访问控制。

提供精细访问控制，支持基于角色、用户、甚至 SQL 列级别的权限

Blueprints（蓝图）可以自动识别数据源，简化数据湖构建过程。

可与 AWS Glue 结合，实现数据抽取、转换和加载（ETL）。

uses as a central place to have all your data for analytics purposes

Amazon Data Lifecycle Manager (Amazon DLM)

自动管理 Amazon EBS 快照，用于创建、保留和删除 EBS 备份

仅适用于 EBS（不能备份 RDS）。

支持跨区域快照复制。

AWS Transfer Family

提供基于 SFTP/FTP/FTPS 的数据传输，可以通过简单的配置，安全地将文件传输到 S3

自动处理所有SFTP连接、身份验证、日志记录等任务，同时将文件直接传输到S3

Amazon ElastiCache for Memcached

内存缓存解决方案，可以缓存数据库查询结果，类似于 Redis。

可以作为缓存层，减少数据库读取负担。支持水平扩展

与 Redis 相比，高可用性和功能较为有限

High Availability & Disaster Recovery

High Availability - multiple Zones.

Disaster Recovery - multiple Regions.

2025.2.4⬇️

AWS CloudFormation

用于基础设施即代码（IaC），通过模板自动管理 AWS 资源（EC2、S3、DynamoDB 等）。

主要管理基础设施，适用于基础架构部署

AWS CloudFormation Change Set：适用于基础设施变更，但不适用于快速部署代码和自动回滚

Amazon Transcribe

语音转文本服务，支持多说话人识别，自动识别不同的说话人并生成文本文件

Amazon Translate

语言翻译服务，不能用于语音识别

Amazon Connect

云联络中心，用于电话和在线聊天管理，但不支持 SMS 功能。

Amazon Pinpoint

专门用于营销通信（Email、SMS、Push Notifications）

支持双向 SMS（Two-Way SMS），用户可回复消息

Interface VPC Endpoint

用于 AWS PrivateLink，创建私有 IP 访问 AWS 服务

适用于基于 API 调用的 AWS 服务（如 S3 API、AWS Secrets Manager、AWS Systems Manager）

有额外的接口处理费用，不如 Gateway Endpoint 省钱

Amazon ElastiCache

高性能低延迟的分布式缓存，适合存储会话数据

是 AWS 推荐的分布式会话存储方案，EC2 实例可以共享 Redis/Memcached 存储的会话数据。

Elasticache involves heavy change on application code

AWS Security Token Service (AWS STS)

用于临时身份验证，例如给用户分配短期访问凭证。

Amazon CloudWatch Logs Insights

主要用于分析日志数据，如 Lambda 运行日志、RDS 事件日志等。

AWS Resource Groups Tag Editor

跨服务、跨区域标签查询工具，支持筛选多个 AWS 账户和多个 AWS 区域的资源

无须编写代码或手动遍历区域，并提供 GUI 界面，支持快速查询和导出数据

2025.2.8⬇️

Active-Passive & Active-Active

Active-Passive: Anything that is not instant recovery

AWS Backup(least op overhead) - RTO/RPO = hours
Pilot Light ( Basic Infra is already deployed, but needs to be fully implemented) -RTO/RPO = 10's of minutes.
Warm Standby- (Basic infra + runs small loads ( might need to add auto scaling) -RTO/RPO= minutes

Active-Active: Multi AZ option : instant

2025.2.9⬇️

Amazon RDS for Oracle

托管的关系数据库服务，支持 Oracle 数据库引擎

RDS 提供了自动备份、补丁管理、自动恢复等功能，减少了数据库的管理负担

支持存储自动扩展，当存储空间快满时，RDS 会自动扩展磁盘空间，无需手动干预

Amazon Aurora

高性能关系数据库引擎，兼容 MySQL 和 PostgreSQL

提供了自动扩展存储功能，即使数据库的存储需求增加，Aurora 会自动为其扩展存储，而不需要人工干预

按实例收费，即使实例关闭了，也会产生存储费用

不是最具成本效益的选择，尤其是对于低负载、开发用途的数据库

Aurora Serverless：

按需计费，数据库只在需要时启动，闲置时自动暂停，节省成本
支持自动扩缩容，适合低负载、开发用途

Aurora Global Database：

专为跨区域高可用设计，支持低延迟复制（通常<1秒），符合 RPO （恢复点目标）≤ 5 分钟
支持自动化故障切换，在20 分钟内恢复，符合 RTO （恢复时间目标）≤ 20 分钟
最小化配置更改，AWS 自动管理复制和故障切换，提高运维效率

Aurora Auto Scaling：

Aurora Writers（主实例）不可自动扩展，只能有一个主实例
Aurora Replicas（只读副本）可以自动扩展，可用于负载分担读请求

2025.2.12⬇️

Amazon FSx for NetApp ONTAP

企业级文件存储，支持同时访问 NFS 和 SMB，适用于跨平台应用（Linux + Windows）

允许 Linux 通过 NFS 访问数据，Windows 通过 SMB 访问相同的数据

supports NFS, SMB, and iSCSI protocols2 and also allows multi-protocol access to the same data

2025.2.16⬇️

AWS AppSync

GraphQL API 管理服务，让 Web 和移动应用高效访问数据

Amazon MSK（Managed Streaming for Apache Kafka）

Kafka 的托管服务，用于实时数据流处理

HDD（机械硬盘） vs SSD（固态硬盘）

for performance use SSD

2025.2.23⬇️

Amazon Elastic Transcoder

视频转码服务，可以将视频转换为不同的格式和分辨率。

可以将 Raw 格式转换为更小的 H.264、HEVC 等格式，适合移动端播放

可以自动生成不同比特率的视频，支持自适应流媒体（Adaptive Streaming），减少缓冲问题

AWS 托管服务，无需维护服务器，运维成本低

Internet Small Computer Systems Interface (iSCSI) storage

一种用于块存储的协议

AWS Storage Gateway

支持 SMB/NFS 协议，适用于混合存储场景

Tape Gateway：主要用于数据归档（虚拟磁带库 VTL），适用于长期数据存储，而非 iSCSI 存储扩展

Volume Gateway

Stored Volumes：在本地存储所有数据，然后异步备份到 AWS，适用于数据需要本地高性能访问、本地数据访问优先的场景
Cached Volumes：大部分数据存储在 AWS，而本地仅缓存最近访问的数据。主要用于减少本地存储需求，同时提供低延迟访问。支持 iSCSI 块存储

AWS Storage GW and File GW are solutions for integrating on-premise storage with AWS storage solutions, particularly (but not limited to) S3.

适用于混合云，不适用于高性能计算

without selecting a particular instance type

without selecting a particular instance type = serverless

Amazon Cognito

身份验证和授权服务，允许用户通过多种方式（如社交登录、企业登录等）进行身份验证，并为经过验证的用户授予权限。

与 AWS 资源（如 S3）结合使用时，通常通过身份池配置 IAM 角色来控制用户的访问权限。

2025.3.16⬇️

Amazon Neptune

托管图数据库（Graph Database），专门用于存储和查询拓扑结构（IT 基础设施地图，例如 EC2 实例与 S3、VPC 之间的关系）

支持 RDF/SPARQL（用于知识图谱）和 Gremlin（用于关系图查询），高效查询 IT 资源之间的关系

AWS Service Catalog

适用于提供预定义的 AWS 资源，但它不会自动扩缩容或节省成本

可按需部署数据库，同时限制数据库大小，避免过度使用资源

you can meet your compliance requirements while making sure your customers can quickly deploy the cloud resource they need

AWS Compute Optimizer

推荐服务，用于帮助用户优化计算资源，包括 EC2 实例和 EBS 卷的成本

提供 EBS 卷优化建议，包括如何优化卷的大小和类型，以减少不必要的成本

2025.3.20⬇️

SageMaker Savings Plan

专门用于 SageMaker

AWS Resource Access Manager (RAM)

允许跨账户共享 AWS 资源（如 VPC subnet、Transit Gateway）

适用于集中式网络管理

Amazon Security Lake

专门的安全数据湖，用于集中收集、分析和管理安全日志

自动集成 AWS 安全服务（如 GuardDuty、IAM Access Analyzer、CloudTrail、Security Hub）

原生支持 Amazon S3，并使用 Open Cybersecurity Schema Framework (OCSF) 进行标准化数据格式，方便分析

完全托管，减少开发工作量

automatically centralizes security data from AWS environments, you can get a more complete understanding of your security data across your entire organization. You can also improve the protection

2025.3.22⬇️

edge-optimized API

边缘优化 API 主要用于全球用户优化，而不是故障转移

2025.3.23⬇️

跨账户 S3 访问的要求

Account A 的 S3 存储桶策略（Bucket Policy）：

Principal 字段指定了 Account B 的 IAM 用户，明确授予 Account B 的 User_DataProcessor 访问权限

Account B 的 IAM 用户权限：

Resource 指定了 Account A 的 S3 资源，与存储桶策略一致
不需要 Principal 字段，Principal 仅在存储桶策略（Bucket Policy）中需要

Amazon ECR（Elastic Container Registry）

托管式容器镜像存储服务，用于存储、管理和部署 Docker 容器镜像

与 AWS ECS/EKS/Fargate 深度集成

2025.3.25⬇️

Prefix List

前缀列表主要用于管理 VPC 路由表和安全组规则，但不能直接用于跨账户共享subnet

only shares pre-built CIDR blocks rather than subnets

AWS Systems Manager（SSM）

Use AWS Systems Manager update, manage, and configure Amazon EC2 instances, edge devices, on-premises servers, and virtual machines (VMs).

SSM Patch Manager 可以管理和应用本地服务器和 EC2 实例的补丁

SSM Inventory 可以收集服务器的补丁状态数据

SSM Compliance 可以生成补丁合规性报告

AWS OpsWorks

主要用于配置管理（如 Chef/Puppet）和自动化应用部署

a configuration management service that provides a way to automate the deployment, configuration, and management of applications on EC2 instances. It is designed to help you manage the entire lifecycle of your applications.

AWS X-Ray

主要用于分布式应用的性能追踪

2025.3.25⬇️

public virtual interface（Public VIF）

主要用于连接 AWS 公共服务（如 S3、DynamoDB），不能用于 VPC 连接

AWS SAM（Serverless Application Model）

AWS 针对无服务器应用的基础架构即代码（IaC）工具

与 AWS CodeDeploy 集成，提供自动化流量切换和回滚

AWS CodeDeploy

支持 Lambda 版本的渐进式部署：

Canary（金丝雀发布）：例如 10% 流量先切换，观察是否正常，再切换 100%
Linear（线性发布）：例如每分钟增加 10% 流量
All-at-once（全部切换）：一次性替换

允许设置 CloudWatch 监控，如果触发 CloudWatch 警报（如高错误率），自动回滚到旧版本

Exponential Backoff

指数退避是一种重试策略，通过逐步增加重试间隔时间来减少系统负载、降低请求冲突

will make retries take longer on each retry for all clients rather than for the few causing issues in the application

2025.3.26⬇️

AWS Private Marketplace

AWS Marketplace 的企业版，用于控制开发者只能购买批准的软件

只有有权限的管理员可以管理 Private Marketplace，普通用户只能浏览批准的软件列表