41、AWS 服务知识全解析

AWS 服务知识全解析

1. 数据库类型

• 图数据库是一种非关系型数据库，用于发现项目之间的关系。
• 面向文档的存储是一种非关系型数据库，用于分析和从文档中提取数据。
• 关系型数据库可以强制记录之间的关系，但不会主动发现关系。SQL 数据库是关系型数据库的一种。

2. AWS 身份和访问管理（IAM）

• 权限控制
  • 若没有明确允许操作的策略，操作将被拒绝。例如，没有策略或只有允许 S3 操作策略的用户，不具备 EC2 实例权限。
  • 当两个策略冲突时，更严格的策略将生效。AdministratorAccess 策略几乎可以开放所有 AWS 资源，包括 EC2。
• 关键元素
  • * 字符代表全局应用。
  • Action 元素指请求的操作类型（如列表、创建等）。
  • Resource 元素指策略目标的特定 AWS 账户资源。
  • Effect 元素指 IAM 对请求的反应方式。
• 命令使用 ：顶级命令是 iam ，正确的子命令是 get - access - key - last - used ，参数由 --access - last - key - id 标识，参数前始终带有 -- 字符。
• IAM 组作用 ：主要用于简化管理，对资源使用或响应时间无直接影响，对锁定根用户只有间接影响。
• 身份验证相关
  • X.509 证书用于加密 SOAP 请求，而非身份验证。
  • AWS CloudHSM 提供符合 FIPS 140 - 2 标准的加密。
  • 密钥管理服务管理加密基础设施，但不符合 FIPS 140 - 2 标准。
  • 安全令牌服务用于为有效 IAM 角色颁发令牌，Secrets Manager 处理第三方服务或数据库的机密信息。
• 服务功能
  • AWS Directory Service for Microsoft Active Directory 在 VPC 环境中提供 Active Directory 身份验证。
  • Amazon Cognito 为应用程序提供用户管理。
  • 身份池为应用程序用户提供对定义的 AWS 服务的临时访问，注册和登录通过 Cognito 用户池管理。
• 策略相关
  • IAM 策略是全局的，不限于任何一个区域，需要操作（如创建存储桶）、效果（允许）和资源（S3）。
  • IAM 策略必须用 JSON 格式编写。正确的 Resource 行应为 "Resource": "*" ，Action 行应为 "Action": "*" ，IAM 策略中没有 “Target” 行，”Permit” 不是 “Effect” 的有效值。
• 角色与令牌
  • IAM 角色需要定义受信任的实体和至少一个策略，相关操作由所选策略定义，角色本身不关心哪些应用程序使用它们。
  • STS 令牌用作外部身份访问 IAM 角色资源的临时凭证。

以下是 IAM 相关操作的流程图：

graph LR
    A[开始] --> B[创建 IAM 用户]
    B --> C[分配策略]
    C --> D{策略是否冲突}
    D -- 是 --> E[采用更严格策略]
    D -- 否 --> F[策略生效]
    F --> G[用户操作]
    G --> H{是否有允许策略}
    H -- 是 --> I[操作允许]
    H -- 否 --> J[操作拒绝]

3. CloudTrail、CloudWatch 和 AWS Config

• 事件类型
  • 创建存储桶和子网是 API 操作，上传对象到 S3 存储桶是数据事件，登录 AWS 控制台是非 API 管理事件。
  • 数据事件包括 S3 对象级活动和 Lambda 函数执行。例如，从 S3 下载对象是只读事件，上传文件到 S3 存储桶是只写事件。
• CloudTrail 特性
  • 每个区域的 CloudTrail 存储 90 天的事件历史，无论是否配置跟踪。
  • 若跟踪配置为记录只读管理事件，跟踪日志不会包含跟踪删除记录。
• CloudWatch 特性
  • 使用维度唯一标识具有相同名称和命名空间的指标。
  • 基本监控每五分钟发送一次指标，详细监控每分钟发送一次。
  • 高分辨率指标可以以亚分钟分辨率存储。例如，在 15:57:08 和 15:57:37 更新指标，CloudWatch 将存储两个不同的数据点。
  • 指标存储时间因分辨率而异：一小时分辨率的指标 15 个月过期，五分钟分辨率的存储 63 天，一分钟分辨率的存储 15 天，高分辨率指标保存 3 小时。
  • 要绘制指标的数据点，指定 Sum 统计信息并将周期设置为指标的分辨率（如五分钟）。
  • 使用日志流存储来自单个源的日志事件，日志组存储和组织日志流。
  • 若要让 CloudWatch 将缺失数据视为超过阈值，将 “Treat Missing Data As” 选项设置为 “Breaching”。
  • CloudWatch 可以使用简单通知服务发送文本消息（通知操作），重启实例需使用 EC2 操作。
• AWS Config 特性
  • 交付通道必须包含 S3 存储桶名称，可指定 SNS 主题和配置快照的交付频率。
  • 不能手动删除配置项，但可以让 AWS Config 在不少于 30 天后删除。
  • 删除规则可防止 AWS Config 根据规则评估资源配置。

以下是 CloudWatch 监控流程的表格：
| 监控类型 | 发送频率 | 存储分辨率影响 |
| ---- | ---- | ---- |
| 基本监控 | 每五分钟 | 影响指标时间戳 |
| 详细监控 | 每分钟 | 影响指标时间戳 |

AWS 服务知识全解析

4. 域名系统和网络路由：Amazon Route 53 和 Amazon CloudFront

• 基本概念
  • 名称服务器从域名解析 IP 地址，使客户端能够连接到资源。域名注册由域名注册商完成，路由策略通过托管区域内的记录集应用。
  • 域是由单个域名标识的一组资源，FQDN 表示完全限定域名，解析请求的策略称为路由策略。
  • FQDN 地址最右侧部分是顶级域名（TLD），如 .com ； aws. 可能是子域或主机， amazon. 是二级域名（SLD）。
  • CNAME 是一种记录类型，TTL、记录类型和记录数据是配置元素。
  • A 记录将主机名映射到 IPv4 地址，NS 记录标识名称服务器，SOA 记录记录授权开始数据，CNAME 记录将一个主机名定义为另一个主机名的别名。
• Route 53 功能 ：Route 53 提供域名注册、健康检查和 DNS 管理。以下是其主要功能的列表：
  • 域名注册：可进行域名的注册操作。
  • 健康检查：对资源进行健康检查。
  • DNS 管理：管理 DNS 相关事务。
• 路由策略
  • 地理位置策略可以根据请求的地理来源控制路由。
  • 简单策略将流量发送到单个资源。
  • 延迟策略选择延迟最低的可用资源发送内容。
  • 多值策略可用于提高部署的高可用性。
  • 加权策略按百分比在多个资源之间路由。
  • 故障转移策略包含备份资源以提高可用性。
• 托管区域 ：存在公共和私人托管区域，区域、混合和 VPC 区域不存在（尽管私人区域映射到 VPC）。
• 域名操作
  • 转移域名时，需确保域名未锁定，并提供授权码给 Route 53。
  • 可通过将名称服务器地址复制到远程注册商提供的界面，在 Route 53 上启用远程注册的域名。
• 健康检查 ：配置健康检查时，需指定用于测试的网页，没有默认页面。
• 地理定位差异 ：地理邻近性用于精确确定用户位置，而地理位置使用地缘政治边界。
• CloudFront 特性
  • CloudFront 针对处理大量下载流量和缓存网站内容进行了优化，但并非每个 CloudFront 分发都针对低延迟服务进行了优化，首次请求响应可能不快，因为需要从源服务器复制文件。
  • 选择提供有限分发的价格类是降低成本的最佳方法。
  • RTMP 分发只能管理来自 S3 存储桶的内容，用于视频内容分发。

以下是 Route 53 路由策略选择的流程图：

graph LR
    A[开始] --> B{选择路由需求}
    B -- 单一资源 --> C[简单策略]
    B -- 考虑延迟 --> D[延迟策略]
    B -- 按百分比分配 --> E[加权策略]
    B -- 提高可用性 --> F[多值策略/故障转移策略]
    B -- 按地理位置 --> G[地理位置策略]

5. 数据摄入、转换和分析

• 数据转换 ：数据转换包括更改数据的内容或格式，创建模式是针对结构化数据的操作，数据湖不强制或要求模式，可视化数据是在数据存储在数据湖中之后进行的操作。
• 重复数据检测 ：FindMatches ML 是检测重复数据的转换名称。
• 数据导入 ：使用 JDBC 连接器连接到 SQL 数据库并将数据直接导入数据湖是最有效的解决方案。
• 文件传输
  • AWS Transfer Family 支持 SFTP、FTPS 和 FTP，不支持 CIFS/SMB 或 HTTPS 进行文件传输。
  • 可以将文件传输到或从 EFS 或 S3 传输，不支持与 EBS 或 DynamoDB 进行传输。
• 数据处理框架 ：AWS Glue 使用 Apache Spark 大数据框架进行搜索和转换。
• 数据存储类型
  • 数据仓库是关系型 OLAP 数据库。
  • 数据湖可以存储结构化和非结构化的非关系型数据。
• 数据导入源 ：AWS Data Lake 可以从 ELB 和 CloudFront 导入数据。
• 数据分析工具 ：Athena 和 RedShift Spectrum 可以分析 AWS Data Lake 中的数据。
• 数据处理选择 ：Kinesis 更适合实时流数据，其他情况下，AWS Glue 是最佳选择。

以下是数据处理流程的表格：
| 处理环节 | 适用工具 | 特点 |
| ---- | ---- | ---- |
| 数据摄入 | AWS Transfer Family | 支持 SFTP、FTPS、FTP 传输到 EFS 或 S3 |
| 数据转换 | AWS Glue | 使用 Apache Spark 框架 |
| 数据分析 | Athena、RedShift Spectrum | 可分析 AWS Data Lake 数据 |
| 实时流数据处理 | Kinesis | 适合实时场景 |