AWS - SCP(Service Control Policy) SCP(Service Control Policy)SCP 是 AWS Organizations 的重要功能之一,常搭配 AWS Control Tower 或 Landing Zone 一起使用。 AWS Service Control Policy (SCP) 是一種套用在 AWS Organizations 帳號或 OU (Organization Unit) 上的「最高層級權限邊界政策」,來限制帳號中所有 IAM 使用者與角色可以執行的動作。 SCP 的目的在多帳號架構中,你可能想確保: 禁止任何帳號刪除...

AWS - System Manager 自動修復 Auto-Healing System Manager Auto-HealingSSM 是 AWS 中的 「免 SSH 的遠端維運 + 自動修復引擎」服務 Run Command (免 SSH / 免 RDP 的遠端操作)“How to run a command on EC2 without logging in?” SSM Run Command 用途 清除 log 重啟服務 套用系統參數 執行腳本 免 SSH 免 Bastion EC2 必須具備 SSM Agent IAM...

AWS - S3 Storage Lens & Inventory S3 Storage lensS3 Storage lens 是 S3 儲存分析工具,可以用來分析 S3 的使用量與活動指標,擁有組織級別的可見性,並且儲存成本優化 主要功能 儲存分析 使用趨勢 成本優化建議 跨帳戶 View 特點 資料分析 使用量趨勢 儲存模式 成本分析 效能指標 可視化 互動式儀表板 趨勢報告 詳細報告 自定義 View 優化建議 成本節省機會 效能改進建議 最佳實踐 異常檢測 管理功能 跨帳戶管理 多區域...

AWS - System Manager State Manager State ManagerState Manager 的概念有點像「自動化設定維持工具」(Configuration Drift Management),讓系統自動維持在「理想狀態 (desired state)」。 AWS Systems Manager State Manager 是一個讓你 自動套用並維持 EC2 / On-Prem 主機設定狀態的服務,可確保每台伺服器都符合企業的...

AWS - System Manager Distributor System Manager DistributorSSM Distributor 是專門用在 EC2/On-Premise 主機 分發、版本管理、更新軟體套件的服務 可以把它想成 AWS 原生套件管理系統,軟體安裝檔集中儲存與部署平台 SSM Distributor 解決的問題以前公司環境常遇到 每台 EC2 要手動安裝 agent,工具,runtime 不同環境版本不一致 安裝檔散落 S3,GitHub,EFS 無法中央管理『安裝什麼版本』 Distributor...

AWS - SSM(System Manager) 提供功能AWS SSM 主要是用來管理大量機器的工具 運行命令和自動化 Run Command:遠程執行命令 Automation:自動化運維任務 Session Manager:安全的遠程登入 Parameter Store:參數管理 應用程序管理 Application Manager:應用程序層級監控 AppConfig:應用程序配置管理 Change Manager:變更請求管理 節點管理 Fleet Manager:統一界面管理節點 Patch Manager:補丁管理 State...

AWS - System Manager Inventory System Manager InventorySSM Inventory 是 AWS 主動收集並記錄所有 EC2/On-Premise 主機的軟體、環境、設定資訊,用於可見性、安全、稽核與合規。 它會收集所有 Managed Instance 的 軟體清單 安裝的更新 執行的服務 主機硬體資訊 網路設定 檔案、Registry 代理程式版本 自訂 Metadata SSM Inventory 解決的問題以前要知道 哪些 EC2 裝了什麼版本 哪些 EC2 裝了舊版 OpenSSL 哪些 On-Premise...

AWS - Service Catalog Service CatalogAWS Service Catalog 允許組織創建和管理已批准的 IT 服務目錄,這些服務可以在 AWS 上部署。 核心價值 標準化部署 治理與合規 自助服務 成本控制 版本管理 主要用途讓終端使用者(開發者、數據科學家等) 能夠 快速部署預批准的 IT 服務 無需深入的 AWS 知識 遵循組織標準和政策 核心組件 Product (產品)一個可部署的 IT 服務基於 CloudFormation 模板或 Terraform 配置 Product TypeCloudFormation Product 使用...

AWS - Security Services IAM管理 AWS 資源的存取控制 主要功能 使用者管理 群組管理 角色管理 政策管理 多重要素驗證(MFA) 最佳實踐 遵循最小權限原則 定期輪換憑證 啟用 MFA 避免使用 root 帳號 WAF保護 Web 應用程式免受常見攻擊 主要功能 SQL 注入防護 Cross-site scripting 防護 地理位置封鎖 速率限制 自定義規則 可整合服務 CloudFront Application Load Balancer API Gateway ShieldDDoS 防護服務 兩種版本 Standard...

AWS - Security Lake Security LakeAWS Security Lake 是一項全受管的安全性資料湖服務,它能自動化地將您組織的安全資料(包括日誌、事件和安全發現結果)從 AWS 環境、SaaS 供應商、內部部署和雲端來源集中化、彙總、標準化,並儲存在您帳戶中的專用資料湖裡。 它旨在為您的安全分析解決方案提供單一、可存取的資料來源,以加強威脅偵測、調查和事件響應能力。 核心功能與工作原理 資料集中化與擁有權 (Data Centralization & Ownership) 彙總所有來源:Security Lake 自動收集並彙總來自 AWS...