1.為root用戶啟用MFA

您的root用戶授予對AWS賬戶每個部分的訪問許可權，從啟動虛擬機到刪除資料庫。換句話說，您的root用戶是各種壞人的寶貴目標。創建AWS賬戶後，您應該做的第一件事是為root用戶啟用MultiFactor-Authentication（MFA）。您可以使用虛擬設備（智能手機上的移動應用程序）或硬體令牌。啟用MFA後，您必須從MFA設備輸入電子郵件，密碼和一次性密碼才能登錄。

2.創建結算警報

AWS對其服務使用按使用付費的定價模型。例如，如果啟動虛擬機，則必須按小時付費 - 或者對存儲在對象庫中的每GB數據進行計費。如果您忘記終止未使用的虛擬機或刪除S3中不再需要的數據，則可能會產生不必要的成本。為避免AWS的月度帳單上出現意外結算金額，您應該創建結算提醒。如果當月的費用超過您的限額，結算提醒會向您發送電子郵件。

3.熟悉身份和訪問管理

身份和訪問管理（IAM）服務對AWS API的請求進行身份驗證和授權。IAM是雲中安全性的基礎部分。它允許您限制對所有AWS服務的訪問。一些例子：

• Bob是否允許啟動新的虛擬伺服器？
• 是否允許應用程序在對象存儲上存儲數據？
• Mary是否有權訪問存儲在NoSQL資料庫中的客戶信息？

了解IAM的概念並遵循最佳實踐非常重要。因此，從一開始就做好自己的幫助並熟悉身份和訪問管理服務。

4.使用免費套餐

AWS為其許多服務提供免費套餐。在AWS第一年免費啟動虛擬機每月750小時。在AWS上第一年免費在對象存儲區中存儲5 GB。使用NoSQL資料庫可以免費存儲最多25 GB。

繼續使用免費套餐來發現這些服務等等。

5.選擇一個地區

AWS在全球範圍內運營數據中心，並將其分組到各個區域。在使用AWS服務之前，您應該考慮為您的用例選擇最佳區域。選擇地區時需要考慮的事項：

• 服務的可用性： 您想在該地區使用的所有服務是否都可用？
• 延遲： 哪個區域最接近您的客戶？
• 合規性：您是否可以在該地區的管轄區內存儲和處理數據？
• 成本： 在該地區運行工作負載的成本是多少？

6.啟用CloudTrail

使用CloudTrail跟蹤對AWS API的每次調用。只要您或您的某個團隊成員更改了您的雲基礎架構（例如，調整防火牆配置），就會存儲日誌事件。這樣做可以讓您調試失敗或調查安全事件。

立即啟用CloudTrail，您可以選擇在以後需要時瀏覽日誌文件。

7.了解基本服務

AWS提供50多種不同的服務。通過了解最受歡迎的旅程開始您的旅程：

• 亞馬遜彈性計算雲（EC2）
• 亞馬遜虛擬私有雲（VPC）
• 亞馬遜簡單存儲服務（S3）
• 亞馬遜關係資料庫服務（RDS）
• AWS身份和訪問管理（IAM）

8.安裝和配置AWS命令行界面（CLI）

AWS管理控制台允許您通過單擊Web界面來管理AWS服務。AWS命令行界面（CLI）允許您從命令行訪問AWS服務。如果你是一個命令行忍者，這是一個很有價值的選擇。

通過在計算機上安裝和配置CLI開始。

9.旨在實現自動化

使用AWS的最大優勢之一是API允許您自動化雲基礎架構的每個部分; 從啟動和配置虛擬機到創建整個網路基礎架構。我的經驗證實，使用自動化可以提高基礎架構的質量，並大大減少管理工作量。您應該以自動化為目標，以充分利用AWS（嘗試AWS CloudFormation）。

10.諮詢Trust Advisor

我強烈建議聘請顧問定期審核您的AWS架構和安全性。另一種選擇是利用AWS Trusted Advisor; 這是您的AWS賬戶的自動化專家。您將從AWS Trusted Advisor中的以下類別中找到有價值的建議來優化您的AWS賬戶：

• 成本優化
• 性能
• 安全
• 容錯

請務必定期查看Trusted Advisor的調查結果

推薦閱讀：

相关文章