AWS架构师

部分定义

User

Group:用户组下的用户继承该用户组所有权限

Policy：Jason format：类似文字描述，指定object的类型。给user和group提供权限的最小单位

每个Policy包含：

• Effect：允许/拒绝
• Action：行动列表
• Recource：执行action的主体
• Condition（可选）：实行条件

Role：给不同的主题赋予不同的身份，可分配给多种主体。允许访问AWS的帽子。

可在AWS service上，

或者其他AWS账号：1.指定账号。2.另一个账号下的user需要有 assume role 权限。

Web identity

SAML（一套用于建立、管理两套系统的权限）

ROOT ACCOUNT：无需policy、group，拥有一切权限。删除Access Key

S3（S3存储桶）

只能存储Object based（一个个单独的文件，包含其作者等等信息），区别于Block based（如数据库，操作系统）

不能跨Region

单个大小范围 0byte-5TB ，总容量∞

S3默认是多个 Avaliablity zone 互相备份

命名全局唯一（整个AWS）

Encryption 加密方式 S3是在空闲时加密，并非在传输时

• 可上传后加密（服务端）。
  • AES-256：（SSE-S3）
  • AWS-KMS：（SSE-KMS）
• 客户端加密

静态主页：

• URL：.s3-website-.amazonaws.com
• 可和route53联合，改变网址
• 不支持动态读取
• S3 bucket 必须 public
• 需要 index document和 error document

Replication（复制）
跨区域复制&同区域内复制

• 把文件的每一个修改都同步到另一个S3
• 另一个S3可以属于不同账号
• 需要先打开 versioning 保存记录
• 可以是整个S3也可以是其中某个文件夹
• 让多个region同步，便于用户读取
• 防止region故障

Object Lock（对象锁定）

• 在保留期内，阻止删除对象。（等于开启versioning，且version无法删除）
• Governance mod