AWS学习笔记（二十二）：考前速记（一）

Inspector 漏洞修复
GuardDuty 威胁检测
WAF(Web Application Firewall) 跨站脚本、SQL注入、定义IP规则 ALB
Sheild DDos NLB
CloudHSM(Hardware Security Module) 生成和使用密钥
Secrets Manager 保护、轮换密钥、凭证
Parameter Store 不支持密码轮换
KMS(Key Management Service) 创建和管理加密密钥，并控制其在各种 AWS 服务和应用程序中的使用，支持轮换在HSM中生成的密钥
Secrets Manager是管理/储存secret的地方；KMS是管理加密金钥(key)的地方。而Secrets Manager新增secrets时需要将secret加密(encrypt)，后续要使用secret时需要解密(decrypt)，而加解密secrets使用的key则是由KMS来管理。所以Secrets Manager与KMS经常搭配使用。
DataSync 本地 → AWS，不应该长时间持续使用
Direct Connect 建立需要约几个月
支持REST API：S3、API Gateway
支持VPC Gateway：S3、DynamoDB
CloudTrail 默认开启管理事件
DynamoDB DAX 内存缓存，微秒级 → Redis 亚毫秒级
Fsx 支持SMB(Server Message Block)、ACL、DFSR(Distributed File System Replication 分布式文件系统复制)
FSx for Lustre 亚毫秒级延迟、HPC(FSx for Windows 不支持)
CloudFront 不在子网内，不适用ACL
Auto Scaling在最后一个启动的实例完成冷却期后才会接受扩展活动请求
Redshift 随着数据和查询复杂度的增长，保持高性能；防止报告和分析处理干扰OLTP(Online Transaction Processing)工作负载的性能；使用标准SQL和现有BI工具保存和查询大量结构化数据；自动运行自己的数据仓库和处理设置、持久性、监控、扩展和修补
Redshift 使用列式数据存储
Gateway-cached 将数据存储在Amazon Simple Storage Service (Amazon S3) 并在本地保留经常访问的数据子集的副本
Gateway-stored 可以将所有数据储存在本地存储，然后异步备份将此数据传输到 Amazon S3
Memcached不支持数据复制或高可用性，Redis支持
EBS snapshot 最大1TB
一个 VPC 可以跨越多个可用区，子网必须驻留在单个可用区内
SES(Simple Email Service)
Oracle Data Pump导入大量数据；Oracle SQL Developer 导入20MB数据库
EBS optimimzed instance 平均IOPS 90%
AWS 导入/导出支持：导入导出S3；导入EBS；导入Glacier。不支持：导出EBS；导出Glacier
Route 53原生支持带有内部健康检查的ELB，开启评估目标健康，关闭关联Health Check
每个Region限制5个弹性IP
EC2-Classic须使用专门的安全组，不能用EIP
LB使用HTTP检查实例的运行状况
Amazon EMR(Elastic MapReduce) 使用 Apache Hadoop 作为其分布式数据处理引擎。Hadoop 是一个开源的 Java 软件框架，支持在大型商品硬件集群上运行的数据密集型分布式应用程序。Hadoop 实现了一个名为“MapReduce”的编程模型，其中数据被分成许多小的工作片段，每个片段都可以在集群中的任何节点上执行。该框架已被开发人员、企业和初创公司广泛使用，并被证明是处理高达 PB 级数据的可靠软件平台，数千台商品机器集群的数据。
ECS目前仅支持Docker容器类型
EBS gp2 16000 IOPS
ACL按编号从低到高的顺序处理
ALB不支持静态IP地址，而NLB支持静态IP地址。要将静态IP分配给ALB，有两种解决方案。1. 在 ALB 前面使用NLB和lambda 2.使用全球加速器
Storage Gateway支持NFS、SMB、Active Directory
S3根据文件在S3中的天数移动，EFS根据文件闲置的天数移动
Parameter Store 是 AWS Systems Manager 的一项功能，可为配置数据管理和机密管理提供安全的分层存储。您可以将密码、数据库字符串、Amazon 系统映像 (AMI) ID 和许可证代码等数据存储为参数值。您可以将值存储为纯文本或加密数据。您可以使用创建参数时指定的唯一名称在脚本、命令、SSM 文档以及配置和自动化工作流中引用 Systems Manager 参数。
无法禁用VPC和子网的IPv4支持
在ACM（AWS Certificate Manager）导入SSL证书
Kinesis Data Streams只保留7天数据
Brusting EFS随着标准存储类中文件系统大小的增长而扩展
仅出口IPv6 流量请使用Internet 网关，要通过IPv4出站请改用 NAT 网关
在ALB上安装了SSL证书，是免费的。ALB从网上获取https，转换为http，然后发送到EC2
Lambda只能使用基于轮询的调用而不是通过异步调用来调用SQS
ES（Elasticearch Service）做数据可视化，不是查询数据
Lamdba最大内存10GB
Alias根域名，CNAME不行
Fargate不支持Fsx
只有IAM角色可用于访问跨账户资源
DAX -> DynamoDB的缓存，即使在每秒数百万个请求的情况下，也可将性能提高多达 10 倍（从毫秒到微秒）
AWS KMS删除强制执行等待期7-30天
SSE-S3、SSE-C不提供审计跟踪加密密钥使用的能力
FIFO 队列支持每秒最多300个操作（每个操作最多批处理 10 条消息）
GuardDuty 支持的数据源：VPC 流日志、DNS 日志、CloudTrail 事件
API Gateway可以使用令牌桶算法限制对您的 API 的请求
AWS Managed Microsoft AD 不支持 Microsoft 的分布式文件系统 (DFS)
S3 Standard 上的测试文件存储成本 < EFS 上的测试文件存储成本0.3 < EBS 上的测试文件存储成本0.1
Firehose 无法直接写入 DynamoDB 表
Lambda支持C#/.NET、Go、Java、Node.js、Python、Ruby
Lambda目前支持每个区域每个 AWS 账户1000 次并发执行
Neptune图形数据库服务
Global Accelerator 无助于加快文件传输到 S3 的速度
Global Accelerator 是一项服务，可提高本地或全球用户的应用程序的可用性和性能。它提供静态 IP 地址，充当单个或多个 AWS 区域中的应用程序终端节点的固定入口点，例如您的应用程序负载均衡器、网络负载均衡器或 Amazon EC2 实例
RDS多可用区遵循同步复制，Auroa遵循异步复制
GuardDuty禁用服务将删除所有剩余数据，包括您的发现和配置，然后再放弃服务权限并重置服务
S3 Glacier Instant Retrieval 提供对归档存储的最快访问，具有与 S3 Standard 和 S3 Standard-IA 存储类相同的吞吐量和毫秒访问。S3 Glacier Instant Retrieval 非常适合需要立即访问的存档数据，例如医学图像、新闻媒体资产或用户生成的内容存档，最低存储期限费用为 90 天
S3 Standard-IA 和 S3 One Zone-IA 的最低存储期限费用为 30 天
S3 Standard 没有最低存储持续时间费用和检索费用，S3 Standard-IA 和 S3 One Zone-IA 有检索费用
专用主机与专用实例的区别：可见性、放置位置、自带许可，在性能、安全性或物理特性方面没有区别
AWS Resource Access Manager (RAM) 是一项服务，可让您轻松安全地与任何 AWS 账户或在您的 AWS 组织内共享 AWS 资源。您可以与 RAM 共享 AWS Transit Gateways、子网、AWS License Manager 配置和 Amazon Route 53 Resolver 规则资源。RAM 消除了在多个账户中创建重复资源的需要，从而减少了在您拥有的每个账户中管理这些资源的运营开销。您可以在多账户环境中集中创建资源，并通过三个简单的步骤使用 RAM 跨账户共享这些资源：创建资源共享、指定资源和指定账户。RAM 可供您免费使用。

正确的解决方案是使用 RAM 在 VPC 内共享子网。这将允许所有 EC2 实例部署在同一个 VPC 中（尽管来自不同的账户）并轻松地相互通信。
AWS PrivateLink 通过消除数据暴露于公共 Internet 来简化与基于云的应用程序共享的数据的安全性。AWS PrivateLink 在 Amazon 网络上安全地提供 VPC、AWS 服务和本地应用程序之间的私有连接。私人链接是这个问题的干扰因素。Private Link 用于在一个账户中的 NLB 前端的应用程序和另一个账户中的弹性网络接口 (ENI) 之间创建私有连接，无需 VPC 对等互连并允许两者之间的连接保留在内部AWS 网络。
Amazon Cognito 的两个主要组件是用户池和身份池。身份池提供 AWS 凭证以授予您的用户访问其他 AWS 服务的权限。要使您的用户池中的用户能够访问 AWS 资源，您可以配置一个身份池以将用户池令牌交换为 AWS 凭证。因此，身份池本身并不是一种身份验证机制，因此不是此用例的选择。
使用存储在 AWS Key Management Service (SSE-KMS)中的客户主密钥 (CMK) 进行服务器端加密 - 使用存储在 AWS Key Management Service (SSE-KMS) 中的客户主密钥 (CMK) 进行服务器端加密类似于 SSE- S3。SSE-KMS 为您提供审计跟踪，显示您的 CMK 的使用时间和用户。此外，您可以创建和管理客户托管的 CMK 或使用您、您的服务和您所在区域独有的 AWS 托管 CMK。
使用 Amazon S3 托管密钥 (SSE-S3)进行服务器端加密 - 当您使用 Amazon S3 托管密钥 (SSE-S3) 进行服务器端加密时，每个对象都使用唯一密钥进行加密。作为额外的保护措施，它使用定期轮换的主密钥对密钥本身进行加密。所以这个选项是不正确的。
为私有托管区域启用 DNS 主机名和 DNS 解析- DNS 主机名和 DNS 解析是私有托管区域的必需设置。私有托管区域的 DNS 查询只能由 Amazon 提供的 VPC DNS 服务器解析。因此，必须启用这些选项才能使您的私有托管区域正常工作
DNS 主机名和 DNS 解析是私有托管区域的必需设置
SNS FIFO由SQS FIFO订阅，标准SNS由标准SQS订阅
Kinesis Agent 是一个独立的 Java 软件应用程序，它提供了一种简单的方法来收集数据并将其发送到 Kinesis Data Streams 或 Kinesis Firehose
Kinesis Agent 只能写入 Kinesis Data Streams，而不能写入 Kinesis Firehose - Kinesis Agent 是一个独立的 Java 软件应用程序，它提供了一种简单的方法来收集数据并将其发送到 Kinesis Data Streams 或 Kinesis Firehose
Amazon Kinesis Data Firehose 是将流数据可靠地加载到数据湖、数据存储和分析工具中的最简单方法。它是一项完全托管的服务，可自动扩展以匹配您的数据吞吐量，并且无需持续管理。它还可以在加载数据之前对数据进行批处理、压缩、转换和加密，从而最大限度地减少目的地使用的存储量并提高安全性。
Amazon Redshift 是一种完全托管的 PB 级基于云的数据仓库产品，专为大规模数据集存储和分析而设计。您不能使用 Redshift 从 IoT 源中捕获键值对中的数据
在多主集群中，所有数据库实例都可以执行写入操作。当写入器数据库实例不可用时，不会进行任何故障转移，因为另一个写入器数据库实例可立即接管故障实例的工作。AWS 将这种可用性称为连续可用性，以区别于单主集群提供的高可用性（故障转移期间有短暂的停机时间）。
启动模板类似于启动配置，因为它指定实例配置信息，例如 Amazon 系统映像 (AMI) 的 ID、实例类型、密钥对、安全组以及您用于启动的其他参数EC2 实例。此外，定义启动模板而不是启动配置允许您拥有多个版本的模板。多类型
启动配置是 Auto Scaling 组用来启动 EC2 实例的实例配置模板。创建启动配置时，您需要为实例指定信息，例如 Amazon 系统映像 (AMI) 的 ID、实例类型、密钥对、一个或多个安全组以及块储存设备映射。单类型
ASG未终止运行状况不佳的 Amazon EC2 实例：实例的运行状况检查宽限期尚未到期、实例可能处于受损状态、实例未通过 ELB 运行状况检查
AWS 支持 IAM 实体（用户或角色）的权限边界。权限边界是一项高级功能，用于使用托管策略设置基于身份的策略可以授予 IAM 实体的最大权限。实体的权限边界允许它仅执行其基于身份的策略及其权限边界所允许的操作。在这里，我们必须使用 IAM 权限边界。它们只能应用于角色或用户，而不是 IAM 组
服务控制策略 (SCP) 是一种可用于管理组织的策略。SCP 提供对组织中所有帐户的最大可用权限的集中控制，使您能够确保您的帐户符合组织的访问控制准则。SCP 仅在启用了所有功能的组织中可用。如果您的组织仅启用了整合计费功能，则 SCP 不可用。将 SCP 附加到 AWS Organizations 实体（根、OU 或账户）定义了委托人可以执行的操作的防护机制。如果您考虑此选项，由于此问题中未提及 AWS Organizations，因此我们无法应用 SCP
AWS OpsWorks 是一项配置管理服务，可提供 Chef 和 Puppet 的托管实例。Chef 和 Puppet 是自动化平台，允许您使用代码来自动化服务器的配置。OpsWorks 允许您使用 Chef 和 Puppet 来自动化跨 Amazon EC2 实例或本地计算环境配置、部署和管理服务器的方式