Amazon VPC

AWS云中的私有虚拟网络，与其他虚拟网络逻辑上隔离。
CIDR块指定IPv4地址范围
1、创建后无法更改其地址范围
2、最大16，最小28

私有子网

公有子网

安全

Nacl：番号小的优先

一次性资源不需要sshkey

网络服务

IAM策略示例（NotResource，明确除了之外都怎么样）

IAM角色（赋予临时凭证，角色是一顶帽子。这个解释可以。）
IAM角色（权限策略，信任策略）

角色使用场景一

角色的使用场景二
1、将AWS凭证存放在EC2上（aws configure）,明文不安全
2、使用角色，将凭证安全分发到AWS服务和应用程序（控制台赋予ec2角色）meta-data里面也可以看到AK信息，但是这里面是临时的。到期会自动刷新。