AWS最优实践：入门的五大关键方法

Source: /Volumes/X9 Pro/ObsNotes/YoudaoYunNotes/我的资源/微信收藏/AWS最优实践：入门的五大关键方法.pdf Converted: 2025-12-10 12:17:41

---

微信号 awscommunity

功能介绍 关注 AWS 中文技术社区，第一时间为您带来关于 AWS 云计算服务最新资讯，分享 AWS 最新

案例，探讨 AWS 技术难题。

关于 AWS 最优实践的正式文档多如牛毛。下面列举的仅仅是最近推出的最优实践文档的一

部分：

AWS 最优实践：入门的五大关键方法 2015-07-13 Michael

AWS 中文技术社区 AWS 中文技术社区 AWS 中文技术

社区

图片上传失败

1. 为 AWS 云建立架构：最优实践

链接：

1. 承载 Web 应用：最优实践

链接：

3 . AWS 安全最优实践白皮书

链接：

1. 亚马逊简单电子邮件服务最优实践白皮书

链接：

http://media.amazonwebservices.com/AWS_Cloud_Best_Practices.pdf

http://media.amazonwebservices.com/AWS_Web_Hosting_Best_Practices.pdf

http://media.amazonwebservices.com/AWS_Security_Best_Practices.pdf

http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

1. IAM （身份及访问管理）最优实践

链接：

1. DynamoDB 服务最优实践

链接：

1. 亚马逊 EC2 （弹性计算云）最优实践

链接：

8 . Trusted Advisor 服务最优实践

链接：

http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

https://aws.amazon.com/premiumsupport/trustedadvisor/best-practices/

大多数新用户可能会有很大困难，无法读完所有的这些材料（并不是说你不应该试着读这些

材料）。所以，我将尽力为你提供一些捷径，向你展示 AWS 五大最优实践，这些实践是我认为你

现在绝对应该知道的。

1.AWS 最优实践：保护你的 AWS 证书

你的 AWS 账户代表你和 AWS 之间的一种商业关系。你使用 AWS 根账户管理 AWS 资源和服务

时，你需要完全的访问权，这就需要 root 权限。但是伴随着巨大的权限而来的还有巨大的风险。

不要使用根账户证书进行日常的 AWS 交互操作

AWS 最优实践的最好做法之一就是避免为根账户创建访问密钥。除非为了某些奇怪的原

因，你必须要有一个根账户访问密钥外，最好不要创建这样的密钥。相反，创建一个或更多个

AWS IAM 用户账户，赋予它们必要的权限，使用这些账户进行日常的 AWS 交互。

1. 最优实践：确保应用安全

有时，使用图片或图表来解释一个概念比使用文字更好。

下面的图表可能是 AWS 上的一个小规模部署。你有一个 Web 服务器，一个 App 服务器，和一

个数据库服务器。你应该仅允许来自外部的必要的访问。所以应该为 Web 服务器创建一个安全

组，仅允许流量通过端口 80 （适用于 HTTP 协议）和 443 （适用于 HTTPS 协议）访问 web 服务器。

另一个安全组可以限制流量仅通过端口 22 （适用于 SSH ）进入 App 服务器，甚至限制仅来自于特定

范围的 IP 地址的会话流量可以进行 App 服务器。所有其他的因特网流量将会被拒绝。

进一步的安全配置可以控制服务器之间的访问。

3.AWS 最优实践：多备份，测试回收资源，以备不时之需

保护好你的所有 AWS 证书确保应用安全后，你应该可以安心很多了。现在是时候开始考虑备份和

回收方案了。下面列举的是一个强大的备份方案应该具备的组成：

• 使用亚马逊 EBS （ Elastic Block Storage 弹性块存储）快照或备份工具定期进行实例备份。

• 为你的应用跨 Availability Zones （可用区域）部署关键组件，恰当地复制数据。

• 配置应用，使其在实例重启时处理动态 IP 寻址。

• 监控事件并作出响应。

• 确保你已做好切换准备。作为基本的解决方案，你可以将一个网络接口或弹性 IP 手动切换到备

用实例。

• 定期测试实例和 AWS EBS 卷（如果它们故障了）恢复过程。

4.AWS 最优实践：使用 Trusted Advisor 服务

我以前曾经写过关于 Trusted Advisor 服务的文章。后来大家发现，亚马逊文档团队也写过这样的

文章。他们这样描述他们的 Trusted Advisor 服务：

为您定制的云专家！它通过检查您的 AWS 环境帮助您遵循最优的 AWS 使用实践，并着眼于节省

成本，改善系统性能，提供可靠性，弥补安全漏洞。

要告诉你的好消息是，有四种免费的 Trusted Advisor 服务可供你使用：

• 服务限制检查

• 针对特定安全组的端口非限制性检查

• IAM 使用检查

• 针对根账户检查的 MFA （ mulit-factor authentication 多因子验证）

这是一个必须得工具。你需要做的仅仅是在 Administration & Security 界面下，在 AWS 控制台上

点击 Trusted Advisor 图标。屏幕上将会呈现一个实时的快照来展示上面所列四项免费服务的当前状

态。这是本篇所列的 AWS 最优实践中最简单的。所以，真的没有理由不使用这项实践。

5.AWS 最优实践：理解 AWS 共担责任模型

你必须知道你要对那些东西负责，也必须知道对亚马逊 Web 业务的控制权背后隐藏的责任。再一

次，同样地我们并不给你一长串解释让你心生厌烦，图表会比解释有效的多，让我们来看看这是不是

会使事情清楚明了。

Conclusion 结论

AWS 最优实践存在因为它们最好地发挥了作用。当你的部署规模增长时，这些最优实践的重要性

呈指数上升。但是，判定要关注的焦点在最初可能会让人很头疼。希望这篇文章可以给你一些启示，

帮助你确定你的起点。

阅读原文

阅读

投诉

微信扫一扫

关注该公众号

图片上传失败