新書推薦:
《
甲骨文丛书·古代中国的军事文化
》
售價:NT$
454.0
《
中国王朝内争实录(套装全4册):从未见过的王朝内争编著史
》
售價:NT$
1112.0
《
半导体纳米器件:物理、技术和应用
》
售價:NT$
806.0
《
创客精选项目设计与制作 第2版 刘笑笑 颜志勇 严国陶
》
售價:NT$
281.0
《
佛山华家班粤菜传承 华家班59位大厨 102道粤菜 图文并茂 菜式制作视频 粤菜故事技法 佛山传统文化 广东科技
》
售價:NT$
1010.0
《
武人琴音(十周年纪念版 逝去的武林系列收官之作 形意拳一门三代:尚云祥、韩伯言、韩瑜的人生故事 凸显百年武人命运)
》
售價:NT$
199.0
《
剑桥斯堪的纳维亚戏剧史(剑桥世界戏剧史译丛)
》
售價:NT$
704.0
《
禅心与箭术:过松弛而有力的生活(乔布斯精神导师、世界禅者——铃木大拙荐)
》
售價:NT$
301.0
|
| 編輯推薦: |
专家推荐
“本书包含了AWS官方文档中所缺乏的实践。我们大多数人都在尝试利用已有的AWS服务解决一些问题,而不是尽可能地掌握更多AWS服务。这本书向我们这些现实用户介绍了我们能从中获益的一系列最Z佳实践,并提供了真实世界的案例。”
——Corey Quinn,
首席云经济学家,The Duckbill Group
你能从本书中找到关于AWS 典型使用场景的大量信息,以及通俗易懂的实现参考。如果你想要通过可上手实践的真实案例来了解AWS 的概念,我强烈推荐这本书。
—— Gaurav Raje,
《Security and Microservice Architecture on AWS》作者
我从未阅读过一本包含如此丰富的AWS 高级技巧的书籍,如果几年前我能拥有这本书该多好。如果你每天都使用AWS,你需要这本书,不只是因为它的内容,而是因为它能给予我们的启发。在我看来,这是市面上最Z好的AWS 书籍。
—— Adrian Cantrill,
AWS 培训师,learn.cantrill.io
能否通过实战经验运用AWS,是“云素养”和“云流利度”的区别。这本书通过
|
| 內容簡介: |
|
本书提供超过70个独立的技巧来帮助你创造性地解决你将在云端之旅遇到的AWS常见挑战。本书的主要内容有:使用Amazon Comprehend从文本中抹除个人识别信息(PII)。为Amazon RDS数据库自动轮换密码。使用VPC可达性分析器检查并诊断网络路径。锁定对Amazon简单存储服务(S3)的访问。自动调整容器化服务的容量。
|
| 關於作者: |
|
John Culkin是AWS的高级解决方案架构师。他现在专注于构建利用云服务的变革性企业解决方案。Mike Zazon是AWS的高级解决方案架构师。在一家工程研究大学任职时,他产生了对于科技教育的激情。
|
| 目錄:
|
目录
序 1
前言 3
第1 章 安全 19
1.0 引言 19
1.1 创建并代入IAM 角色供开发者访问 .20
1.2 基于访问方式生成最小权限的IAM 策略24
1.3 强制约束AWS 账户中IAM 用户的密码策略 28
1.4 使用IAM 策略模拟器来测试IAM 策略33
1.5 使用权限边界代理IAM 的管理能力 .37
1.6 使用AWS SSM 会话管理器连接至EC2 实例 47
1.7 使用KMS 密钥加密EBS 卷 53
1.8 使用密码管理器保存、加密并访问密码 56
1.9 屏蔽对S3 存储桶的公开访问 60
1.10 使用CloudFront 安全地从S3 提供网页内容 64
第2 章 网络 69
2.0 引言 69
2.1 通过创建Amazon VPC 来定义你的云上虚拟私有网络 70
2.2 在VPC 中通过子网和路由表创建网络层 73
2.3 使用互联网网关连接VPC 与互联网 .78
2.4 使用NAT 网关实现私有子网的互联网出站访问 82
2.5 通过引用安全组来分配动态访问 86
2.6 使用VPC 可达性分析器以检验并诊断网络路径 92
2.7 使用应用负载均衡器将HTTP 流量重定向到HTTPS .96
2.8 通过前缀列表简化安全组内CIDR 的管理 104
2.9 使用VPC 端点:控制从VPC 到S3 的网络访问 .109
2.10 使用中转网关实现跨VPC 的传递性连接 114
2.11 为两个VPC 建立对等连接以进行VPC 间的网络通信 121
第3 章 存储 . 127
3.0 引言 .127
3.1 使用S3 生命周期策略来降低存储成本 .128
3.2 使用S3 Intelligent-Tiering 归档策略以自动归档S3 对象 131
3.3 复制S3 存储桶以满足恢复点目标 135
3.4 通过S3 Storage Lens 观测S3 存储与访问指标 .141
3.5 通过S3 访问点配置应用特定的S3 存储桶访问146
3.6 使用基于KMS 的Amazon S3 存储桶密钥以加密对象 .151
3.7 使用AWS Backup 创建并恢复EC2 备份至另一区域 155
3.8 从EBS 快照恢复文件 .162
3.9 使用DataSync 在EFS 和S3 之间复制数据 165
第4 章 数据库 . 171
4.0 引言 .171
4.1 创建一个Amazon Aurora 无服务器PostgreSQL 数据库 172
4.2 为RDS 数据库使用IAM 认证 179
4.3 利用RDS 代理接受Lambda 发起的数据库连接 186
4.4 加密已有Amazon RDS MySQL 数据库存储 195
4.5 为RDS 数据库自动轮换密码 .200
4.6 自动调整DynamoDB 表的预置容量 209
4.7 Amazon RDS 使用AWS DMS 将数据库迁移至Amazon RDS 213
4.8 使用RDS 数据API 启用对Aurora Serverless 的REST 访问 .218
第5 章 无服务器 . 225
5.0 引言 .225
5.1 配置应用负载均衡器以调用Lambda 函数 227
5.2 使用Lambda 层打包依赖库 230
5.3 定时调用Lambda 函数 234
5.4 配置Lambda 函数访问EFS 文件系统 238
5.5 使用AWS Signer 在Lambda 中运行受信任的代码 .242
5.6 将Lambda 代码打包进容器镜像 246
5.7 借助Lambda 从S3 自动化导入CSV 文件至DynamoDB 250
5.8 使用预置并发缩短Lambda 启动时间 .254
5.9 使用Lambda 访问VPC 资源 257
第6 章 容器 . 261
6.0 引言 .261
6.1 构建、标记并发布容器镜像至Amazon ECR .263
6.2 在推送至Amazon ECR 时扫描镜像 269
6.3 使用Amazon Lightsail 部署一个容器 272
6.4 使用AWS Copilot 部署容器 276
6.5 通过蓝绿部署更新容器 .279
6.6 在Amazon ECS 上自动调整容器负载容量 .284
6.7 启动Fargate 容器任务以响应事件 288
6.8 获取Amazon ECS 运行容器的日志 293
第7 章 大数据 . 299
7.0 引言 .299
7.1 使用Kinesis 流接入流数据 .300
7.2 使用Amazon Kinesis Data Firehose 将数据流式传输至Amazon S3 303
7.3 借助AWS Glue Crawlers 自动发现元数据 308
7.4 使用Amazon Athena 查询S3 上的文件 315
7.5 借助AWS Glue DataBrew 转换数据 320
第8 章 人工智能/ 机器学习 325
8.0 引言 .325
8.1 转录播客 326
8.2 将文字转为语音 329
8.3 表单数据的计算机视觉分析 331
8.4 使用Comprehend 从文本中移除个人识别信息 .335
8.5 检测视频中的文字 339
8.6 使用Amazon Transcribe Medical 和Comprehend Medical(医疗版)
分析医生口述 .342
8.7 确定图片中文字的位置 .346
第9 章 账户管理 . 349
9.0 引言 .349
9.1 使用EC2 全局视图以进行账户下资源分析 350
9.2 通过标签编辑器同时修改许多资源的标签 .352
9.3 为你的AWS 账户启用CloudTrail 日志 .357
9.4 为根用户登录配置邮件告警 361
9.5 为根用户配置多重身份认证 364
9.6 配置AWS Organizations 和AWS 单点登录 369
附录 快速修复 . 377
|
| 內容試閱:
|
|
前言绝大多数的工作负载都将转移到云端。我们现在才刚开始,还有很多事情要发生。—— Andy Jassy在过去十年中,越来越多的企业和小生意投入到云的使用中,且这一进程仍在加速。Gartner 提到,在2020 年,全世界公有云厂商基础设施即服务的市场份额增长了40.7%。由于云计算的快速增长,许多组织急需拥有云技能的人才。许多信息技术专业人员只理解云的基本概念,但仍需要更自如地工作在云上。云技能的供需差距为想要在职业生涯上进行提升的个人带来了众多机会。在超过20 年的云经验中,我们在很多不同角色中受益于使用AWS 构建项目。我们向成百上千的开发者就何时应当如何使用AWS 服务提供指导。通过以上这些实践,我们理解使用云的常见挑战与短期收益。我们想要与你分享这些经验,并为你的个人提升提供帮助。通过撰写这本书,分享我们的知识,并使你能够快速获得在云上工作的有用技能。我们希望你能够在未来多年里以此书作为参考。本书的读者对象本书适用于从初学者到专家的所有级别的开发者、工程师和架构师。初学者们将了解到云的概念并更自如地使用云服务。专家们将能够阅读支撑这些实践的代码,探索新的服务并发现更多的视角。如果云服务和组合的过剩对你来说十分困扰,那么你适合阅读这本书。这本书中包含最佳实践的技巧旨在提供“Hello, World”级别的概念验证和企业级别的应用组件。其包含常见的用例与引导性的场景演练,你可以将它们直接应用在你当前的任务或未来的工作中。无论你当前的AWS 经验在什么级别,这些经过仔细策划的技巧帮助你获得经验,其意在揭开这些服务的神秘面纱,并立刻交付价值。你将会学习到什么除开辟新的专业机会之外,掌握AWS 的能力使你能够通过创建强大的系统和应用,来解决当今世界中众多极度需要的有趣问题。你想要像西门子(Siemens)一样使用AWS 机器学习来应对每秒六万个网络威胁吗?或像第一资本(Capital One)一样,减少组织中对于内部机房的依赖并普及微服务的使用吗?如果是这样,本书将提供实际的例子向你展示如何通过将AWS 服务组合在一起,为常见的使用场景创建解决方案,来加快你的学习。云服务的按需使用模型、巨大的容量、更高级的能力和全球化的部署创造了更多可能性以供探索。包含最佳实践的技巧我们将本书拆分成专注于一般科技领域的章节,如安全、网络、人工智能等。这些章节包含的技巧比较独立且易于理解。各个技巧的长度和复杂度有所不同。每个技巧均拥有一个问题陈述、带有图解的解决方案与相应的讨论。为了避免歧义,问题陈述具有严格的限定条件。解决方案包括所需的准备和具体的步骤来引导你达到期望的目标。在合适的时候,其将会提供显式的校验方式,我们也在技巧中添加了额外的挑战问题,在你希望进一步学习的时候来帮助你。最后,我们的每一个技巧都以简短的讨论结尾,来帮助你理解该方案和其必要性、扩展该方案的建议以及在现实世界中使用这些方案。我们将每一章对应的代码放在了https://github.com/awscookbook 这一代码仓库中。该仓库包含易于复制粘贴的准备步骤、所需的文件和基础设施代码。我们也为问题报告与新的技巧建议创建了GitHub 模板。我们鼓励你在GitHub 上提交问题、创建新技巧的请求,并提交你自己的拉取请求(pull requests,PR)。我们会一直维护这些章节的仓库,更新技巧中的步骤,以及每个技巧的README 文件中的代码。请确保及时查看这些修改以发现新方法或其他的可选方案。我们期待与你在GitHub 上互动,通过有趣的新挑战和线索来帮助你。一些技巧是从头开始构建的,另一些包括能让你应用至真实世界常见场景的准备步骤。我们提供了代码以使你轻松地部署这些前置步骤。例如,6.5 节就假定你是一个需要已有网络基础设施来部署容器应用的开发者。在需要前置步骤时,你可以使用代码仓库中提供的代码来提前完成这些准备步骤。当技巧需要更多准备时,你将使用AWS 云开发套件(AWS Cloud Development Kit,CDK),该套件能够智能地定义并声明基础设施。绝大多数的技巧都是基于命令行界面(CLI)的,在合适的时候我们会使用包含截图或描述文本的控制台来演示步骤。你将从技巧中发现类似如下的内容:? 使用Amazon Comprehend 混淆文本中的个人身份信息(personally identifiable information,PII)。? 为Amazon 关系型数据库服务(Relational Database Service,RDS)自动更换密码。? 使用VPC 可达性分析器(Reachability Analyzer)来校验并排除网络路径的故障。除了这些技巧,我们也在附录中提供简短的代码,其能够快速完成有价值的日常任务。我们觉得这些代码值得加入你的云工具箱中。尽管AWS 提供免费体验(free tier),然而实现本书的技巧可能产生费用。我们提供清理指引,但你需要自行支付你账户中的任何费用。我们建议你查看AWS开发的最佳架构实验室(Well-Architected Labs)来了解支出相关的更多内容,并利用AWS Budgets actions 来控制支出。你需要什么我们将开始前需要的准备步骤和寻找帮助的技巧列举如下:? AWS 账户。─ 设置指引。─ 具有控制台和编程访问的 IAM 用户。─ 你的 IAM 用户需要具有管理权限。? 个人电脑/ 笔记本。? 软件。─ 网络浏览器(如 Microsoft Edge,Google Chrome 或 Mozilla Firefox)。─ bash 或 Z shell(Zsh) 终端。─ Git。安装指引。─ Homebrew(可选,但建议安装以安装其他所需工具 )。安装指引。─ 代码编辑器(如 VSCodium 或 AWS Cloud9)。推荐的安装方式:brew install --cask vscodium─ AWS 命令行界面 v2(2.1.26 或更新)。─ 安装指引。─ 推荐的安装方式:brew install awscli@2─ Python 3.7.9(和 pip)或更高版本。安装方式举例:brew install python@3.7─ AWS 云开发套件版本 2.0 或更新。─ 开始指引。─ 推荐的安装方式:brew install npm 和 npm i -g aws-cdk@next? 推荐:在你的用户目录创建一个名为AWSCookbook 的文件夹,以便集中管理每个章节对应的代码仓库:AWSCookbook:$ tree -L 1.├── AccountManagement├── ArtificialIntelligence├── BigData...开始本节提供了我们在全书中使用的技术和方法的示例,以帮助你理解并遵循这些步骤。如果你已习惯这些方法,可以跳过这些主题。如需参考,你可以随时回到这一节。设置除之前列出的安装步骤外,你需要以下访问权限。AWS 账号设置你需要有管理权限的用户。一些技巧需要在AWS 权限与访问管理(AWS Identity and Access Management,IAM)创建资源。你可以参考AWS 关于“如何创建你的第一个IAM 管理员用户与用户组”的指引。为使用命令行界面的一般性工作站设置我们在https://github.com/awscookbook 创建了一组代码仓库。在你的用户目录(或任何你选择的位置)创建一个名为AWSCookbook 的文件夹,并执行cd 进入该目录:mkdir ~/AWSCookbook && cd ~/AWSCookbook该目录用于保存我们为每个章节提供的代码仓库(如“安全”):git clone https://github.com/AWSCookbook/Security在你的终端设置并导出默认的AWS 区域:export AWS_REGION=us-east-1通过读取aws sts get-caller-identity 操作的输出结果来配置你的AWS ACCOUNT_ID:AWS_ACCOUNT_ID=$(aws sts get-caller-identity \\--query Account --output text)本书使用的技术和方法以下几节将解释一些使用CLI 的方式,并给出示例,以帮助你使用本书中的技巧。查询输出结果,环境变量,命令替换有时候,下一命令依赖当前运行命令的输出结果。AWS CLI 提供客户端过滤输出的能力。有时,我们通过命令替换将这些输出设置到环境变量里面。我们将搭配使用这三个技术来帮助你更加容易地遵循本书提供的步骤。以下是一个示例:通过AWS CLI 使用AWS 安全令牌服务(Security Token Service,STS)来获得当前用户(或角色)的Amazon 资源名称(Amazon Resource Name,ARN):aws sts get-caller-identity输出结果如下所示:{”UserId”: ”EXAMPLE”,”Account”: ”111111111111”,”Arn”: ”arn:aws:iam::111111111111:user/UserName”}以下是查询ARN 值并将其输出到终端的一个示例:aws sts get-caller-identity --query Arn --output text输出结果类似如下:arn:aws:iam::111111111111:user/UserName我们可以使用命令替换查询ARN 值并将其设置为环境变量:PRINCIPAL_ARN=$(aws sts get-caller-identity --query Arn --output text)你可以在终端使用echo 命令来检查环境变量的值:echo $PRINCIPAL_ARN输出结果类似如下:arn:aws:iam::111111111111:user/UserName替换已有模板文件中的值为简化学习体验,我们尽可能在章节的代码仓库中提供模板文件,你可以以这些文件为起点,作为运行某些技巧步骤命令的输入。例如,在6.5 节创建AWS CodeDeploy 配置时,我们提供包含AWS_ACCOUNT_ID、PROD_LISTENER_ARN 和TEST_LISTENER_ARN 占位符的codedeploy-template.json JSON 文件。我们期待你替换这些占位符的值并将该文件保存为codedeploy.json。为进一步简化体验,如果你严格按照步骤执行并将这些值保存至环境变量,你可以使用sed 命令来替换这些值。我们尽可能提供这样的命令,比如第6 章中的示例:使用sed 命令来替换helper.py 脚本导出的环境变量值:sed -e ”s/AWS_ACCOUNT_ID/${AWS_ACCOUNT_ID}/g” \\-e ”s|PROD_LISTENER_ARN|${PROD_LISTENER_ARN}|g” \\-e ”s|TEST_LISTENER_ARN|${TEST_LISTENER_ARN}|g” \\codedeploy-template.json > codedeploy.json密码在技巧的某些步骤中,你将会创建密码并将它们临时保存至环境变量以便后续步骤使用。在完成技巧后,请确保按照清理步骤清除这些环境变量。我们只是通过将密码保存至环境变量这种方法来简化理解。在生产环境中,更安全的方法是使用AWS 密钥管理器(AWS Secrets Manager),例如1.8 节中的方法。生成密码。你可以通过AWS CLI 使用AWS 密钥管理器来生成符合特定要求的密码。第4 章中的一个示例如下所示:ADMIN_PASSWORD=$(aws secretsmanager get-random-password \\--exclude-punctuation \\--password-length 41 --require-each-included-type \\output text \\--query RandomPassword)使用和保存密码。在生产环境中,你应该使用AWS 密钥管理器或AWS 系统管理器参数存储(Systems Manager Parameter Store)(使用“安全字符串”),并使用IAM 策略来控制对这些密码的访问。简单起见,本书技巧中使用的一些密钥的IAM 策略从权限角度来讲并未完全锁定,不适合直接用在生产环境。实际应用中,请确保自行编写IAM 策略来控制权限。随机后缀在使用诸如Amazon S3 这样的全球服务时,我们生成许多随机后缀。由于S3 存储桶名称需要在AWS 的所有客户中全局唯一,这些后缀是需要的。我们通过CLI 使用密钥管理器生成符合S3 命名规则的字符串,并添加这一随机元素,以确保所有读者均能使用相同的命令创建资源:RANDOM_STRING=$(aws secretsmanager get-random-password \\--exclude-punctuation --exclude-uppercase \\--password-length 6 --require-each-included-type \\--output text \\--query RandomPassword)你也可以使用其他工具来生成随机字符串,例如一些本地工具。AWS 云开发套件(CDK)与helper.py我们建议从“ 开始使用AWS CDK” 指引开始。如果你是第一次使用AWS CDK,在安装CDK 2.0 之后,你需要利用AWS CDK 工具套件(toolkit)在你使用的区域快速启动:cdk bootstrap aws://$AWS_ACCOUNT_ID/$AWS_REGION我们在全书中有需要的时候使用AWS CDK,使你能够一致地部署符合技巧中问题陈述的场景。你也可以选择在你的已有环境中执行这些技巧,你只需指定步骤所需的输入变量。若这些方案在你的环境中不工作,你可以与我们提供的环境进行比较。我们在代码仓库中包含的CDK 代码使用AWS CloudFormation 服务部署资源,并将结果输出到变量中以供你在技巧步骤使用。我们创建了一个名为helper.py 的Python 脚本,你可以在你的终端中运行该脚本以将CloudFormation 输出结果保存至本地变量以更容易地执行这些步骤,绝大多数时候甚至可以直接复制粘贴。在克隆了第4 章后,一组部署CDK 代码的示例命令如下所示:cd 401-Creating-an-Aurora-Serverless-DB/cdk-AWS-Cookbook-401/test -d .venv || python3 -m venv .venvsource .venv/bin/activatepip install --upgrade pip setuptools wheelpip install -r requirements.txtcdk deploy假定你已经提前安装了Python、pip 和CDK,你可以在该章节代码库的根目录下轻易地复制粘贴上述代码来部署技巧中的场景,并使用技巧中的解决方案来处理该场景。在cdk deploy 运行完成之后,我们可以运行我们创建的helper.py 工具:python helper.py你应该能看到CDK CloudFormation 栈的输出结果,可以直接将其复制粘贴到终端以设置环境变量:$ python helper.pyCopy and paste the commands below into your terminalROLE_NAME=‘cdk-aws-cookbook-108-InstanceSS1PK7LB631QYEF’INSTANCE_ID=‘random string here’与本书相关的技术问题, 或者在使用代码示例上有疑问, 请发电子邮件到errata@oreilly.com.cn。本书是要帮你完成工作的。一般来说,如果本书提供了示例代码,你可以把它用在你的程序或文档中。除非你使用了很大一部分代码,否则无需联系我们获得许可。比如,用本书的几个代码片段写一个程序就无需获得许可,销售或分发O’Reilly图书的示例集则需要获得许可;引用本书中的示例代码回答问题无需获得许可,将书中大量的代码放到你的产品文档中则需要获得许可。我们很希望但并不强制要求你在引用本书内容时加上引用说明。引用说明一般包括书名、作者、出版社和ISBN,例如:“AWS Cookbook by John Culkin and Mike Zazon (O’Reilly). Copyright 2022 Culkins Coffee Shop LLC and Mike Zazon,978-1-492-09260-5”。如果你觉得自己对示例代码的使用超出了上述许可范围,请通过permissions@oreilly.com 与我们联系。O’Reilly 在线学习平台(O’Reilly Online Learning)近40 年来,O’Reilly Media 致力于提供技术和商业培训、知识和卓越见解,来帮助众多公司取得成功。公司独有的专家和改革创新者网络通过O’Reilly 书籍、文章以及在线学习平台,分享他们的专业知识和实践经验。O’Reilly 在线学习平台按照您的需要提供实时培训课程、深入学习渠道、交互式编程环境以及来自O’Reilly 和其他200 多家出版商的大量书籍与视频资料。更多信息,请访问网站:https://www.oreilly.com/。联系我们任何有关本书的意见或疑问,请按照以下地址联系出版社。美国:O’Reilly Media, Inc.1005 Gravenstein Highway NorthSebastopol, CA 95472中国:北京市西城区西直门南大街2 号成铭大厦C 座807 室(100035)奥莱利技术咨询(北京)有限公司勘误、示例和其他信息可访问https://oreil.ly/AWS-cookbook 获取。对本书的评论或技术疑问,可以发电子邮件到errata@oreilly.com.cn。欲了解本社图书和课程的新闻和信息,请访问我们的网站http://oreilly.com。我们的Facebook:http://facebook.com/oreilly。我们的Twitter:http://twitter.com/oreillymedia。我们的YouTube:http://youtube.com/oreillymedia。致谢感谢《Migrating to AWS, A Manager’s Guide》的作者Jeff Armstrong 将我们介绍给奥莱利。我们要感谢在本书撰写过程中帮助我们的技术审核人员。我们感激他们敏锐的眼光、观点和技术实力。向你们致谢:Jess Males, Gaurav Raje, Jeff Barr, Paul Bayer, Neil Stewart, David Kheyman, Justin Domingus, Justin Garrison, Julian Pittas, Mark Wilkins 和Virginia Chu。感谢r/aws 这一知识渊博的社区,你们经常为我们提供卓越的洞见和观点。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
