【每周快报】0110-0121 AWS 服务更新
一、服务的新功能
Region Osaka 预计在 2021 年初成为亚太区第九个区域
由于客户对大阪区域的需求很高,因此官方宣布将于大阪开设完整的区域,会以现有的 local-region Osaka 为基础,再额外扩增可用区域 (AZ) 与支持的服务来组合成新的大阪区域。
参考来源至:AWS to Launch Standard AWS Region in Osaka in Early 2021
Amazon Elastic File System 简化管理访问权限的方式:IAM Authorization 及 Access Points
-
IAM Authorization:用户可利用 IAM roles 来辨识不同 NFS 用戶,并搭配 IAM policies 管理特定用户的特殊权限。此功能大幅简化整体环境里多数请求的管理方式,而检查纪录可以在 CloudTrail 中看到,以审核客户端对文件的访问。
- 可从 GitHub 下载挂载 EFS 精灵,并在挂载时,加上
-o iam
参数。 -
Use case:指定权限给 IAM Role,并指定给 EC2,同时利用
-o iam
参数改变 EFS 的 policy,使 EC2 具有对 EFS 指定特定动作的权限- Policy:此 EC2 可以访问根目录、挂载 EFS、read / write 权限
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:123412341234:file-system/fs-d1188b58" } ] }
- 执行以下指令:完成权限设定
$ sudo mkdir /mnt/shared $ sudo mount -t efs -o iam,tls fs-d1188b58 /mnt/shared
- 执行以下指令:测试访问根目录,并在根目录创建新文件夹
$ sudo touch /mnt/shared/newfile $ ls -la /mnt/shared/newfile -rw-r--r-- 1 root root 0 Jan 8 09:52 /mnt/shared/newfile
-
此外,可在 CloudTrail 看到 IAM permission checks
- 可从 GitHub 下载挂载 EFS 精灵,并在挂载时,加上
-
EFS access points:提供 EFS 目录一个进入点,强制执行
参考来源至:Amazon Elastic File System introduces EFS Access Points
参考来源至:New for Amazon EFS – IAM Authorization and Access Points
AWS Backup 支持 Cross-Region 备份
用户现在可以将跨服务的应用程序,备份到多个 Region,以利用户可以从其他区域恢复架构,并提供更好的灾难复原能力,且符合规范。
AWS Client VPN 支持 Port Configuration
用户现在可以在 Client VPN Configuration 使用 443 或 1194 port,在 default 状况下,新的与现有的 port 会使用 443 port,假设出于安全原因不能使用 443 port ,现在可以将这些 port 更改为 1194 port。
AWS Health 可以集中侦测 AWS Organizations 之间所运行的状况
用户现在可以从 AWS Organizations 里集中所有帐户到 AWS Health Event,AWS Health Organizational View 可以看到各个 account 的 AWS Health Event,可以透过 AWS Health API 去观察运行的状况,安排维护以及 account 通知,进而提高故障排除的能力。
参考来源至:AWS Health enables aggregation of health events across AWS Organizations
AWS Elemental MediaConvert 开放 MP3 Audio Output
用户现在可以针对设备及服务使用 MP3 格式,从影片档案中提取出来,也可以从影片 transcoding 中提取,输出成 MP3 档案。
参考来源至:MP3 Audio Output Now Available with AWS Elemental MediaConvert
二、功能的增强或改动
Amazon EFS 新增支持 Amazon ECS
以往要在 ECS 上挂 EFS 的话需要透过许多复杂的手段来实现,现在新增的这项预览功能能直接在 Task Definition 中决定要与哪个 EFS 连接。
參考來源至:Amazon ECS Preview Support for EFS file systems Now Available
AWS Transfer for SFTP 新增支持 VPC Security Groups 及 Elastic IP addresses
现在用户可以在自己的 VPC 里,启用 SFTP server,同时也可以绑定 Elastic IP addresses,且此 IP 也包含用户自己的 IP。此外,用户可以利用 VPC Security Groups 来制作「白名单」,规范请求的来源者须存在于白名单内,以管理进入 server 的流量,提供另一层资安的管控。
参考来源至:AWS Transfer for SFTP supports VPC Security Groups and Elastic IP addresses
Amazon Cognito 新增支持 CloudWatch Usage Metrics
用户现在可以透过 CloudWatch Usage Metrics 来监控、回报实时信息,且立即采取已设定好的自动化处理程序。例如:监控 Cognito 登入、注册的请求,并设置 CloudWatch alarms 来通知管理者,观看特定 Metrics 的报告内容。
Amazon EC2 Spot instances 可以像 On-Demand instances 一样,随时停止和启动。
原本的 Spot instances 只能直接终止结束,现在可以像 On-Demand instances 一样,将状态设置为停止,储存在 EBS 设备里的数据不会消失,且可以随时再启动它,为用户带来操作上更大的弹性。
参考来源至:Amazon EC2 Spot instances can now be stopped and started similar to On-Demand instances