【每周快报】0326-0401 AWS 服务更新
前言
随着资安问题日趋重要,AWS 这周推出了 Amazon Detective,让用户快速找出潜在安全问题以及可疑活动的来源。 AWS Storage Gateway 也新增了针对 File Gateway 的 audit logs,帮助管理者监控用户存取档案的状况,以避免敏感数据被不当使用。
另外为因应疫情,许多公司开始实施 WFH 的政策,Amazon Chime 在此也显得特别重要。这是一款远程会议及拨打电话的服务,让用户随时保持联机状态,而且只需简单几个步骤就能完成。AWS 也宣布在 2020 年 6 月 30 日前,用户只要透过其 AWS 帐户首次开始使用 Amazon Chime,AWS 将免费提供所有 Amazon Chime Pro 的在线会议和视频会议功能,为许多企业及学校带来了很大的帮助!
除上述服务,AWS 这周也对查询功能做了些增强,像是 Amazon Managed Cassandra 现在支持 Tag 功能,Amazon Redshift 也新增支持 sort keys 查询, 大幅提升了查数据的速度。 本篇新闻也会提到 AWS App Mesh、Amazon FSx… 等不同服务的更新!
一、新服务
Amazon Detective
在越来越多资安威胁下,许多企业开始注重资安,为了要防范被恶意攻击,除了要思考如何找出潜在的安全性问题,还需要找出安全性问题的来源为何,但往往找出导致安全性问题的原因需要很多时间,因为我们必须稽核来自不同来源的 log,将 log 数据透过 ETL 萃取出核心的数据之后,资安人员才能开始分析数据,为了解决这个问题, AWS 宣布新的服务 - AWS Detective,是一款可以快速识别及调查潜在安全问题及可疑活动的来源,自动从 AWS 资源中收集 log,例如:VPC Flow logs、AWS CloudTrail 及 Amazon GuardDuty,使用机器学习、统计分析来建构一组数据,让用户进行更快,更有效的安全稽核。
二、服务的新功能
AWS Storage Gateway 新支持针对 File Gateway 的 audit logs 以帮助企业增强合规性
针对现行使用混合云的企业,可以利用 File Gateway 来延伸本地端储存空间至云端,但将数据搬迁至云端后,为符合国家、企业、组织的规范,管理者开始需要监控用户存取档案的状况,以避免敏感数据的不当使用。此次更新之后,管理者可以启用 SMB file shares 的 logging 功能,了解用户存取的状况。
- 以下范例为 “create file” 行为的纪录:
{
"sourceAddress": "XXX.XXX.XXX.XXX",
"accountDomain": "EC2",
"accountName": "Admin",
"groupId": "XXXXX",
"source": "share-XXXXXXXX",
"type": "FileSystemAudit",
"ownerId": "XXXXX",
"accessMode": "0777",
"mtime": "1584903101747582202",
"version": "1.0",
"objectType": "File",
"bucket": "s3-bucket-1",
"objectName": "/topfolder/tests/iteration-1/integtest.01",
"ctime": "1584903101747582202",
"fileSizeInBytes": "0",
"shareName": "my-fileshare-name",
"operation": "Create",
"gateway": "sgw-XXXXXXXX",
"timestamp": "1584903101751",
"status": "Success"
}
这些 Audit Log 纪录会被推送到 CloudWatch Log 做储存,往后管理者可根据自身需求运用 CloudWatch Logs Insights、Amazon Athena、Amazon Elasticsearch Service,或是第三方软件来做更多分析的行为,管理者可另外设置 CloudWatch Alarm,一旦侦测到特定 Log 纪录便触发 Alarm 通知,有助于错误侦测及追踪潜在威胁。
- 如何使用:
从 AWS Console 可直接启用。
- 启用之后,会在 Description 中看到 Audit Log 的位置。
参考来源至:AWS Storage Gateway adds audit logs for File Gateway to address enterprise compliance requirements
Amazon DocumentDB(仅适用 MongoDB 类型)新支持以 Role 为基础的权限控管方式(Role-Based Access Control)
在 AWS IAM 中,用户可依据不同部门、单位、产品、服务或者是功能,各自创建符合需求的 IAM User 或 IAM Role,并遵照 AWS Best Practice 之一:Grant Least Privilege,赋予最小权限至该 IAM User/Role,使该身分具有刚好可以完成 Job Functions 的权限。
上述模式称为 Role-based access control (RBAC),在管理上时常搭配最小权限原则、IAM Policy 和 Tags,在 Policy 中制定 IAM 身份可针对不同 AWS Resources 的操作行为。因此当管理者想改动该身份的权限时,便要修改 IAM Policy 内容。更多与 RBAC 相关内容,请参考 eCloudture 先前的 Blog 文章:透过 AWS Tags 实作 Attribute-Based Access Control (ABAC)
此次更新之后,Amazon DocumentDB 利用以下 Component 来实现 RBAC 概念:
- User:被授与权限的终端用户
- Password:认证该用户时要使用的密码
- Role:实际用户可对 database 做什么样的操作行为
- Admin Database:授权用户的管理型数据库
- Database (DB):权限中制定可操作的数据库
实作案例:
- 在此案例中,所有被授与权限的 User 记录都会记录在 Admin 的 database 中,并分别授与不同用户对不同的数据库(db)具有不同的权限(role)
db.createUser( { user: "appAdmin", pwd: "abc123", roles: [{"db":"admin", "role":"dbAdminAnyDatabase" }, {"db":"admin", "role":"readWriteAnyDatabase"}, {"db":"admin", "role":"clusterAdmin"}]})
db.createUser( { user: "appUser", pwd: "abc124", roles: [ { role: "readWrite", db: "products"}]})
db.createUser( { user: "analytics", pwd: "abc125", roles: [ { role: "read", db: "products"}]})
- 在另一案例中,管理者在同一个 Cluster 中具有多个 database,需要依据用户的权限不同,给予对不同 database 的操作权限。
db.createUser( { user: "bigCowAdmin", pwd: "abc123", roles: [ { role: "dbOwner", db: "bigCow"}]})
db.createUser( { user: "raceCarAdmin", pwd: "def456", roles: [ { role: "dbOwner", db: "raceCar"}]})
db.createUser( { user: "xQuestAdmin", pwd: "ghi789", roles: [ { role: "dbOwner", db: "xQuest"}]})
db.createUser( { user: "bounceAdmin", pwd: "jkl012", roles: [ { role: "dbOwner", db: "bounce"}]})
参考来源至:Amazon DocumentDB (with MongoDB compatibility) Adds Support for Role-Based Access Control
三、功能的增强或改动
Amazon Redshift 提升查询的效能
现在开始 Amazon Redshift Advisor 支持 sort keys 进行查询,大幅提升查询数据的速度,除此之外可以透过 ALTER TABLE
指令增加或修改 sort keys,当数据加载 Table 后,数据就会依照 sort keys 的排序加载,当修改 sort keys 时,Amazon Redshift 会重新排列数据,不必再新增 Table,且不会影响同时读写的效能。
注意:每张 Table 仅能定义 400 个 sort keys 数据域。
参考来源:Amazon Redshift now recommends sort keys for improved query performance
AWS App Mesh 现在支持共享同一个 Mesh 于多个 AWS 帐户
用户经常因为考虑到安全性或是成本单位的区隔,将容器化服务部署于多个 AWS 帐户,但同时希望在逻辑层面,可以利用 Service Mesh 来让应用程序可以由统一的端点来对外的联机,或是跨账号的对内沟通。App Mesh 便是利用 Envoy 此开源软件来实作统一管理服务间链接的功能。更多 App Mesh 实作方式请参考官方部落。
此次更新之后,用户可以将同一个 AWS App Mesh instances 共享于同一个 AWS Organization 内的多个 AWS 帐户,让与应用程序相关连的容器化服务皆可以互相链接。此功能保留在实际面上的分割,同时增加逻辑上的整合。
参考来源至:AWS App Mesh adds support to connect services deployed in multiple AWS accounts into a shared mesh
Amazon FSx 推出新的文件储存类型
Amazon FSx 是提供 Windows Server 的文件系统,以往 AWS 只有提供 SSD 的存储类型,较适合追求延迟性较低的工作负载,像是数据库、数据分析。此次更新后多了一个存储选项-HDD,HDD 适合各种工作负载,包括主目录,用户和部门之间共享档案。
当你在创建 File System 时,可以从 Console 中选择 HDD 的选项:
注意:单可用区 HDD 存储的定价为每月每 GB 0.013美元,多可用区 HDD 存储的定价为每月每 GB 0.025美元。
如果现有的 SSD File System 想要转换成 HDD 存储型态时,可以先新增一个 HDD File System,然后使用 AWS DataSync 或是 robocopy 移动档案。
在性能方面,还可以选择吞吐量的大小:
HDD 存储类型能为企业大幅降低使用成本。
Amazon Chime meetings 调整参与人数限制
全球遇逢疫情的关系,许多企业都采取 WFH 的方式降低群聚的机会,远程 Meeting 成了最近话题十足的科技,Amazon Chime 是一款远程会议、聊天和拨打商务电话的服务,且能运用在各种装置上,让用户随时保持联机状态,为了要让更多人能够参与远程会议,这次更新后,只要是具有 Amazon Chime Pro 用户主持会议,参与人数可达到 250 位,非常适合需要举办研讨会或大型会议的企业或组织,且不需额外再收费,除此之外,为了维持大型会议的质量,开会人数达 25 人以上,参与者加入会议时默认状况下会调整成静音模式,使得主持人及参与者更专注于会议内容及工作。
参考来源至:All Amazon Chime meetings now support up to 250 attendees
Amazon Managed Cassandra 支持 Tag 功能
此次更新后,Cassandra 所有的资源都可以透过 Console 、Cassandra 查询语言及 CLI 对资源上 Tag,除了针对用途、环境或是其他条件来定义卷标,也可以从 AWS Cost Explorer 针对 Tag 来去查找有卷标分类的账单,帮助用户在查询识别,同时成本控管也有所帮助。
用户现在可以利用 AWS organization 统一管理非组织内的意外操作行为
此次更新之后,组织管理者可以启用 AWS Identity and Access Management (IAM) Access Analyzer 来统一管理 Organization 里的帐户,有助于管理者可以快速了解非组织内部人员对资源的操作行为。透过优先设置对资源存取的 Policy,并套用至所有组织内的帐户,主动防治意外的操作行为。
The AWS Toolkit for Visual Studio Code 现在支持 AWS Step Functions
此次更新之后,对于 Visual Studio Code 用户来说,可以不用切换到 AWS Console 才能看到 AWS Step Functions Workflow 各阶段的 State,可以直接透过编译程序实时看到状态,加速并简化开发过程。
参考来源至:The AWS Toolkit for Visual Studio Code now supports AWS Step Functions
Tag:Amazon Chime meetings, Amazon Detective, Amazon DocumentDB, Amazon FSx, Amazon GuardDuty, Amazon Managed Cassandra, Amazon Redshift, audit logs, AWS App Mesh, AWS CloudTrail, AWS Organization, AWS Step Functions, AWS Storage Gateway, ETL, File Gateway, IAM Role, log, MongoDB, Role-Based Access Control, Tag, The AWS Toolkit for Visual Studio Code, VPC Flow logs