【每周快报】1212-1218 AWS 服务更新
一、服务的新功能
AWS Elastic Beanstalk 现在提供 Windows Web 应用程序 Migration Assistant
AWS Elastic Beanstalk 是一项易用的服务,用于在熟悉的服务器,例如:Apache、Nginx、Passenger 和 IIS,部署和扩展以 Java、.NET、PHP、Node.js、Python、Ruby、Go 和 Docker 开发的 Web 应用程序和服务。
AWS Elastic Beanstalk 的 Windows Web 应用程序 Migration Assistant 是一种交互式的 PowerShell 公用程序,可将 ASP.NET 和 ASP.NET 核心的应用程序,从地端环境 IIS Windows 服务器迁移到 AWS Elastic Beanstalk。
Migration Assistant 可在 GitHub 上,以开放原始码项目形式提供,并且能够将整个网站及其配置迁移到 Elastic Beanstalk,只需对应用程序做最少或不做任何变更。移转后,Elastic Beanstalk 会自动处理容量布建、负载平衡、自动扩展、应用程序健康监控,以及将修补程序和更新套用至基础平台的持续详细信息。
如果用户还需要迁移与 Web 应用程序相关联的数据库,可单独使用 AWS Database Migration Service、CloudEndure Migration 或 the Windows to Linux Replatforming Assistant for Microsoft SQL Server Databases。
参考资源至:AWS Elastic Beanstalk Launches the Windows Web Application Migration Assistant
Amazon SES 现在可让用户使用自己的 RSA 密钥来设定 DKIM
Amazon Simple Email Service (Amazon SES) 是以云端为基础的电子邮件传送服务,旨在协助数字营销商和应用程序开发人员传送营销、通知和交易电子邮件。
Amazon SES 现在包含一项名为 “Bring Your Own DKIM (BYODKIM)” 的功能,可让用户使用自己的公开私钥组来设定电子邮件传送网域的 DomainKeys Identified Mail。
DKIM 是一种电子邮件安全性标准,旨在确保传送和收件者服务器之间的传输。它使用公钥加密与私钥签署电子邮件,收件者服务器可以使用发布至网域 DNS 的公钥,确认电子邮件在传输期间未被修改。
对于使用相同网域跨多个 AWS 区域或跨不同 AWS 帐户传送电子邮件的用户,此功能非常有用。此外,如果用户使用 Amazon SES 代表客户传送电子邮件,用户的客户可以传送使用自己的 DKIM 密钥签署的电子邮件。
参考资源至:Amazon SES now enables you to configure DKIM using your own RSA key pair
使用 DNS Resolution for EKS Clusters 的 Private Endpoints
Amazon Elastic Kubernetes Service (Amazon EKS) 可让用户使用 AWS 上的 Kubernetes 轻松部署、管理和扩展容器化应用程序。
现在,在使用 peered VPC 时,用户可以自动解析为 private Amazon EKS cluster endpoint。这让用户可透过 AWS Direct Connect 从地端存取至只能在 VPC 中存取的 EKS。
现在,在启用 private endpoint 时,Amazon EKS 会自动从 public endpoint 播发 private endpoint 的 private IP 地址。用戶端(例如:kubectl CLI 工具)会使用 public endpoint 做为 DNS 解析器,透过 peer VPC 自动联机到 private endpoint。
参考资源至:DNS Resolution for EKS Clusters Using Private Endpoints
AWS OpsWorks for Configuration Management 现在支持标记功能,并能以卷标进行访问权限的管理
AWS OpsWorks 是可提供受管 Chef 和 Puppet 实例的组态管理服务。
AWS OpsWorks CM 现在支持用于 Chefs Automate 及 Puppet Enterprise,分配卷标到 OpsWorks CM 服务器和备份的功能。用户可以透过制定 IAM Policy 以及配置每项资源一个特定的卷标,使用 ABAC(Attribute-based Access Control)的方式来管理访问权限。
参考来源至:AWS OpsWorks for Configuration Management now supports tagging and tag-based access control
Amazon Transcribe 现在支持用于批处理的 Job Queuing
Amazon Transcribe 可让开发人员在自己的应用程序中轻松加入语音转文字功能。以往,用户在每个 region 中,最多一次并发处理 100 个转录作业,此次更新之后,用户可一次提交最多 10,000 个作业,而后续作业将以队列方式等待,当再次可用时,会以 FIFO 的顺序来处理作业。
参考来源至:Amazon Transcribe now Supports Job Queuing for Batch Workloads
二、功能的增强或改动
Amazon Elastic Container Service 发布新的 CLI 以更简单的部署及管理 containerized applications
Amazon ECS 是一项完全受管的 Docker 容器协调服务。
AWS ECS 推出新的 CLI,着重在实用性及帮助提高开发人员的生产力。其人性化的设计包括 command 的提示、指导性的流程演练,以在不使用 AWS 和 ECS 特定术语的情况下,用户也可以快速部署应用程序。
一旦应用程序代码准备就绪,CLI 将自动执行部署中的每个步骤,包括 Docker 构建、创建 task definition,以及创建 cluster 以运行 task。此外,用户也可以通过 CLI 来执行扩展、故障排除… 等操作。
AWS CloudFormation 更新对于 Amazon API Gateway、AWS CodePipeline、Amazon S3、AWS IAM、Amazon ECS、Amazon RDS、Amazon ES、AWS Lambda 等的支持内容
AWS CloudFormation 提供一种通用语言,可用来描述和布建云端环境中的所有基础设施资源。
用户现在可使用 CloudFormation 模板为 AWS CodePipeline、Amazon API Gateway、AWS Lambda、Amazon Elasticsearch Service (Amazon ES)、AWS IAM 以及更多 AWS 资源设定和布建其他功能。CloudFormation 会定期发行额外的支持,让开发人员更容易设定和布建 AWS 服务。
Amazon MQ 推出 throughput-optimized 的讯息代理商(Message brokers)
Amazon MQ 是一项适用于 Apache ActiveMQ 的受管讯息代理服务,可让用户轻松地在云端设定及操作讯息代理程序。
Amazon MQ 现在提供由 Amazon EBS 支持的 throughput-optimized brokers。此项支持可让用户利用 Throughput-optimized brokers 处理大量订单和文本处理。
throughput-optimized brokers 是针对需要低延迟、高吞吐量,以及具有 message data available redundantly 的 Message brokers 所设计。
参考资源至:Amazon MQ introduces throughput-optimized message brokers
AWS Security Hub 现在与 AWS Firewall Manager 及 Amazon Detective 整合
AWS Security Hub 为用户提供 AWS 的安全状态全方位检视,并协助检查是否符合安全产业标准和最佳实务规范。
AWS Firewall Manager 是一种安全管理服务,可让用户在 AWS Organization 中跨帐户和应用程序集中设定和管理防火墙规则,例如:AWS WAF、AWS Shield Advanced,以及 Amazon VPC Security Group rules。
Amazon Detective 可让用户分析、调查和快速识别安全发现或可疑活动的根本原因。
此次更新之后,AWS Firewall Manager 会将四种类型的发现及信息发送到 Security Hub:
- 没有受到 WAF rules 适当保护的资源
- 没有受到 Shield Advanced 适当保护的资源
- Shield Advanced 发现正在进行 “Distributed Denial of Service” 的攻击
- 使用不正确的 security groups
借助此次整合,用户可以透过 Security Hub 在一个地方统一管理资安层级的规范。
此外,用户也可以将 AWS Security Hub 中 Amazon GuardDuty 的结果直接转移到 Amazon Detective,以进行调查。此整合发行版不支持与 DNS 相关的发现。
Amazon Lumberyard Beta 版 1.22 现已推出,新增 Asset Dependency Graph,编辑器效能改善
Amazon Lumberyard 是具备完整来源码的免费、跨平台 AAA 游戏引擎,与 AWS 和 Twitch 深度整合。
AWS 宣布推出 Amazon Lumberyard Beta 1.22 版,其中包括 Amazon 免费的跨平台 3D 引擎 97 项全新改进、修正和功能,让用户能够建立最高质量的游戏、将游戏连接到 AWS 云端的庞大运算和储存空间,并可与粉丝们在 Twitch 互动。
Lumberyard Beta 1.22 引入了新的 Asset Dependency 系統,让开发人员能够轻松判断游戏版本所需的所有资产,以及其相依性,透过几个步骤来标记、评估和部署封装资产,而不需数天到数周的开发工作来处理此事物。
AWS CodeBuild 现在支持跨帐户资源共享
AWS CodeBuild 是全受管的持续整合服务,可编译来源码、执行测试,并产生可立即部署的软件套件。
AWS CodeBuild 现在可让用户在 AWS 帐户或 AWS organization 内安全地共享用户的代码建置资源,例如项目和报表群组。用户可透过使用 AWS 资源存取管理员 (RAM) 共享用户的 CodeBuild 资源,用户不再需要在每个 AWS 帐户中建立重复的资源。如此可减少营运开销,同时维持多帐户策略的优点。
参考资源至:AWS CodeBuild Now Supports Cross-Account Resource Sharing
Amazon EC2 Spot 现在可以透过 Amazon CloudWatch Events 提供 Instance 启动通知
Amazon CloudWatch 是针对 DevOps 工程师、开发人员、网络可靠性工程师 (SRE) 和 IT 管理员建置的监控和可观察性服务。
Amazon EC2 Spot 实例的启动活动将可透过 Amazon CloudWatch Events CLI 取得。
此次更新之后,Amazon EC2 Spot Instance 支持 Amazon CloudWatch Events CLI。用户透过设定 roles,自动将每个 EC2 Spot Instance 的启动事件转送至 SNS topic,以取得推送通知。
此功能可让用户持续追踪 EC2 spot Instance 启用的生命周期,以自定义动作或工作流程。这些 CloudWatch 通知适用于所有启动 EC2 Spot Instance 的方法,例如:EC2 Auto Scaling、EC2 Fleet、Spot Fleet、RunInstances API 或 RequestSpotInstances API。
参考资源至:Amazon EC2 Spot Now Provides Instance Launch Notifications via Amazon CloudWatch Events
Amazon Connect 宣布支持 AWS CloudTrail 的 API
Amazon Connect 是易于使用的全通路云端联络中心,可协助公司以较低的成本提供优质的客户服务。
Amazon Connect 现在会将所有 API 呼叫记录到 AWS CloudTrail,这项服务可为用户的 AWS 帐户提供管理、合规、操作稽核和风险稽核。使用 AWS CloudTrail,使用 AWS CloudTrail,用户可以记录、持续监控、保留和响应 Amazon Connect API 活动。例如:用户可以定义工作流程,以便在透过 API 变更代理程序的安全性配置文件时收到通知。
现在,用户也可追踪对 Amazon Connect API 提出的请求,包括请求来源信息,例如:来源 IP 地址、提出请求的日期和时间、请求参数等。
参考资源至:Amazon Connect announces AWS CloudTrail support for APIs
Amazon EC2 Fleet 现在支持可优先使用可用容量预留(Available Capacity Reservations)
Amazon EC2 Fleet 可简化在不同 Amazon EC2 Instance、AZ 與 Amazon EC2 On-Demand、Reserved Instances (RI) 及 Amazon EC2 Spot 购买模式之间布建 Amazon EC2 容量的程序。
此次更新之后,用户可以设定 Amazon EC2 Fleet 优先使用 Available Capacity Reservations 的配置方式,而非直接开启 On-Demand Instance,以充分利用资源。
参考来源至:Amazon EC2 Fleet Now Lets You Preferentially use Available Capacity Reservations
Amazon Kinesis Data Analytics 现在支持 Apache Flink 1.8
Amazon Kinesis Data Analytics 是分析串流数据、取得可行建议,以及实时响应业务和客户需求最简单的方法。
此次更新之后,用户可以选择 Apache Flink 1.8 来构建和运行流应用程序。Apache Flink 1.8 可提供在 Amazon S3 和 Apache Kafka 之间只有一次的连接方式;可强化 Amazon Kinesis Data Streams connector;提供新的 Amazon DynamoDB streams connector 以及八个新的 SQL functions… 等强化内容。
其他详情请见 Apache Flink 1.8.0。
参考来源至:Amazon Kinesis Data Analytics now supports Apache Flink 1.8
Amazon Textract 通过 PCI DSS 认证,并可以提取表格中更多的数据
Amazon Textract 是一种可从扫描的文件中自动撷取文字和数据的服务。
此次更新之后,用户现在可以将 Amazon Textract 用于需要 Payment Card Industry Data Security Standard(PCI DSS)信息安全标准的工作,例如:cardholder data(CHD)或敏感身份验证数据(sensitive authentication data, SAD)的所有工作负载。
此外,针对表格中文字的识别,Amazon Textract 加强了字符之间的拆分能力以及行距间的区辨准确度,以提供更加精准的数据内容。
参考来源至:Amazon Textract is now PCI DSS certified and extracts even more data from tables and forms
Amazon EMR 现在支持 AWS PrivateLink
Amazon EMR 是业界领先的云端原生大数据平台,可用于快速、经济高效地大规模处理大量数据。
AWS PrivateLink 透过不让数据暴露于公有因特网,简化与云端应用程序共享数据的安全性。
现在用户可以透过 VPC endpoints,在 Amazon EMR 以及自己的 VPC 之间沟通,而不需要经过公有因特网,提供更安全的联机方式。
AWS CodePipeline 现在支持 Atlassian Bitbucket Cloud(Beta 版)
AWS CodePipeline 是一种全托管持续交付服务,可协助用户自动化发行管道,以快速可靠地提供应用程序和基础设施更新。
用户现在可以使用 Atlassian Bitbucket Cloud 的资源,作为 AWS CodePipeline 建构、测试、部署过程中的程序代码来源。针对原先 Atlassian Bitbucket Cloud 的用户,不需再转换程序代码来源,便可直接受益于 AWS CodePipeline 持续交付的服务。
参考来源至:AWS CodePipeline Now Supports Atlassian Bitbucket Cloud (Beta)
Amazon Data Lifecycle Manager 现在支持透过 policies 以自动化备份快照(snapshot)
此次更新之后,用户可以透过 Data Lifecycle Manager 来跨 region 的备份快照。启用用于创建、复制跨区域快照的 policies 后,用户可将快照自动化备份至最多三个 region,并制定每个 region 保存的时间长度。此功能有助于快速的灾难复原。
参考来源至:Amazon Data Lifecycle Manager now enables automation of snapshot copy via policies
Amazon Elastic File System 现在支持 Service-Linked Roles
Amazon Elastic File System (Amazon EFS) 提供简单、可扩展、全受管的弹性 NFS 档案储存,可与 AWS 云端服务和内部部署资源搭配使用。
Service-Linked Roles 是 IAM 中,可帮助指派权限给 AWS 服务的一种方式。用户可预先在 EFS 定义 service-linked role 的 policy,以供 EFS 根据用户的行为来存取 AWS 其他服务。例如:新增、删除原先用于挂载 EFS 的 EC2 及 ENIs。
参考来源至:Amazon Elastic File System Now Supports Service-Linked Roles
Amazon Corretto 现在提供新的 Repositories 及 Permanent URLs
Amazon Corretto 是一个免费、多平台、可用于产品环境的 OpenJDK。
此次更新之后,用户可以使用 Corretto Yum 和 Corretto Apt repositories 来让安装档维持在最新的版本。若是喜欢使用 cURL 的用户,可以利用 Permanent URLs 来确保 scripts 维持在 Corretto 最新版。
参考来源至:New Amazon Corretto Repositories and Permanent URLs are Now Available
AWS Certificate Manager Private Certificate Authority 现在支持 Amazon CloudWatch Events
AWS Certificate Manager Private Certificate Authority 是一种私人服务,可将 ACM 的凭证管理功能延伸至公有凭证和私有凭证。此次更新之后,用户可透过 CloudWatch Events 针对证书颁发、吊销和其他 CA 操作而发送的事件,触发自定义的逻辑。例如:通知用户、产生审核报告书。
参考来源至:AWS Certificate Manager Private Certificate Authority Now Emits State Change Events
Tag:Amazon API Gateway, Amazon CloudWatch Events, Amazon CloudWatch Events CLI, Amazon Connect, Amazon Corretto, Amazon Data Lifecycle Manager, Amazon Detective, Amazon EC2 Fleet, Amazon EC2 Spot, Amazon EFS, Amazon EKS, Amazon Elastic Container Service, Amazon Elastic File System, Amazon Elastic Kubernetes Service, Amazon EMR, Amazon ES, Amazon Kinesis Data Analytics, Amazon Lumberyard Beta, Amazon MQ, Amazon RDS, Amazon S3, Amazon SES, Amazon Simple Email Service, Amazon Textract, Amazon Transcribe, Apache Flink 1.8, API, Asset Dependency Graph, Atlassian Bitbucket Cloud, Available Capacity Reservations, AWS Certificate Manager Private Certificate Authority, AWS CloudFormation, AWS CloudTrail, AWS CodeBuild, AWS CodePipeline, AWS Elastic Beanstalk, AWS Firewall Manager, AWS IAM, AWS Lambda, AWS OpsWorks, AWS OpsWorks for Configuration Management, AWS Organization, AWS PrivateLink, AWS Security Hub, BYODKIM, CA, Cli, DKIM, DNS Resolution for EKS Clusters, Docker, DomainKeys Identified Mail, EC2 spot Instance, IIS Windows, Job Queuing, Migration Assistant, Payment Card Industry Data Security Standard, PCI DSS, Permanent URLs, policies, private endpoint, Private Endpoints, public endpoint, RAM, Repositories, RSA, Service-Linked Roles, snapshot, throughput-optimized, Windows Web