【每周快報】0108-0121 AWS 服務更新
前言
近期 AWS 對於多數服務沒有做出太重大的改動,但仍持續優化各個小細節。像是容器服務 Amazon ECS 現在支援 VPC Endpoint policy,在機器學習方面,Amazon Fraud Detector 新增中途取消模型訓練功能。
這周我們也會向大家介紹 Amazon Cognito Identity Pools、Amazon SNS、Amazon EFS…等多項服務的改動。
焦點新聞
Amazon ECS 支援 VPC Endpoint policy
當使用者想要 ECS 可以透過 AWS PrivateLink 與其他服務溝通時,就可以透過 VPC Endpoints 達到此目的,此次更新後,AWS ECS 可以使用 VPC Endpoint policy,可以設定對 ECS API 的訪問。當使用者創建一個 ECS 的 VPC endpoint 時,使用者可以連結 AWS Identity and Access Management (IAM) ,以限制使用者對 ECS API 的操作。例如,使用者可以限制只能 ListClusters,而不能做其他動作,透過此方式來控管權限。
其他服務更新
Amazon EFS 新增支援用 Amazon CloudWatch 監控容量使用狀況
Amazon EFS 為 NFS 檔案共享系統,不需要事先指定檔案系統的大小,隨著檔案變更而自動擴展及縮容。 此次更新後,可以透過 Amazon CloudWatch 監控 EFS 的狀態,了解 EFS 的儲存容量,進一步透過EFS lifecycle 管理檔案系統,以優化儲存成本。
參考來源至:Monitor your Amazon Elastic File System (Amazon EFS) storage usage with Amazon CloudWatch
AWS CloudFormation 新增支援 AWS DataSync
AWS DataSync 是一個讓使用者可以在各種 AWS 儲存服務之間及地端環境簡單、安全及快速資料搬遷的服務。
AWS CloudFormation 提供利用 ymal 格式,讓使用者快速的在 AWS 雲端環境中自動搭建服務或第三方程式的服務。結合 CloudFormation 和 DataSync,使用者現在可以自動部署環境並執行資料搬遷。
AWS 在部落格中給了三個使用場景 * 從地端 NFS server 搬遷資料至 Amazon EFS
- 複製 Amazon FSx 檔案系統到其他 AWS Region
- 將地端 Windows Server 中的資料複製到 Amazon S3
此次更新後使用者可以利用 AWS CloudFormation 以安全、可預測和可重複的方式,去整合或搬遷地端及雲端上的資料。
Amazon SNS 新增支援以 Kinesis Data Firehose 作為訂閱者
Amazon SNS 是一項可幫助使用者發送訊息的服務,SNS 採取 “發佈 / 訂閱” 的方式來傳遞訊息,只要有訂閱特定 Topic 的接收端,都會收到發佈到該 Topic 裡的訊息。
此次更新後,SNS 新增支援以 Kinesis Data Firehose 作為訂閱端,因此當有訊息推送到 Topic 之後,就可以傳入 Kinesis Data Firehose。接著,Kinesis Data Firehose 可以再串接 Amazon S3、Amazon Redshift、Amazon ES、Splunk、自定義 HTTP,或是第三方平台 HTTP 端點,將訊息儲存以利後續分析、審核。
以 AWS 官方例子來說,圖中表示了航空業的訂票系統,因合規的需求,航空公司須保存 5 年以內所有的交易紀錄,因此使用者可以制定以下架構圖:
為了因應合規需求,使用者以 Kinesis Data Firehose 作為 SNS 的訂閱者,不僅可以近乎即時的將訂單資訊傳送到後面的 S3 bucket 儲存,也可以事後利用 Athena query 在 S3 bucket 裡的資料,分析銷售狀況及審核訂單內容。
參考來源至:Amazon SNS adds support for message archiving and analytics via Kinesis Data Firehose subscriptions
圖片來源至:Introducing message archiving and analytics for Amazon SNS
Amazon Fraud Detector 新增中途取消模型訓練功能
Amazon Fraud Detector 是一項透過機器學習,以及 Amazon 超過 20 年的詐騙偵測專業知識,可幫助識別潛在詐騙活動的服務。通常 Fraud Detector 在訓練一個模型時,需要耗費幾個小時的時間,而且使用者在同一時間只能訓練一個模型。當訓練開始之後,如果使用者發現意外設錯模型的參數,或是後續得到更多有利於訓練的資料集,那麼也只能等待 Fraud Detector 訓練結束之後,再重新訓練更精準的模型,變相的浪費先前訓練的資源及成本。
此次更新後,Fraud Detector 支援在訓練的過程中斷模型訓練的功能,可幫助解決上述的情況,即使訓練開始了,也可以中途取消,重新訓練模型。
參考來源至:Amazon Fraud Detector launches ability to cancel in-progress model trainings
Amazon Cognito Identity Pools 支援使用 identity providers 的 user 屬性進行權限控管
此次更新後,可以根據 identity providers 的屬性進行權限控管,假設今天有一個串流音樂平台,要區分付費及免費用戶所聆聽的權限,則能透過 屬性標籤(ABAC) 的方式去設定 IAM Policy,決定能存取的 AWS 資源為何、哪些操作是允許及拒絕,將屬性放在 AWS IAM Policy 的條件語句中,就能輕鬆設定不同用戶所需要的權限,不需要一個一個去設定用戶所需要的權限。
ABAC 是一種透過 Attribute (屬性) 為依據的權限控管策略。
Amazon CloudWatch Application Insights 支援 Oracle 資料庫監控
CloudWatch Application Insights 可以幫助使用者監視 Amazon EC2 Instance 以及其他應用程式。此次更新後,Amazon CloudWatch Application Insights 也能監控 Oracle 資料庫,設置儀表板及警報,即可輕鬆實現透過 AWS 監控 Oracle 資料庫 的狀況。
參考來源至:Amazon CloudWatch Application Insights supports Oracle database monitoring