【每周快報】0110-0121 AWS 服務更新
一、服務的新功能
Region Osaka 預計在 2021 年初成為亞太區第九個區域
由於客戶對大阪區域的需求很高,因此官方宣佈將於大阪開設完整的區域,會以現有的 local-region Osaka 為基礎,再額外擴增可用區域 (AZ) 與支援的服務來組合成新的大阪區域。
參考來源至:AWS to Launch Standard AWS Region in Osaka in Early 2021
Amazon Elastic File System 簡化管理存取權限的方式:IAM Authorization 及 Access Points
-
IAM Authorization:使用者可利用 IAM roles 來辨識不同 NFS 用戶,並搭配 IAM policies 管理特定用戶的特殊權限。此功能大幅簡化整體環境裡多數請求的管理方式,而檢查紀錄可以在 CloudTrail 中看到,以審核客戶端對文件的訪問。
- 可從 GitHub 下載掛載 EFS 精靈,並在掛載時,加上
-o iam
參數。 -
Use case:指定權限給 IAM Role,並指定給 EC2,同時利用
-o iam
參數改變 EFS 的 policy,使 EC2 具有對 EFS 指定特定動作的權限- Policy:此 EC2 可以訪問根目錄、掛載 EFS、read / write 權限
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:123412341234:file-system/fs-d1188b58" } ] }
- 執行以下指令:完成權限設定
$ sudo mkdir /mnt/shared $ sudo mount -t efs -o iam,tls fs-d1188b58 /mnt/shared
- 執行以下指令:測試訪問根目錄,並在根目錄創建新資料夾
$ sudo touch /mnt/shared/newfile $ ls -la /mnt/shared/newfile -rw-r--r-- 1 root root 0 Jan 8 09:52 /mnt/shared/newfile
-
此外,可在 CloudTrail 看到 IAM permission checks
- 可從 GitHub 下載掛載 EFS 精靈,並在掛載時,加上
-
EFS access points:提供 EFS 目錄一個進入點,強制執行
參考來源至:Amazon Elastic File System introduces EFS Access Points
參考來源至:New for Amazon EFS – IAM Authorization and Access Points
AWS Backup 支援 Cross-Region 備份
使用者現在可以將跨服務的應用程式,備份到多個 Region,以利使用者可以從其他區域恢復架構,並提供更好的災難復原能力,且符合規範。
AWS Client VPN 支援 Port Configuration
使用者現在可以在 Client VPN Configuration 使用 443 或 1194 port,在 default 狀況下,新的與現有的 port 會使用 443 port,假設出於安全原因不能使用 443 port,現在可以將這些 port 更改為 1194 port。
AWS Health 可以集中偵測 AWS Organizations 之間所運行的狀況
使用者現在可以從 AWS Organizations 裡集中所有帳戶到 AWS Health Event, AWS Health Organizational View 可以看到各個 account 的 AWS Health Event,可以透過 AWS Health API 去觀察運行的狀況,安排維護以及 account 通知,進而提高故障排除的能力。
參考來源至:AWS Health enables aggregation of health events across AWS Organizations
AWS Elemental MediaConvert 開放 MP3 Audio Output
使用者現在可以針對設備及服務使用 MP3 格式,從影片檔案中提取出來,也可以從影片 transcoding 中提取,輸出成 MP3 檔案。
參考來源至:MP3 Audio Output Now Available with AWS Elemental MediaConvert
二、功能的增強或改動
Amazon EFS 新增支援 Amazon ECS
以往要在 ECS 上掛 EFS 的話需要透過許多複雜的手段來實現,現在新增的這項預覽功能能直接在 Task Definition 中決定要與哪個 EFS 連接。
參考來源至:Amazon ECS Preview Support for EFS file systems Now Available
AWS Transfer for SFTP 新增支援 VPC Security Groups 及 Elastic IP addresses
現在使用者可以在自己的 VPC 裡,啟用 SFTP server,同時也可以綁定 Elastic IP addresses,且此 IP 也包含使用者自己的 IP。此外,使用者可以利用 VPC Security Groups 來製作「白名單」,規範請求的來源者須存在於白名單內,以管理進入 server 的流量,提供另一層資安的管控。
參考來源至:AWS Transfer for SFTP supports VPC Security Groups and Elastic IP addresses
Amazon Cognito 新增支援 CloudWatch Usage Metrics
使用者現在可以透過 CloudWatch Usage Metrics 來監控、回報即時資訊,且立即採取已設定好的自動化處理程序。例如:監控 Cognito 登入、註冊的請求,並設置 CloudWatch alarms 來通知管理者,觀看特定 Metrics 的報告內容。
Amazon EC2 Spot instances 可以像 On-Demand instances 一樣,隨時停止和啟動。
原本的 Spot instances 只能直接終止結束,現在可以像 On-Demand instances 一樣,將狀態設置為停止,儲存在 EBS 設備裡的資料不會消失,且可以隨時再啟動它,為使用者帶來操作上更大的彈性。
參考來源至:Amazon EC2 Spot instances can now be stopped and started similar to On-Demand instances
Tag:Access Points, Amazon Cognito, Amazon EC2 Spot instances, Amazon ECS, Amazon EFS, Amazon Elastic File System, AWS Backup, AWS Client VPN, AWS Elemental MediaConvert, AWS Health, AWS Organizations, AWS Transfer for SFTP, AZ, CloudWatch Usage Metrics, Elastic IP addresses, IAM Authorization, Region Osaka, VPC Security Groups