前言

AWS 上周所推出的重要服務與更新涵蓋了以下幾個類別：無伺服器、機器學習以及容器服務。在無伺服器領域，AWS 正式推出 AWS Lambda Extensions，幫助使用者更容易排除問題，打造更安全的服務。機器學習方面則是 Amazon Lex 新增了些支援，包含在 bot 及 alias 層級的 resource-based policies。在容器服務方面，Amazon CloudWatch Application Insights 現在支援 container monitoring 了！

上述服務外，本篇文章也會提及 Amazon Aurora MySQL、AWS Transfer Family 以及 AWS IoT Device Management 等服務的新功能與支援。

焦點新聞

正式推出 AWS Lambda Extensions

使用 Lambda 這類 Serverless 服務時，使用者不需要擔心管理 Server，只要負責編寫需要執行的程式碼，AWS 會提供用於運行這些程式碼的伺服器，並在必要時對伺服器進行擴展或縮放，執行完畢後，使用者僅需要為運行程式碼過程中所消耗的資源付費，是近年來的趨勢。

但是使用者在操作 Lambda 時，會遇到一個痛點，就是它沒有辦法像 EC2 一樣，在裡面安裝監控或代理程式，當發生問題時，僅能透過 CloudWatch Logs 查看發生什麼錯誤去做修正。

AWS 宣佈推出 AWS Lambda Extensions，即可解決這個痛點，它其實就是一個腳本，跟 Lambda Function 一起執行，但是 Lambda Extensions 並不會增加 Lambda Function 的執行時間，幫助使用者更容易排除問題，以利於打造更安全、強壯的服務。

使用者可以從 Lambda 操作頁面下的 Configuration，選擇 Monitoring and Operations tools，即可看到 Extension 的功能。

在 Extension 頁面上，可以找到 AWS Lambda 合作夥伴 提供的 Extension。

現在開始，即可適用在你的產品上！

參考來源至：AWS Lambda Extensions are now Generally Available

參考來源至：AWS Lambda Extensions Are Now Generally Available – Get Started with Your Favorite Operations Tools Today

Amazon Lex 支援在 bot 及 alias 層級的 resource-based policies

在 AWS 環境裡，共可分為五種不同的 Policy（Organizations SCPs、Resource-based policies、IAM permissions boundaries、Session policies、Identity-based policies），分別都可用於制定權限。而整體在判斷特定 User 是否具有權限時，也會依照下圖的流程，一層層往下判斷：

如圖所示，一開始會先統整所有 Policy 來看，有沒有任何一個 Policy 明確定義了 Deny 的權限；如果有的話，那就會拒絕 User 存取；但如果沒有的話，就會一個個 Policy 來看是否有 Allow 的權限。

圖片來源：Policy evaluation logic

而 resource-based policies 是在五種 Policy 中的第二個層級，並且一旦在 resource-based policies 給予了 Allow 權限，那最終結果就會是 Allow。也因為 resource-based policies 相對來說，算是較高的層級，因此會建議使用者多多使用 resource-based policies 來限定權限，會比在 IAM User 本身限定權限來的更加完善、安全。

此次更新後，Amazon Lex 支援在 bot 及 alias 層級的 resource-based policies，使用者可以直接針對 bot 及 alias 上指定權限範圍，限定特定的人／服務才可以存取。

參考來源至：Amazon Lex now supports resource-based policies for bots and aliases

Amazon CloudWatch Application Insights 支援 container monitoring

有越來越多的企業將工作負載轉移到 Container 上，會使用 ECS 或是 EKS 來部署 Container，再透過 Container Insights 去收集 Log 及是監控 Cluster 的指標，但是要去監控在 Container 上面的應用程序，就必須要手動設定，將資料推出來。

此次更新後，可以透過 CloudWatch Application Insights 監控應用程序，不僅是 CPU、Memory、Container 的狀態，還有 Node 及 Pod 也能監控喔！不僅如此，CloudWatch Application Insights 對應用程序遇到的問題提供分析，幫助開發者可以更容易排除問題。

參考來源至：Amazon CloudWatch Application Insights now supports container monitoring

其他服務更新

• Amazon Aurora MySQL 提高了唯讀副本的可用性：在過去，當 Aurora MuSQL Cluster 裡的 writer node 重啟時，所有在 Cluster 裡的 node 都會跟著重啟，導致暫時無法回覆任何請求。現在，當 writer node 處於重新啟動狀態時，read node 會持續回覆讀取的請求，藉此提高可用性。

• AWS Transfer Family 支援 Microsoft Active Directory：使用者可以設定哪一個 AD groups 可以存取哪一個 S3 buckets 或是 EFS 檔案系統。設定完成之後，該 AD group 裡的 User 就可以使用自己的 AD credentials 作為驗證機制，並安全地傳輸資料。

• AWS IoT Device Management 新增 Job Templates（Preview）：可以預先定義要在 IoT 設備上執行的操作，並設定部署參數，例如推出率，中止閾值和超時條件。透過這些預定義的 Job Templates 將遠端操作安全地部署設備上。