我正在寻找一种方法来限制可见性ec2实例到某些IAM帐户。 我真的很喜欢一个特定的帐户的方式,只能看到它已经创build的实例,即当它做一个describeInstances只有它创build的存在。 我一直在考虑使用基于资源标签的自定义IAM策略来做到这一点,虽然pipe理看起来没问题,但每个帐户仍然可以看到其他用户使用describeInstances创build的实例。 真的,我正在寻找一种方法来隐藏由不同的IAM帐户创build的资源。 目前这是可能的吗?
我正在尝试连接两个AWS区域。 AWS的文档build议启动一个双方的实例来运行软件IPSec(OpenSWAN或StrongSWAN),为这两个实例提供一个弹性IP并将其用作隧道。 这一切都很好,但现在我们双方都有一个单一的失败点。 AWS在七月份发布了VPC连接指南 ,详细介绍了将两个VPC连接在一起的可能选项。 我已经将该PDF深入链接到了第15页,其中解释了选项。 它列出的每个选项都有明显的缺点,因为在大多数情况下,所有的stream量都是通过一个单独的(可被破坏的)实例。 到目前为止,似乎最好的select是在一侧使用软件隧道,而在另一侧使用虚拟专用网关。 他们说,至less你会在一方面得到冗余。 这似乎还不是最理想的。 有没有办法将两个虚拟专用网关连接在一起,这样我就可以两全其美了 – 亚马逊pipe理的冗余以及在VPCconfiguration中保留所有这一切的简单性? 还是VGW本质上是客户端?
我已经inheritance了Amazon AWS环境,其中Root帐户密钥已广泛分发用于备份到S3存储桶。 我需要跟踪密钥的使用位置,以便我可以用有限权限的密钥replace密钥。 我已经在桶上设置事件通知来发送消息给SQS Q来告诉我什么时候创build对象。 这些消息包含发起对象请求的服务器的IP地址,但不包含正在使用的IAM密钥(仅限使用的Amazon帐户的ID)。 Cloudtrail在这里也没有用,因为S3请求没有写入Cloudtrail。 有什么其他的方式可以告诉我哪个密钥在进行S3请求时被使用? 请注意,这不是一个build议的解决scheme,很好地更新我做了什么。 使用以上build议的方法。 我应该已经更新了这个问题。 # 感谢EEAA 我考虑过这个,但是有数百个水桶正在使用,所以这不是很实际。 我希望在IAM的某个地方能够跟踪关键的使用情况。 鉴于我已经设置了事件和SQS,最终我最终做的是在可能的桶上设置事件,并将S3事件时间戳与IAM的密钥最后使用时间戳提供的时间戳匹配。 这给了我正在使用Root密钥的同时向S3发送请求的服务器的IP地址,从中我可以在几台服务器上find根密钥。 希望在接下来几天检查根密钥时,我将不再看到它被使用。 如果没有的话,我可能不得不根据你的build议设置单个桶的日志logging。
我制作了一个创buildEC2卷快照的脚本。 该脚本查看哪些实例正在运行,哪些卷连接到这些实例,然后为这些卷创build快照,而忽略剩余的卷。 使用describe-instances ,我得到预留ID,而不是实例ID。 这是令人困惑的,但它是如此。 当一个实例启动时,为该实例创build一个保留。 我仍然对预订概念感到困惑。 附注:我知道什么是保留实例,这与我在这里描述的不同。 “保留实例”意味着您租用一年或两三年的实例,并为此降价。 所以你预留了一年的t2.medium,如果你不使用它,你仍然付钱,但如果你使用它,它比正常便宜。 现在回到“预订ID”。 AWS FAQ说: EC2启动的每个实例都有一个预留ID。 预留ID与实例启动请求具有一对一的关系,但如果使用相同的启动请求启动多个实例,则可以与多个实例关联。 那么这个SE问题: 亚马逊EC2中“预订”的目的是什么? 目前尚不清楚预订ID究竟代表什么 如果一次启动一个实例,则每个实例都有自己唯一的预留ID。 何时或如何将单个预留ID链接到多个实例? 它可以链接到几个不相关的实例吗? 说我有一个networking服务器和一个数据库服务器。 我可以在一个预订ID下启动它们吗? 或者,可以将保留ID仅链接到多次启动的一个实例,如用于负载平衡目的。 在我们的情况下,所有实例都有一个唯一的预留ID,但是我想知道在哪些情况下,这可以改变,我正在使用describe-instances运行的脚本。
我工作的公司目前正在经历一次AWS迁移,对于99%的服务,他们的商品硬件都能很好地完成这项工作。 除了生产数据库之外,我们目前只有6万IOPS,以跟上需求,今年看到更多的行动。 我们已经考虑过在EC2上使用企业SSD,但IOPS的硬限制是20,000,这非常糟糕,考虑到我可以获得240GB的SSD,以80,000 IOPS的价格购买大约200欧元。 http://www.techradar.com/reviews/pc-mac/pc-components/storage/disk-drives-hdd-ssd/intel-ssd-520-series-240gb-1060850/review 任何想法,我怎么能超过这个限制? ebs卷的集群/ RAID可能吗? 谢谢,本
仅使用AWS快照作为备份解决scheme是可行的。 我有几个ELB,EC2,S3存储桶和RDS数据库。 他们都在一个AZ,所以我没有多AZ排除故障。 什么是最好的解决scheme? 我已经习惯了传统的备份解决scheme文件系统快照,并每周,每月,每年备份到磁带,然后旋转它们,但是什么是最好的云解决scheme。 刚开始一个新的工作,这都是基于云。
在Debian上获取命令行Amazon EC2工具的build议方式是什么? 所以, 这个问题基本一样,但是对于EC2而不是S3。 Ubuntu有ec2-ami-tools和ec2-api-tools ,但是我找不到与Debian相同的软件包。 一篇名为“ 在Debian中安装EC2 AMI和API工具 ”的博客文章讨论了如何在软件包pipe理之外安装Amazon的软件包,但似乎有些笨拙。
我正在为某些专业人士开发自由职业平台。 我正在考虑使用AWS DynamoDB来logging用户活动(如发布作业,编辑作业等)。 领域将是 user_id | ip_address | timestamp | data 我将查询DynamoDB的以下信息: 某些用户活动的日志。 在某一天执行的所有用户活动的日志。 这些信息将不得不被保存和访问很长一段时间(永远?)。 DynamoDB对于这种用例有多好?
日本,新加坡等地区似乎在全球各地旅行,从美国走向欧盟,然后到达中东的目的地。 什么是最好的地区? 你有第一手经验或统计数据吗?
我们在AWS上有许多服务器组,可以使用三台服务器来提供站点。 每个服务器或一组服务器位于不同的可用区域内,其中一个是redirect服务器,另外两个是在弹性负载均衡器后面访问的主服务器。 我们终于有一个客户使用Route53,并在弹性负载平衡中查找指向区顶点域的一些细节。 支持这个的大多数DNS提供者似乎把这个称为Alogging的DNS别名。 但是有些网站似乎指的是一个名为ANAMElogging的类似logging。 这不是典型的CNAME,也不是非典型的DNAMElogging。 大多数这些网站还引用了DNSMadeEasy 简单DNS使用它。 那么Route53(或其他地方)的loggingALIASes和ANAMElogging有什么区别? 有一个吗? 它们中的任何一个是否已经包含在IEFT RFC实现文档中,或者是否都是在它们使用的提供程序中实现的别名logging? [edit]:为ANAME使用情况列出的不正确的DNS提供商