亚马逊AWS官方博客

根据 AWS Shield 威胁研究团队所做的研究，在进入典型 Web 应用程序的流量中，高达 51% 的流量来源于机器（也称为机器人程序）上运行的脚本。各种各样的机器人程序（有些是您想要的，而有些是您不需要的）正在冲击您的终端节点。 您想要的机器人程序正在锁定您的网站以进行索引，并使您的客户能够发现这些网站；而您不需要的机器人程序正在监控您网站的可用性或性能。然而，大部分的机器人程序流量是由您不需要的机器人程序生成的：脚本检测漏洞或者在未经您同意的情况下将您的内容复制到其他地方。除了安全风险外，为这些流量提供服务还会给您的基础设施带来不必要的压力和成本。 保护您的网站免受这些不必要流量的影响，既费时又容易出错。管理一组规则是非常复杂的，很有可能会拦截您需要的流量或者允许应该被拦截的流量入站。 介绍 AWS WAF Bot Control 今天，我们将给您介绍 AWS WAF Bot Control，它可以用来识别常见的机器人程序流量、提高对常见机器人流量的可见性并采取措施。AWS WAF Bot Control 已集成到 AWS Web Application Firewall 中，针对大型的企业用例，可以使用 AWS Firewall Manager 进行集中管理。 Bot Control 会分析请求元数据（例如，TLS 握手、HTTP 属性和 IP 地址），以识别机器人程序的来源和目的。它对机器人程序进行分类，如刮板、SEO、爬虫或网站监控器。 一旦 Bot Control 识别出机器人程序，您就可以拦截来自不需要的机器人程序的流量。您只需将默认操作作为您 WAF 配置的一部分以拦截不需要的机器人程序流量，或者您可以自定义配置。例如，您可以使用自定义响应功能，根据机器人程序标识来返回自定义响应，或者通过插入新的标题来标记请求。与 AWS WAF 集成后，您可以可视化进入您应用程序的机器人程序流量的范围，并通过 WAF 规则控制这些流量。 Bot Control 采用了我们如今添加到 AWS […]

DNS 查找通常是在网络中建立出站连接的起点。可以使用安全组、网络访问控制列表 (ACL) 或 AWS Network Firewall 等 AWS 服务阻止 Amazon Virtual Private Cloud (VPC) 资源与互联网服务之间不需要的直接通信。这些服务将过滤网络流量，但不会阻止发往 Amazon Route 53 Resolver 的出站 DNS 请求，该解析器会自动响应对公共 DNS 记录的 DNS 查询，也不会阻止发往 Amazon Virtual Private Cloud (VPC)（即特定 DNS 名称）和 Amazon Route 53 专用托管区域的出站 DNS 请求。 DNS 泄露可能会允许行为不轨者通过 DNS 查询将数据提取到他们控制的域中。例如，如果行为不轨者控制了域名“example.com”并且想要泄露“敏感数据”，则他们可以从 VPC 内已被攻破的实例发起对“sensitive-data.example.com”的 DNS 查找。过去，为了防止这种情况，客户需要承担自己运营 DNS 服务器的费用，以便过滤掉恶意活动中的 DNS 查找。 今天，我很高兴地宣布推出 Amazon Route […]

当我们在 2009 年推出 Amazon CloudWatch（用于 Amazon EC2 的新功能：Elastic Load Balancing、Auto Scaling 和 Amazon CloudWatch）之后，它跟踪了 EC2 实例的性能指标（CPU 负载、磁盘 I/O 和网络 I/O），并以一分钟为时间间隔将它们汇总，然后将它们存储两星期。当时，它用于监控实例运行状况以及驱动 Auto Scaling。如今，CloudWatch 已演变成一项全面和复杂得多的服务。最近新增的一些功能包括具有 1 分钟粒度并适用于所有 EBS 卷类型的指标、CloudWatch Lambda Insights 以及 Metrics Explorer。 AWS 合作伙伴利用 CloudWatch 指标创建了各种监控、警报和成本管理工具。为了访问这些指标，合作伙伴创建了轮询队列，这些队列为它们的每个客户调用了 ListMetrics 和 GetMetricData 函数。 必须根据每个合作伙伴客户创建的 AWS 资源数量以及为每个资源检索的 CloudWatch 指标数量，成比例扩展这些队列。此轮询是每个合作伙伴都必须完成的无差别繁重工作。它不会增加任何价值，而且需要投入原本可以通过其他方式善加利用的宝贵时间。 新的指标流 为使 AWS 合作伙伴和其他各方更快、更轻松地大规模访问 CloudWatch 指标，我们正在推出 CloudWatch 指标流。系统并不执行轮询（这可能导致 5 到 […]

解决生产问题是系统和网络管理员的主要职责之一。事实上，我一直发现这是基础设施工程中最有趣的内容之一。根据需要深入研究遇到的问题，您不仅能够（最终）圆满解决问题，而且在此过程中还可以学到许多正常情况下无法接触的东西。 操作系统当然也存在这样的机会。随着时间推移，操作系统会变得越来越复杂，管理员必须要掌握无数的配置文件和设置。尽管基础架构即代码和自动化大大改善了服务器的预置和管理，但错误和故障总是难免出现，导致系统无法正常启动。问题的种类数不胜数：缺少硬件驱动程序、文件系统配置错误、网络配置无效、权限不正确等等。而更糟糕的是，许多问题实际上会将管理员拒之门外，让他们无法登录、诊断问题以及执行适当的修复措施。唯一的选择是与服务器建立带外连接。此外，尽管客户可以查看 EC2 实例的控制台输出，但在此之前，他们无法与其进行交互。 今天，我非常高兴地宣布推出 EC2 串行控制台，它通过与您的 Amazon Elastic Compute Cloud (EC2) 实例建立串行连接，从而轻松、安全地排查启动和网络连接问题。 EC2 串行控制台简介 EC2 串行控制台适用于基于 AWS Nitro 系统的 EC2 实例。它支持所有主要的 Linux 发行版、FreeBSD、NetBSD、Microsoft Windows 和 VMWare。 无需任何能够正常运行的网络配置，即可在 AWS 管理控制台中使用基于浏览器的外壳程序或通过到托管的控制台服务器的 SSH 连接，从而连接到实例。无需在您的实例上运行 sshd 服务器：只需为 root 账户分配一个密码，因为您将需要使用此密码来登录。然后，您可以输入命令，如同使用直接连接到实例串行端口的键盘和显示器一样操作。 此外，您还可以触发操作系统特定的流程： 在 Linux 上，您可以触发 Magic SysRq 命令以生成崩溃转储、终止进程等。 在 Windows 上，您可以使用应急管理服务 (EMS) 和特殊管理控制台 (SAC) 中断启动进程，然后以安全模式启动。 获取对实例控制台的访问权限是一项特权操作，应受到严格控制，因此默认情况下不允许在账户级别访问 EC2 串行控制台。在您的账户中允许此访问权限后，它将适用于此账户中的所有实例。借助服务控制策略和 AWS Identity […]

光顾 AWS 之时，我们的客户都怀揣诸多不同的经验和技能，我们一直在考虑如何让他们在 AWS 有宾至如归的感觉。本着这种精神，我们自豪地宣布推出 Red Hat OpenShift Service on AWS (ROSA)，这让那些熟练掌握 Red Hat OpenShift 工具和 API 的客户能够轻松地从数据中心扩展到 AWS。 ROSA 由 AWS 和 Red Hat 提供联合支持，可提供完全托管的 OpenShift 服务。它集创建集群的 AWS 集成经验、基于使用量的计费模式以及用于 AWS 部署的单一发票于一身。 我们与 Red Hat 共同合作开发了这项服务，可确保您快速直接地将部分或全部现有部署迁移到 AWS，并且，无论遇到任何问题，您都可以向 Red Hat 和 AWS 寻求支持。 如果您已经非常了解 Red Hat OpenShift，则可以利用标准 API 和适用于 AWS 部署的现有 Red Hat OpenShift 工具来加快应用程序开发流程。您还可以利用各种 AWS […]

对于数据仓库、大数据、数据湖等技术源流的回顾与思考，厘清技术发展的脉络

在亚马逊云科技 re:Invent大会上，我们已经公布了Amazon Web Services PrivateLink for Amazon S3即将上线的消息。如今，激动人心的时刻已经到来——这项全新功能正式迎来通用版本。Amazon Web Services PrivateLink使用您的虚拟网络中的私有IP在Amazon Simple Storage Service (S3)与本地资源之间提供私有连接

Amazon WorkSpaces是一个托管的虚拟桌面即服务（DaaS）解决方案。用户可以使用Amazon WorkSpaces来配置Windows或Linux虚拟桌面。 Multi Factor Authentication通过要求用户输入由您的虚拟或硬件MFA解决方案提供的验证码（第二个因素），为用户名和密码（第一个“因素”）增加了一层额外的保护。除非用户提供有效的MFA代码，否则这些因素将通过阻止对AWS服务的访问来提供额外的安全性。

在本博文中，我们将重点关注如何通过标记进行成本分配。为了更好地了解用量来源并确定可实现成本节约的空间，大家需要创建并实施自己的标记策略。

在本博客中，我将引导您设置Active Directory Federation Service（ADFS）和ADFS Web应用程序代理（WAP）。我们将使用在内部Active Directory域中运行的ADFS进一步为AWS AppStream 2.0服务配置单点登录（SSO）。这将使我们的AD用户能够使用其域凭证无缝登录到AWS AppStream 2.0控制台。