亚马逊AWS官方博客

新增 – Amazon WorkSpaces 托管设备身份验证

Amazon Workspaces 允许您通过 Web 和各种桌面和移动设备访问云中的虚拟桌面。WorkSpaces 的这种灵活性使它非常适用于用户能够使用现有设备 (即 BYOD,也称为自带设备) 的环境。在这些环境中,组织有时需要对访问 WorkSpaces 的设备进行管理。例如,他们可能需要根据客户端设备的操作系统、版本或补丁级别控制这些设备的访问,从而满足合规性或安全性策略要求。 托管设备身份验证 今天我们发布了 WorkSpaces 的设备身份验证。现在,您可以使用数字证书管理 Apple OSX 和 Microsoft Windows 客户端访问。您还可以选择允许或阻止 iOS、Android、Chrome OS、Web 和零客户端设备的访问。您可以实施策略,控制您希望允许和阻止的设备类型,这种控制可以一直细化到补丁一级。访问策略是针对每个 WorkSpaces 目录设置的。设置策略后,会评估客户端设备连接 WorkSpaces 的请求,并进行阻止或允许。要利用此功能,您需要使用 Microsoft System Center Configuration Manager 或移动设备管理 (MDM) 工具将证书分发到您的客户端设备。 以下是通过 WorkSpaces 控制台设置访问控制选项的方式: 以下是客户端未授权连接的情况: 现已推出 此功能现已在支持 WorkSpaces 的所有区域推出。 -Jeff

Read More

Amazon Lightsail 更新 – 另外 9 个区域和全球控制台

借助 Amazon Lightsail,您只需单击几次即可在 AWS 上启动虚拟私有服务器。[ls_i] 的价格为每月 5 美元起,它可处理繁重工作并使您能够轻松构建和托管应用程序。正如我的 re:Invent 博客文章 (Amazon Lightsail – 兼具 AWS 的强大功能与 VPS 的简易性) 中所述,您可以从菜单中选择配置,并启动预先配置了基于 SSD 的存储、DNS 管理功能和静态 IP 地址的虚拟机。 自我们在 11 月推出 Lightsail 以来,许多客户都使用它来启动虚拟私有服务器。举例来说,莫纳什大学借助 Amazon Lightsail 以简单且经济高效的方式快速为大量 CMS 服务重新建立一个平台。他们已迁移 50 种工作负载,并且目前正在考虑创建基于 Lightsail 的内部 CMS 服务,以允许全体教职员工和学生通过自助方式创建自己的 CMS 实例。如今,我们正在将 Lightsail 扩展到另外 9 个 AWS 区域,并推出了新的全球控制台。 新区域 在 re:Invent 大会上,我们宣布在 美国东部(弗吉尼亚北部)区域提供 Lightsail。在5月早些时候,我们增加了对美国和欧洲的其他几个区域的支持。现在,我们在亚太地区中的 4 […]

Read More

AWS Lambda 对 AWS X-Ray 的支持

今天,我们宣布全面推出 AWS Lambda 对 AWS X-Ray 的支持。您可能已经从 Jeff 的 GA 文章中了解到,X-Ray 是 AWS 推出的一项服务,用于分析分布式应用程序的执行和性能行为。传统调试方法对于基于微服务的应用程序效果不佳,在这些应用程序中,有多个独立的组件在不同的服务上运行。利用 X-Ray,您可以通过对应用程序中的延迟进行细分,来快速诊断错误、速度下降和超时问题。稍后我将详细介绍如何构建和分析一个基于 Lambda 的简单应用程序,以演示您如何能够在自己的应用程序中使用 X-Ray。如果您想立即开始使用,可以通过导航到现有 Lambda 函数的配置页面并启用跟踪,来轻松地为函数启用 X-Ray: 或者在 AWS 命令行界面 (CLI) 中更新函数的 tracing-config (请务必同时传入 –function-name ): $ aws lambda update-function-configuration –tracing-config ‘{“Mode”: “Active”}’ 如果激活跟踪模式,Lambda 将尝试跟踪您的函数 (除非上游服务明确说明不跟踪)。如果不激活跟踪模式,仅当上游服务明确说明需要跟踪时,才跟踪您的函数。一旦启用跟踪,您将开始生成跟踪,并将获得应用程序中资源的可视化表示形式以及它们之间的联系 (边缘)。需要注意的一点是,X-Ray 守护进程会占用 Lambda 函数的一些资源。如果您已接近内存限制,Lambda 将尝试终止 X-Ray 守护程序,以免引发内存不足错误。 下面让我们通过快速构建一个使用几种不同服务的应用程序来测试这种新的集成。 作为一个二十多岁且拥有智能手机的年轻人,我有大量 图片 自拍照 (一万多张!),我想如果能够分析所有这些照片,那就太棒了。我们将使用 Java 8 运行时编写一个简单的 […]

Read More

来自柏林 AWS 技术峰会的消息 – 法兰克福的第三个可用区和 Lightsail 以及另一种 Polly 语音

2014 年秋季,我们在法兰克福启动了 AWS 区域,并于第二年开放了针对该区域的 AWS Marketplace。我们在德国的客户类型和规模各不相同,有初创公司、中端市场企业、大型企业和公共部门。这些客户很好地利用了这一新区域,来构建和运行在德国、欧洲等地提供服务的应用程序和业务。他们依赖于 AWS 提供的广泛的安全功能、认证和保障,以便根据内部和法律要求及法规帮助保护客户数据。我们在德国的客户还利用位于柏林、德累斯顿和慕尼黑的销售、支持和架构资源及专业技能。柏林的 AWS 技术峰会于今天召开,我们借此机会宣布了一些重大消息。总结如下: 在法兰克福推出第三个可用区 在法兰克福推出 Amazon Lightsail 为 Amazon Polly 添加一种新语音 在法兰克福推出第三个可用区 我们将于 2017 年年中在 [fra] 区域另外设立一个可用区 (AZ),以应对 AWS 使用量的持续增长。这将使我们在全球 16 个地理区域内的可用区数量达到 43 个。我们还计划今年晚些时候在法国和中国的新 AWS 区域设立五个可用区 (有关更多信息,请参阅 AWS 全球基础设施地图)。 德国的 AWS 客户已经在计划利用新的可用区。例如: 西门子希望通过在所有可用区镜像他们的服务,来获得更大的灵活性。这还将允许他们将所有数据存储在德国。 Zalando 将会做同样的事情,在所有可用区镜像他们的服务,并计划将更多应用程序迁移到云中。 在法兰克福推出 Amazon Lightsail Amazon Lightsail 允许您在几分钟内启动预先配置了 SSD 存储、DNS 管理功能和静态 IP 地址的虚拟机 (请阅读 Amazon […]

Read More

AWS WAF – Web 应用程序防火墙初体验

1. 背景介绍 AWS WAF ,全称是Web Application Firewall ,即Web 应用程序防火墙,可以帮助用户保护Web 应用程序免受常见的Web漏洞攻击。通常这些攻击会损害Web应用的安全性,影响可用性,消耗过多的资源,增加成本,还降低响应速度和用户体验。 WAF可以让用户创建定制规则进行流量筛选,阻隔恶意访问,保障正常请求。比如,可以根据 IP 地址、HTTP 标头、HTTP 正文或 URI 字符串来筛选 Web 请求,这样便能阻止诸如 SQL 注入或跨站点脚本等常见攻击模式。 和其它诸多 AWS 服务一样,WAF 的所有功能也可以通过AWS管理控制台或API进行配置。这便利了用户团队的不同角色,不论是开发人员、DevOps工程师还是安全审查专家都可以方便使用,从开发到部署的全过程系统地管理Web应用的安全。 WAF 和AWS的Web相关服务紧密结合,目前支持CloudFront和Application Load Balancer。AWS WAF 让您能够创建集中化的规则集合,而后部署到多个网站上。用户通常有多个网站和 Web 应用程序,使用WAF可以只定义一组规则并复用于多个应用程序上。WAF也是AWS全托管的服务,用户无需担心其扩展和可用性。只需在正确的资源上启用WAF,无需部署任何额外软件即可完成部署。并且只需要部署一次,即可以全球的边缘节点全部生效。 作为防火墙,WAF当然也少不了监控和报警。WAF 可以让用户设置条件来监视哪些请求。提供准实时地 Web 流量监测报告,并以此信息来创建新的规则或使用 Amazon CloudWatch 的进行报警。 今天,我们以WAF实现防盗图这个常见应用场景,帮助大家快速上手,体验其强大和便捷。 2. 部署与配置WAF 现在主流的Web应用都使用了无cookie域名来加速静态内容,我们这里也进行类似的部署,如网站域名是 example.com,图片服务使用另一个域名 example_img.com。禁止盗图的效果可以从下表来概述。 调用图片的域名 响应效果 *.example.com 200 OK 其它非法域名 403 Forbidden WAF目前支持CloudFront和Application […]

Read More

云迁移的21个最佳实践

作者:Sadegh Nadimi                翻译:郝森 在过去的几年里,AWS专业服务团队已经指导和帮助企业完成数百个迁移项目。今年,我们建立了一个专门的专家团队,称作专业服务大规模迁移团队,专注于协助客户开始大规模迁移(数百个应用)。 客户经常困惑有哪些最佳实践,使应用快速稳健的迁移到AWS. 虽然每个企业的组织架构和业务目标不同,但是大规模迁移团队已经掌握一些模式和实践,帮助每种类型的企业。以下是一个不完全的清单: 迁移前阶段 1. 为未来IT和业务交集的部分,制定一个清晰的愿景。想象这个愿景将怎样影响组织的战略;更广泛的宣传,使大家明确的知道战略对组织非常重要。 2. 规划并分享一个云治理模型。识别更广泛的团队的角色和职责,满足企业信息安全的最小访问特权和职责分立等原则,保障企业目标的达成将有很长的一段路要走。它同样使增强安全管控纳入到更好的控制。在使内部用户进入使用云服务的洪流之前,需要回答很多问题。我应该有多少AWS帐户?谁可以使用什么?你怎么样授予权限?在云治理来临时,AWS可以告诉你每种方法的最佳实践、优势、限制。 3. 在此过程中,尽早的培训员工。团队掌握AWS的相关知识越多,迁移就越顺畅;内部的云布道师越多,就更容易的消除障碍。在组织做一个决定,即决定在AWS之上的最终IT全景视图,这些工作应该尽早展开。 4. 花时间和精力规划AWS之上的运维管理。研究需要调整的流程,有帮助的云运维工具,以及增强团队力量的各级别运维管理培训。思考那些使你关注更宏观图景的运维管理,确保你的环境与业务战略更好的协同。 5.了解当前拥有的IT资产,以及每批迁移中都包含哪些资产。这使你完全量化和衡量你的成功入云过程。花时间找到正确的资产发现工具,更新你的应用清单。这些使迁移规划较为顺畅,使迁移过程中忽略关联关系的风险最小化。 6. 为迁移之旅选择合适的合作伙伴。应该寻找那些既有技术技能和实施经验,又有灵活方法和项目管理框架的合作伙伴。你可能已经有一个具备云能力的合作伙伴,在选择之前,留出时间对合作伙伴进行审查,要求提供参考案例。思考你计划采用的云运维模型,合作伙伴是否可以帮助协同这个模型(建设持续交付持续集成管道,管理服务)。 迁移阶段 7. 从较小的和简单的开始。换句话说,选择一些速赢的方案。你的员工对使用AWS服务越舒服,那么干系人就会越快看到收益,那么在内部推动上就越容易。你需要做到持续和透明,我们已经看到很多组织通过一系列速赢方案而实现成功。 8. 自动化。云灵活性的实现有赖于自动化。花时间重新审视那些流程,并建立一些新的在迁移过程中有用的流程。如果不是所有的方面都能自动化,仔细决定哪些可以,让团队完成。 9. 把云当作转型。通过调整内部流程,使其拥抱技术变化。运用天然的转型优势,与干系人就新的工作模式达成协同。质疑那些总是说“我们一直这样做”的人。 10. 在可能的情况下,更多的运用全托管服务。比如包括Amazon RDS, AWS Directory Service, 和Amazon DynamoDB。由AWS处理日常的维护活动,使你的团队专注于你的客户事务。 迁移后阶段 11. 全面监控。当你的应用实现健壮的架构,综合监控战略将确保你得到所有的细节。考虑到效率和成本的相互制约,你的环境运行状况如何,数据驱动的洞察力将使你做出更聪明的业务决策。 12. 使用云原生的监控工具。在AWS上,有很多工具都可以提供应用级别的洞察和监控能力。运用最适合业务的工具,从长期看,运维人员将会感谢你,业务负责人也会拥有更清晰的数据为决策提供支持。 13. 采用AWS企业支持服务。AWS技术客户经理和帐单管家,是企业支持服务包的一部分,是非常有价值的资源。他们可以是你虚拟云团队的一部分,提供一个AWS中心接触点,和事件升级路径,同时也是技术信息和指导的宝贵资源。 大规模迁移(一次性迁移数百个应用) 14. 建立一个以迁移活动为中心,由团队、工具和流程组成的健壮的迁移工厂。在第一批迁移工作之前,记录并向组织分享相关细节。采用一个灵活的模式,加速应用迁移到AWS的过程;采用一个合适的保障措施,保障关键迁移里程碑的执行,防范相关风险,例如员工休假,或为特殊负载设计的工具发生故障。 15. 提供领导力以及设定迁移工厂的相关标准。考虑建立项目管理团队,总体管理迁移活动,保障合适的交流和沟通,以及变更过程。建立一个云卓越中心,作为撬动整个迁移工程的支点组织。卓越中心提供技术指导,或者更清晰的规定,它的成员自身也要参加迁移工程。总之,伴随迁移工厂,必须设立项目管理团队和卓越中心,确保迁移项目成功。 16. 在整体项目开始后,制定一个新团队成员加入流程。这其实是另外一种形式的培训。需要建立一个专门团队,评估和批准迁移工厂所用的工具。为了优化迁移结果,考虑任命一个更小的团队,在卓越中心之上,寻找对于自我环境中独特的工作效能和模式。鉴于敏捷批次的范围和节奏的不同,迁移可能是数月,甚至是数年才能完成。应该把迁移工厂看作持续发展和进步的一个有机体。 17. 明智的将有天赋的专家分布于敏捷批次团队。对于AWS服务和数据中心应用,确保有足够宽度上和广度上的能力,处理敏捷批次中遇到的小问题。如果在一个敏捷批次中没有合适的资源,可能导致不统一的决策,进而在后续敏捷迁移批次中产生混乱。 18. 当为一个特殊应用决定迁移策略时,考虑不同的标准。如考虑业务目标、路线图、风险情况、成本等。在高阶层次上,你可以决定保持现状平移应用入云,或者在模式上做一些调整。无论是哪种选择,尽可能采纳弹性和节约成本的最佳实践,并对支撑基础架构进行抽象。有一些共同选择是自动扩展、负载均衡、多可用区场景和准确容量估算的EC2实例。如果有意义,随时让你的团队采用AWS最佳实践,并尽快开始优化。 19. 找到模式并设计蓝图。在团队进行规划活动时,基于选定的战略,迁移模式将是确定的。针对这些模式,设计可重用的蓝图,将加快工作负载迁移的速度。不要忘记与迁移团队分享这些蓝图。这可以帮助进行迁移活动的同事,使他们专注于速度和效率,而不用为决定如何迁移有相似特征的应用而担心。 20. 应用测试。迁移工厂的一个关键活动是整合和验证部署到云端的工作负载。每一个应用组件将通过一系列预定义的和文档记录的测试。如果要求应用负责人在项目的早期就提供测试计划,将会比较顺利的得到业务负责人的签字通过。理想情况下,应该有一个模板,以供所有应用负责人提出特定的测试需求。这将帮助验证活动顺利执行,使业务负责人放心,他们的应用在AWS上运行与在数据中心中运行是类似的,甚至是更好的。 […]

Read More

AWS Greengrass – 在互连设备上运行 AWS Lambda 函数

在 re:Invent 大会期间发布的文章 (AWS Greengrass – 无处不在的现实世界计算) 中,我首次介绍了 AWS Greengrass。当时我们推出了 AWS Greengrass 的有限预览版,并邀请您注册。 正如我当时指出的那样,许多 AWS 客户希望在现场收集和处理数据,而现场的网络连接通常很慢,有时还时断时续,并不可靠。利用 Greengrass,他们可以在基于现场的小型简单设备上应用 AWS 编程模型。它建立在 AWS IoT 和 AWS Lambda 的基础上,支持访问 AWS Cloud 中不断增加的各种服务。 利用 Greengrass,您可以访问在现场运行的计算、消息收发、数据缓存和同步服务,这些服务并不依赖与 AWS 区域的稳定高带宽连接。您可以在 Python 2.7 中编写 Lambda 函数,并将其从云部署到 Greengrass 设备,同时使用 Device Shadows 来维护状态。您的设备和外设可以使用本地消息收发互相通信,后者并不通过云进行传递。 现已公开发布 今天我们将在US East (Northern Virginia) 和 US West (Oregon) 区域公开发布 Greengrass。在预览版本中,AWS 客户已成功获得 Greengrass […]

Read More

通过AWS Config 管理AWS服务配置

在之前的一篇安全相关的文章《从永恒之蓝开始,安全防范没有结束》中,提到通过AWS Config自动规范AWS服务的安全、合规方面的配置。 为更好遵从各行业的合规要求,构建安全的IT环境,企业的安全团队一般都会在明确安全/管理边界的前提下,选择相关安全框架,用对应的风险评估方法梳理出符合自身业务特点的安全模型。根据安全模型,通常也会用各种文档标准化抽象为各种管理策略,例如可能包含以下常见的内容: 用户权限策略 访问控制策略 服务器安全策略 应用接入策略 网络分区策略 数据传输策略 数据存储策略 备份归档策略 日志记录策略 审计管理策略 ………. 在实际的应用场景中,标准策略可能会因为业务的变化或管理方式的变化动态调整,如何持续评估和审核在AWS云端的资源配置的合规性是否与企业规划一致?如何帮助用户在云端更好的实现变更管理,安全分析甚至自动修正不合规的配置 ?这种场景下,可以考虑用AWS Config 服务来帮忙。 一、AWS config 是什么 AWS Config 是一项托管服务,借助 Config您可以盘点AWS 资源、查看配置更改以及 AWS 资源之间的关系并深入探究详细的资源配置历史记录。使用 Config,还能通过自定义规则来定义所需的资源配置、内部最佳实践和指南,并依据这些规则评估您记录的配置。 AWS Config的主要应用功能: 评估您 AWS 资源配置是否具备所需设置。 获得与您的 AWS 账户关联的受支持资源的当前配置快照。 检索您的账户中的一个或多个资源配置。 检索一个或多个资源的历史配置。 在资源被创建、修改或删除时接收通知。 查看不同资源之间的关系。例如,您可能想要找到使用特定安全组的所有资源 AWS Config工作原理 更多AWS Config的信息可以参考https://aws.amazon.com/cn/config/ 二、 AWS config 配置测试 为了更好了解AWS Config的工作过程,以下 将以AWS安全组的配置监控为例做一个简短测试 。 1. 测试场景: […]

Read More

Amazon Rekognition 现支持名人人脸识别

AWS在2016年底的re:Invent大会上发布了基于深度学习的图像分析服务Amazon Rekognition, 可以用以检测对象、场景和面孔,可以搜索和比较面孔,还可以识别图像中的不当内容。Amazon Rekognition 通过一系列简单的 API 来提供强大且准确的图像分析功能,消除了在应用程序中构建图像识别功能的复杂性。您无需具备计算机视觉或深度学习专业能力,即可利用 Rekognition 可靠的图像分析功能。借助 Rekognition API,您可以轻松快速地在任何 Web 应用程序、移动应用程序或互联设备应用程序中构建图像分析功能。 最近,AWS又为Amazon Rekognition增加了新的功能——名人识别。这个功能可以识别在政治、娱乐、体育、媒体、商业等各个领域的名人。名人识别是全球性的功能,而名人的名单也会不断增加。 要使用名人识别的功能,只需调用新增的RecognizeCelebrities API。此API首先检测图像中的人脸,然后返回匹配出的名人信息,和该名人在IMDB上的链接(如果有)。 您现在就可以使用AWS管理控制台,通过简单的上传或者拖拽(不会存储您的图像),体验名人识别的功能。 那我们再来看看Amazon Rekognition都能够识别哪些名人吧。 Amazon Rekognition已经能够识别出新科法网冠军,年仅20岁的拉脱维亚新星奥斯塔彭科。 Amazon Rekognition还能够识别出“国民老公”王思聪和他的父亲王健林。 利用Amazon Rekogntion,妈妈再也不用担心我分不清楚王珞丹和白百何了。 如此强大的Rekognition API 让您能够轻松地在应用程序中构建强大的视觉搜索和发现功能。Amazon Rekognition 已经与常用的 AWS 服务 (如 Amazon S3 和 AWS Lambda) 无缝集成,同时能够提供一致的响应时间而无需预置额外的容量;而且您只需为您分析的图像和存储的面孔元数据付费。无最低费用,无预先承诺。 Amazon AI一致致力于构建人人都能使用的人工智能环境,使每一位开发人员都能能找到适合的人工智能解决方案,更多信息,请参见: https://aws.amazon.com/cn/amazon-ai/ (注: 文章中的图片均来自互联网)   作者介绍 王宇博 AWS资深产品拓展经理,主要负责AWS大数据、人工智能、高性能计算相关服务和解决方案在中国的业务拓展。 在加入AWS之前,他在IBM担任资深产品经理,主要负责虚拟化、云计算等相关产品线在中国的市场战略推广及业务发展。 他具有近15年的IT行业经验,涉及软件开发、技术咨询、解决方案销售、产品策划与管理等领域。

Read More

免费试用 Amazon WorkSpaces 最长达 2 个月时间

我本人极为推崇亲身体验。我通常只在自己使用过所提及的服务后才会撰写博客文章,不过偶尔也有例外。如果您碰巧阅读了我爱 Amazon WorkSpace 这篇博客文章,您就会知道 Amazon WorkSpaces 是我最重要的生产力工具之一。我想告诉您的是,您将有机会免费试用 Amazon WorlSpaces。新的 Amazon WorkSpaces 免费套餐可让您启动两个标准服务包工作区,并在 2 个月的时间内,每月使用最多 40 个小时。您可以选择 Windows 7 或 Windows 10 桌面体验,这两种产品都以 Windows Server 为强大后盾。这两个选项都包含 Internet Explorer 11、Mozilla Firefox、7-Zip 和 Amazon Workdocs,还有 50 GB 存储空间。要使用此免费套餐,您必须在 AutoStop 模式下运行工作区 (默认情况下将为您选择此模式)。未使用的小时数将在第一个日历月结束时过期,而此免费套餐优惠将在第二个日历月结束时过期。之后,将按照 Amazon WorkSpaces 定价页面上列出的小时费率向您收费。要开始免费试用,请完成快速设置中的步骤,并选择有资格享受此免费套餐的服务包: 此优惠适用于提供WorkSpaces的所有 AWS 区域。 -Jeff

Read More