為公司同事介紹AWS。從基本特色、區域、AZ、VPC、IAM講起，並用實際案例讓同事比較好理解每一個AWS服務是什麼作用，再畫成架構圖讓他們更清楚。還有架設EC2需要注意的選項，最後附錄我自己覺得重要的進階議題。

1. AWS介紹
Artyom Liou

2. 特色
● AWS的人會維護硬體設備
● 高可用性
● 隨時加開、減少伺服器
● 通常以小時為單位計費

3. 基礎設施
有 26 個區域（Region）
每個區域包含 0~3個可用區域
（Availability zone / AZ）
高可用
= 一個AZ掛掉不會造成服務中斷
Credit: Google Map

4. 計價方式
● 網路傳入（通常免費）
● 運算
● 儲存
● 網路傳出

5. 計價方式（S3）

6. 操作方式
● Web控制台
● Command Line
● SDK
● Infrastructure as Code

7. AWS有哪些服務

8. 舉例：從自架Web server開始...
在平行時空裡，
村西先生、黑木小姐要掀起色色影片革命，
他們需要賣出作品的管道，
於是便找到了我們，幫他們架設色色的購物網站。
我們會需要：
1. 一台電腦
2. 程式
3. 網站上線
4. 宣傳

9. 會需要準備什麼？
電腦 網站 上線 宣傳 圖片讀很久 網站很慢 帳單
被攻擊
Cache
CDN
Image hosting
Load balancer
Scaling

10. 舉例：色色的影片將從雲端而降
村西先生的事業很成功，
但他並不滿足，他覺得A片次世代的發展趨勢在網路，
作為藍寶石影業的RD，
我們開始計畫如何把這個色色的網站搬上雲端。

11. 替換成AWS的服務
電腦 網站 上線 宣傳 圖片讀很久 網站很慢 帳單
被攻擊
EC2
EBS
RDS
VPC
Route 53
Certificate
Manager
SES
SNS
S3
Cloudfront
EC2 Auto Scaling
Elastic Load Balacner
Elasticache
WAF Cost
and
Usage
Report

12. 大部分服務是Regional
也有Global的服務
有些服務不在VPC內

13. 基礎服務

14. VPC
在邏輯隔離的虛擬網路中啟動AWS資源

15. VPC
每個 VPC 都要指定 IP範圍
（ex: 10.0.0.0/16）
每個 VPC 裡面都有：
● Subnet
● Route table
● Internet gateway

16. VPC Security
● Subnet level
a. NACL (比較少用)
● Instance level
a. Security group

17. IAM
管理誰可以、在什麼條件下、做什麼。
由下列概念組成：
● Policy
● User、Group
● Role

18. IAM - Policy
● 類似 CSS 的 Class
● 紀錄可以做什麼、不能做什麼

19. IAM - User
給人（或程式）呼叫 AWS 服務的身份
● Authentication
○ 可擁有帳號密碼，用來登入 AWS Console
○ 可擁有 Access Key，用來呼叫 AWS API
○ 可開啟2FA
● Authorization
○ 可擁有多個 Policy

20. IAM - Group
讓有相同職責的 User 獲得一樣的權限
● Group 下有多個 User
Credit: https://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/id_groups.html

21. IAM - Role
讓有需要的 User、Application、AWS Service 取得這些權限
● Authentication
○ 不能登入，也不會有長期的 credential
○ 擔任(assume) role 後會取得 temporary credential
● Authorization
○ 可擁有多個 Policy

22. Hands-on

23. Hands on
● EC2設定
○ AMI
○ Instance type = t2.micro
○ Key pair
○ Security group
○ Storage (EBS Volume)
○ IAM instance profile (= IAM role)
○ Shutdown behavior
○ Termination protection

24. Hands on
● S3
○ region
○ 一般情形
■ “Block all public access” = On
○ 要當靜態網站用
■ “Block all public access” = Off
■ “Static website hosting” = On

25. 進階

26. 情況劇：不管怎麼調VPC，都連不到＿＿＿
用 Reachability Analyzer 分析從哪開始無法正確連線，可參考
或者開啟 VPC Flow logs

27. 情況劇：EC2開太多台，有點難管理
● System Manager
○ Patch Manager
○ Session Manager（可稽核的SSH，可參考）
○ Parameter Store
● Cloudwatch
○ Metrics
○ Dashboard
○ Alarm
○ Logs

28. 情況劇：最近時常發生Too many connection

29. 情況劇：每月帳單好像有點多
● AWS Budget
● Cost Explorer
● EC2
○ Saving plan
○ Spot instance
● S3
○ Infrequent access tier
● Network
○ Gateway endpoint for S3 / DynamoDB
● Athena - link

30. 情況劇：AWS帳號好像被盜用了
● 從 Cloudtrail 找蛛絲馬跡
● 修復 root cause
● 重設 IAM User 密碼、Access key
● 確定 IAM - Password policy 足夠嚴格
● 開啟 GuardDuty

31. 情況劇：想試試看 Serverless…
● API Gateway（推薦 HTTP API）
● Lambda
● DynamoDB

32. Q&A

33. 參考資料
● 國家教育研究院 雙語詞彙、學術名詞暨辭書資訊網
● AWS Cloud Essentials
● AWS Global Infrastructure
● Disaster Recovery Workshop - AWS Regions and
Zones
● AWS IAM - Manage IAM Permissions
● AWS VPC
● AWS EC2
● AWS EBS
● Amazon RDS
● Amazon Route 53
● AWS Certificate Manager
● Cloudwatch
● Amazon S3
● Amazon CloudFront 主要特色
● Jeff Barr - AWS CloudTrail – Capture AWS API
Activity
● Cpu icons created by Freepik - Flaticon
● Ssd icons created by Freepik - Flaticon
● Ram icons created by Freepik - Flaticon
● Cable icons created by Freepik - Flaticon
● Coding icons created by Freepik - Flaticon
● Mysql icons created by Freepik - Flaticon
● Domain icons created by Freepik - Flaticon
● Dns icons created by Freepik - Flaticon
● Ssl certificate icons created by Freepik - Flaticon
● Email icons created by Freepik - Flaticon
● Sms icons created by Freepik - Flaticon
● Server icons created by Those Icons - Flaticon
● Cdn icons created by Flat Icons - Flaticon
● Cache icons created by orvipixel - Flaticon
● Load balancer icons created by IconBaandar - Flaticon
● Large scale icons created by Freepik - Flaticon
● Firewall icons created by Freepik - Flaticon
● AWS Icons