[AWS] AWS RI / Saving Plan 說明以及差異

 Written by: AWS Community Builder Wang Sheng Hau

前陣子客戶在使用 AWS 服務時對於節費的部分有一些疑問

因此介紹給客戶 RI / Saving Plan 的概念,下面稍微簡短說明一下何謂 RI / Saving Plan 以及其中差異

Reserved Instances (RI)： AWS RI 是一種購買計算資源（如 EC2 實例、RDS 資料庫實例等）的方法，用戶事先支付一筆費用，然後在特定時間內使用這些資源。通常，RI 提供比按需價格更大的折扣。RI 分為標準 RI 和可變 RI（Convertible RI）。標準 RI 提供更大的折扣，但限制了資源的靈活性。可變 RI 允許更多的靈活性，但折扣可能會較低。

Savings Plans： Savings Plans 是一種更靈活的儲蓄方法，用戶可以購買一定數量的計算費用，而不需要事先指定特定的實例類型或區域。它們提供了比標準 RI 更大的彈性，用戶可以在多個實例類型和區域之間進行轉換。Savings Plans 適用於更廣泛的場景，並且通常提供具有競爭力的價格折扣。

兩者都是可以幫助在使用 AWS 上進行節省成本的服務

Reserved Instances (RI):

• 適用於 EC2、RDS、ElastiCache、Redshift 等特定 AWS 服務。
• RI 是預先購買的虛擬伺服器實例的容量，以一定的時間期限使用，並享有折扣優惠。
• RI 提供選擇「區域範圍」（Region Scope）或「區域範圍+可用區域」（Region and Availability Zone Scope）的購買選項。
• RI 提供「標準 RI」和「轉換 RI」兩種選項，可用於靜態工作負載或可彈性調整的工作負載。
• RI 可以提供更大的成本節省，但相對價格較高，並且需要更多的管理和計劃。

Savings Plans:

• 適用於 EC2、Fargate 等多種 AWS 服務。
• Savings Plans 是一種更靈活的儲備資源計劃，提供對基於使用率的成本優化。
• Savings Plans 不需要事先購買特定的實例，而是根據計算需求的使用率提供折扣。
• Savings Plans 提供「區域範圍」（Region Scope）的購買選項。
• Savings Plans 提供「計算型」（Compute）和「EC2 Instance Family」兩種選項，可選擇更廣泛的應用範圍。
• Savings Plans 提供更大的靈活性，並且在各種使用率模式下提供成本節省。

下表列出了 AWS RI 和 Savings Plans 的主要差異：

更多關於 RI 以及 Saving Plan 更詳細的說明可以參考 AWS 官方文件的介紹 [1] [2]

Ref

[1] https://aws.amazon.com/tw/aws-cost-management/reserved-instance-reporting/

[2] https://aws.amazon.com/tw/savingsplans/

         

[AWS] AWS Route53 private zone cross account

  Written by: AWS Community Builder Wang Sheng Hau前幾天跟朋友聊天聊到一個需求

他們想做 A account開 Route53 private zone 讓 B account 也可以使用到

於是貼了文件給他 [1] 

但是他們想透過 Iac 的方式來達成,不想透過 Web UI 來進行

因此找了 AWS CLI 的指令給他 [2],他還是不滿足,於似乎就找了 Cloudformation 的解法了 [3]

AWSTemplateFormatVersion: '2010-09-09'
Description: Create VPC and PHZ association

Parameters:
  SourceAccountId:
    Type: String
    Description: The AWS Account ID where the PHZ is hosted
  PHZName:
    Type: String
    Description: The name of the Private Hosted Zone

Resources:
  MyVPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: "10.0.0.0/16"
      EnableDnsSupport: true
      EnableDnsHostnames: true

  MyVpcDnsRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: "2012-10-17"
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - arn:aws:iam::${SourceAccountId}:root
            Action: sts:AssumeRole

  MyVPCAssociation:
    Type: AWS::Route53::VPCAssociationAuthorization
    Properties:
      HostedZoneId: !FindInMap [PHZMap, !Ref "AWS::Region", PHZId]
      VPCId: !Ref MyVPC
      VPCRegion: !Ref "AWS::Region"

Mappings:
  PHZMap:
    us-east-1:
      PHZId: "PHZID-1234567890abcdef0"  # Replace with your PHZ ID for us-east-1
    us-west-2:
      PHZId: "PHZID-0987654321fedcba0"  # Replace with your PHZ ID for us-west-2

此模板示範了如何創建一個 VPC（MyVPC）並將其與指定的 PHZ 關聯。請注意以下事項：

模板使用了兩個參數：SourceAccountId（PHZ 所在的 AWS 帳戶 ID）和 PHZName（PHZ 的名稱）。

它創建一個 VPC，啟用了 DNS 支援和主機名稱解析。

它創建一個 IAM 角色（MyVpcDnsRole），該角色允許來自 SourceAccountId 的 AWS 帳戶假設該角色。

最後，它使用 AWS::Route53::VPCAssociationAuthorization 來關聯 VPC 和 PHZ。

您需要替換 PHZMap 中的 PHZ ID，以確保它匹配您的 PHZ 資源。此外，請注意，實際的 CloudFormation 模板可能需要包括更多的資源和設定，以滿足您的具體需求。這個範例僅供參考，您可以根據自己的需求進行修改和擴展。

參考文件

[1] https://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html

[2] https://repost.aws/knowledge-center/route53-private-hosted-zone

[3] https://docs.aws.amazon.com/zh_tw/AWSCloudFormation/latest/UserGuide/aws-resource-route53-hostedzone.html

[AWS] re:Inforce 2023 Security 產品資訊 highlights

  Written by: AWS Community Builder Wang Sheng Hau 在2023/7/13 - 14 兩天的議程中,針對了 AWS Security 的產品有近一步的更新

這邊節錄了一些重點內容分享給大家

• Amazon Verified Permissions — Verified Permissions 是針對您構建的應用程序的可擴展權限管理和細粒度授權服務。該服務通過外部化授權和集中策略管理來幫助您的開發人員更快地構建安全的應用程序。開發人員可以通過在應用程序內實施最小權限和持續驗證來使應用程序訪問符合零信任原則。安全和審計團隊可以更好地分析和審計誰有權訪問應用程序內的內容。亞馬遜驗證權限使用Cedar，一種用於訪問控制的開源策略語言，使開發人員和管理員能夠使用上下文感知訪問控制的角色和屬性來定義基於策略的訪問控制。
• Amazon Inspector 對 Lambda 函數進行代碼掃描— Amazon Inspector現在支持對AWS Lambda進行代碼掃描函數，擴展了掃描 Lambda 函數和相關層以查找應用程序包依賴項中的軟件漏洞的現有功能。Lambda 函數的 Amazon Inspector 代碼掃描會掃描您在 Lambda 函數中編寫的自定義專有應用程序代碼，以查找安全漏洞，例如注入缺陷、數據洩漏、弱加密或缺失加密。在檢測到 Lambda 函數或層中的代碼漏洞後，Amazon Inspector 會生成可操作的安全結果，其中提供了多個詳細信息，例如安全檢測器名稱、受影響的代碼片段以及解決漏洞的修復建議。結果匯總在 Amazon Inspector 控制台中，並與AWS Security Hub和Amazon EventBridge集成簡化工作流程自動化。
• Amazon Inspector SBOM 導出— Amazon Inspector 現在能夠以多種行業標準格式（包括 CycloneDx 和軟件包數據交換 (SPDX)）導出整個組織中監控的資源的綜合軟件物料清單 (SBOM)。借助這項新功能，您可以使用自動化且集中管理的 SBOM 來了解有關軟件供應鏈的關鍵信息。這包括有關資源中使用的軟件包的詳細信息以及相關的漏洞。SBOM 可以導出到Amazon Simple Storage Service (Amazon S3)存儲桶並下載以使用Amazon Athena或Amazon QuickSight進行分析可視化軟件供應鏈趨勢。只需在 Amazon Inspector 控制台中單擊幾下或使用 Amazon Inspector API 即可使用此功能。
• Amazon CodeGuru Security — Amazon CodeGuru Security提供了一套全面的 API，旨在與您現有的管道和工具無縫集成。CodeGuru Security 是一種靜態應用程序安全測試 (SAST) 工具，它使用機器學習來幫助您識別代碼漏洞並提供可用作修復的一部分的指導。CodeGuru Security 還針對某些類別的漏洞提供上下文代碼補丁，幫助您減少修復代碼所需的工作量。
• Amazon EC2 Instance Connect 終端節點— Amazon Elastic Compute Cloud (Amazon EC2)宣布支持通過 Amazon EC2 Instance Connect 終端節點 (EIC 終端節點) 在私有子網中使用 SSH 或 RDP 連接到實例。借助此功能，您可以使用 SSH 或 RDP 從互聯網連接到您的實例，而無需公共 IPv4 地址。
• AWS 內置合作夥伴解決方案— AWS 內置合作夥伴解決方案是與 AWS 專家共同構建的，有助於確保嚴格遵循 AWS Well-Architected 安全參考架構指南和最佳安全實踐。AWS 內置合作夥伴解決方案可以在您開始遷移或現代化計劃時獲得正確的雲開發構建塊，從而為您節省寶貴的時間和資源。AWS 內置解決方案還可以自動執行部署，並將安裝時間從數月或數週減少到一天。客戶經常向我們的合作夥伴尋求創新並幫助“正確使用雲”。現在，擁有 AWS 內置解決方案的合作夥伴可以幫助您提高效率，並推動合作夥伴軟件和 AWS 原生服務的業務價值。
• AWS 網絡保險合作夥伴— AWS 與領先的網絡保險合作夥伴合作，幫助簡化獲得網絡保險的流程。現在，您可以直接從經過驗證的 AWS 網絡保險合作夥伴那裡尋找和購買網絡保險，從而降低業務風險。為了減少文書工作量並節省時間，請從AWS Security Hub下載並共享您的AWS 基礎安全最佳實踐標準詳細報告並與您選擇的 AWS 網絡保險合作夥伴共享該報告。通過經過 AWS 審查的網絡保險合作夥伴，您可以確信這些保險公司了解 AWS 安全狀況並根據最新的 AWS 安全最佳實踐評估您的環境。現在，您只需兩個工作日即可獲得完整的網絡保險報價。
• AWS 全球合作夥伴安全計劃—通過 AWS 全球合作夥伴安全計劃，AWS 將利用我們全球系統集成商 (GSI) 合作夥伴的能力、規模和深厚的安全知識，共同開發端到端安全解決方案和託管服務。
• Amazon Detective 發現組— Amazon Detective擴展了其發現組功能，除了Amazon GuardDuty之外還包括 Amazon Inspector 發現結果發現。通過使用機器學習，這一發現組功能的擴展顯著簡化了調查過程，減少了所花費的時間，並有助於更好地識別安全事件的根本原因。通過對 Amazon Inspector 和 GuardDuty 的結果進行分組，您可以使用 Detective 來回答難題，例如“此 EC2 實例是否因漏洞而受到損害？” 或者“GuardDuty 的這一發現是否是由於意外的網絡暴露造成的？” 此外，Detective 將確定的發現及其相應的策略、技術和程序映射到 MITRE ATT&CK 框架，從而提高安全措施的整體有效性和一致性。
• [預告]適用於 Active Directory 的 AWS 私有證書頒發機構連接器 – AWS Private CA即將推出適用於 Active Directory (AD) 的連接器。AD 連接器將通過完全託管的無服務器解決方案幫助減少前期公鑰基礎設施 (PKI) 投資和持續維護成本。這項新功能將通過使用高度安全的硬件安全模塊 (HSM) 支持的 AWS 私有 CA 替換本地證書頒發機構來幫助降低 PKI 複雜性。您將能夠使用自動註冊功能自動部署證書到本地 AD 和適用於Microsoft Active Directory 的AWS Directory Service 。
• AWS 支付加密—在 re:Inforce 的前一天， AWS 支付加密正式發布。該服務簡化了雲託管支付應用程序中的加密操作。AWS 支付加密技術可根據各種 PCI 標準簡化您對用於保護支付處理中的數據和操作的加密功能和密鑰管理的實施。
• AWS WAF Fraud Control 推出賬戶創建欺詐預防功能— AWS WAF Fraud Control 宣布推出賬戶創建欺詐預防功能，這是一種針對 AWS WAF 的託管保護，旨在防止創建虛假或欺詐賬戶。欺詐者利用虛假賬戶發起活動，例如濫用促銷和註冊獎金、冒充合法用戶以及實施網絡釣魚策略。帳戶創建欺詐預防允許您持續監控異常數字活動的請求，並根據請求標識符和行為分析自動阻止可疑請求，從而幫助保護您的帳戶註冊或註冊頁面。
• AWS Security Hub 自動化規則— AWS Security Hub 是一項云安全態勢管理服務，可執行安全最佳實踐檢查、聚合警報並促進自動修復，現在具有近實時自動更新或抑制發現結果的功能。您現在可以使用自動化規則自動更新結果中的各個字段、隱藏結果、更新結果嚴重性和工作流程狀態、添加註釋等。
• Amazon S3 宣布推出雙層服務器端加密— Amazon S3 是唯一一個您可以在對象級別應用兩層加密並控制用於兩層的數據密鑰的雲對象存儲服務。使用AWS Key Management Service (DSSE-KMS)中存儲的密鑰進行雙層服務器端加密旨在遵守國家安全局國家安全系統政策委員會 (CNSSP) 15，以實現 FIPS 合規性和靜態數據功能包 ( DAR CP）兩層MFS U/00/814670-15 商業國家安全算法(CNSA) 加密的5.0 版指南。
• AWS CloudTrail Lake 儀表板— AWS CloudTrail Lake 是一個託管數據湖，可讓組織聚合、永久存儲、可視化和查詢其審核和安全日誌，宣布全面推出 CloudTrail Lake 儀表板。CloudTrail Lake 儀表板直接在 CloudTrail 控制台中提供來自審計和安全數據的開箱即用的可視化和關鍵趨勢圖表。它還可以靈活地深入了解其他詳細信息（例如特定用戶活動），以便使用 CloudTrail Lake SQL 查詢進行進一步分析和調查。
• AWS Well-Architected Profiles — AWS Well-Architected 引入了 Profiles，讓您可以根據業務目標定制 Well-Architected 評論。此功能創建了一種持續改進的機制，鼓勵您首先考慮特定目標來審查您的工作負載，然後完成其餘的 Well-Architected 審查問題。

ref : https://aws.amazon.com/tw/blogs/security/aws-reinforce-2023-key-announcements-and-session-highlights/