本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EC2 的最佳實務 為了確保 Amazon EC2 獲得最大利益,我們建議您執行以下最佳實務。 **安全** + 盡可能使用身分提供者和 IAM 角色的聯合身分來管理對 AWS 資源和 API 的存取。 APIs 如需詳細資訊,請參閱《*IAM 使用者指南*》中的[身分提供者和聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。 + 為您的安全群組實作最嚴苛的規則。 + 定期修補、更新和保護您執行個體上的作業系統與應用程式。如需詳細資訊,請參閱[更新管理](update-management.md)。有關 Windows 作業系統的指南,請參閱 [Windows 執行個體的安全性最佳做法](ec2-windows-security-best-practices.md)。 + 使用 Amazon Inspector 自動探索和掃描 Amazon EC2 執行個體的軟體漏洞和意外網路暴露。如需更多資訊,請參閱 [Amazon Inspector 使用者指南](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html)。 + 使用 AWS Security Hub CSPM 控制項,根據安全最佳實務和安全標準來監控 Amazon EC2 資源。如需使用 Security Hub CSPM 的詳細資訊,請參閱*AWS Security Hub CSPM 《 使用者指南*》中的 [Amazon Elastic Compute Cloud 控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html)。 **儲存** + 了解根磁碟區類型對資料持久性、備份和復原的意涵。如需詳細資訊,請參閱[根磁碟區類型](ComponentsAMIs.md#storage-for-the-root-device)。 + 為作業系統和資料使用不同的 Amazon EBS 磁碟區。確保執行個體終止後能持續儲存您資料的磁碟區。如需詳細資訊,請參閱 [在執行個體終止時保留資料](preserving-volumes-on-termination.md)。 + 使用您執行個體可用的執行個體儲存體存放暫存資料。請記住,當您讓您的執行個體停止、休眠或終止時,會刪除存放在執行個體儲存體的資料。如果您將執行個體儲存體用為資料庫儲存體,請確保您的叢集有能確保容錯能力的複寫因素。 + 加密 EBS 磁碟區和快照。如需詳細資訊,請參閱「Amazon EBS 使用者指南」**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 **資源管理** + 使用執行個體中繼資料和自訂資源標籤追踪並找出您的 AWS 資源。如需詳細資訊,請參閱[使用執行個體中繼資料管理您的 EC2 執行個體](ec2-instance-metadata.md)和[標記您的 Amazon EC2 資源](Using_Tags.md)。 + 檢視您目前的 Amazon EC2 限制。計劃在您需要的時候,先行請求提高限制。如需詳細資訊,請參閱[Amazon EC2 服務配額](ec2-resource-limits.md)。 + 使用 AWS Trusted Advisor 檢查您的 AWS 環境,然後在有機會節省成本、改善系統可用性和效能,或協助彌補安全漏洞時提出建議。如需詳細資訊,請參閱*「AWS 支援 使用者指南」*中的 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html)。 **備份與復原** + 使用 [Amazon EBS 快照](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html)定期備份您的 EBS 磁碟區,並從您的執行個體建立 [Amazon Machine Image (AMI)](AMIs.md) 將組態儲存為範本,以啟動未來的執行個體。如需協助達成此使用案例之 AWS 服務的詳細資訊,請參閱 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/)和 [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/ebs/latest/userguide/snapshot-lifecycle.html)。 + 跨多個可用區域部署您應用程式的關鍵元件,並適當複寫您的資料。 + 設計您的應用程式在執行個體重新啟動時處理動態 IP 定址。如需詳細資訊,請參閱 [Amazon EC2 執行個體 IP 定址](using-instance-addressing.md)。 + 監控與回應事件。如需詳細資訊,請參閱 [監控 Amazon EC2 資源](monitoring_ec2.md)。 + 請確定您已準備好可處理容錯移轉。如需基本解決方案,您可將網路界面或彈性 IP 地址手動連接到替代執行個體。如需詳細資訊,請參閱 [彈性網路介面](using-eni.md)。如需自動化解決方案,您可使用 Amazon EC2 Auto Scaling。如需詳細資訊,請參閱 [Amazon EC2 Auto Scaling 使用者指南](https://docs.aws.amazon.com/autoscaling/ec2/userguide/)。 + 定期測試執行個體和 Amazon EBS 磁碟區的復原程序,以確保資料和各項服務成功還原。 **聯網** + 針對 IPv4 和 IPv6,將應用程式的存留時間 (TTL) 值設定為 255。如果您使用較小的值,則存在 TTL 會在應用程式流量傳輸期間過期的風險,從而導致執行個體的可存取性問題。