AWS Well-Architected 架構可靠性支柱的營運最佳實務 - AWS Config

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Well-Architected 架構可靠性支柱的營運最佳實務

一致性套件提供一般用途的合規性架構,可讓您使用受管或自 AWS Config 訂規則和補救動作來建立安全性、作業或成本最佳化治理檢查。 AWS Config 一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供 Amazon Web 服務 Well-Architected 的架構可靠性支柱和 AWS 受管 Config 規則之間的範例對應。每個 Config 規則都適用於特定 AWS 資源,並與支柱的一個或多個設計原則相關。一個 Well-Architected Framework 類別可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。

控制 ID 控制描述 AWS Config 規則 指引
REL-1 如何管理服務配額和限制? 雲端型工作負載架構具有服務配額 (也稱為服務限制)。這些配額的存在是為了防止意外佈建超出所需數量的資源,並限制 API 操作的請求率,以保護服務免於遭到濫用。另外還有一些資源限制,例如可將位元下推到光纖纜線的速率,或實體磁碟的儲存量。

dynamodb-throughput-limit-check

啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇性地設定帳戶管理系統 ThresholdPercentage (組 Config 預設值:80) 與帳戶 TWCU ThresholdPercentage (組 Config 預設值:80) 參數。實際值應反映貴組織的政策。
REL-1 如何管理服務配額和限制? 雲端型工作負載架構具有服務配額 (也稱為服務限制)。這些配額的存在是為了防止意外佈建超出所需數量的資源,並限制 API 操作的請求率,以保護服務免於遭到濫用。另外還有一些資源限制,例如可將位元下推到光纖纜線的速率,或實體磁碟的儲存量。

lambda-concurrency-check

此規則可確保建立 Lambda 函數的並行上限和下限。這可為函數在任何指定時間服務的請求數設定基準。
REL-1 如何管理服務配額和限制? 雲端型工作負載架構具有服務配額 (也稱為服務限制)。這些配額的存在是為了防止意外佈建超出所需數量的資源,並限制 API 操作的請求率,以保護服務免於遭到濫用。另外還有一些資源限制,例如可將位元下推到光纖纜線的速率,或實體磁碟的儲存量。

ecs-task-definition-memory-hard-limit

限制 Amazon Elastic Container Service (ECS) 容器的可用記憶體上限,可確保當容器遇到惡意存取時,資源用量不會遭到濫用。
REL-2 如何規劃您的網路拓撲? 工作負載通常存在於多個環境中。其中包括多個雲端環境 (可公開存取與私有),也可能包含您現有的資料中心基礎設施。這些計畫必須包含網路考量事項,例如系統內部與系統間連線能力、公有 IP 地址管理、私有 IP 地址管理以及網域名稱解析。

vpc-vpn-2-tunnels-up

您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。
REL-2 如何規劃您的網路拓撲? 工作負載通常存在於多個環境中。其中包括多個雲端環境 (可公開存取與私有),也可能包含您現有的資料中心基礎設施。這些計畫必須包含網路考量事項,例如系統內部與系統間連線能力、公有 IP 地址管理、私有 IP 地址管理以及網域名稱解析。

redshift-enhanced-vpc-routing-enabled

增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。也可以使用 VPC 流程日誌來監控網路流量。
REL-2 如何規劃您的網路拓撲? 工作負載通常存在於多個環境中。其中包括多個雲端環境 (可公開存取與私有),也可能包含您現有的資料中心基礎設施。這些計畫必須包含網路考量事項,例如系統內部與系統間連線能力、公有 IP 地址管理、私有 IP 地址管理以及網域名稱解析。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都安全地保留在 AWS 雲中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。
REL-5 如何設計分散式系統中的互動以減輕或承受故障? 分散式系統仰賴通訊網路將伺服器或服務等元件互相連線。儘管這些網路中出現資料遺失或延遲,但工作負載仍必須可靠地運作。分散式系統的元件必須以不會對其他元件或工作負載造成負面影響的方式運作。這些最佳實務可防止故障,並改善平均故障間隔時間 (MTBF)。

lambda-dlq-check

啟用此規則可在函數失敗時,透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求,以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報,流量就會傳送到新的 Amazon EC2 執行個體。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

api-gw-xray-enabled

AWS X-Ray 會收集應用程式所提供請求的相關資料,並提供工具供您檢視、篩選和深入瞭解該資料,以識別問題和最佳化機會。確保 X-Ray 已啟用,因此您不僅可以查看有關請求和響應的詳細信息,還可以查看應用程序對下游 AWS 資源,微服務,數據庫和 HTTP Web API 進行的調用的詳細信息。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

api-gw-execution-logging-enabled

API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

beanstalk-enhanced-health-reporting-enabled

AWS Elastic Beanstalk 增強型健康狀態報告可讓您更快速地回應基礎架構的健康狀態變更。這些變更可能會導致應用程式缺乏可用性。Elastic Beanstalk 增強型運作狀態報告會提供狀態描述項,評估已識別問題的嚴重性,並找出可能的調查原因。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

cloudwatch-alarm-action-check

當指標違反指定數量評估期間的閾值時,Amazon 會發出 CloudWatch 警示。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則需要 alarmActionRequired (Config 預設值:True)、 insufficientDataAction必要 (Config 預設值:True)、 okActionRequired (Config 預設值:False) 的值。實際值應反映您環境的警示動作。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶.
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

cloudtrail-enabled

AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助不可否認性。您可以識別使用者 AWS 帳戶 以及呼叫 AWS 服務的使用者、產生呼叫的來源 IP 位址,以及呼叫的計時。捕獲的數據的詳細信息可以在 AWS CloudTrail 記錄內容中看到。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資 AWS 帳戶 訊包括存取 Amazon S3 儲存貯體的資訊、IP 地址和事件時間。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

elasticsearch-logs-to-cloudwatch

確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

opensearch-logs-to-cloudwatch

確保 Amazon OpenSearch 服務網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch 日誌以進行保留和回應。 OpenSearch 服務錯誤記錄可協助進行安全性和存取稽核,並可協助診斷可用性問題。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

ecs-container-insights-enabled

監控是維護 Amazon 彈性容器服務 (ECS) 和 AWS 解決方案的可靠性、可用性和效能的重要組成部分。Container Insights 還提供診斷資訊,例如容器重新啟動故障,協助您快速隔離和解決這些故障。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

elb-logging-enabled

Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

multi-region-cloudtrail-enabled

AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域,則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

rds-logging-enabled

若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

ec2-instance-detailed-monitoring-enabled

啟用此規則可協助改善 Amazon EC2 主控台上的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體監控,並顯示執行個體以 1 分鐘為區間的監控圖形。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

guardduty-enabled-centralized

Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IP 和機器學習列表,用於識別 AWS 雲端環境中的未預期、未經授權和惡意活動。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

lambda-dlq-check

啟用此規則可在函數失敗時,透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

rds-enhanced-monitoring-enabled

啟用 Amazon Relational Database Service (Amazon RDS) 可協助監控 Amazon RDS 的可用性。這可讓您詳細掌握 Amazon RDS 資料庫執行個體的運作狀態。當 Amazon RDS 儲存體使用多個基礎實體裝置時,增強型監控會收集每部裝置的資料。此外,當 Amazon RDS 資料庫執行個體在多可用區部署中執行時,就會收集次要主機上每部裝置的資料,以及次要主機指標。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

redshift-enhanced-vpc-routing-enabled

增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。也可以使用 VPC 流程日誌來監控網路流量。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

securityhub-enabled

AWS Security Hub 有助於監控未經授權的人員,連接,設備和軟件。 AWS Security Hub 會從多個服務彙總、組織和排列安全性警示或發現項目的優先順序。 AWS 一些這樣的服務是 Amazon Security Hub,Amazon Inspector,Amazon Macie, AWS Identity and Access Management (IAM) 訪問分析器, AWS Firewall Manager 器和 AWS 合作夥伴解決方案。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

vpc-flow-logs-enabled

VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和協定。
REL-6 如何監控工作負載資源? 日誌和指標是可深入洞察工作負載運作狀態的強大工具。您可以設定工作負載以監控日誌和指標,並在超過閾值或發生重大事件時傳送通知。監控功能可讓您的工作負載辨識何時超過低效能閾值或發生故障,以便在回應時自動復原。

wafv2-logging-enabled

若要協助您在環境中進行記錄和監控,請在地區和全球 Web ACL 上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄會提供 Web ACL 分析之流量的詳細資訊。記錄會記錄 AWS WAF 從您的 AWS 資源接收要求的時間、請求的相關資訊,以及每個要求相符之規則的動作。
REL-7 如何設計工作負載以因應需求的變化? 可擴展的工作負載提供可自動新增或移除資源的彈性,讓資源能夠在任何特定時間點充分滿足目前的需求。

dynamodb-autoscaling-enabled

Amazon DynamoDB 自動擴展使用應用 Ap AWS plication Auto Scaling 服務調整佈建的輸送量容量,以自動回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。
REL-7 如何設計工作負載以因應需求的變化? 可擴展的工作負載提供可自動新增或移除資源的彈性,讓資源能夠在任何特定時間點充分滿足目前的需求。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求,以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報,流量就會傳送到新的 Amazon EC2 執行個體。
REL-7 如何設計工作負載以因應需求的變化? 可擴展的工作負載提供可自動新增或移除資源的彈性,讓資源能夠在任何特定時間點充分滿足目前的需求。

dynamodb-autoscaling-enabled

Amazon DynamoDB 自動擴展使用應用 Ap AWS plication Auto Scaling 服務調整佈建的輸送量容量,以自動回應實際流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。
REL-8 如何實作變更? 若要部署新功能,並確保工作負載和作業環境正在執行已知軟體,且能夠以可預測的方式修補或取代,必須要有受控變更。如果這些變更不受控制,那麼就很難預測這些變更的影響,也很難解決由於這些變更而產生的問題。

redshift-cluster-maintenancesettings-check

此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。它也可讓您選擇性地設定 preferredMaintenanceWindow (預設值為「星期六:16:00-星期六:16:30」) 和「 automatedSnapshotRetention期間」(預設值為 1)。實際值應反映貴組織的政策。
REL-8 如何實作變更? 若要部署新功能,並確保工作負載和作業環境正在執行已知軟體,且能夠以可預測的方式修補或取代,必須要有受控變更。如果這些變更不受控制,那麼就很難預測這些變更的影響,也很難解決由於這些變更而產生的問題。

rds-automatic-minor-version-upgrade-enabled

在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。
REL-8 如何實作變更? 若要部署新功能,並確保工作負載和作業環境正在執行已知軟體,且能夠以可預測的方式修補或取代,必須要有受控變更。如果這些變更不受控制,那麼就很難預測這些變更的影響,也很難解決由於這些變更而產生的問題。

ec2-managedinstance-patch-compliance-status-check

啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。該規則會根據組織政策和程序的要求,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體是否符合修補程式合規性。
REL-8 如何實作變更? 若要部署新功能,並確保工作負載和作業環境正在執行已知軟體,且能夠以可預測的方式修補或取代,必須要有受控變更。如果這些變更不受控制,那麼就很難預測這些變更的影響,也很難解決由於這些變更而產生的問題。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 關聯來協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的代管執行個體指派組態狀態,並可讓您設定作業系統修補程式等級、軟體安裝、應用程式組態,以及環境的其他詳細資料的基準。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

aurora-resources-protected-by-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon Aurora 資源是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

backup-plan-min-frequency-and-min-retention-check

若要協助進行資料 Backup 程序,請確定您的 AWS 備份計劃設定為最低頻率和保留頻率。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則允許您設置 requiredFrequencyValue (Config 默認值:1), requiredRetentionDays (Config 默認值:35)和 requiredFrequencyUnit (Config 默認值:天)參數。實際值應反映貴組織的要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

backup-recovery-point-minimum-retention-check

若要協助進行資料 Backup 程序,請確定您的 AWS 備份復原點設定了最短的保留期。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredRetentionDays (組態預設值:35) 參數。實際值應反映貴組織的要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

backup-recovery-point-encrypted

確定已啟用 AWS Backup 復原點的加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

db-instance-backup-enabled

Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定的保留期間,以符合您的恢復能力要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

dynamodb-in-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon DynamoDB 表是備份計劃的一 AWS 部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

dynamodb-pitr-enabled

啟用此規則可檢查資訊是否已備份。它還可以透過確保在 Amazon DynamoDB 中啟用 point-in-time 復原功能來維護備份。復原會維護資料表在過去 35 天內的連續備份。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

dynamodb-table-encrypted-kms

確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 表格會使用 AWS 擁有的客戶主金鑰 (CMK) 加密。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

ebs-in-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

ec2-ebs-encryption-by-default

為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

encrypted-volumes

由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

ec2-resources-protected-by-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

efs-in-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

efs-encrypted-check

由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

elasticache-redis-cluster-automatic-backup-check

啟用自動備份後,Amazon ElastiCache 會每天建立叢集的備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

elb-deletion-protection-enabled

此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

fsx-resources-protected-by-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon FSx 檔案系統是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

rds-in-backup-plan

為了協助進行資料 Backup 程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 AWS 備份計劃的一部分。 AWS Backup 是一種全受管備份服務,具有原則型備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

rds-storage-encrypted

為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

rds-snapshot-encrypted

確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

rds-instance-deletion-protection-enabled

確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

s3-bucket-default-lock-enabled

確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體預設已啟用鎖定。由於 S3 儲存貯體中可能存在靜態敏感資料,因此請強制執行靜態物件鎖定以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動非同步複製物件,以協助確保維持資料可用性。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

s3-bucket-server-side-encryption-enabled

為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

s3-default-encryption-kms

確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的最佳化執行個體可為 Amazon EBS I/O 作業提供額外的專用容量。此最佳化會將 Amazon EBS I/O 操作與執行個體中其他流量之間的爭用降至最低,為 EBS 磁碟區提供最有效率的效能。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

redshift-backup-enabled

請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會針對每個資料變更節點 (或以先到者為準) 每 8 小時或每 5 GB 擷取一次快照。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

redshift-cluster-kms-enabled

為了協助保護靜態資料,請確保您的 Amazon Redshift 叢集已啟用金 AWS 鑰管理服務 (AWS KMS) 的加密功能。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。
REL-9 如何備份資料? 備份資料、應用程式和組態以满足您對復原時間點目標 (RTO) 和復原點目標 (RPO) 的要求。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

elb-cross-zone-load-balancing-enabled

為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式的能力,以處理一或多個執行個體遺失的狀況。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

clb-multiple-az

Elastic Load Balancing (ELB) 會自動將傳入流量分配至可用區域中的多個目標,例如 EC2 執行個體、容器和 IP 地址。為了確保高可用性,請確保您的 ELB 已註冊來自多個可用區域的執行個體。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

elbv2-multiple-az

Elastic Load Balancing (ELB) 會自動將傳入流量分配至可用區域中的多個目標,例如 EC2 執行個體、容器和 IP 地址。為了確保高可用性,請確保您的 ELB 已註冊來自多個可用區域的執行個體。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

lambda-vpc-multi-az-check

如果您的 AWS Lambda 函數設定為連線到帳戶中的虛擬私有雲 (VPC),請在至少兩個不同的可用區域中部署 AWS Lambda 函數,以確保在單一區域中發生服務中斷時,它是您的函數可用來處理事件。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

opensearch-data-node-fault-tolerance

Amazon OpenSearch 服務 (服OpenSearch 務) 至少需要三個資料節點才能達到高可用性和容錯能力。部署具有至少三個資料節點的 OpenSearch Service 網域可確保節點失敗時的叢集作業。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。
REL-10 如何使用故障隔離來保護工作負載? 錯誤隔離界限可將工作負載的故障影響限制在有限數量的元件內。界限外部的元件不會受到故障影響。您可以使用多個錯誤隔離界限來限制對工作負載的影響。

vpc-vpn-2-tunnels-up

您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。

範本

該模板可用於 GitHub:AWS Well-Architected 的可靠性支柱的操作最佳實踐