Cloud Computing

PlAwAnSaI

PlAwAnSaI

Administrator
Elastic Load Balancing:
  • เป็นบริการของ AWS ที่กระจายการรับส่งข้อมูลของ App ขาเข้าโดยอัตโนมัติในทรัพยากรต่างๆ เช่น Amazon EC2 Instance ซึ่งช่วยตรวจสอบให้แน่ใจว่าไม่มีทรัพยากรแม้แต่รายการ/Instance เดียวจะมีการใช้งานมากเกินไป
การรับ-ส่งข้อมูล:
  • Amazon Simple Notification Service (Amazon SNS) เป็นบริการเผยแพร่/สมัครรับข้อมูล ผู้เผยแพร่จะใช้ Amazon SNS Topic เพื่อเผยแพร่ข้อความไปยังผู้สมัครรับข้อมูล

  • การติดตั้ง (Deploy), ใช้งาน (Run) และ จัดการ (Manage) App ที่ใช้ Container บน AWS บริการที่เหมาะคือ:
    • Amazon Elastic Container Service (ECS) → จัดการคอนเทนเนอร์ง่าย ใช้งานกับ AWS ได้ทันที เหมาะกับคนที่ไม่อยากดูแล Kubernetes เอง หรือ
    • Amazon Elastic Kubernetes Service (EKS) → ใช้ Kubernetes แบบ managed service เหมาะถ้าต้องการมาตรฐาน Kubernetes และความยืดหยุ่นสูง
      www.facebook.com

      Thai ComPuter Engineer - Thaicpe

      หลายคนยังตัดสินใจไม่ถูกระหว่างใช้ CI/CD กับ ECS vs EKS (Auto Mode) โดยเฉพาะในงานที่ต้องการความง่ายและยืดหยุ่นแบบ DevOps-friendly เรามาเทียบให้ชัดๆ กันเลยว่าอะไร "ง่ายกว่า" และอะไร "ดีกว่า"...
      www.facebook.com www.facebook.com
โครงสร้างพื้นฐาน:
  • Region ประกอบด้วย Availability Zone (AZ) อย่างน้อย 3 แห่ง
    ตัวอย่างเช่น Region ของไทย คือ ap-southeast-7 ซึ่งจะประกอบด้วย AZ 3 แห่ง ได้แก่ ap-southeast-7a, ap-southeast-7b และ ap-southeast-7c

  • เมื่อเลือก Region ควรพิจารณา:
    • การปฏิบัติตามข้อกำหนดด้านการกำกับดูแลข้อมูลและข้อกำหนดทางกฎหมาย
    • ระยะใกล้เคียงกับลูกค้า
    • ค่าบริการ และ
    • บริการที่มีอยู่ใน Region
      .
  • AZ คือ ศูนย์ข้อมูลแห่งเดียวหรือกลุ่มศูนย์ข้อมูลภายใน Region
    www.facebook.com

    Cloud Space TH

    หลายคนอาจสงสัยว่า AWS Region คืออะไร❓ 1 ประเทศจะมี 1 Region หรือเปล่า ❓ คำตอบคือไม่ใช่เสมอไปครับ เพราะว่าในบางประเทศ เช่น อเมริกา 🇺🇸 ก็มีหลาย Region เช่น N. Virginia, Oregon และ Region อื่น ๆ...
    www.facebook.com www.facebook.com

  • Amazon CloudFront เป็นบริการส่งมอบเนื้อหา โดยบริการนี้ใช้เครือข่าย Edge Location ในการ Cache เนื้อหาและส่งมอบเนื้อหาให้กับลูกค้าทั่วทุกมุมโลก เมื่อเนื้อหาได้รับการ Cache ก็จะถูกจัดเก็บไว้เป็นสำเนาในเครื่อง เนื้อหานี้อาจเป็น File Video, รูปภาพ, หน้า Web, และอื่นๆ
    www.facebook.com

    Thai ComPuter Engineer - Thaicpe

    CDN คืออิหยัง? เข้าใจง่ายๆ ใน 5 นาที: https://www.facebook.com/share/p/1DjdxxuerG . https://www.maimem.com/cdn-options-beyond-cloudflare
    www.facebook.com www.facebook.com

  • ด้วย AWS Outposts สามารถขยายโครงสร้างพื้นฐานและบริการของ AWS ไปยังตำแหน่งที่ตั้งต่างๆ ซึ่งรวมถึงศูนย์ข้อมูลในองค์กร
ระบบเครือข่าย:
  • Subnet คือส่วนของ VPC ที่สามารถจัดกลุ่มทรัพยากรตามความต้องการด้านความปลอดภัยหรือการดำเนินการได้ อาจเป็นแบบสาธารณะหรือแบบส่วนตัวก็ได้
    • Subnet สาธารณะมีทรัพยากรที่ต้องสามารถเข้าถึงได้จากสาธารณะ/Internet เช่น Website ของร้านค้า Online
    • Subnet ส่วนตัวมีทรัพยากรที่ควรสามารถเข้าถึงได้ผ่านทางเครือข่ายส่วนตัวเท่านั้น เช่น ฐานข้อมูลที่มีข้อมูลส่วนบุคคลและประวัติการสั่งซื้อของลูกค้า
    .
  • AWS Direct Connect สามารถนำไปใช้เพื่อสร้างการเชื่อมต่อแบบ Dedicated ส่วนตัวระหว่างศูนย์ข้อมูลของบริษัทกับ AWS ได้

  • รายการควบคุมสิทธิ์เข้าถึง (ACL) สำหรับเครือข่ายดำเนินการกรอง Packet แบบ Stateless โดยจะไม่จดจำข้อมูลใดๆ และจะตรวจสอบ Packet ที่ข้ามขอบเขตของ Subnet ทุกครั้งทั้งขาเข้าและขาออก
    บัญชี AWS แต่ละบัญชีจะมี ACL สำหรับเครือข่ายที่เป็นค่าเริ่มต้น เมื่อกำหนดค่า VPC สามารถใช้ ACL สำหรับเครือข่ายที่เป็นค่าเริ่มต้นของบัญชี หรือสร้าง ACL สำหรับเครือข่ายแบบกำหนดเองก็ได้
    ตามค่าเริ่มต้นแล้ว ACL สำหรับเครือข่ายที่เป็นค่าเริ่มต้นของบัญชีจะอนุญาตให้มีการรับส่งข้อมูลขาเข้าและขาออกทั้งหมด แต่สามารถปรับเปลี่ยนการตั้งค่านี้ได้โดยเพิ่มกฎของตนเอง
    ส่วน ACL สำหรับเครือข่ายแบบกำหนดเองนั้น การรับส่งข้อมูลขาเข้าและขาออกทั้งหมดจะถูกปฏิเสธจนกว่าจะเพิ่มกฎเพื่อระบุว่าการรับส่งข้อมูลใดที่ควรได้รับอนุญาต นอกจากนี้ ACL สำหรับเครือข่ายทั้งหมดยังมีกฎการปฏิเสธโดย Default อีกด้วย กฎนี้มีไว้เพื่อให้แน่ใจว่าหาก Packet ไม่ตรงกับกฎใดในรายการ Packet ดังกล่าวก็จะถูกปฏิเสธ
    เหมือน 📜 รายชื่อแขกในงานสัมนา → ACL ที่อนุญาตให้เฉพาะชื่อใน List เข้าไปในงานได้

  • Security Group (SG) เป็นแบบ Stateful ซึ่งหมายความว่ากลุ่มเหล่านี้ใช้รูปแบบและ Flow ของการรับส่งข้อมูลก่อนหน้าเมื่อประเมินคำขอใหม่สำหรับ Instance
    ตามค่าเริ่มต้นแล้ว SG จะปฏิเสธการรับส่งข้อมูลขาเข้าทั้งหมด แต่สามารถเพิ่มกฎแบบกำหนดเองเพื่อให้เหมาะกับความต้องการด้านการดำเนินการและความปลอดภัย

  • Internet gateway ใช้ในการเชื่อมต่อ VPC กับ Internet

    image.png
  • การสืบค้น DNS คือ การแปลงชื่อ Domain เป็นที่อยู่ IP
    ตัวอย่างเช่น หากต้องการเข้าชม Website ของ AnyCompany.cz ต้องป้อนชื่อ Domain ลงใน PC และคำขอนี้จะถูกส่งไปยัง Server DNS มันจะขอที่อยู่ IP กับ Website ของ AnyCompany จาก Web Server โดย Web Server จะตอบกลับโดยให้ที่อยู่ IP หมายเลข 193.84.128.201 สำหรับ Website ของ AnyCompany
พื้นที่เก็บข้อมูล:
  • Amazon EBS เหมาะสำหรับข้อมูลที่ต้องเก็บรักษา เหมือนแยก Drive ออกจาก Computer Host ของ EC2 Instance

  • EBS Volume ต้องอยู่ใน AZ เดียวกันกับ Amazon EC2 Instance ที่ Attach ไว้
    ข้อมูลในระบบ File Amazon EFS สามารถเข้าถึงได้พร้อมกันจากทุก AZ ใน Region ที่ระบบ File ตั้งอยู่

  • Class ของพื้นที่เก็บข้อมูล S3 Standard-Infrequent Access (IA) เหมาะอย่างยิ่งสำหรับข้อมูลที่ไม่ได้มีการเข้าถึงบ่อยครั้ง แต่ต้องมีความพร้อมใช้งานสูงเมื่อจำเป็น ทั้ง S3 Standard และ S3 Standard-IA จัดเก็บข้อมูลไว้ใน AZ อย่างน้อย 3 แห่ง S3 Standard-IA มีความพร้อมใช้งานในระดับเดียวกับ S3 Standard แต่มีค่าบริการพื้นที่เก็บข้อมูลต่ำกว่า
    www.facebook.com

    Thai ComPuter Engineer - Thaicpe

    วันก่อนรู้จัก Compute กันไปแล้ว วันนี้มารู้จัก AWS Storage กันคับ คุณ Sumbul อธิบายไว้ดีมาก: https://medium.com/@sumbul.first/story-of-aws-storage-3d1934c1a336 ....
    www.facebook.com www.facebook.com

  • Code: 
    https://www.linkedin.com/pulse/understanding-amazon-s3-storage-classes-making-most-cloud-ajit-pisal
    1693393916325

    WtlDs4rh4ssfZSmfSZLpY6KLMfg.png

  • สถานการณ์ที่ควรใช้ Amazon Relational Database Service (Amazon RDS):
    • การใช้ SQL เพื่อจัดระเบียบข้อมูล
    • การจัดเก็บข้อมูลในฐานข้อมูล Amazon Aurora
      .
  • Amazon DynamoDB คือบริการฐานข้อมูลแบบ Key-value และ Serverless ซึ่งหมายความว่าไม่จำเป็นต้อง Patch หรือจัดการ Server

  • Amazon Redshift คือบริการคลังข้อมูลที่สามารถใช้เพื่อการวิเคราะห์ Big Data ใช้เพื่อรวบรวมข้อมูลจากแหล่งข้อมูลมากมาย และช่วยให้เข้าใจความสัมพันธ์และแนวโน้มในข้อมูล
Security & Compliance:
  • ประโยชน์ของการใช้ AWS Cloud:
    • ตอบสนองต่อมาตรฐานสูงสุดด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูล
    • จัดการ Key เข้ารหัส (Encryption Key) พร้อมตัวเลือกที่หลากหลาย
    • Scale ด้วยการมองเห็นที่มากขึ้น
    • ทำงานอัตโนมัติเพื่อเพิ่มความปลอดภัยและลดความเสี่ยง
    • ใช้การควบคุมและการติดตามในระดับละเอียด เช่น
      • ให้ User A อ่าน File จาก S3 Bucket ได้อย่างเดียว แต่ไม่สามารถลบ File ได้
      • ใช้ IAM Roles หรือ Policy แยกตาม App/Team เพื่อให้สิทธิ์เฉพาะที่จำเป็น (Least Privilege)
      • CloudWatch ติดตามการทำงานของ EC2, Lambda, RDS ฯลฯ พร้อมการตั้ง Alarm ถ้ามีค่าผิดปกติ
      • CloudTrail ติดตามว่าใครทำอะไรกับทรัพยากรใน AWS (Audit Log) เช่น ใครลบ EC2 Instance, ใครแก้ IAM Policy
      • AWS Config ตรวจสอบการตั้งค่า (Configuration) ของทรัพยากร และแจ้งเตือนถ้ามีการเปลี่ยนแปลงที่ไม่ตรงตามมาตรฐาน
    • ช่วยลดความจำเป็นในการทำงานด้วยตนเอง
    • ไม่จำเป็นต้องซื้อ Hardware ภายในองค์กร (On-premises) อีกต่อไป
    • ไม่ต้องจ่ายค่าบริการล่วงหน้าสำหรับ AWS แต่จะจ่ายตามการใช้งานจริง
      .
  • AWS มอบการควบคุมในระดับที่ละเอียด เพราะการควบคุมแบบเดียวไม่สามารถตอบโจทย์ลูกค้าทุกคนได้
    เมื่อลูกค้าเลือก AWS Region สำหรับจัดเก็บข้อมูล ข้อมูลจะไม่ถูกทำสำเนาหรือย้ายไปที่อื่น เว้นแต่ลูกค้าเป็นผู้เลือกเอง
    AWS ยังมอบเครื่องมือในการควบคุม การมองเห็น และบริการที่เป็นมิตรต่อการตรวจสอบ (Audit-friendly) เพื่อช่วยให้ลูกค้าสามารถปฏิบัติตามกฎหมายและข้อบังคับด้านความเป็นส่วนตัวของข้อมูลในแต่ละประเทศได้ โดยครอบคลุมตั้งแต่การควบคุมว่าใครสามารถเข้าถึงข้อมูลได้ ไปจนถึงการจัดการข้อมูลตลอด Lifecycle รวมถึงขั้นตอนการลบข้อมูลเมื่อหมดความจำเป็น

  • ลูกค้าเป็นผู้รับผิดชอบด้านความปลอดภัย ภายใน AWS Cloud ซึ่งรวมถึงการรักษาความปลอดภัยของเนื้อหา, ระบบ, และเครือข่ายของตนเอง เช่นเดียวกับที่ต้องทำกับ App ใน Data Center แบบ On-premises ลูกค้าจะยังคงต้องรับผิดชอบในการปกป้อง ความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity) และ ความพร้อมใช้งาน (Availability) ของข้อมูลของตน
:cool:
 
Last edited:
PlAwAnSaI

PlAwAnSaI

Administrator
  • AWS ดูแล ความปลอดภัยของCloud
    • รักษาความปลอดภัยของศูนย์ข้อมูลทางกายภาพ (Physical)
    • ปกป้องโครงสร้างพื้นฐานระดับโลกที่ใช้ในการให้บริการทั้งหมดบน AWS Cloud โครงสร้างพื้นฐานนี้ครอบคลุมทั้ง Hardware, Software, ระบบเครือข่าย และสถานที่อย่างศูนย์ข้อมูล ที่ใช้ในการ Run บริการของ AWS
    • ปกป้องบริการของ AWS เอง เช่น การประมวลผล (Compute), การจัดเก็บข้อมูล (Storage), เครือข่าย (Networking), และฐานข้อมูล
  • ผู้ดูแลระบบ Cloud (Cloud Administrator) ต้องคำนึงถึงการจัดการสิทธิ์ผู้ใช้งานและการ Share ทรัพยากรในแต่ละวัน ส่วน AWS มีหน้าที่รับผิดชอบในการปกป้องโครงสร้างพื้นฐานระดับโลก ติดตั้งและ Update Patch Hardware Compute รวมถึงดูแลการตั้งค่าของอุปกรณ์โครงสร้างพื้นฐานของ AWS

  • บริการด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด (Compliance) ของ AWS มี 6 หมวดหลัก ๆ
    1. Identity & Access Management – จัดการตัวตนและสิทธิ์การเข้าถึง เช่น IAM, SSO
      • IAM ใช้สำหรับ จัดการตัวตน (ผู้ใช้, App, ระบบ) และ สิทธิ์การเข้าถึงบริการหรือทรัพยากรใน AWS ได้อย่างปลอดภัยและรองรับการใช้งานในระดับใหญ่ (Scale) 👉 ระบบควบคุมว่า "ใคร" เข้าถึง "อะไร" ใน AWS ได้บ้าง และทำอะไรได้บ้าง เช่น ดู, แก้ไข, ลบ
    2. Detection – ตรวจจับความเสี่ยง การตั้งค่าที่ผิดพลาด ภัยคุกคาม หรือพฤติกรรมที่ไม่ปกติ เช่น GuardDuty, Security Hub
      • Security Hub ช่วยให้เห็นภาพรวมแบบครบถ้วนของสถานะความปลอดภัยและการปฏิบัติตามมาตรฐาน (Compliance) บน AWS ซึ่งจะช่วยในการจัดการการแจ้งเตือนด้านความปลอดภัย และทำการตรวจสอบความปลอดภัยแบบอัตโนมัติได้
    3. Network & App Protection – ป้องกันเครือข่ายและ App เช่น WAF, Shield
    4. Data Protection – ปกป้องข้อมูลด้วยการเข้ารหัสและควบคุมการเข้าถึง เช่น KMS, Macie
      www.facebook.com

      Thai ComPuter Engineer - Thaicpe

      เราจะดูได้มั้ยว่ามีรูปที่มีข้อมูลส่วนบุคคล/รูปโป๊ ใน S3 ของเราบ้างรึป่าว นี่เลยคับ Amazon Macie ช่วยได้ มันคือระบบ Machine Learning สำหรับตรวจสอบหาข้อมูล Sensitive Data บน Cloud ใน AWS...
      www.facebook.com www.facebook.com
    5. Incident Response – การตอบสนองเมื่อเกิดเหตุด้านความปลอดภัย เช่น Detective เป็นเครื่องมือที่ช่วย สืบสวนเหตุการณ์ด้าน Security
    6. Compliance – บริการและเครื่องมือช่วยลูกค้าให้ทำตามมาตรฐานและกฎหมาย เช่น Artifact, Audit Manager, Config
      👉 แต่ละหมวดช่วยให้ลูกค้ามี การควบคุม ความมั่นใจ และการปฏิบัติตามข้อกำหนด ได้ง่ายขึ้น
      .
  • AWS Partner Solutions Finder เป็นเครื่องมือที่ช่วยให้ค้นหา AWS Partner ที่สามารถช่วยเร่งเส้นทางการใช้งาน Cloud ของลูกค้าได้ สามารถค้นหาได้ตาม พื้นที่ตั้ง (Location), Solution เฉพาะ, อุตสาหกรรม (Healthcare, Financial, etc.), และ Use Case ที่ต้องการ
Customer Questions:
  • ลูกค้ากังวลว่าข้อมูลจะไม่ปลอดภัย >
    โครงสร้างพื้นฐานหลักของ AWS ถูกสร้างขึ้นมาเพื่อตอบสนองความต้องการด้านความปลอดภัยของหน่วยงานทหาร, ธนาคารระดับโลก, และองค์กรที่มีความอ่อนไหวสูงอื่น ๆ โดยมีเครื่องมือด้านความปลอดภัยบน Cloud ที่ครอบคลุมจำนวนมากรองรับ ซึ่งรวมแล้วมีมากกว่า 300 บริการและ Feature ที่เกี่ยวข้องกับ ความปลอดภัย, การปฏิบัติตามข้อกำหนด (Compliance), และการกำกับดูแล (Governance)

  • ข้อมูลของลูกค้าจะเป็นส่วนตัวเพื่อป้องกันไม่ให้คนอื่นเข้าถึงหรือไม่? >
    Amazon และ AWS ให้ความสำคัญอย่างยิ่งต่อความเป็นส่วนตัวของลูกค้า และได้ดำเนินมาตรการทั้งด้าน Technique และด้านกายภาพเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต มี Team ผู้เชี่ยวชาญด้านความปลอดภัยระดับโลกคอยเฝ้าระวังและตรวจสอบระบบตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ เพื่อปกป้องข้อมูลของลูกค้า

  • ลูกค้าได้ยินข่าวว่ามีข้อมูลสำคัญรั่วไหล >
    หลักการสำคัญอย่างหนึ่งของ AWS คือการมอบความยืดหยุ่นให้ผู้พัฒนาสามารถปรับเปลี่ยนการตั้งค่าเริ่มต้น (Default Configuration) ให้เหมาะสมกับรูปแบบของ App ที่พวกเขากำลังสร้างขึ้นได้ อย่างไรก็ตาม เช่นเดียวกับการใช้งานในระบบ On-premises หรือตามที่อื่น ๆ เมื่อใดก็ตามที่ลูกค้าตั้งค่าการควบคุมการเข้าถึง (Access Control Configuration) ใหม่ ลูกค้าต้องมั่นใจว่าการตั้งค่านั้นปกป้องการเข้าถึงได้ตามที่ตั้งใจไว้ AWS มีบริการหลายอย่างที่ช่วยลูกค้าในการตรวจสอบ (Audit) และพิจารณาการเปลี่ยนแปลงการตั้งค่าเหล่านี้ เพื่อป้องกันไม่ให้เกิดการเปิดเผยข้อมูล (Data Exposure)

  • ลูกค้าจะได้มาตรฐาน HIPAA (ข้อมูลสุขภาพ) เลยหรือไม่ เมื่อย้าย App ไปยัง AWS Cloud? >
    ลูกค้าจะไม่ได้ เป็นไปตามข้อกำหนด (Compliant) โดยอัตโนมัติ ถึงแม้ AWS จะช่วยสนับสนุนให้ก้าวไปในเส้นทางนั้น แต่มันไม่ได้ทำให้ปฏิบัติตามข้อกำหนดอย่างสมบูรณ์ ลูกค้าจะต้องปฏิบัติตามข้อกำหนดด้านกฎระเบียบ (Regulatory Compliance) และ รับรองความปลอดภัย (Security Assurance) เองด้วย เป็นความรับผิดชอบร่วมกัน (Shared Responsibility) โดย AWS จะมีเครื่องมือและทรัพยากรให้ลูกค้าใช้เพื่อช่วยให้สอดคล้องตามข้อกำหนด แต่สุดท้ายแล้ว เป็นความรับผิดชอบของลูกค้าที่ต้องรู้และเข้าใจวิธีปฏิบัติเพื่อให้เป็นไปตามข้อกำหนดนั้น ๆ

  • จะจัดการความต้องการด้านความเป็นส่วนตัวและการควบคุมข้อมูลด้วย AWS ได้อย่างไร? >
    ตั้งแต่แรกเริ่ม แนวทางของ AWS คือการออกแบบระบบให้ลูกค้ามี การควบคุมข้อมูลได้อย่างเต็มที่ตั้งแต่ต้น โดยไม่ต้องแลกกับประสิทธิภาพหรือความสามารถอื่น ๆ ด้วยแนวทางนี้ ลูกค้าจึงสามารถตอบสนองต่อข้อกำหนดด้านกฎหมายและการจัดการข้อมูลของแต่ละประเทศได้ โดยไม่กระทบต่อประสิทธิภาพ ความสามารถในการสร้างสรรค์ และการขยายตัวของบริการ Cloud AWS

    AWS ยังนำเสนอนวัตกรรมต่าง ๆ ที่เน้นผู้ใช้งานเป็นศูนย์กลาง ทั้งในระดับโครงสร้างพื้นฐาน เช่น การออกแบบ Region, AWS Europe Sovereign Cloud, AWS Dedicated Local Zone ตลอดจนการพัฒนาบริการและ Feature ใหม่ ๆ เช่น AWS Nitro System, AWS Control Tower และทางเลือกในการเข้ารหัสข้อมูลหลายรูปแบบ เช่น External Key Store

    AWS มุ่งมั่นที่จะมอบเครื่องมือและ Feature ด้านการควบคุมข้อมูลที่ก้าวล้ำที่สุดให้แก่ลูกค้าทุกคน เพื่อให้มั่นใจได้ว่าการใช้งานบน Cloud เป็นไปตามข้อกำหนดของแต่ละประเทศได้อย่างมั่นคงและปลอดภัย

  • ลูกค้ามีการใช้ Software Third-party สำหรับความต้องการด้านความปลอดภัยบางส่วน จะสามารถใช้บน AWS ได้หรือไม่? >
    AWS มี Partner มากกว่า 100,000 ราย จากกว่า 150 ประเทศ ครอบคลุมทั้งผู้พัฒนา Software อิสระ (ISV) และผู้ให้บริการ SaaS ซึ่งหลายรายได้เผยแพร่ผลิตภัณฑ์ของตนเองบน AWS Marketplace เพื่อช่วยให้องค์กรทำงานด้านการจัดซื้อ (Procurement), การจัดเตรียมระบบ (Provisioning), และการกำกับดูแล (Governance) ได้ง่ายขึ้น Partner สามารถช่วยค้นหา Solution ที่ใช้อยู่แล้วบน Marketplace ได้

  • ลูกค้าพึ่งจะเริ่มใช้งาน AWS Cloud จะพัฒนาทักษะของพวกเขาได้อย่างไร? >
    AWS มีแหล่งเรียนรู้และการฝึกอบรม เช่น AWS Skill Builder ซึ่งเป็น Platform อบรม Online ของ AWS ที่ช่วยให้ Team สามารถพัฒนาทักษะด้าน AWS Cloud ได้อย่างต่อเนื่อง
ความปลอดภัย
  • ตัวอย่างงานที่เป็นความรับผิดชอบของลูกค้า:
    • การ Patch Software บน Amazon EC2 Instance
    • การกำหนดสิทธิ์สำหรับ Object Amazon S3
      .
  • ใน AWS มี 2 ระดับนโยบาย ที่ต้องเข้าใจคือ:
    .
    1. 🟦IAM Policy เอกสารที่ให้หรือปฏิเสธสิทธิ์ในบริการและทรัพยากรของ AWS ในระดับบัญชี Account
      • เอาไว้กำหนดสิทธิ์ในบัญชีเดียว
      • ใครจะทำอะไรได้บ้าง → Attach ให้ User, Group, หรือ Role
      • ตัวอย่าง:
        • Allow ให้ Dev ทำ s3: PutObject ใน S3 Bucket ชื่อ dev-bucket
        • หรือ Deny ให้ User บางคนใช้ EC2 ได้แค่ Region ap-southeast-1
      • อยู่ภายใต้ขอบเขตของบัญชี (AWS Account) เท่านั้น

        ใช้เมื่อ:
      • ต้องการจัดการสิทธิ์ผู้ใช้ในบัญชีเดียว
      • ควบคุมละเอียดว่าผู้ใช้/Role ตัวนี้ทำอะไรได้บ้าง
        .
    2. 🟩Service Control Policy (SCP) (ในระดับองค์กร Organization)
      • ใช้ใน AWS Organizations เท่านั้น
      • เป็น “กรอบใหญ่” หรือ Maximum Permission Boundary
      • บังคับใช้กับ OU, บัญชีสมาชิก (Member Account) หรือทั้งองค์กร รวมทั้ง Root User
      • ถึงแม้ IAM Policy ในบัญชียอมให้ทำ แต่ถ้า SCP ไม่ให้ → ก็ทำไม่ได้
      • แต่ถ้า SCP ให้ แต่ IAM Policy ไม่ให้ → ก็ยังทำไม่ได้ เช่นกัน
        → สิทธิ์ที่แท้จริง = สิทธิ์ที่ทั้งสองฝั่ง “Allow” พร้อมกัน

        ใช้เมื่อ:
      • องค์กรมีหลายบัญชี → ต้องตั้งข้อจำกัดระดับองค์กร
      • เช่น ห้ามทุกบัญชีสร้าง Resource นอก Region ap-southeast-1
      • หรือห้ามใช้บริการแพง ๆ เช่น Amazon Neptune ทุกบัญชี
        .
  • IAM Role = ตัวตนชั่วคราว + ชุดสิทธิ์
    เวลา สวมบทบาท (Assume Role) จะได้สิทธิ์ตามบทบาทนั้นแทนสิทธิ์เดิม พอหมด Session หรือเลิกใช้ Role สิทธิ์ก็หายไป → เหมาะกับงานที่ต้องใช้สิทธิ์พิเศษชั่วคราว เช่น
    • Team Dev ต้องแก้ไข Production ชั่วคราว
    • App หนึ่งต้องเข้าถึง S3 หรือ DynamoDB แต่ไม่ควรเก็บ Key ถาวร
    • บริการ Cross-account Access → เช่น บัญชี A ให้บัญชี B เข้าถึง S3 ของมันได้ผ่าน Role
      ต่างจาก IAM User → ผู้ใช้จะมี Credential และสิทธิ์ถาวร (จนกว่าจะถูกลบหรือเปลี่ยน)
:cool:
 
Last edited:
PlAwAnSaI

PlAwAnSaI

Administrator
  • เมื่อมอบสิทธิ์โดยดำเนินการตามหลักการให้สิทธิ์เท่าที่จำเป็น (Least Privilege) จะป้องกันไม่ให้ผู้ใช้หรือบทบาทมีสิทธิ์มากเกินความจำเป็นในการปฏิบัติงานที่เฉพาะเจาะจง ตัวอย่างเช่น Cashier ในร้านกาแฟควรได้รับสิทธิ์เข้าถึงระบบเครื่องชำระเงิน เนื่องจากเป็น Best Practice ให้มอบชุดสิทธิ์ขั้นต่ำแก่ผู้ใช้และบทบาทใน IAM แล้วมอบสิทธิ์เพิ่มเติมตามความจำเป็น
  • งานที่สามารถทำให้เสร็จสมบูรณ์ได้ใน AWS Artifact:
    • เข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ตามความต้องการ
    • ตรวจสอบ ยอมรับ และจัดการข้อตกลงกับ AWS
      .
  • ขณะที่มีการส่งข้อมูลทางเครือข่ายเข้าสู่ App, AWS Shield ใช้ Technique การวิเคราะห์ที่หลากหลายเพื่อตรวจจับการโจมตีแบบ DDoS ที่อาจเกิดขึ้นแบบ Real-time พร้อมกับลดความเสียหายจากภัยคุกคามนั้นโดยอัตโนมัติ

  • AWS Key Management Service (KMS) ช่วยให้ลูกค้าสามารถดำเนินการเข้ารหัสข้อมูลผ่านการใช้ Key เข้ารหัสลับ
    Key เข้ารหัสลับคือ String ตัวเลขแบบสุ่มที่ใช้สำหรับการ Lock (การเข้ารหัส) และการปลด Lock (การถอดรหัส) ข้อมูล สามารถใช้ AWS KMS เพื่อสร้าง จัดการ และใช้งาน Key เข้ารหัสลับได้ นอกจากนี้ สามารถควบคุมการใช้ Key ในหลากหลายบริการและใน App ของลูกค้าได้เช่นกัน
ข้อมูลเบื้องต้น:
  • Amazon CloudWatch สามารถ:
    • ติดตามตรวจสอบการใช้งานและประสิทธิภาพทรัพยากร
    • ดูและติดตาม Metric จากหลายบริการหรือหลายทรัพยากร ได้ในหน้าจอเดียวของ CloudWatch Dashboard ทำให้ไม่ต้องสลับไปหลายหน้าหรือหลายเครื่องมือเพื่อดูข้อมูลแต่ละส่วน
      .
  • AWS CloudTrail สามารถ:
    • ติดตามกิจกรรมของผู้ใช้และคำขอ API ทั่วทั้งโครงสร้างพื้นฐาน AWS
    • กรองบันทึกเพื่อช่วยในการวิเคราะห์และการแก้ไขปัญหาด้านการดำเนินการ
      .
  • AWS Trusted Advisor เป็น Web Service ที่ตรวจสอบสภาพแวดล้อม AWS และให้การแนะนำแบบ Real-time ตาม Best Practice ของ AWS ใน 5 หมวดหมู่ ได้แก่
    • การปรับค่าใช้จ่ายให้เหมาะสม
    • ประสิทธิภาพ
    • การรักษาความปลอดภัย เช่น Amazon S3 Bucket ที่มีสิทธิ์เข้าถึงแบบ Public Access (ใครก็สามารถเข้าถึงได้)
    • ความทนทานต่อความล้มเหลว และ
    • Service Limit
ค่าบริการ & Support:
  • ในช่วงเวลา 12 เดือนหลังจากที่ลงทะเบียนบัญชี AWS เป็นครั้งแรก สามารถใช้บาง Service Free 12 เดือนได้ ตัวอย่างเช่น เก็บข้อมูล Amazon S3 Standard ได้ 5 GB, ใช้ Amazon EC2 ได้เดือนละ 750 ชั่วโมง, และปริมาณการถ่ายโอนข้อมูลออกของ Amazon CloudFront ได้เดือนละ 50 GB

  • รวมการใช้งานในบัญชีต่างๆ เพื่อรับส่วนลดค่าบริการตาม Volume

  • ใน AWS Budgets สามารถตั้งการแจ้งเตือนแบบกำหนดเองที่จะเตือนเมื่อมีการใช้บริการเกิน (หรือคาดการณ์ว่าจะเกิน) จากจำนวนงบประมาณที่ตั้งไว้

  • AWS Cost Explorer มีรายงานที่เป็นค่าเริ่มต้นเกี่ยวกับค่าใช้จ่ายและการใช้งานของ AWS ที่มีค่าใช้จ่ายสูงสุด 5 บริการแรก โดยสามารถใช้ตัวกรองและกลุ่มแบบกำหนดเองเพื่อวิเคราะห์ข้อมูลได้ ตัวอย่างเช่น สามารถดูการใช้งานทรัพยากรในระดับรายชั่วโมงได้

  • Basic Support หรือ Developer Support → จะเข้าถึง AWS Trusted Advisor ได้ เฉพาะหมวด Service Limit กับ Security บางรายการ เท่านั้น
    ส่วน Business เป็นแผน Support ที่มีค่าใช้จ่ายถูกที่สุดที่ → จะได้ Full Trusted Advisor Check ครบทั้ง 5 หมวด

  • Technical Account Manager (TAM) มีให้บริการเฉพาะลูกค้า AWS ที่ใช้แผน Support แบบ Enterprise On-Ramp และ Enterprise เท่านั้น
    TAM จะให้คำแนะนำ การตรวจสอบสถาปัตยกรรม และจะสื่อสารกับบริษัทลูกค้าอย่างต่อเนื่อง ขณะที่ลูกค้าวางแผน ติดตั้งใช้งาน และเพิ่มประสิทธิภาพ App

  • AWS Marketplace เป็น Catalog Digital ที่มีรายชื่อ Software นับพันรายการจากผู้จำหน่าย Software อิสระ (ISV) สามารถใช้ AWS Marketplace เพื่อค้นหา ทดสอบ และซื้อ Software ที่ทำงานบน AWS ได้
การย้ายข้อมูล:
  • มุมมองด้าน Platform ของ Framework การนำ AWS Cloud ไปใช้งานช่วยให้ออกแบบ นำไปใช้ และเพิ่มประสิทธิภาพโครงสร้างพื้นฐานของ AWS ตามเป้าหมายทางธุรกิจ ยังรวมถึงหลักในการนำ Solution ใหม่ๆ ไปใช้ และการย้าย Workload ในองค์กรไปยังระบบ Cloud

  • Repurchasing (การซื้อทดแทน) เกี่ยวข้องกับการนำ App Version บน Cloud เช่น Software ที่พบใน AWS Marketplace มาใช้แทน App ที่มีอยู่

  • Snowball Edge Storage Optimized เป็นอุปกรณ์ที่ช่วยให้ถ่ายโอนข้อมูลจำนวนมากเข้าและออกจาก AWS ได้ มีพื้นที่เก็บข้อมูล HDD ที่ใช้งานได้ขนาดไม่เกิน 80 TB

  • Amazon SageMaker ช่วยให้เริ่มทำงานใน Project Machine Learning ได้อย่างรวดเร็วและง่ายดาย ไม่จำเป็นต้องปฏิบัติตามกระบวนแบบเดิมในการรวบรวมเครื่องมือและ Workflow ที่แยกจากกันด้วยตนเอง
:cool:
 
Last edited:
You must log in or register to reply here.
Top