概览
您是 AnyCompany 的一名安全工程师。您负责公司的所有 Amazon Elastic Compute Cloud (Amazon EC2) 实例、存储在这些实例上的数据(静态数据)以及在这些实例之间传输的数据(传输中的数据)的安全性。
AnyCompany 的应用程序开发人员经常使用 EC2 实例作为前端 Web 服务器和后端数据库服务器。您希望为公司的所有实例提供一个预先配置的基础映像,而不是在部署每个新实例时对其进行安全方面的调整。
在本实验中,您将创建一个包含各种配置更改的自定义 Amazon Machine Image (AMI)。然后,您将从该自定义 AMI 部署一个新实例,并对此实例使用用户数据脚本,以便添加一个特定于实例功能的新用户。接着,您将了解如何使用 AWS Systems Manager 修补实例。最后,您将使用 Amazon Elastic Block Store (Amazon EBS) 加密和安全组规则来保护静态和传输中的公司数据。
目标
本实验结束时,您将能够:
- 创建自定义 AMI。
- 从自定义 AMI 部署新的 EC2 实例。
- 使用 AWS Systems Manager 修补 EC2 实例。
- 加密 EBS 卷。
- 了解 EBS 加密的工作原理及其如何影响其他操作(如拍摄快照)。
- 使用安全组,将 EC2 实例之间的流量限制为仅允许加密的流量通过。
技术性知识先决条件
要成功完成本实验,您应该熟悉 AWS 管理控制台的基本导航操作,并且能够熟练在 Linux Command Line Interface (CLI) 中运行命令。
时长
完成本实验大约需要 45 分钟。
图标键
本实验中使用了不同图标,以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途:
- 命令:您必须运行的命令。
- 预期输出:您可以用来验证命令或已编辑文件输出的示例输出。
- 注意:一项提示、技巧或重要指导。
- 附加信息:查找详细信息的位置。
- 提醒:提示特别相关或重要的信息(重要程度还不至于不查看会引起设备或数据问题,但可能导致需要重复某些步骤)。
- 思考:暂停一下,思考如何在自己的环境中应用某个概念,或者就当前的主题展开讨论。
- 刷新:您可能需要刷新 Web 浏览器页面或列表才能看到新信息。
环境概览
下图显示了实验环境的基本架构:
下面的列表详细列出了图中的主要资源:
- 一个在第一个可用区具有一个公有子网和两个私有子网且在第二个可用区具有一个公有子网的 VPC。
- 一个具有两个节点(每个公有子网中各有一个)的 Network Load Balancer。
- 一个在第一个私有子网中充当 Web 服务器的 EC2 实例。
- 一个在第二个私有子网中充当数据库服务器的 EC2 实例。
- 两个安全组,每个安全组根据实例用途各自对应一个实例。
网络流量从外部用户流经互联网网关,到达两个 Network Load Balancer 节点之一,最后到达 Web 服务器。如果请求在 Web 服务器上运行的 WordPress 博客站点的 URL,流量也会流向数据库服务器。