概觀
您是 AnyCompany 的安全工程師。您負責公司所有 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、儲存在執行個體上的資料 (靜態資料) 以及在執行個體之間傳輸的資料 (傳輸中的資料) 的安全。
AnyCompany 的應用程式開發人員經常將 EC2 執行個體用於前端 Web 伺服器和後端資料庫伺服器。您不必在部署每個新執行個體時對其應用與安全相關的調整,而是想要為所有公司執行個體提供預設定的基本映像。
在此實驗室中,您將建立含有各種組態變更的自訂 Amazon Machine Image (AMI)。然後,您從自訂 AMI 部署一個新執行個體,並採用到該執行個體的使用者資料指令碼,以新增專屬於該執行個體功能的新使用者。然後,您將了解如何使用 AWS Systems Manager 來修補執行個體。最後,您會使用 Amazon Elastic Block Store (Amazon EBS) 加密和安全群組規則來保護公司的靜態及傳輸資料。
目標
此實驗室結束後,您將能夠執行下列動作:
- 建立自訂 AMI。
- 從自訂 AMI 部署新的 EC2 執行個體。
- 使用 AWS Systems Manager 修補 EC2 執行個體。
- 將 EBS 磁碟區加密。
- 了解 EBS 加密的運作原理以及其如何影響其他操作,例如快照。
- 使用安全群組來限制 EC2 執行個體之間的流量,僅允許加密的流量。
技術知識先決條件
若要成功完成此實驗室,您應該熟悉 AWS 管理主控台的基本瀏覽方式,並了解如何在 Linux Command Line Interface (CLI) 中執行命令。
持續時間
此實驗室需要大約 45 分鐘的時間來完成。
圖示圖例
此實驗室使用各種圖示提醒您注意不同類型的指示和注意事項。下列清單說明各圖示的用途:
- 命令:您必須執行的命令。
- 預期輸出:您可使用的範例輸出,以驗證命令的輸出內容或經過編輯的檔案。
- 注意:提示、秘訣或重要指引。
- 其他資訊:取得更多資訊的位置。
- 提醒:有特殊影響或重要性的資訊 (如果您錯過此資訊,不會對設備或資料造成太大的問題,但可能會導致需要重複特定步驟)。
- 考慮:暫停一下,思考如何在自己的環境中應用概念或啟動與手邊主題有關的對話。
- 重新整理:您可能需要重新整理 Web 瀏覽器頁面或清單,以顯示新資訊的時機。
環境概觀
下圖顯示實驗室環境的基本架構:
下列清單詳細描述圖表中主要資源:
- 一個 VPC,在一個可用區域內有一個公有子網路和兩個私有子網路,在第二個可用區域內有一個公有子網路。
- 具有兩個節點的 Network Load Balancer,每個公有子網路中有一個節點。
- 在第一個私有子網路中充當 Web 伺服器的 EC2 執行個體。
- 在第二個私有子網路中充當資料庫伺服器的 EC2 執行個體。
- 兩個安全群組,根據其用途,每個執行個體一個。
網路流量從外部使用者透過網際網路閘道流向兩個 Network Load Balancer 節點之一,然後流向 Web 伺服器。如果請求在 Web 伺服器上執行的 WordPress 部落格網站的 URL,流量也會流向資料庫伺服器。
