云計算技術

單元1云計算及亞馬遜云科技簡介單元概述

隨著互聯網技術的高速發展，云計算得到了廣泛應用本單元將介紹云計算和亞馬遜云科技的概念了解什么是云計算和亞馬遜云科技如何注冊亞馬遜云科技海外賬戶和教育者賬戶開始使用亞馬遜云科技服務學習目標云計算的概念云計算的模式云計算的優勢亞馬遜云科技亞馬遜云科技基礎設施注冊亞馬遜云科技中國區賬號項目1了解云計算

本項目主要介紹云計算的相關概念以及云計算的優勢項目描述項目1了解云計算

任務1了解云計算的概念1.什么是云計算2006年Google首席執行官埃里克·施密特（EricSchmidt）首次提出“云計算”（CloudComputing）的概念。2006年3月14日亞馬遜云科技推出第一項商用存儲服務AmazonS3，從此云計算技術和相關產業迅速發展，應用也日益廣泛項目1了解云計算

狹義上講，云計算就是一種提供資源的網絡，使用者可以隨時獲取“云”上的資源，按需求量使用，并且可以看成是無限擴展的從廣義上說，云計算是與信息技術、軟件、互聯網相關的一種服務，這種計算資源共享池叫做“云”，云計算把許多計算資源集合起來，通過軟件實現自動化管理，只需要很少的人參與,就能讓資源被快速提供項目1了解云計算

2.云計算的模式云計算已經日漸普及，并擁有了幾種不同的模型和部署策略，以滿足不同用戶的特定需求。每種類型的云服務和部署方法都提供了不同級別的控制力、靈活性和管理功能。理解基礎設施即服務、平臺即服務和軟件即服務之間的差異，以及可以使用的部署策略，有助于根據需求選用合適的服務組合按服務模式分類按部署模式分類項目1了解云計算

按服務模式分類基礎設施即服務(IaaS)平臺即服務(PaaS)軟件即服務(SaaS)基礎設施即服務(IaaS)：基礎設施即服務包含云IT的基本構建塊，通常提供對聯網功能、計算機（虛擬或專用硬件）以及數據存儲空間的訪問平臺即服務(PaaS)：平臺即服務消除了組織對底層基礎設施（一般是硬件和操作系統）的管理需要，讓用戶可以將更多精力放在應用程序的部署和管理上面軟件即服務(SaaS)：軟件即服務提供了一種完善的產品，其運行和管理皆由服務提供商負責。人們通常所說的軟件即服務指的是終端用戶應用程序項目1了解云計算

公有云：基于云的應用程序完全部署在云中，并且應用程序的所有部分都在云中運行。云中的應用程序既可以在云中創建，也可以從現有基礎設施中遷移而來私有云：當用戶從自己的數據中心構建和運營云基礎設施時，稱為本地或私有云。它可提供專有資源，是需要滿足特定合規性標準的組織的熱門選擇混合云：混合部署是將基于云的資源和云以外的現有資源之間的基礎設施和應用程序連接起來的一種方式按部署模式分類公有云私有云混合云項目1了解云計算

任務2了解云計算的優勢云計算的優勢敏捷性彈性節省成本全球部署項目2了解亞馬遜云科技

任務1了解什么是亞馬遜云科技1.亞馬遜云科技簡介AmazonWebServices2006AmazonSimpleStorageServiceAmazonElasticComputeCloudAmazonSimpleQueueService項目2了解亞馬遜云科技

亞馬遜云科技(AmazonWebServices)是全球最全面、應用最廣泛的云平臺，從全球數據中心提供超過200項（截止2021年12月）功能齊全的服務亞馬遜云科技作為領先的云平臺，具有以下特點服務最廣最大的客戶群體和合作伙伴社區安全功能完善更快的創新速度更成熟的運營專業能力項目2了解亞馬遜云科技

2.亞馬遜云科技提供的服務亞馬遜云科技從數據庫到部署工具，從目錄到內容交付，從網絡到計算服務，提供超過200多種不同的服務（截止2021年12月），所有這些服務都位于亞馬遜云科技全球基礎設施上，用于幫助企業擴展和增長計算AmazonElasticComputeCloud(AmazonEC2)AmazonLambdaAmazonElasticBeanstalk聯網AmazonVirtualPrivateCloud(VPC)AmazonRoute53（以及DNS（域名服務））存儲AmazonElasticBlockStore(EBS)AmazonS3（簡單存儲服務）AmazonGlacier數據庫AmazonRDS（關系型數據庫服務）AmazonDynamoDB（NoSQL數據庫）項目2了解亞馬遜云科技

任務2了解亞馬遜云科技基礎設施1.亞馬遜云科技全球基礎設施亞馬遜云科技擁有最廣泛的全球云基礎設施，超過為245個國家或地區的數百萬個客戶提供服務，并將逐步擴大全球基礎設施項目2了解亞馬遜云科技

云科技云基礎設施區域（Region）可用區(AvailabilityZone，AZ)本地擴展區邊緣站點WavelengthZones,Outposts

項目2了解亞馬遜云科技

2.亞馬遜云科技基礎設施功能亞馬遜云科技基礎設施在區域和可用區附近構建，區域提供多個物理分隔并隔離的可用區，區域包含三個或多個可用區基礎設施的價值特點：具有彈性和可擴展性。即資源可自動調整以增減容量需求，可以快速適應增長具有容錯能力，它具有內置的組件冗余，在組件發生故障的情況下能夠繼續運行需要極少的人為干預甚至無需人為干預，同時提供高可用性以及最少的停機時間項目2了解亞馬遜云科技

任務3訪問亞馬遜云科技在訪問之前，客戶需要創建一個亞馬遜云科技賬戶（Account）。亞馬遜云科技賬戶相當于客戶擁有所有資源的一個籃子。如果多個人需要訪問該賬戶，可以將多個用戶（User）添加到一個賬戶下面。默認情況下，每個賬戶擁有一個根（root）用戶亞馬遜云科技在中國的云服務網址為https://www.amazona/海外（國際、全球）的網址為https:///cn亞馬遜云科技在中國的云服務獨立于海外云服務亞馬遜云科技在中國的云服務目前不支持個人注冊，創建亞馬遜云科技賬戶需要提供您的公司企業營業證照和網絡安全負責人個人有效身份證件的照片或掃描件項目2了解亞馬遜云科技

創建亞馬遜云科技賬戶（1）打開/鏈接創建賬戶填寫資料上傳資料注冊成功登錄賬號項目2了解亞馬遜云科技

（2）填寫聯系人信息以及公司信息，并勾選“客戶協議”和“隱私政策”，單擊“繼續”按鈕創建賬戶填寫資料上傳資料注冊成功登錄賬號項目2了解亞馬遜云科技

（3）上傳企業營業執照，并填寫網絡安全負責人的信息，單擊“提交”按鈕，核驗結果將以郵件的形式發送至注冊郵箱創建賬戶填寫資料上傳資料注冊成功登錄賬號項目2了解亞馬遜云科技

（4）收到成功注冊后的郵件，郵件里包含有12位數的賬戶ID。打開鏈接，點擊“我的賬號”→“管理控制臺”菜單，輸入賬戶ID、用戶名和密碼，單擊“登錄”按鈕創建賬戶填寫資料上傳資料注冊成功登錄賬號項目2了解亞馬遜云科技

（5）登錄成功后，在亞馬遜云科技管理控制臺中，開始使用亞馬遜云科技服務創建賬戶填寫資料上傳資料注冊成功登錄賬號云計算技術

單元2

計算服務與塊存儲服務單元概述

本單元將介紹AmazonWebServices的兩個核心服務計算服務AmazonElasticComputeCloud（AmazonEC2）EC2服務提供可以彈性伸縮的云主機用戶可以選擇適合自己需要的云主機包括內存、CPU、磁盤空間和網絡，操作系統和應用程序塊存儲服務AmazonElasticBlockStore（AmazonEBS）EBS服務提供可以彈性伸縮的塊存儲服務（即：卷）可以選擇卷的類型、大小、是否加密然后把卷掛載到云主機上學習目標知識點什么是彈性計算服務什么是實例實例的類型什么是系統映像什么是塊存儲服務什么是快照技能點創建EC2實例連接到EC2實例管理EC2實例創建EBS卷在不同操作系統的EC2上掛載EBS卷管理EBS項目1使用AmazonEC2服務項目描述本項目將在AmazonWebServices中使用EC2服務創建兩個實例（即：云主機）一個安裝MicrosoftWindows操作系統的實例一個安裝Linux操作系統的實例任務1知識預備與方案設計項目1使用AmazonEC2服務1.彈性計算服務（AmazonEC2）AmazonElasticComputeCloud的縮寫屬于基礎設施服務，IaaSElastic即彈性，有兩層含義可以增加或減少租用的云主機的數量可以改變云主機配置的大小2.實例（Instance）實例是指用戶在AmazonWebServices提供的EC2服務中租用的具體的云主機項目1使用AmazonEC2服務根據工作負載不同，AmazonWebServices對實例的虛擬硬件資源進行了優化設計實例類型通用型計算優化型內存優化型存儲優化型加速計算型實例類型命名規則（參見：/cn/ec2/instance-types/）項目1使用AmazonEC2服務2.實例（Instance）例如：t3.large第一個字母代表系列名稱，例如t代表通用型，適用于多種場合數字3代表世代編號，一般而言世代編號越大的實例，功能就越強大large代表實例的大小，實例越大，CPU的數目和內存越大，實例的性能也就越強t3.xlarge的vCPU和內存是t3.large的兩倍t3.2xlarge的vCPU和內存是t3.xlarge的vCPU和內存兩倍AmazonEC2服務支持實例上安裝操作系統（Windows系列、Linux系列）3.系統映像（AMI）AMI（AmazonMachineImages）譯為Amazon系統映像，實際是創建云主機的模板項目1使用AmazonEC2服務AMI包含三個內容：1.一個或多個AmazonElasticBlockStore(AmazonEBS)快照2.控制可以使用AMI啟動實例的AmazonWebServices賬戶的啟動許可3.數據塊設備映射，指定在實例啟動時要附加到實例的卷用戶啟動一個實例時必須指定源AMI項目1使用AmazonEC2服務3.系統映像（AMI）啟動AMI有四種選項第一種是AmazonWebServices提供的AMI即“快速啟動”第二種是自定義的AMI即“我的AMI”第三種是經校驗過的第三方提供的AMI，即“AMIMarketplace”第四種是“社區AMI”，即他人提供的，但是使用有風險4.方案設計本項目在中國（北京）區域（cn-north-1）創建兩個實例項目1使用AmazonEC2服務MicrosoftWindowssever2019Base（簡體中文）操作系統類型為“t2.micro”，vCPU為1，內存為1GB名稱為Win2019server標簽“Name”為“Win2019server”AmazonLinux2操作系統類型為“t2.micro”，vCPU為1，內存為1GB名稱為AmazonLinux標簽“Name”為“Linux”1.創建WindowsEC2實例（1）登錄控制臺。在https://頁面中，輸入用自己的賬戶ID、用戶名、密碼，單擊“登錄”按鈕項目1使用AmazonEC2服務任務2創建WindowsEC2實例并連接實例項目1使用AmazonEC2服務（2）使用EC2服務。在窗口右上角選擇“北京（cn-north-1）”區域，則實例將在北京的數據中心上運行。再單擊“服務”鏈接→選擇EC2或在“FindServices”文本框中輸入“EC2”項目1使用AmazonEC2服務（3）創建實例。單擊“啟動實例”按鈕，選擇“啟動實例”菜單項目1使用AmazonEC2服務（4）選擇AMI。進入“步驟1:選擇一個Amazon系統映像（AMI）”頁面，在左側AMI類別中選擇“快速啟動”，右側下拉垂直滾動條滑塊，選擇“MicrosoftWindowsServer2019Base(ChineseSimplified)”項目1使用AmazonEC2服務（5）選擇實例類型。進入“步驟2:選擇實例類型”頁面，選擇實例類型為“t2.micro”，單擊“下一步:配置實例詳細信息”按鈕（6）配置實例詳細信息。進入“步驟3:配置實例詳細信息”頁面，可以設置實例數量、所在網絡、IAM角色、監控等信息。本項目全部使用默認選項，單擊“下一步:添加存儲”按鈕項目1使用AmazonEC2服務項目1使用AmazonEC2服務（7）添加存儲。進入“步驟4:添加存儲”頁面。可以設置實例的系統盤大小，單擊“添加新卷”按鈕，則可以添加額外的磁盤作為數據盤。單擊“下一步:添加標簽”按鈕項目1使用AmazonEC2服務（8）添加標簽。進入“步驟5:添加標簽”頁面，單擊“添加標簽”按鈕，在“鍵”欄目中輸入“Name”，在“值”欄目中輸入該實例的名稱“Win2019server”，單擊“下一步:配置安全組”按鈕項目1使用AmazonEC2服務（9）配置安全組。進入“步驟6:配置安全組”頁面。單擊“創建一個新的安全組”按鈕，輸入安全組的名稱和描述，單擊“添加規則”按鈕如圖添加規則，允許用戶使用RDP和SSH協議登錄Windows或者Linux云主機。單擊“審核和啟動”按鈕（10）啟動實例。進入“步驟7:檢查實例啟動”頁面。這里顯示之前設置的實例的簡要信息，確認無誤后單擊“啟動”按鈕項目1使用AmazonEC2服務項目1使用AmazonEC2服務（11）創建密鑰對。在“選擇現有密鑰對或創建新密鑰對”對話框中，選擇“創建新密鑰對”，并輸入密碼對的名稱“win2019server”。單擊“下載該密鑰對”按鈕，密鑰文件命名為win2019server.pem。單擊“啟動實例”（13）查看實例。返回到EC2頁面，在左側窗口中單擊“實例”鏈接，可以看到“實例狀態”列顯示為“running”狀態項目1使用AmazonEC2服務（12）系統進入啟動實例狀態，單擊“查看實例”按鈕2.以管理員身份連接實例（1）下載遠程桌面文件。單擊上方的“連接”按鈕，打開所示對話框，單擊“下載遠程桌面文件”按鈕，保存WindowsServer的遠程桌面文件項目1使用AmazonEC2服務項目1使用AmazonEC2服務（2）獲取密碼。單擊“獲取密碼”按鈕，單擊“瀏覽”按鈕，找到剛才下載的密鑰文件“win2019server.pem”并上傳。單擊“解密密碼”按鈕。把“密碼”文本框的字符復制到記事本、保存，單擊“關閉”按鈕項目1使用AmazonEC2服務（3）遠程桌面連接。雙擊遠程桌面文件，將復制到記事本的密碼粘貼到密碼框，單擊“確定”按鈕，系統詢問是否繼續打開，單擊“是”按鈕項目1使用AmazonEC2服務（4）測試實例。如圖，成功使用RDP連接實例，表明EC2實例就可以正常使用了。在Windows實例上，打開瀏覽器測試是否能成功連接到Internet3.停止實例停止實例時會釋放云主機占用的一些硬件資源，如CPU、內存、網絡資源但是實例依然存在（仍占用磁盤空間）項目1使用AmazonEC2服務實例停止后，AmazonWebServices不再對實例的CPU、內存、網絡資源計費但仍然對實例占用的磁盤空間計費4.終止實例終止實例表示刪除該實例所占用的資源項目1使用AmazonEC2服務被終止的實例的狀態顯示為terminated，過一段時間最終會從實例列表中消失操作方法為：先選中實例，選擇“實例狀態”→“終止”菜單點擊終止任務3創建LinuxEC2實例并連接實例

項目1使用AmazonEC2服務創建一個操作系統為Linux的EC2實例名稱為Amazonlinux，vCPU為1，內存為1GB存儲空間為8GB，使用EBS存儲創建完成之后，以“ec2-user”用戶遠程登錄1.創建LinuxEC2實例（1）～（3）、（5）、（6）、（10）步驟和創建Windows的EC2實例一樣（4）AMI選“快速啟動”中的“AmazonLinux2AMI(HVM),SSDVolumeType”（7）存儲大小使用默認值8GB（8）設置該實例標簽名稱為Amazonlinux（9）使用現有安全組，名稱為“Permit-RDP-SSH”項目1使用AmazonEC2服務（11）創建新密鑰對，命名私鑰為“linux.pem”，并“下載密鑰對”，啟動實例項目1使用AmazonEC2服務2.以ec2-user用戶登錄Linux實例客戶端操作系統不同，連接LinuxEC2實例的操作方法也有區別，分兩種情況項目1使用AmazonEC2服務（1）客戶端操作系統為Windows，連接到linux實例（A）單擊上方的“連接”按鈕，打開窗口（B）按照圖中步驟提供的鏈接，下載并安裝PuTTY軟件點擊此處下載（C）客戶端為Windows操作系統時，前面步驟下載的密鑰文件linux.pem不能直接使用，需要將文件轉換為.ppk文件格式，才能被PuTTY使用。啟動PuTTYgen軟件，單擊“Load”按鈕，找到“linux.pem”文件、上傳項目1使用AmazonEC2服務（D）單擊“Saveprivatekey”按鈕，系統顯示保存密鑰的警告，選擇“是”，輸入私鑰文件名“linux”，文件被保存為linux.ppk項目1使用AmazonEC2服務（E）啟動PuTTY程序，單擊“Session”菜單，在“HostName”中輸入保存在記事本中Amazonlinux實例中的IPv4公有IP項目1使用AmazonEC2服務（F）單擊“Connection”→“SSH”→“Auth”菜單，單擊“Browse”按鈕，找到私鑰文件linux.ppk、打開，單擊“Open”按鈕。在“PuTTYSecurityAlert”窗口中，單擊“是（Y）”按鈕項目1使用AmazonEC2服務（G）輸入用戶名ec2-user，回車登錄，輸入“ifconfig”命令查看實例的網絡信息。可以使用“ping”命令測試和Internet上主機的通信（H）在命令行提示符下，輸入“exit”命令退出登錄項目1使用AmazonEC2服務（2）客戶端是macOS或者linux操作系統（A）在界面單擊"連接”，打開窗口（B）打開客戶端macOS或Linux命令窗口（C）在客戶端命令窗口中，輸入命令，連接到實例AmazonLinux（D）以“ec2-user”用戶，登錄實例AmazonLinux，查看實例的網絡信息（E）退出實例任務4管理EC2實例的生命周期實例從創建到被刪除共有六種狀態pending（等待中）running（正在運行）stopping（休眠）stopped（停止）shutting-down（終止中）terminated（終止）項目1使用AmazonEC2服務狀態轉換圖任務4管理EC2實例的生命周期pending：表示實例正準備進入running狀態。不計費項目1使用AmazonEC2服務running：實例正在運行。計費實例正準備進入stopped狀態（實例計算部分不計費，但掛載的存儲計費）或者實例處于休眠狀態（計費）stopped：實例已停機。不計費shutting-down：實例正準備終止。不計費terminated：實例已永久刪除，無法啟動。不計費stopping：項目2使用AmazonEBS服務項目描述本項目將為項目1的兩個實例（WindowsServer、Liunx）申請云磁盤并掛載任務1知識預備與方案設計項目2使用AmazonEBS服務ElasticBlockStore即彈性塊存儲EBS是塊級存儲，它存儲文件的最小單位是數據塊AmazonEBS支持快照操作，實現數據備份功能EBS支持加密功能，它使用行業標準AES-256算法1.塊存儲服務（AmazonEBS）

項目2使用AmazonEBS服務2.卷類型AmazonEBS提供四種類型卷通用型SSD（固態驅動器）預配置IOPSSSD吞吐量優化HDD（硬盤驅動器）冷HDDgp2io1st1sc1EBSSSD-backedvolumesEBSHDD-backedvolumes

項目2使用AmazonEBS服務快照屬于增量備份因無需復制全部數據，可最大限度縮短時間和節約存儲成本本項目在和項目1兩個實例相同的可用區中創建兩個EBS卷類型均為通用型SSD一個卷命名為“EBS_WIN”，大小為10GB一個卷命名為“EBS_Linux”，大小為15GB3.快照4.方案設計任務2創建卷項目2使用AmazonEBS服務（1）登錄AmazonWebServices控制臺，選擇“服務”中的“EC2”。（2）在左側窗格中，選擇“ElasticBlockStore”→“卷”鏈接。在右側窗格中，可用看到已有的EBS卷的列表項目2使用AmazonEBS服務（3）創建“EBS_WIN”卷。單擊“CreateVolume”按鈕。在“Size”文本框中輸入卷的大小（單位為GB），在“AvailabilityZone”下拉列表中選擇卷的可用區域。單擊“添加標簽”按鈕，在“健”、“值”分別輸入“Name”“EBS_WIN”。單擊“CreateVolume”按鈕項目2使用AmazonEBS服務（4）卷創建成功，單擊“Close”按鈕（5）以相同步驟，創建“EBS_Linux”卷，大小為15GB項目2使用AmazonEBS服務（6）卷列表。在左側窗格中，選擇“ElasticBlockStore”→“卷”鏈接。在右側窗格中，可用看到已有的EBS卷的列表。選中“EBS_WIN”，單擊“描述”標簽頁，可以看到該卷大小、可用區、狀態、卷類型等信息任務3在WindowsEC2實例掛載卷項目2使用AmazonEBS服務本任務將任務2中創建的“EBS_WIN”卷掛載到項目1創建的實例Win2019server中，初始化為GPT磁盤（1）連接卷。在卷列表中選中“EBS_WIN”，單擊“操作”→“連接卷”項目2使用AmazonEBS服務（2）附加到實例。在“實例”下拉列表中選擇“Win2019server”實例，單擊“附加”按鈕項目2使用AmazonEBS服務（3）啟動實例。在左側窗格中選擇“實例”鏈接；在右側窗格的實例列表中，選擇Win2019server，單擊“操作”按鈕，選擇“實例狀態”→“啟動”菜單，系統彈出窗口詢問是否啟動實例，選擇“是”項目2使用AmazonEBS服務（4）連接到實例。當Win2019server實例的狀態為running時，參見項目1的任務2中的步驟，連接到Win2019server項目2使用AmazonEBS服務（5）啟動“計算機管理”工具。單擊“開始菜單”→“Windows管理具”→“計算機管理”，打開實例Win2019server的“計算機管理”窗口（6）把磁盤聯機。在左側窗格，單擊“計算機管理（本地）”→“存儲”→“磁盤管理”菜單，可以看到容量為10GB的脫機磁盤，右擊該磁盤，選擇“聯機”菜單，則磁盤的狀態變為“沒有初始化”項目2使用AmazonEBS服務（7）初始化磁盤。右擊磁盤，選擇“初始化磁盤”菜單。選擇“GPT（GUID分區表）”，單擊“確定”按鈕項目2使用AmazonEBS服務（8）新建卷。右鍵未分配的磁盤空間，選擇“新建簡單卷”菜單；單擊“下一步”按鈕（9）指定新建卷的大小。如圖使用全部容量，單擊“下一步”按鈕項目2使用AmazonEBS服務（10）分配驅動器號。驅動器號設為D，單擊“下一步”（11）格式化分區。文件系統設置為“NTFS”,分配單元大小即為數據塊大小，這里使用“1024”字節，卷標設為“EBS_WIN”，單擊“下一步”按鈕。再單擊“完成”按鈕項目2使用AmazonEBS服務（12）測試磁盤。在Win2019server實例上，打開資源管理器，可以看到卷EBS_WIN已經被掛載到實例中，驅動器號為D，卷名為EBS_WIN任務4在LinuxEC2實例掛載卷項目2使用AmazonEBS服務本任務將把EBS_Linux掛載到實例AmazonLinux中，格式化為ext3文件系統（1）連接卷。在卷列表中選中“EBS_Linux”，單擊“操作”→“連接卷”。在“實例”下拉列表中選擇“AmazonLinux”實例，單擊“附加”按鈕項目2使用AmazonEBS服務（2）登錄Linux。在Windows客戶端上使用putty軟件連接到實例AmazonLinux，以“ec2-user”用戶登錄Linux，輸入“df-h”命令，查看實例Linux上的現有存儲項目2使用AmazonEBS服務（3）將新卷格式化為ext3文件系統，輸入命令“sudomkfs-text3/dev/sdf”項目2使用AmazonEBS服務（4）創建目錄。創建目錄用以掛載新卷，目錄路徑為/mnt/ebs輸入命令“sudomkdir/mnt/ebs”（5）掛載新卷。輸入命令“sudomount/dev/sdf/mnt/ebs”，把新卷掛載到“/mnt/ebs”目錄（6）再次用“df-h”命令查看實例存儲，圖中末行為新加的15GB的EBS_Linux卷項目2使用AmazonEBS服務（7）測試文件讀寫是否正常。在“/mnt/ebs”目錄里創建并查看文件f1.txt（8）配置Linux啟動時掛載此卷。要將Linux實例配置為啟動時掛載此卷，要在“/etc/fstab”中增加一行（9）退出linux。輸入“exit”命令，注銷登錄任務5卷的管理1.修改卷可修改卷的類型和大小（只能增加）。將EBS_WIN卷的容量增加到12GB，選擇要修改的卷，單擊“操作”→“ModifyVolume”，輸入卷的新的大小，單擊“Modify”按鈕項目2使用AmazonEBS服務任務5卷的管理2.斷開卷斷開卷時，實例和卷脫離連接，建議在實例停止后進行，以免數據損壞。要將“EBS_WIN”卷與實例“Win2019server”斷開，選擇要修改的卷，單擊“操作”→“斷開卷”，選擇“是”。“EBS_WIN”卷狀態由in-use變為available項目2使用AmazonEBS服務3.刪除卷刪除卷將釋放該卷占有資源，卷從列表中消失，該卷上的數據將無法恢復。只有沒被連接到實例的卷才能刪除，選擇要刪除的卷，單擊“操作”→“刪除卷”，選擇“是”4.創建快照（1）創建快照。要對“EBS_Linux”卷創建快照，選中“EBS_Linux”卷，單擊“操作”→“CreateSnapshot”。在“Description”文本框中輸入快照的描述。單擊“添加標簽”按鈕，在“鍵”、“值”框分別輸入“Name”、“EBS_Linux_snapshot”，單擊“CreateSnapshot”按鈕，然后單擊“Close”按鈕項目2使用AmazonEBS服務（2）查看快照信息。單擊左側窗格中“快照”鏈接，在右側窗格可以看到快照的列表，當快照的“狀態”列為“completed”時，表示該快照已創建完成。選擇某一快照，在“描述”標簽頁可以看到快照的信息項目2使用AmazonEBS服務項目2使用AmazonEBS服務5.還原快照（1）登錄到“AmazonLinux”實例，刪除實例中“EBS_Linux”卷上的文件f1.txt。輸入命令“cd/mnt/ebs”,再輸入命令“sudormf1.txt”項目2使用AmazonEBS服務（2）用快照“EBS_Linux_snapshot”創建新卷，并將該卷掛載到“AmazonLinux”實例上。選中“EBS_Linux_snapshot”，單擊“操作”→“CreateVolume”。該卷名字標簽設為“EBS_Linux_2”，單擊“CreateVolume”按鈕。再單擊“Close”按鈕項目2使用AmazonEBS服務（3）將“EBS_Linux_2”連接到實例“AmazonLinux”上。在卷列表中選中“EBS_Linux_2”，選擇“操作”→“連接卷”，此時“EBS_Linux_2”卷被連接到“AmzonLinux”實例的“/dev/sdg”設備上項目2使用AmazonEBS服務（4）在Liunx掛載卷。登錄“AmazonLinux”實例，創建掛載點/mnt/ebs2，將“EBS_Linux_2”卷掛載到/mnt/ebs2，并查看效果。可以看到f1.txt文件所在卷被還原云計算技術

單元3

網絡服務單元概述

本單元介紹VPC（VirtualPrivateCloud)亞馬遜虛擬私有云AmazonVPC

自定義虛擬網絡AmazonWebServices資源自定義虛擬網絡環境包括IP地址范圍、創建子網以及配置在數據中心和VPC之間創建虛擬專用網絡(VPN)連接自定義AmazonVPC網絡配置學習目標知識點什么是VPCVPC的CIDRInternet網關路由表彈性IP(EIP，ElasticIP)安全組NACL（NetworkAccessControlList）網絡地址轉換（NAT，NetworkAddressTranslation）技能點創建VPC配置路由表EC2連接到VPC彈性IP的申請和使用配置安全組配置NACL配置NAT配置VPC對等連接項目1使用AmazonVPC項目描述掌握AmazonWebServices的網絡服務（VPC）把原有的IT系統遷移至云第一階段建立一個帶公有子網和私有子網的VPC第二個階段在VPC中增加私有子網，配置NAT，實現私有子網訪問Internet任務1知識預備與方案設計項目1使用AmazonVPC1.AmazonVPCAmazonVirtualPrivateCloud，虛擬私有云，通過AmazonWebServices賬號登錄亞馬遜云科技云來定義的虛擬專用網絡用戶能在VPC上創建實例，分配網絡地址范圍，劃分子網，配置路由、設置安全組和網絡訪問控制列表2.VPC的CIDRClasslessInterdomainRouting譯為無類別域間路由CIDR用VLSM(可變長子網掩碼)，根據用戶需要來分配IP地址VPC需要一個連續的IP地址空間，而這個地址空間采用CIDR和VLSM技術任務1知識預備與方案設計項目1使用AmazonVPC3.子網子網類似于傳統網絡中的VLAN，每個子網都有自己的CIDR，且必須是VPCCIDR的子集

AmazonWebServices子網保留網段的前四個IP地址和最后一IP個地址子網地址一旦確定不能更改，子網不能跨AZ，同一個VPC中的子網地址不能重疊4.Internet網關（IGW）IGW，InternetGateway是一種水平擴展的、冗余的高可用的VPC組件IWG有兩個功能：一是為VPC路由表提供通往Internet上的目標地址二是為VPC上公有子網上的實例的IPV4地址提供網絡地址轉換（NAT）任務1知識預備與方案設計5.路由表VPC資源中的路由器是軟件實現，隱性存在，只需要維護路由表即可路由表包含一組路由規則，每條路由信息包含目的網絡和目標地址項目1使用AmazonVPCVPC的每個子網都要關聯一個路由表，沒有路由表關聯的子網將使用隱式路由表客戶路由表由用戶建立，可以編輯、可以刪除任務1知識預備與方案設計項目1使用AmazonVPC6.安全組安全組是實例的虛擬防火墻，基于協議、端口號和IP地址過濾進出實例的流量對于安全組，可以制定入站規則和出站規則來控制出入實例的流量安全組的基本規則（類似于NACL）如下：（1）只能往安全組制定允許規則，不能制定拒絕規則（2）入站規則和出站規則可以分別制定（3）規則是基于協議和端口號來過濾信息（4）安全組是有狀態的（5）新創建的安全組是沒有入站規則的，不允許任何信息流入，直到創建入站規則任務1知識預備與方案設計項目1使用AmazonVPC6.安全組安全組是實例的虛擬防火墻，基于協議、端口號和IP地址過濾進出實例的流量對于安全組，可以制定入站規則和出站規則來控制出入實例的流量安全組的基本規則（類似于NACL）如下：（6）默認情況下，安全組包含出站規則，即允許所有信息流出（7）連接到同一個安全組的實例不能彼此通信，除非建立規則（8）安全組是被關聯到網絡接口上的，啟動實例時可以制定或改變（9）安全組的名字在所在的VPC中必須是唯一的（10）一個安全組只能應用在所在的VPC中任務1知識預備與方案設計項目1使用AmazonVPC7.網絡訪問控制列表NACL，NetworkAccessControlList負責VPC的安全,含入站和出站規則每個VPC都有一個默認的可以修改但無法刪除的NACL，它與VPC共生網絡訪問控制列表遵循如下規則：VPC自動連接一個的默認NACL，一般情況下它允許所有的入站和出站流量用戶可以創建自己的NACL，默認情況下用戶NACL拒絕所有的入站和出站流量每個VPC中的子網必須連接到一個NACL，如果沒有明確指明就連接到默認NALC一個NACL可以連接到多個子網，但一個子網在一個時間里只能連接一個NACL一個NACL包含大量的規則，規則的數量最多可以達到32766制定規則的原則是在保證子網安全的情況下使用最少的規則NACL是無狀態的，它不跟蹤流經它的流量狀態任務1知識預備與方案設計項目1使用AmazonVPC8.彈性網絡接口Elasticnetworkinterface，ENI是VPC的邏輯組件，表示虛擬網絡接口每個實例必須有一個默認的網絡接口（主要的ENI）可以單獨創建ENI，然后可附加到實例上或者從實例上分離再將它附加到其它實例上9.彈性IPElasticIPAddress，EIP是一個靜態公有IPV4地址EIP在最初分配時沒有綁定任何實例，可以連接將它分配給一個實例或網絡接口使用EIP的好處是，當實例發生故障時，可以將該EIP重新分配給另一個實例一個EIP一個時間只能分配給一個實例或網絡接口任務1知識預備與方案設計項目1使用AmazonVPC10.NATNetworkAddressTranslation，網絡地址轉換將私網IP轉換成公網IP，讓私網的主機訪問公網AmazonWebServices通過NAT實例和NAT網關實現地址轉換，稱它們為NAT設備NAT設備允許私有子網的實例訪問Internet，不允許反向訪問使用NAT設備的路由表要增加一條路由：凡是目的地址是外網的，全部轉發到NAT設備任務1知識預備與方案設計項目1使用AmazonVPC11.方案設計在亞馬遜云科技的北京區中創建一個帶有單個公有子網的VPC命名為VPCEXER，IPv4CIDR/16公有子網命名為PUBSUB，IPv4CIDR/24，AZ：cn-north-1a任務2創建VPC登錄AmazonWebServices管理控制臺在中國（北京）區域（cn-north-1）創建在VPC

EXER的VPC在VPCEXER中創建名為PUBSUB的公有子網項目1使用AmazonVPC1.創建VPC項目1使用AmazonVPC（1）登錄控制臺（3）在VPC控制面板中單擊“啟動VPC向導”按鈕（2）使用VPC服務項目1使用AmazonVPC（4）選擇“創建一個帶單個公有子網的VPC”（5）設置VPC的CIDR及名稱2.查看VPC的Name和VPCID項目1使用AmazonVPC在VPC控制面板單擊“您的VPC”，在“Name”列表中選擇“VPCEXER”3.查看子網信息項目1使用AmazonVPC在VPC控制面板單擊“子網”，在子網“Name”列表中選擇“PUBSUB”任務3配置路由表項目1使用AmazonVPC1.檢索路由表在VPC控制面板單擊“路由表”，在“篩選路由表”框中按照VPC：vpc-07bb1e4146d0fb111條件輸入，查到兩個路由表項目1使用AmazonVPC2.查看客戶路由表單擊客戶路由表ID，看到“路由”中有兩條記錄項目1使用AmazonVPC3.查看主路由表單擊“路由表”“主”列中顯示為“是”的路由表ID項目1使用AmazonVPC4.查看Internet網關在VPC控制面板單擊“互聯網網關”，在搜索框中搜索VPCID任務4EC2實例連接到VPC項目1使用AmazonVPC在PUBSUB的公有子網中創建一個MicrosoftWindowssever2019Base實例該實例命名為vpc_exer_win，vCPU為1，內存為1GB類型為通用型系列，使用EBS存儲項目1使用AmazonVPC1.啟動EC2實例2.選擇一個Amazon系統映像(AMI)3.選擇實例類型4.配置實例詳細信息項目1使用AmazonVPC5.添加存儲6.添加標簽項目1使用AmazonVPC7.配置安全組。選擇創建一個新的安全組，并輸入名稱8.核查實例啟動項目1使用AmazonVPC9.為實例vpc_exer_win創建新密鑰對10.查看實例vpc_exer_win11.查看實例vpc_exer_win詳細信息任務5彈性IP的申請和使用項目1使用AmazonVPC2.單擊“添加標簽”，單擊“分配”3.分配結果打開VPC控制面板，選擇左側導航“彈性IP”項目1使用AmazonVPC4.關聯彈性IP地址6.在EC2服務中查看實例vpc_exer_win詳細信息5.選擇關聯“實例”7.用單元2的方法遠程連接到實例vpc_exer_win任務6配置NAT項目1使用AmazonVPC1.VPCEXER中添加私有子網/24任務6進入該項目的第二部分,擴充VPCEXER（1）在VPC控制臺左側導航欄中選擇“子網”單擊“創建子網”項目1使用AmazonVPC（2）按圖選擇和填寫后，單擊右下角“創建子網”（3）查看結果，按照VPCID搜索，看到公有子網PUBSUB和私有子網PRISUB項目1使用AmazonVPC2.私有子網中添加實例winpri（1）如圖中網絡選擇VPCEXER，子網選擇PRISUB實例winpri與實例vpc_exer_win配置選項相同，操作步驟參考前面的內容但請注意下面三個步驟項目1使用AmazonVPC（2）“步驟5”中設置實例名稱為winpri（3）為實例winpri選擇創建新密鑰對，并下載密鑰對（4）實例創建成功項目1使用AmazonVPC3.創建NAT網關（1）創建NAT網關（2）設置NAT項目1使用AmazonVPC3.創建NAT網關（3）NAT網關詳細信息如圖，記錄該NATID：nat-08cea39960a39d337項目1使用AmazonVPC4.路由設置（1）打開VPC控制面板左側“路由表”依VPCID篩選出VPCEXER的路由表（2）創建路由規則項目1使用AmazonVPC4.路由設置（3）選擇“添加路由”按圖選擇，單擊“保存更改”（4）結果如圖項目1使用AmazonVPC5.使用網絡訪問控制列表保護子網（1）查看VPCEXER的網絡ACL（2）查看入站規則項目1使用AmazonVPC5.使用網絡訪問控制列表保護子網（3）查看出站規則（4）查看子網關聯VPCEXER默認網絡ACL關聯公有子網PUBSUB和私有子網PRISUB項目1使用AmazonVPC6.私有子網實例winpri通過NAT網關訪問Internet（1）遠程桌面連接公有子網實例vpc_exer_win（2）解密winpri管理員administrator密碼項目1使用AmazonVPC6.私有子網實例winpri通過NAT網關訪問Internet（3）通過vpc_exer_win連接winpri項目1使用AmazonVPC6.私有子網實例winpri通過NAT網關訪問Internet（4）連通winpri（5）在winpri實例上，通過NAT訪問Internet項目2對等連接項目描述使用VPCPeering（對等連接）技術實現不同VPC之間的互聯互通本項目在項目一的基礎上用原有賬戶創建一個帶單獨公有子網的VPC使用對等連接和原來的VPC連接起來，實現互訪項目2對等連接任務1知識預備與方案設計1.對等連接VPCVPCPeering是將兩個VPC連接起來，對等連接之間的通信是私有網絡間的通信不同VPC中的實例相互通信就像在同一個網絡中彼此訪問網絡中的數據在AmazonWebServices全球網絡中加密傳輸，不經過互聯網，避免了DDOS攻擊，保障數據安全項目2對等連接2.方案設計在亞馬遜云科技北京區（cn-north-1）創建一個虛擬私有云VPCEXER2CIDR的地址塊為/16公有子網的名稱為VPCEXER2_PUBCIDR的地址塊為/24在EXER2_PUB創建實例vpc_exer2_win項目2對等連接任務2創建對等連接1.創建VPC項目2對等連接2.創建實例項目2對等連接3.創建對等連接（1）在VPC控制面板左側導航欄選擇“對等連接”，單擊“創建對等連接”項目2對等連接3.創建對等連接（2）按照下圖完成配置項目2對等連接3.創建對等連接（3）創建結果在VPC控制面板左側導航欄選擇“對等連接”，查看該連接已建立，處于活動狀態記錄對等連接編號項目2對等連接4.修改路由表（1）打開VPCEXER的“客戶路由表”，添加到VPCEXER_2的路由項目2對等連接4.修改路由表（2）同樣步驟，打開VPCEXER_2“客戶路由表”，添加到VPCEXER的路由項目2對等連接4.修改路由表（3）查看對等網絡路由項目2對等連接5.測試兩個VPC的實例連通性（1）用戶遠程桌面登錄到vpc_exer_win，步驟見單元2（2）從vpc_exer_win遠程桌面登錄vpc_exer2_win項目2對等連接5.測試兩個VPC的實例連通性（3）成功登錄vpc_exer2_win云計算技術

單元4身份和訪問管理單元概述

IAM是一種Web服務可以幫助用戶安全地控制對亞馬遜云科技資源的訪問用戶可以使用IAM控制對用戶進行身份驗證(登錄)和授權(具有權限)以使用資源本單元將介紹AmazonWebServices的身份和訪問控制服務：IAM（IdentityandAccessManagement）學習目標知識點：賬戶（Account）和用戶（User）的區別什么是身份驗證、授權用戶的訪問密碼ID和私有訪問密鑰什么是MFA（Multi-FactorAuthentication，多重身份驗證）什么是策略、內聯策略、權限邊界策略的JSON文檔結構什么是角色角色的兩個典型應用場景技能點：創建用戶、啟用用戶的多重身份驗證創建組、維護組的成員創建、編輯策略為用戶、組、角色附加策略（授權）創建角色使用IAM角色委托跨Amazon賬戶的訪問權限使用角色向EC2實例提供訪問權限從實例的元數據中獲取臨時憑證項目1創建用戶和組項目描述本項目將在亞馬遜云科技中國區創建必要的用戶、組和策略企業在亞馬遜云科技注冊賬戶（Account）亞馬遜云科技國際（即：全球）亞馬遜云科技中國的北京和寧夏區域Amazon賬戶根用戶（AmazonAccountRootUser）沒有根用戶的概念可使用根用戶或AmazonWebServices的IAM服務來創建新的用戶、組、角色等，并創建策略對用戶、組、角色進行授權所有用戶都是IAM（AmazonIdentityandAccessManagement，身份和管理）用戶，包括創建Amazon賬戶的用戶任務1知識預備與方案設計項目1創建用戶和組1.賬戶、用戶賬戶（Account）、用戶（User）在中文中含義很類似但是在AmazonWebServices中意義完全不一樣賬戶（Account）是一個12位數字的ID，主要的目的是用于計費和付款初次在AmazonWebServices進行注冊時會生成一個賬戶用戶（User）是在賬戶（Account）下創建的一個賬戶（Account）下可以有多個用戶（User）通常會為組織中的不同員工創建不同的用戶不同用戶用不同的密碼登錄、訪問項目1創建用戶和組2.身份身份（IAMIdentity）是AWS中用于標識和分組的IAM資源對象可以將策略附加到IAM身份，身份包括用戶、組和角色3.身份驗證委托人（Principal）是請求對Amazon資源執行操作的人員或應用程序這些人員或者應用程序必須使用其憑證先進行身份驗證（登錄）IAM用戶要從API或AmazonCLI中進行身份驗證，需要提供訪問密鑰ID和私有密鑰4.授權委托人還必須獲得授權（允許）才能完成對Amazon資源執行的操作授權使用策略（Policy）來確定委托人所使用的用戶、組、角色的權限大多數策略作為JSON文檔存儲在Amazon中項目1創建用戶和組5.策略的JSON文檔結構大多數策略在Amazon中存儲為JSON文檔JSON策略文檔包含以下元素：文檔頂部的可選策略范圍信息一個或多個單獨語句Version：指定要使用的策略語言版本Statement：將該主要策略元素作為以下元素的容器Sid（可選）：包括可選的語句ID以區分不同的語句Effect：使用Allow或Deny指示策略是允許還是拒絕訪問Principal（僅在某些情況下需要）Action：包括策略允許或拒絕的操作列表Resource（僅在某些情況下需要）Condition（可選）：指定策略在哪些情況下授予權限項目1創建用戶和組6.方案設計本項目創建管理員組Administrators該組中有兩個管理員用戶admin1、admin2為安全起見兩個管理員采用基于時間的動態密碼登錄控制臺對管理員組Administrators進行授權，附加AdministratorAccess策略創建額外的用戶EC2_admin，該用戶僅能管理EC2實例任務2創建管理員用戶、管理員組項目1創建用戶和組本任務將創建管理員組Administrators，該組綁定AdministratorAccess策略創建兩個管理員用戶admin1、admin2，加入到Administrators管理員組兩個管理員采用多重驗證（MFA，Multi-FactorAuthentication）（1）以根用戶登錄管理控制臺單擊“服務”→“安全&身份”→“IAM”打開IAM控制面板，單擊“管理訪問”→“用戶組”→“創建組”項目1創建用戶和組（2）輸入用戶組名“Administrators”（3）在控制面板左側，單擊“管理訪問”→“用戶”→“添加用戶”，輸入用戶名項目1創建用戶和組（4）選擇“將用戶添加到組”，并選擇上一步驟創建的“Administrators”組項目1創建用戶和組（5）重新進入到IAM控制面板（6）在手機上的APP商店查找“Authenticator”APP并安裝并啟動項目1創建用戶和組（7）單擊“已分配MFA設備”所在行的“管理”鏈接，出現QR碼在手機上的“Authenticator”APP中，掃描該碼項目1創建用戶和組（8）成功激活用戶的MFA功能后，該用戶登錄時，還需要輸入該帳戶的每30秒更新一次的密碼代碼，大大提高了安全性（9）參見以上步驟，創建admin2用戶（10）從控制臺中注銷根用戶，使用剛創建admin1、admin2用戶進行登錄測試任務3使用策略授權項目1創建用戶和組本任務將創建額外的用戶EC2_admin，該用戶僅能管理EC2實例（1）參見的任務2，創建用戶EC2_admin注意：不要把EC2_admin加入到Administrators組中（2）以用戶EC2_admin登錄AmazonWebServices控制臺由于EC2_admin當前沒有任何權限因此單擊“服務”→“EC2”→“實例”，將無法看到EC2實例項目1創建用戶和組（3）以管理員登錄控制臺在IAM控制面板中，單擊“訪問管理”→“策略”→“創建策略”（4）選中EC2服務后，選擇對該服務可以進行的操作，不同服務有不同的操作項目1創建用戶和組（5）如圖可以選擇對EC2中的哪些資源進行操作不同的服務有不同的資源本例選“所有資源”（6）單擊“請求條件”鏈接彈出新的窗口

可以添加策略生效的條件項目1創建用戶和組（7）單擊“JSON”選項卡可以看到策略的JSON文本（8）輸入策略名稱、描述單擊“創建策略”按鈕項目1創建用戶和組（9）在IAM控制面板中單擊“訪問管理”→“用戶”顯示用戶列表，單擊“EC2_admin”用戶（10）選擇“直接附加現有策略”輸入篩選條件，找到并選中創建策略“單擊添加權限”按鈕（11）重新以EC2_admin用戶登錄控制臺，由于EC2_admin已經附加了“EC2_admin”策略，故單擊“服務”→“EC2”→“實例”，將可以看到EC2實例項目2使用角色項目描述企業注冊了兩個賬戶（Account）其中一個賬戶用于生產，另一個賬戶用于開發測試在生產賬戶中，創建了一個存儲桶（參見單元6）管理員想通過在生產賬戶創建的IAM角色，實現：開發測試賬戶的用戶能臨時切換為生產賬戶中的角色，對生產賬戶中的存儲桶進行臨時性訪問生產賬戶中的EC2實例上的應用程序可以使用角色訪問存儲桶，而不是在應用程序中使用固定用戶的憑證來訪問存儲桶項目2使用角色任務1知識預備與方案設計1.角色（Role）角色和用戶都具有確定的、其在Amazon中可執行和不可執行的操作的權限策略但是，角色旨在讓需要它的任何人臨時代入，而不是唯一地與某個人員關聯角色可由以下用戶使用：與該角色在相同Amazon賬戶中的IAM用戶位于與該角色不同的Amazon賬戶中的IAM用戶由Amazon提供的Web服務由與SAML2.0或OpenIDConnect兼容的外部身份提供商(IdP)服務或定制的身份代理進行身份驗證的外部用戶項目2使用角色2.使用角色的典型場景一：在另一個Amazon賬戶中向IAM用戶提供訪問權限一個組織可以擁有多個Amazon賬戶以將開發測試環境與生產環境隔離開發測試賬戶中的用戶有時可能需要訪問生產賬戶中的資源項目2使用角色2.使用角色的典型場景一：在另一個Amazon賬戶中向IAM用戶提供訪問權限在另一個Amazon賬戶中向IAM用戶提供訪問權限（1）在生產賬戶中管理員使用IAM在該賬戶中創建UpdateApp角色在角色中，管理員定義信任策略，意味著授權用戶可以使用UpdateApp角色管理員還為角色定義權限策略，該策略指定對名為productionapp-210711的AmazonS3存儲桶的讀取和寫入權限（2）在開發測試賬戶中管理員向用戶Jack授予切換為UpdateApp角色的權限。其他用戶無權切換為該角色，因此無法訪問生產賬戶中的S3存儲桶項目2使用角色在另一個Amazon賬戶中向IAM用戶提供訪問權限（3）用戶請求切換為角色Amazon控制臺用戶選擇導航欄上的賬戶名并選擇切換角色AmazonAPI/AmazonCLI開發賬戶中開發人員組的用戶調用AssumeRole函數以獲取UpdateApp角色的憑證（4）AmazonSTS

返回臨時憑證Amazon控制臺AmazonSTS使用角色的信任策略來驗證請求，以確保請求來自受信任實體驗證完成后，AmazonSTS向Amazon控制臺返回臨時安全憑證API/CLIAmazonSTS根據角色的信任策略來驗證請求，以確保請求來自受信任實體。驗證完成后，AmazonSTS向應用程序返回臨時安全憑證（5）臨時憑證

允許訪問Amazon資源Amazon控制臺Amazon控制臺在所有后續控制臺操作中代表用戶使用臨時憑證，在本例中是用于讀取和寫入productionapp-210711存儲桶API/CLI應用程序使用臨時安全憑證更新productionapp-210711存儲桶。應用程序只能使用臨時安全憑證讀取和寫入productionapp存儲桶，無法訪問生產賬戶的任何其他資源項目2使用角色3.使用角色的典型場景二：使用IAM角色向在Am