7.04. Справочник по AWS

ДЛЯ НОВИЧКОВНЕ ДЛЯ НОВИЧКОВНЕ ОБЯЗАТЕЛЬНОВ РАЗРАБОТКЕ

Разработчику Архитектору Инженеру

Справочник по AWS

AWS (Amazon Web Services) — это обширная облачная платформа, предоставляющая сотни сервисов и тысяч настроек, параметров, свойств и значений. Полный справочник по AWS невозможно уместить в один ответ, но можно создать структурированную, многоуровневую шпаргалку, охватывающую ключевые компоненты, их основные параметры и типичные значения.

Общая структура AWS

Уровни абстракции

• Регионы — географические зоны с изолированными дата-центрами.
• Availability Zones (AZ) — изолированные дата-центры внутри региона.
• Edge Locations — точки присутствия CDN (CloudFront).
• Accounts — отдельные учетные записи с уникальным ID.
• Organizations — объединение нескольких аккаунтов под управлением одного корневого.
• IAM Identities — пользователи, группы, роли и политики управления доступом.

---

IAM (Identity and Access Management)

Основные элементы

• User — сущность с уникальным именем, может иметь ключи доступа, MFA, пароль.
• Group — коллекция пользователей для массового назначения политик.
• Role — временные права, которые могут принимать сервисы или внешние пользователи.
• Policy — JSON-документ, определяющий разрешения.

Свойства User

• UserName — строка до 64 символов.
• Path — префикс пути, например /division_abc/.
• PermissionsBoundary — ARN политики, ограничивающей максимальные права.
• Tags — пары ключ-значение для метаданных.

Свойства Role

• AssumeRolePolicyDocument — доверительная политика в формате JSON.
• MaxSessionDuration — от 3600 до 43200 секунд.
• Description — текстовое описание.
• RoleName — имя роли, до 64 символов.

Пример политики

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::example-bucket/*"
    }
  ]
}

Возможные значения Effect

• Allow
• Deny

Возможные условия в политике

• StringEquals
• StringLike
• ArnEquals
• IpAddress
• DateGreaterThan
• Bool

---

EC2 (Elastic Compute Cloud)

Типы инстансов

• General Purpose: t4g, m6i, m6a
• Compute Optimized: c6i, c6a
• Memory Optimized: r6i, x2iedn
• Storage Optimized: i4i, d3en
• Accelerated Computing: p4d, g5, inf2

Свойства Launch Template

• InstanceType — например, t3.micro
• ImageId — AMI ID, например ami-0abcdef1234567890
• KeyName — имя SSH-ключа
• SecurityGroupIds — список ID групп безопасности
• UserData — скрипт инициализации в base64
• IamInstanceProfile — профиль IAM для инстанса
• BlockDeviceMappings — конфигурация дисков

Сетевые настройки

• VPC — виртуальная сеть
• Subnet — подсеть внутри VPC
• Security Group — stateful firewall
• Network ACL — stateless firewall на уровне подсети

Свойства Security Group

• GroupId — идентификатор группы
• GroupName — имя
• Description — описание
• VpcId — ID VPC
• InboundRules — правила входящего трафика
• OutboundRules — правила исходящего трафика

Пример правила

• Protocol: tcp
• Port range: 22
• Source: 0.0.0.0/0 или sg-12345678

EBS (Elastic Block Store)

• Volume Types:

  • gp3 — общего назначения, SSD
  • gp2 — устаревший аналог gp3
  • io1 / io2 — высокопроизводительные, с гарантированными IOPS
  • st1 — для больших последовательных операций (HDD)
  • sc1 — холодное хранилище (HDD)

• Свойства тома:

  • Size — от 1 GiB до 16 TiB
  • Iops — для io1/io2/gp3
  • Throughput — для gp3, до 1000 MiB/s
  • Encrypted — true/false
  • KmsKeyId — ARN ключа KMS

---

S3 (Simple Storage Service)

Типы бакетов

• Standard — для часто используемых данных
• Standard-IA — для редко используемых, но быстродоступных
• One Zone-IA — как Standard-IA, но в одной AZ
• Intelligent-Tiering — автоматическое перемещение между уровнями
• Glacier Instant Retrieval — архив с мгновенным доступом
• Glacier Flexible Retrieval — архив с задержкой (минимум 90 дней хранения)
• Glacier Deep Archive — самый дешёвый, задержка до 12 часов

Свойства объекта

• Key — путь внутри бакета
• VersionId — идентификатор версии (если включено versioning)
• ETag — хеш содержимого
• StorageClass — один из вышеперечисленных
• ServerSideEncryption — AES256 или aws:kms
• SSEKMSKeyId — ARN ключа KMS
• Metadata — пользовательские пары ключ-значение

Настройки бакета

• Versioning: Enabled / Suspended
• ServerAccessLogging: включает логирование запросов
• LifecycleConfiguration: правила перехода и удаления
• PublicAccessBlock: блокировка публичного доступа
• ReplicationConfiguration: кросс-регион репликация
• CorsConfiguration: CORS-правила
• NotificationConfiguration: события (SNS, SQS, Lambda)

Пример Lifecycle Rule

• Transition → STANDARD_IA через 30 дней
• Expiration → удаление через 365 дней
• NoncurrentVersionExpiration → для старых версий

---

VPC (Virtual Private Cloud)

Основные компоненты

• CIDR Block — IPv4 или IPv6 диапазон
• Subnets — публичные или приватные
• Route Tables — таблицы маршрутизации
• Internet Gateway — выход в интернет
• NAT Gateway — исходящий трафик из приватных подсетей
• VPC Endpoints — частный доступ к AWS-сервисам
• Peering Connections — соединение двух VPC
• Transit Gateway — централизованная маршрутизация между VPC и on-prem

Свойства Subnet

• AvailabilityZone
• CidrBlock
• MapPublicIpOnLaunch — true/false
• AssignIpv6AddressOnCreation
• Tags

Route Table Entry

• Destination: 0.0.0.0/0, 10.0.0.0/16, и т.д.
• Target: igw-..., nat-..., pcx-..., tgw-..., vpce-...

---

RDS (Relational Database Service)

Поддерживаемые движки

• Amazon Aurora (MySQL/PostgreSQL совместимость)
• PostgreSQL
• MySQL
• MariaDB
• Oracle
• SQL Server

Свойства DB Instance

• DBInstanceClass — например, db.t4g.micro
• Engine — mysql, postgres, и т.д.
• EngineVersion — например, 14.7
• AllocatedStorage — от 20 GiB до 65536 GiB
• StorageType — gp2, gp3, io1
• StorageEncrypted — true/false
• KmsKeyId
• BackupRetentionPeriod — от 0 до 35 дней
• MultiAZ — true/false
• PubliclyAccessible — true/false
• VpcSecurityGroupIds
• DBSubnetGroupName

Параметры группы параметров (Parameter Group)

• max_connections
• shared_buffers
• innodb_buffer_pool_size
• log_statement
• timezone

---

Lambda

Основные параметры функции

• FunctionName
• Runtime — python3.12, nodejs20.x, java17, dotnet8, и т.д.
• Handler — точка входа (например, index.handler)
• Role — ARN роли выполнения
• Timeout — от 1 до 900 секунд
• MemorySize — от 128 до 10240 MiB
• Environment — переменные окружения
• Layers — ARN слоёв
• VpcConfig — подключение к VPC
• FileSystemConfigs — монтирование EFS

Триггеры

• API Gateway
• S3 Event
• SNS
• SQS
• DynamoDB Streams
• CloudWatch Events
• Kinesis

---

CloudWatch

Метрики

• CPUUtilization (EC2)
• FreeStorageSpace (RDS)
• Invocations (Lambda)
• NumberOfMessagesSent (SQS)

Alarm Actions

• arn:aws:automate:region:ec2:stop
• arn:aws:automate:region:ec2:terminate
• arn:aws:lambda:region:account:function:name
• SNS Topic ARN

Logs

• Log Groups
• Log Streams
• Metric Filters
• Subscription Filters

---

SNS (Simple Notification Service)

Типы подписчиков

• Email
• SMS
• Lambda
• SQS
• HTTP/S
• Firehose

Атрибуты темы

• DisplayName
• DeliveryPolicy
• Policy — политика доступа
• KmsMasterKeyId — шифрование

---

SQS (Simple Queue Service)

Типы очередей

• Standard — высокая пропускная способность, at-least-once delivery
• FIFO — гарантированный порядок, exactly-once processing

Свойства Standard Queue

• VisibilityTimeout — от 0 до 43200 сек
• MessageRetentionPeriod — от 60 до 1209600 сек
• DelaySeconds — от 0 до 900
• RedrivePolicy — DLQ настройка

Свойства FIFO Queue

• Имя заканчивается на .fifo
• FifoQueue = true
• ContentBasedDeduplication — true/false
• DeduplicationScope — messageGroup / queue
• FifoThroughputLimit — perMessageGroupId / perQueue

---

DynamoDB

Типы таблиц

• Provisioned — с указанием RCU/WCU
• On-Demand — автоматическое масштабирование

Свойства таблицы

• AttributeDefinitions
• KeySchema — HASH, RANGE
• BillingMode — PROVISIONED / PAY_PER_REQUEST
• ProvisionedThroughput — ReadCapacityUnits, WriteCapacityUnits
• GlobalSecondaryIndexes
• LocalSecondaryIndexes
• StreamSpecification — NEW_IMAGE, OLD_IMAGE, NEW_AND_OLD_IMAGES, KEYS_ONLY
• SSESpecification — шифрование

TTL

• Включается через TimeToLiveSpecification
• Указывает атрибут с Unix timestamp

---

API Gateway

Типы API

• REST API
• HTTP API
• WebSocket API

Интеграции

• Lambda
• HTTP endpoint
• Mock
• AWS service (например, SQS)

Авторизация

• IAM
• Cognito User Pools
• Lambda Authorizer
• JWT

Stage Variables

• Ключ-значение для окружений (prod, dev)

---

CloudFormation

Секции шаблона

• AWSTemplateFormatVersion
• Description
• Metadata
• Parameters
• Mappings
• Conditions
• Transform
• Resources
• Outputs

Типы параметров

• String
• Number
• List<Number>
• CommaDelimitedList
• AWS::EC2::AvailabilityZone::Name
• AWS::EC2::Image::Id
• AWS::SSM::Parameter::Value<String>

Intrinsic Functions

• Ref
• Fn::GetAtt
• Fn::Join
• Fn::Sub
• Fn::Select
• Fn::Split
• Fn::FindInMap
• Fn::If
• Fn::Not
• Fn::Equals
• Fn::And
• Fn::Or

---

ECS (Elastic Container Service)

Типы запуска

• EC2 Launch Type — контейнеры работают на управляемых пользователем EC2-инстансах.
• Fargate Launch Type — серверлесс-запуск без управления инфраструктурой.

Свойства Task Definition

• family — имя семейства задач.
• networkMode — awsvpc, bridge, host, none.
• cpu — количество vCPU (в Fargate указывается явно).
• memory — объем памяти в MiB или GiB.
• executionRoleArn — роль для запуска задачи.
• taskRoleArn — роль, доступная внутри контейнера.
• containerDefinitions — массив с описанием каждого контейнера.

Свойства Container Definition

• name
• image — URI образа (например, 123456789012.dkr.ecr.us-east-1.amazonaws.com/my-app:latest)
• portMappings
• environment
• secrets — ссылки на Secrets Manager или SSM Parameter Store
• logConfiguration — например, awslogs

Кластер ECS

• clusterName
• capacityProviders — FARGATE, FARGATE_SPOT, EC2
• defaultCapacityProviderStrategy

---

EKS (Elastic Kubernetes Service)

Компоненты

• Control Plane — полностью управляемый AWS.
• Worker Nodes — EC2 или Fargate.
• Add-ons — CoreDNS, kube-proxy, VPC CNI, Amazon EBS CSI Driver.

Настройки кластера

• version — версия Kubernetes (например, 1.29)
• roleArn — IAM-роль для контрольной плоскости
• resourcesVpcConfig — подсети, группы безопасности
• kubernetesNetworkConfig — CIDR сервисов
• logging — включение логов API server, scheduler и т.д.

Managed Node Group

• nodeRole — IAM-роль для нод
• instanceTypes
• diskSize
• labels
• taints

---

Step Functions

Типы машин состояний

• Standard Workflow — долгоживущие процессы, до 1 года.
• Express Workflow — высокая частота, до 5 минут.

Состояния (States)

• Task — вызов Lambda, ECS, Batch и др.
• Choice — условное ветвление
• Parallel — параллельное выполнение
• Wait — задержка
• Succeed / Fail — завершение
• Map — итерация по массиву

Параметры состояния

• Resource — ARN интеграции
• Parameters — входные данные
• ResultPath — куда поместить результат
• Next — следующее состояние
• Catch / Retry — обработка ошибок

---

EventBridge (CloudWatch Events)

Источники событий

• AWS-сервисы (например, EC2 state change)
• Пользовательские события (PutEvents)
• Партнерские SaaS-приложения (например, Datadog, PagerDuty)
• EventBus другого аккаунта

Правила (Rules)

• EventPattern — фильтрация по содержимому
• ScheduleExpression — cron или rate
• Targets — до 5 целей на правило (Lambda, SQS, SNS, Step Functions и др.)

Пример EventPattern

{
  "source": ["aws.ec2"],
  "detail-type": ["EC2 Instance State-change Notification"],
  "detail": {
    "state": ["stopped"]
  }
}

---

Secrets Manager

Свойства секрета

• Name
• Description
• SecretString или SecretBinary
• KmsKeyId
• RotationEnabled — true/false
• RotationLambdaARN — функция ротации
• LastRotatedDate

Метаданные

• Автоматическое ротирование каждые N дней
• Поддержка RDS-интеграции для мастер-паролей
• Версионирование: каждое обновление создаёт новую версию (AWSPREVIOUS, AWSCURRENT)

---

Systems Manager (SSM)

Parameter Store

• Типы параметров: String, StringList, SecureString
• Уровни иерархии: /prod/db/password
• Шифрование: KMS ключ
• Политики TTL: автоматическое удаление

Run Command

• Выполнение команд на EC2/Fleet/Managed Instances
• Документы: AWS-RunShellScript, AWS-RunPowerShellScript, пользовательские
• Вывод: CloudWatch Logs или S3

Session Manager

• Без SSH-ключей
• Аудит всех сессий
• Поддержка порт-форвардинга

State Manager

• Управление конфигурацией во времени (например, установка агента)
• Ассоциации с документами

---

WAF (Web Application Firewall)

Компоненты

• Web ACL — набор правил
• Rules — условия + действие (ALLOW, BLOCK, COUNT)
• Rule groups — предопределённые или собственные

Условия (Statements)

• IPSetReferenceStatement — блокировка по IP
• RegexPatternSetReferenceStatement
• ByteMatchStatement
• GeoMatchStatement — по стране
• RateBasedStatement — защита от DDoS

Интеграции

• Application Load Balancer
• API Gateway
• CloudFront

---

Shield

Уровни защиты

• Shield Standard — бесплатно, базовая DDoS-защита
• Shield Advanced — платно, расширенная защита + Route 53, CloudFront, ALB, Global Accelerator

Возможности

• Атак-детекшн в реальном времени
• Автоматическое смягчение
• DRT (DDoS Response Team) — поддержка при атаке
• Cost Protection — компенсация расходов при масштабной атаке

---

Route 53

Типы записей

• A — IPv4
• AAAA — IPv6
• CNAME — псевдоним (не для apex-домена)
• ALIAS — AWS-специфичный псевдоним (работает на apex)
• MX, TXT, SRV, CAA, NS, SOA

Routing Policies

• Simple — один ответ
• Weighted — распределение трафика по весу
• Latency-based — ближайший регион
• Failover — актив/пассив
• Geolocation — по стране/региону
• Multivalue Answer — до 8 здоровых записей

Health Checks

• HTTP/HTTPS/TCP
• Интервал: 30 сек или 10 сек (premium)
• Invert health check status
• Child health checks для сложных сценариев

---

CloudFront

Distribution Types

• Web — для сайтов и API
• RTMP — устаревший, для медиа (заменён MediaStore/MediaPackage)

Origins

• S3 bucket
• Custom origin (HTTP-сервер)
• MediaPackage, MediaStore

Behaviors

• Path pattern: /images/*
• Viewer protocol policy: HTTPS only, Redirect HTTP to HTTPS
• Allowed HTTP methods
• Cache policy: TTL, query string handling
• Origin request policy: какие заголовки передавать
• Response headers policy

Security

• Signed URLs / Signed Cookies
• Field-level encryption
• Geo restriction
• Integration with WAF

---

KMS (Key Management Service)

Типы ключей

• Customer Master Keys (CMK):
  • Symmetric — AES-256 (шифрование данных)
  • Asymmetric — RSA/ECC (подпись или шифрование)
• Multi-Region Keys — репликация между регионами

Key Policies

• JSON-политики, похожие на IAM
• Разрешения: kms:Encrypt, kms:Decrypt, kms:GenerateDataKey

Использование

• Шифрование EBS, S3, RDS, Redshift
• Генерация Data Key через GenerateDataKey
• Audit через CloudTrail

---

Backup

Планы резервного копирования

• BackupPlan — правила хранения и расписания
• Selection — ресурсы по тегам или ARN

Lifecycle

• Переход в холодное хранилище через N дней
• Удаление после M дней

Поддерживаемые сервисы

• EC2, EBS, RDS, DynamoDB, EFS, FSx, Neptune, DocumentDB

---

Organizations & SCP (Service Control Policies)

Основные понятия

• Root — корневой OU
• Organizational Units (OU) — иерархия
• Accounts — члены организации
• SCP — политики, ограничивающие разрешения на уровне аккаунта

Эффект SCP

• Является разрешающим фильтром поверх IAM
• Даже администратор не может обойти SCP
• Пример: запрет создания IAM-пользователей

Trusted Access

• Разрешает AWS-сервисам управлять ресурсами в дочерних аккаунтах (например, AWS Backup, Security Hub)

---

Service Quotas

Возможности

• Просмотр текущих лимитов по региону
• Запрос на увеличение квоты через консоль или API
• Мониторинг использования через CloudWatch

Примеры квот

• Max VPCs per region: 5
• Max EC2 instances: зависит от типа
• Max S3 buckets per account: 1000

---

Cost Explorer & Budgets

Cost Explorer

• Анализ расходов по сервисам, тегам, аккаунтам
• Прогнозирование на 3 месяца
• Reserved Instance coverage

Budgets

• Уведомления при превышении порога
• Типы: cost, usage, reservation coverage
• Threshold: абсолютный или процентный
• Notifications via SNS/email

---

Trusted Advisor

Категории проверок

• Cost Optimization
• Security
• Fault Tolerance
• Performance
• Service Limits

Примеры рекомендаций

• Неиспользуемые EBS тома
• Открытые группы безопасности
• Недоиспользованные Reserved Instances
• Достигнутые лимиты сервисов

---

Redshift

Архитектура

• Cluster — набор узлов: один leader node + compute nodes.
• Serverless — автоматическое масштабирование без управления кластером.
• RA3 Nodes — вычисления отделены от хранилища (S3-backed).

Свойства кластера

• NodeType — dc2.large, ra3.xlplus, ra3.4xlarge
• NumberOfNodes — от 1 до 128
• MasterUsername / MasterUserPassword
• DBName
• ClusterSubnetGroupName
• VpcSecurityGroupIds
• PubliclyAccessible — true/false
• Encrypted — true/false
• KmsKeyId

Конфигурации

• Parameter Groups — настройки движка
• Workload Management (WLM) — приоритезация запросов
• Concurrency Scaling — автоматическое добавление ресурсов при пике нагрузки

Интеграции

• Redshift Spectrum — запросы напрямую к данным в S3
• Data Sharing — совместное использование данных между кластерами
• Materialized Views — предварительно вычисленные результаты

---

EMR (Elastic MapReduce)

Компоненты

• Applications: Hadoop, Spark, Hive, Presto, Flink, HBase
• Instance Groups:
  • Master
  • Core (хранение + вычисления)
  • Task (только вычисления)

Настройки кластера

• ReleaseLabel — версия EMR (например, emr-6.12.0)
• LogUri — S3-путь для логов
• Instances.Ec2SubnetId
• Instances.EmrManagedMasterSecurityGroup
• BootstrapActions — скрипты инициализации
• Steps — задания (Spark-submit, Hive-script и т.д.)

Режимы развертывания

• Transient — завершается после выполнения шагов
• Persistent — работает постоянно

Security

• Kerberos-аутентификация
• IAM Roles for EC2
• Encryption at rest (S3 SSE-S3/SSE-KMS, EBS encryption)

---

Glue

Основные компоненты

• Crawlers — сканируют источники и обновляют Data Catalog
• Data Catalog — метаданные таблиц и баз
• Jobs — ETL-процессы на PySpark или Scala
• Triggers — запуск задач по расписанию или событию
• Development Endpoints — среда для разработки скриптов

Свойства Job

• Role — IAM-роль
• GlueVersion — 3.0, 4.0
• WorkerType — Standard, G.1X, G.2X
• NumberOfWorkers
• MaxCapacity — альтернатива для старых версий
• Command.ScriptLocation — S3-путь к скрипту
• DefaultArguments — параметры по умолчанию

Job Bookmarks

• Отслеживание уже обработанных данных
• Включается через --job-bookmark-option=job-bookmark-enable

---

Athena

Движки

• Athena Engine Version 3 — основной
• Athena ML — интеграция с SageMaker
• Federated Query — запросы к внешним источникам (RDS, DynamoDB)

Настройки

• Workgroup — изоляция запросов, лимиты, результаты в S3
• Query Result Location — S3 bucket
• Encryption — SSE-S3, SSE-KMS

Форматы данных

• Parquet, ORC, JSON, CSV, Avro, Ion
• Partition Projection — автоматическое управление партициями

Пример DDL

CREATE EXTERNAL TABLE logs (
  request_time TIMESTAMP,
  ip STRING,
  user_agent STRING
)
PARTITIONED BY (dt STRING)
STORED AS PARQUET
LOCATION 's3://my-bucket/logs/';

---

QuickSight

Типы пользователей

• Reader — только просмотр
• Reader Plus — просмотр + экспорт
• Author — создание аналитики
• Admin — управление

Источники данных

• S3, RDS, Redshift, Athena, Aurora, Snowflake, Salesforce, Excel

Объекты

• Datasets — подготовленные данные
• Analyses — интерактивные дашборды
• Dashboards — опубликованные отчеты
• Themes — оформление
• Calculations — формулы, уровни детализации

Embedded Analytics

• Интеграция в веб-приложения через SDK
• Авторизация через IAM Identity Center или собственные токены

---

Cognito

Компоненты

• User Pools — управление пользователями (регистрация, вход, MFA)
• Identity Pools — выдача временных AWS-учетных данных

User Pool Attributes

• UsernameAttributes — email, phone_number
• AutoVerifiedAttributes — подтверждение email/телефона
• MfaConfiguration — OFF, ON, OPTIONAL
• Policies.PasswordPolicy
• LambdaConfig — триггеры (PreSignUp, PostAuthentication и др.)

App Clients

• GenerateSecret — true/false
• ExplicitAuthFlows — ADMIN_NO_SRP_AUTH, CUSTOM_AUTH_FLOW_ONLY
• RefreshTokenValidity — до 3650 дней

Federation

• Поддержка SAML, OIDC, социальных провайдеров (Google, Facebook)

---

AppSync

Источники данных

• Lambda
• DynamoDB
• RDS (через Aurora Serverless v1/v2)
• HTTP endpoints
• None (для pipeline resolvers)

Типы операций

• Query — чтение
• Mutation — запись
• Subscription — подписка на изменения

Resolver Mapping Templates

• VTL (Velocity Template Language)
• $util.toJson($ctx.result)
• $util.error("Access denied")

Безопасность

• IAM
• Cognito User Pools
• API Key
• OIDC

---

Amplify

Компоненты

• Hosting — статический хостинг + SSR (Next.js)
• Backend Environments — через CLI
• GraphQL API — генерация AppSync + DynamoDB
• REST API — API Gateway + Lambda
• Auth — Cognito
• Storage — S3 + IAM policies
• Analytics — Pinpoint
• Push Notifications — SNS

amplify.yml

• BuildSpec для CI/CD
• Этапы: preBuild, build, postBuild

---

CodePipeline / CodeBuild / CodeDeploy

CodePipeline

• Stages: Source → Build → Deploy
• Source Actions: GitHub, CodeCommit, S3
• Build Actions: CodeBuild, Jenkins
• Deploy Actions: CodeDeploy, CloudFormation, ECS, Lambda

CodeBuild

• buildspec.yml — инструкции сборки
• Environment:
  • type: LINUX_CONTAINER, ARM_CONTAINER, WINDOWS_SERVER_2019_CONTAINER
  • image: aws/codebuild/standard:7.0, nodejs:18, python:3.11
• Artifacts → S3 или CodePipeline
• Caching → S3 или local

CodeDeploy

• Deployment Types:
  • In-place
  • Blue/Green (EC2, Lambda, ECS)
• AppSpec file — YAML/JSON с хуками (BeforeInstall, AfterAllowTraffic)
• Traffic Shifting — Canary, Linear

---

X-Ray

Компоненты

• Segments — единица трассировки
• Subsegments — вложенные вызовы
• Annotations — индексируемые ключ-значение
• Metadata — неиндексируемые данные
• Service Map — визуализация зависимостей

Интеграции

• Lambda (автоматически)
• EC2 (агент X-Ray)
• ECS/Fargate (контейнер с демоном)
• API Gateway
• Step Functions

Sampling Rules

• Процент трассировок для сохранения
• Фильтрация по URL, service name

---

Macie

Возможности

• Автоматическое обнаружение PII, PHI, финансовых данных
• Классификация по типу содержимого
• Интеграция с S3 bucket policies
• Ежедневные отчеты и алерты

Findings

• Severity: High, Medium, Low
• Affected resources
• Object count / size
• Policy recommendations

---

GuardDuty

Источники данных

• CloudTrail Logs
• VPC Flow Logs
• DNS Logs
• EKS Audit Logs
• S3 Data Plane Events

Типы угроз

• Reconnaissance — сканирование портов
• Instance Compromise — майнинг, бэкдоры
• Account Takeover — аномальные действия
• S3 Threats — аномальный доступ к бакетам

Findings

• ARN ресурса
• Confidence score
• Action taken (ALLOW/DENY)
• MITRE ATT&CK mapping

Integration

• EventBridge → Lambda/SNS
• Security Hub → централизованная панель

---

Config

Managed Rules

• s3-bucket-server-side-encryption-enabled
• ec2-instance-no-public-ip
• iam-password-policy
• cloud-trail-enabled

Evaluation Timelines

• Configuration changes
• Periodic evaluation (1h, 3h, 6h, 12h, 24h)

Remediation

• Автоматические исправления через Systems Manager Automation
• Пример: удаление публичного доступа к S3

---

CloudTrail

Trail Types

• Management Events — API вызовы (по умолчанию)
• Data Events — S3 object-level, Lambda invocations
• Insight Events — аномалии в активности

Storage

• S3 bucket (обязательно)
• Опционально: CloudWatch Logs

Multi-Region / Organization Trail

• Один трейл покрывает все регионы
• Организационный трейл — для всех аккаунтов

Validation

• Log file integrity validation (SHA-256 hash chain)

---

SageMaker

Компоненты

• Notebook Instances — управляемые Jupyter-окружения
• Training Jobs — обучение моделей на масштабируемых инстансах
• Hyperparameter Tuning Jobs — автоматический подбор гиперпараметров
• Models — артефакты после обучения
• Endpoints — развертывание модели для инференса
• Batch Transform — пакетная обработка без эндпоинта
• Pipelines — ML workflow как код
• Feature Store — централизованное хранение признаков
• Ground Truth — разметка данных

Training Job Parameters

• AlgorithmSpecification — встроенный алгоритм или Docker-образ
• RoleArn — IAM-роль для доступа к данным
• InputDataConfig — источники обучающих данных (S3)
• OutputDataConfig — S3-путь для результатов
• ResourceConfig.InstanceType — ml.m5.xlarge, ml.p3.2xlarge
• StoppingCondition.MaxRuntimeInSeconds

Endpoint Configuration

• ProductionVariants — версии модели с весами трафика
• InstanceType — ml.t2.medium, ml.c5.large, ml.g4dn.xlarge
• InitialInstanceCount
• VariantName

Встроенные алгоритмы

• XGBoost, Linear Learner, K-Means, PCA, BlazingText, DeepAR Forecasting, Object2Vec

---

AI/ML Services (Managed)

Amazon Lex

• Создание чат-ботов и голосовых ассистентов
• Bots, Intents, Slots, Prompts
• Интеграция с Connect, Lambda, мобильными приложениями

Amazon Polly

• Преобразование текста в речь
• Голоса: Joanna, Matthew, Tatyana
• Форматы: MP3, OGG, PCM
• SSML-поддержка: паузы, интонации, произношение

Amazon Rekognition

• Image Analysis: объекты, сцены, лица, текст
• Face Comparison: совпадение лиц
• Celebrity Recognition
• Moderation: обнаружение неприемлемого контента
• Video Analysis: трекинг лиц, объектов во времени

Amazon Textract

• Извлечение текста из документов
• Таблицы, формы, ключ-значение пары
• Поддержка PDF и изображений
• Интеграция с A2I (Augmented AI) для проверки человеком

Amazon Transcribe

• Преобразование речи в текст
• Поддержка медицинской лексики (Transcribe Medical)
• Speaker diarization — разделение по говорящим
• Custom vocabularies — улучшение распознавания терминов

---

IoT Core

Архитектура

• Things — устройства
• Thing Types — категории устройств
• Certificates — X.509 для аутентификации
• Policies — права на MQTT-топики
• Rules Engine — маршрутизация сообщений

Сообщения

• Протокол: MQTT
• Топики: $aws/things/MyThing/shadow/update
• Payload: JSON

Device Shadows

• Желаемое состояние (desired)
• Сообщённое состояние (reported)
• Delta-topic — различия между состояниями

Интеграции Rules Engine

• Lambda
• DynamoDB
• S3
• Kinesis Data Firehose
• CloudWatch Logs

---

Media Services

MediaConvert

• Транскодирование файлов
• Input: S3
• Output: S3, с группировкой по пресетам
• Templates: создание повторяемых заданий
• Поддержка HLS, DASH, CMAF

MediaLive

• Live-трансляции
• Inputs: RTMP, RTP, HLS
• Outputs: HLS, DASH, MS Smooth
• Channel pipelines: A/B для отказоустойчивости

MediaStore

• Хранилище для медиа с низкой задержкой
• Контейнеры вместо бакетов
• TTL для объектов
• CORS-поддержка

MediaPackage

• Упаковка live-контента
• Endpoints: HLS, DASH
• DRM: SPEKE, Widevine, FairPlay

MediaTailor

• Персонализированная реклама в потоковом видео
• Ad decision server integration
• Склейка контента и рекламы

---

Migration & Discovery

Application Discovery Service

• Агент на EC2/on-prem → сбор метрик использования
• Зависимости между серверами
• Экспорт в CSV или напрямую в Migration Hub

Database Migration Service (DMS)

• Replication Instance — вычислительный ресурс
• Source/Target Endpoints — базы данных
• Migration Type:
  • Full load
  • Full load + CDC (Change Data Capture)
• Поддерживаемые СУБД: Oracle, SQL Server, MySQL, PostgreSQL, MongoDB, DynamoDB

Migration Hub

• Централизованный дашборд миграций
• Интеграция с DMS, Server Migration Service, ATC (Application Migration Service)

Application Migration Service (MGN)

• Репликация дисков на уровне блоков
• Запуск в AWS без изменения приложения
• Тестовый запуск перед cutover

---

Health Dashboard & Personal Health Dashboard

Health Dashboard

• Общедоступная информация о состоянии AWS-сервисов
• Без персонализации

Personal Health Dashboard (PHD)

• Индивидуальные уведомления о событиях, влияющих на ваш аккаунт
• Planned events (обслуживание), issue alerts, notifications
• Интеграция с CloudWatch Events

---

License Manager

Управление лицензиями

• License configurations — правила использования
• Bring Your Own License (BYOL) — для Windows, SQL Server, Oracle
• Tracking — соответствие использованию лицензий
• Automated enforcement — блокировка несоответствующих запусков

---

Private Certificate Authority (PCA)

Возможности

• Создание корневых и промежуточных CA
• Выдача сертификатов для внутренних сервисов
• Интеграция с ACM (AWS Certificate Manager)
• Поддержка шаблонов сертификатов

Типы CA

• Root CA
• Subordinate CA (imported или created)

Форматы

• PEM, DER
• Алгоритмы: RSA 2048/4096, ECDSA P256/P384

---

Resource Groups & Tag Editor

Resource Groups

• Группировка ресурсов по тегам, регионам, типам
• Использование в Systems Manager, Cost Explorer

Tag Editor

• Массовое назначение/удаление тегов
• Фильтрация по региону, типу ресурса, наличию тега

Tag Policies (в Organizations)

• Обязательные ключи
• Запрещённые значения
• Автоматическое применение

---

Well-Architected Tool

Пять столпов

• Operational Excellence
• Security
• Reliability
• Performance Efficiency
• Cost Optimization

Workload Review

• Вопросы по каждому столпу
• Рекомендации по улучшению
• Milestones — отслеживание прогресса

Lenses

• Serverless Lens
• SaaS Lens
• Machine Learning Lens
• Hybrid Lens

---

Global Accelerator

Архитектура

• Accelerator — глобальная точка входа с двумя статическими IP-адресами Anycast.
• Listeners — принимают трафик на портах (TCP/UDP).
• Endpoint Groups — привязаны к регионам.
• Endpoints — Application Load Balancer, Network Load Balancer, EC2 instance, Elastic IP.

Свойства

• Health Checks — автоматическое переключение при недоступности.
• Client IP Preservation — исходный IP клиента передаётся конечной точке.
• Traffic Dial — процент трафика, направляемого в endpoint group.
• Routing Algorithm — WEIGHTED или FAILOVER.

Преимущества

• Снижение задержки за счёт маршрутизации через сеть AWS.
• Высокая доступность без DNS TTL-задержек.

---

Direct Connect

Компоненты

• Connection — физическое соединение с точкой присутствия (PoP).
• Virtual Interfaces (VIF):
  • Public VIF — доступ к публичным AWS-сервисам.
  • Private VIF — доступ к ресурсам в VPC через Direct Connect Gateway.
• Direct Connect Gateway — объединение нескольких VPC и VGW.

Настройки

• Link Aggregation Group (LAG) — объединение нескольких соединений.
• Jumbo Frames — поддержка MTU до 9001 байт.
• MACsec — шифрование на уровне канала (для 10G/100G).

Провайдеры

• Утверждённые партнёры AWS (например, Megaport, Equinix).
• Hosted Connections — аренда у партнёра без прямого контракта с AWS.

---

Storage Gateway

Типы шлюзов

• File Gateway — NFS/SMB интерфейс, данные хранятся в S3.
• Volume Gateway:
  • Cached Volumes — часто используемые данные локально, всё в S3.
  • Stored Volumes — все данные локально, резервная копия в S3.
• Tape Gateway — эмуляция ленточных библиотек, данные в Glacier.

Свойства File Gateway

• File Shares — SMB или NFS.
• S3 Storage Class — Standard, Standard-IA.
• Audit Logs — запись операций в CloudWatch Logs.
• Object Lock — WORM-защита для соответствия требованиям.

Свойства Volume Gateway

• Volume Size — до 64 TiB.
• Snapshot Schedule — автоматические снимки в EBS.
• iSCSI Target — подключение как блочного устройства.

---

FSx (Fully Managed File Systems)

FSx for Windows File Server

• Deployment Type:
  • Single-AZ
  • Multi-AZ (с автоматическим переходом)
• Storage Type: HDD, SSD
• Throughput Capacity: 8–2048 MB/s
• Active Directory Integration — доменные пользователи и группы
• Backup — автоматические и по запросу

FSx for Lustre

• Высокопроизводительная файловая система для HPC.
• Deployment Type:
  • Scratch — временные вычисления
  • Persistent — долгоживущие рабочие нагрузки
• Data Repository Association — связь с S3 bucket
• Per-Unit Storage Throughput: 50, 100, 200 MB/s/TiB

FSx for NetApp ONTAP

• Поддержка протоколов: NFS, SMB, iSCSI
• Tiering Policy — автоматический перенос холодных данных в S3
• SnapMirror — репликация между регионами
• FlexClone — мгновенные клоны томов

FSx for OpenZFS

• POSIX-совместимость
• Snapshots, Clones, Deduplication
• Compression, Encryption at rest
• User and Group Quotas

---

Elastic Disaster Recovery (DRS)

Архитектура

• Source Servers — on-prem или другие облака.
• Replication Settings:
  • Point-in-time recovery (до 1 секунды RPO)
  • Staging Area Subnet — в AWS-регионе
• Recovery Plans — последовательность запуска машин

Процесс восстановления

• Launch into Recovery — тестовый запуск
• Failover — полный переход в AWS
• Failback — возврат на исходную инфраструктуру

Мониторинг

• Replication lag
• Data consistency checks
• Network throughput

---

Resilience Hub

Цель

• Оценка отказоустойчивости приложений по принципам Well-Architected.

Компоненты

• Application — группа ресурсов (через CloudFormation, Terraform, или Resource Group).
• Assessment — проверка на соответствие политикам.
• Recommendations — конкретные шаги по улучшению.
• Drift Detection — отслеживание изменений после исправлений.

Интеграции

• Fault Injection Simulator (FIS)
• CloudFormation StackSets
• AWS Config Rules

---

Audit Manager

Рабочие процессы

• Frameworks — стандарты соответствия (SOC, HIPAA, PCI-DSS, ISO).
• Assessments — периодические проверки.
• Evidence Collection — автоматический сбор из AWS Config, CloudTrail, IAM и др.
• Control Sets — группы требований.

Отчёты

• Inherent Risk — базовый уровень риска.
• Residual Risk — после применения контролей.
• Deficiency Reports — несоответствия.

Автоматизация

• Планирование оценок
• Уведомления через SNS
• Экспорт в PDF/CSV

---

Control Tower

Назначение

• Быстрое создание многоаккаунтной среды с соблюдением лучших практик.

Компоненты

• Landing Zone — базовая структура (логин-аккаунт, лог-аккаунт, sandbox).
• Guardrails — правила управления:
  • Preventive (SCP-based)
  • Detective (Config-based)
• Account Factory — автоматическое создание аккаунтов.

Интеграции

• Organizations
• Service Catalog
• IAM Identity Center
• CloudTrail, Config, Security Hub

---

Proton

Назначение

• Управление CI/CD и инфраструктурой для микросервисов через шаблоны.

Компоненты

• Environment Templates — общая инфраструктура (EKS, ECS, Lambda).
• Service Templates — CI/CD pipeline + развертывание.
• Template Versions — управление изменениями.
• Service Instances — экземпляры сервисов, созданные из шаблонов.

Роли

• Platform Engineers — создают шаблоны.
• Developers — используют шаблоны без знания деталей.

Интеграции

• CodePipeline
• CloudFormation
• GitHub/GitLab
• Container Registry

---

Clean Rooms

Назначение

• Совместный анализ данных без раскрытия исходных наборов.

Типы Clean Room

• Collaboration — совместное пространство между участниками.
• Configured Table — данные с правилами доступа.
• Analysis Template — разрешённые SQL-запросы.

Безопасность

• Differential Privacy — добавление шума к результатам.
• Query inspection — блокировка потенциально опасных запросов.
• Audit logs — полная история анализа.

Использование

• Маркетинговые исследования
• Финансовый риск-менеджмент
• Здравоохранение

---

Quantum Ledger Database (QLDB)

Назначение

• Полностью управляемая база данных с неизменяемым журналом транзакций.
• Предназначена для систем, требующих прозрачности и аудита: финансы, логистика, цепочки поставок.

Свойства

• Ledger — основная единица; содержит журнал и таблицы.
• Journal — криптографически связанный журнал всех изменений.
• PartiQL — совместимый с SQL язык запросов.
• ACID-транзакции — полная поддержка.
• Иммутабельность — данные нельзя удалить или изменить напрямую.

Безопасность

• Шифрование по умолчанию через KMS.
• IAM-политики на уровне ledger.
• Интеграция с CloudTrail для аудита API.

---

Managed Blockchain

Поддерживаемые фреймворки

• Hyperledger Fabric
• Ethereum (на основе Quorum)

Компоненты

• Network — блокчейн-сеть.
• Member — участник сети.
• Node — пир в сети (peer node, orderer node).
• Chaincode — смарт-контракты (для Fabric).

Управление

• Автоматическое масштабирование нод.
• Обновление версий без downtime.
• Мониторинг через CloudWatch.

Использование

• Децентрализованные реестры.
• Совместное использование данных между организациями.
• Проверяемость происхождения товаров.

---

WorkSpaces

Архитектура

• Виртуальные рабочие столы Windows/Linux.
• Доступ через клиентское приложение или браузер (WorkSpaces Web).

Bundle Types

• Value — минимальная конфигурация.
• Standard, Performance, Power, PowerPro — возрастающая производительность.
• Graphics, GraphicsPro — для дизайнеров и инженеров.

Настройки

• Root Volume — 80 GiB (системный диск).
• User Volume — до 10 TiB (данные пользователя).
• Running Mode:
  • AutoStop — останавливается при бездействии.
  • AlwaysOn — постоянно включён.

Безопасность

• Интеграция с Active Directory.
• MFA через RADIUS или SAML.
• Шифрование томов через KMS.

---

WorkLink

Назначение

• Безопасный доступ к корпоративным веб-приложениям с мобильных устройств.
• Браузер работает в облаке; данные не попадают на устройство.

Архитектура

• Fleet — изолированная среда браузера.
• Identity Provider — SAML 2.0.
• Site — URL корпоративного приложения.

Безопасность

• Zero Trust — проверка каждого запроса.
• Копирование/вставка запрещены.
• Сессии записываются в CloudWatch Logs.

---

AppStream 2.0

Назначение

• Потоковая передача десктопных приложений.
• Пользователи работают с приложением через браузер.

Компоненты

• Image Builder — создание образа с предустановленными приложениями.
• Fleet — группа инстансов с приложениями.
• Stack — набор приложений и политик доступа.
• User Pool — управление пользователями через SAML или пользовательские пулы.

Настройки Fleet

• Instance Type: stream.standard.small, stream.graphics.g4dn.xlarge
• Max User Duration: до 10 часов
• Disconnect Timeout: до 60 минут

Хранилище

• Home Folders — персональное S3-хранилище на пользователя.
• Temporary Folders — очищаются после сессии.

---

Chime SDK

Компоненты

• Chime SDK for Meetings — видеоконференции.
• Chime SDK for Messaging — чаты и каналы.
• Chime SDK Voice Connector — SIP-интеграция.

Возможности

• До 250 участников в одном зале.
• Эхо-подавление, шумоподавление.
• Запись сессий в S3.
• Live transcription через Amazon Transcribe.

Безопасность

• End-to-end encryption (опционально).
• Media ingestion только через защищённые каналы.
• Авторизация через IAM или Cognito.

---

HealthLake

Назначение

• Централизованное хранилище медицинских данных в стандарте FHIR (Fast Healthcare Interoperability Resources).

Функции

• Индексация структурированных и неструктурированных данных.
• Natural Language Processing для извлечения диагнозов, лекарств.
• Интеграция с QuickSight, SageMaker, Redshift.

Безопасность

• HIPAA-совместимость.
• Шифрование данных в покое и при передаче.
• Аудит через CloudTrail и AWS Config.

---

DevOps Guru

Работа

• Анализирует метрики, логи, события из CloudWatch, X-Ray, Config.
• Обнаруживает аномалии и предлагает решения.

Insights

• Reactive Insights — при уже возникшей проблеме.
• Proactive Insights — прогнозирует риски (например, нехватку capacity).

Интеграции

• EventBridge → Lambda/SNS
• OpsCenter — централизованное управление инцидентами

---

Signer

Назначение

• Подпись кода для обеспечения целостности и подлинности.

Поддерживаемые форматы

• Windows: .exe, .dll, .msi
• Java: .jar
• Linux: .rpm, .deb
• macOS: .pkg

Процесс

• Загрузка артефакта в S3.
• Вызов StartSigningJob.
• Получение подписанной копии.

Безопасность

• Использование сертификатов от ACM Private CA.
• Полный аудит через CloudTrail.

---

Artifact

Назначение

• Централизованный портал для отчётов о соответствии и соглашений.

Документы

• SOC 1/2/3
• ISO 27001, ISO 27017, ISO 27018
• PCI DSS
• HIPAA
• GDPR

Возможности

• Онлайн-просмотр и загрузка.
• Автоматические уведомления об обновлениях.
• Юридическая привязка через BAA (Business Associate Addendum).

---

Marketplace

Типы продуктов

• AMI — образы EC2.
• Container — образы Docker.
• SaaS — подписки на облачные сервисы.
• Data — наборы данных.

Для продавцов

• Private offers — продажа конкретным аккаунтам.
• Contract pricing — гибкие условия.
• Entitlement API — проверка лицензий.

Для покупателей

• Единый биллинг через AWS.
• Управление подписками в консоли.
• Использование Private Marketplace — одобрение только разрешённых продуктов.

---

Cost and Usage Report (CUR)

Содержание

• Подробные данные по каждому ресурсу, тегу, аккаунту.
• Поля: line_item_type, product_code, usage_account_id, resource_id, tags.

Настройка

• Ежедневная или почасовая доставка в S3.
• Интеграция с Athena, Redshift, QuickSight.
• Включение Reserved Instance и Savings Plans coverage.

Использование

• Анализ эффективности использования ресурсов.
• Распределение затрат по командам/проектам.
• Прогнозирование бюджета.

---

Backup Vault Lock

Назначение

• Обеспечение неизменяемости резервных копий в AWS Backup.
• Соответствие требованиям регуляторов (например, SEC Rule 17a-4).

Режимы

• Governance Mode — администраторы могут отключить защиту.
• Compliance Mode — никто не может изменить или удалить данные до истечения срока хранения.

Настройки

• MinimumRetentionDays — минимальный срок хранения.
• MaxRetentionDays — максимальный срок.
• LockDate — дата, после которой политика становится неотменяемой (только в Compliance Mode).

Применение

• Применяется к Backup Vault.
• Все новые восстановления наследуют политику.

---

CloudShell

Назначение

• Браузерный терминал с предустановленными AWS CLI, Python, jq, Bash.
• Доступен напрямую из консоли управления.

Ограничения

• Время сессии: до 60 минут бездействия.
• Хранилище: 1 ГБ в домашней директории (/home/cloudshell-user).
• Нет root-доступа.
• Доступ только к тем сервисам, на которые есть права у пользователя.

Использование

• Быстрое тестирование команд.
• Автоматизация через скрипты без локальной установки CLI.

---

Data Exchange

Назначение

• Платформа для покупки, продажи и обмена данными.

Компоненты

• Data Sets — коллекции данных.
• Revisions — версии набора данных.
• Assets — файлы или API-эндпоинты внутри ревизии.

Модели распространения

• Subscriptions — подписка на обновления.
• One-time purchases — разовая покупка.
• Public or Private — публичный или приватный доступ.

Интеграции

• Данные автоматически появляются в S3.
• Возможна обработка через Glue, Athena, SageMaker.

---

Ground Station

Назначение

• Управление спутниками через глобальную сеть наземных станций AWS.

Компоненты

• Contacts — временные окна связи со спутником.
• Configurations — параметры приёма/передачи.
• Ephemeris — данные о траектории спутника.

Использование

• Приём телеметрии.
• Отправка команд.
• Обработка данных через Lambda, S3, Kinesis.

---

IoT Suite

IoT Core

(уже описан ранее)

IoT Analytics

• Автоматическая обработка потоков данных с устройств.
• Channels → Pipelines → Data Stores → Datasets.
• SQL-подобный язык для трансформации.
• Интеграция с QuickSight, SageMaker.

IoT Device Defender

• Мониторинг безопасности устройств.
• Обнаружение аномалий в поведении (нестандартные IP, порты).
• Аудит конфигураций на соответствие политике.

IoT Events

• Реакция на события от устройств.
• Detectors — состояния устройств.
• Inputs → Detector Models → Actions (SNS, Lambda, SQS).

IoT Greengrass

• Выполнение Lambda-функций на edge-устройствах.
• Components — модули приложений.
• Deployments — управление версиями.
• Local Shadows — синхронизация состояния без облака.
• Stream Manager — буферизация данных при отсутствии связи.

---

Lake Formation

Назначение

• Централизованное управление озером данных (data lake).
• Упрощённая настройка безопасности и каталогизации.

Компоненты

• Data Lake Location — S3 bucket.
• Blueprints — автоматическое сканирование источников.
• Permissions — гранулярный контроль на уровне таблицы, столбца, строки.
• Data Filters — маскирование данных по условиям.

Безопасность

• Интеграция с IAM, Cognito, SAML.
• Row-level security через теги.
• Audit через CloudTrail.

---

Migration Evaluator (ранее TSO Logic)

Назначение

• Анализ локальных рабочих нагрузок для миграции в AWS.
• Оценка TCO (Total Cost of Ownership).

Сбор данных

• Агент устанавливается на серверы.
• Собирает CPU, RAM, диски, зависимости.

Отчёты

• Рекомендации по типу инстанса.
• Расчёт затрат на EC2, RDS, EBS.
• Сравнение on-prem vs AWS.

---

Network Firewall

Архитектура

• Манагируемый stateful firewall для VPC.
• Размещается на границе VPC или между подсетями.

Правила

• Stateful Rules — анализ полного потока (L3–L7).
• Stateless Rules — быстрая фильтрация (L3–L4).
• Rule Groups — предопределённые или пользовательские.

Интеграции

• AWS Firewall Manager — централизованное управление.
• Logging в S3, CloudWatch, Kinesis Firehose.

---

Outposts

Назначение

• AWS-инфраструктура в локальных дата-центрах или на предприятии.

Поддерживаемые сервисы

• EC2, EBS, S3 on Outposts, RDS on Outposts, Lambda, ECS, EKS.

Типы конфигураций

• Full Rack — 42U, до 100 Gbps.
• Half Rack — 21U.
• Outposts Server — одноплатная система.

Управление

• Полностью интегрирован в консоль AWS.
• Обновления и мониторинг через AWS.

---

Panorama

Назначение

• Edge-устройства для компьютерного зрения на производстве, в ритейле.

Компоненты

• Appliances — физические устройства.
• Applications — модели машинного обучения.
• Cameras — RTSP-совместимые.

Возможности

• Подсчёт людей, распознавание объектов, контроль качества.
• Интеграция с CloudWatch, S3, Kinesis Video Streams.

---

RoboMaker

Компоненты

• Simulation World — виртуальная среда для тестирования.
• Robot Applications — ROS-приложения.
• Simulation Applications — логика симуляции.
• Fleet Management — развёртывание на реальных роботах.

Использование

• Тестирование алгоритмов без физических роботов.
• Масштабируемая симуляция тысяч сценариев.

---

Snow Family

Snowcone

• Устройство размером с ноутбук.
• 8 TB или 14 TB.
• Может работать как edge-устройство с Greengrass.
• Пересылка данных через FedEx.

Snowball

• 50–80 TB или 100 TB.
• Поддержка вычислений (Snowball Edge).
• Используется для миграции и edge-обработки.

Snowmobile

• Контейнер на грузовике.
• До 100 PB за рейс.
• Для экстремально больших объёмов.

Безопасность

• Шифрование AES-256.
• TPM-чип для проверки целостности.
• Физическая охрана при транспортировке.

---

Verified Permissions

Назначение

• Централизованное управление авторизацией на основе политик (fine-grained authorization).

Модель

• Policy Store — хранилище политик.
• Entities — пользователи, ресурсы, действия.
• Schema — определение типов и отношений.
• Cedar — декларативный язык политик.

Пример политики

permit(
  principal == User::"alice",
  action == Action::"view",
  resource == Document::"budget"
);

Интеграции

• AppSync, API Gateway, внутренние приложения.
• Аудит через CloudTrail.

---