Coursera Flash Sale
40% Off Coursera Plus for 3 Months!
Grab it
概览
您是 AnyCompany 的一名安全工程师。您负责保护公司的所有 Amazon Elastic Compute Cloud (Amazon EC2) 实例、存储在这些实例上的数据(静态数据)以及在这些实例之间传输的数据(传输中的数据)。
AnyCompany 的应用程序开发人员经常将 EC2 实例用于前端 Web 服务器和后端数据库服务器。您希望为公司的所有实例提供一个预先配置的基础映像,而不是在部署每个新实例时对其进行安全方面的调整。
在本实验中,您需要创建一个包含各种配置更改的自定义亚马逊机器映像 (AMI)。然后,您需要从该自定义 AMI 部署一个新实例,并对此实例使用用户数据脚本,以便添加一个特定于实例功能的新用户。接着,您将了解如何使用 AWS Systems Manager 修补实例。最后,您将使用 Amazon Elastic Block Store (Amazon EBS) 加密和安全组规则来保护静态和传输中的公司数据。
目标
本实验结束时,您将能够:
- 创建自定义 AMI。
- 从自定义 AMI 部署新的 EC2 实例。
- 使用 AWS Systems Manager 修补 EC2 实例。
- 加密 EBS 卷。
- 了解 EBS 加密的工作原理及其如何影响其他操作(如拍摄快照)。
- 使用安全组,将 EC2 实例之间的流量限制为仅允许加密的流量通过。
技术知识先决条件
要成功完成本实验,您应该熟悉 AWS Management Console 的基本导航,并且能够熟练在 Linux Command Line Interface (CLI) 中运行命令。
时长
完成本实验大约需要 45 分钟。
图标说明
本实验中使用了不同图标,以提醒大家注意各种类型的说明和备注。下面的列表解释了每个图标的用途:
- 命令:您必须运行的命令。
- 预期输出:您可以用来验证命令或已编辑文件输出的示例输出。
- 注意:一项提示、技巧或重要指导。
- 附加信息:查找详细信息的位置。
- 提醒:提示特别相关或重要的信息(不查看该信息并不会损坏设备或数据,但可能导致需要重复某些步骤)。
- 思考:暂停一下,思考如何在自己的环境中应用某个概念,或者就当前的主题展开讨论。
- 刷新:您可能需要刷新 Web 浏览器页面或列表才能看到新信息。
环境概览
下图显示了实验环境的基本架构:
下面的列表详细列出了图中的主要资源:
- 一个 VPC,在第一个可用区具有一个公有子网和两个私有子网,在第二个可用区具有一个公有子网。
- 一个具有两个节点(每个公有子网中各有一个)的 Network Load Balancer。
- 一个 EC2 实例,在第一个私有子网中充当 Web 服务器。
- 一个在第二个子网中充当数据库服务器的 EC2 实例。
- 两个安全组,每个安全组根据其用途各自对应一个实例。
网络流量从外部用户流经互联网网关,到达两个 Network Load Balancer 节点之一,最后到达 Web 服务器。如果请求在 Web 服务器上运行的 WordPress 博客站点的 URL,流量也会流向数据库服务器。
