- S3为了实现数据的高持久性,把数据复制到了三个数据中心。
- 访问控制列表ACL类似于EC2的安全组和网络ACL,不同点在于,EC2的安全组和网络ACL中记录的是IP地址和端口的允许与否,而S3的访问控制列表ACL中控制的是各个AWS账号的访问权限和S3内对象的HTTP访问权限(使得S3中的对象),但是不能更细的控制访问的权限,比如设置拒绝访问权限和将权限限制为IAM用户组中等一些操作。
- S3的访问控制除了访问控制列表ACL还有其他两种访问控制方法,存储桶策略和IAM用户策略,存储桶策略更高级,可以实现对所有AWS账户设置访问控制,但是IAM用户策略不行,它只能实现对自己AWS账户中的IAM账户设置访问控制。
- 一般来说S3中对象的url是可以通过HTTP持续访问的,但是会有一些特殊情况,比如有的S3对象是“试用版”,只有一段时间可以访问,比如7天,所以,需要对S3对象url进行访问时间限制,预签url就应运而生了。预签名可以通过在原来的url后面加上一串验证字符,实现此S3对象url的限时访问。预签名url并不是对原url进行时间限制,而是独立开辟了一个url,专门实现对此S3对象的限时访问。
- S3存储桶对象的加密分为两类,客户端和服务器端。客户端只需要把客户端数据进行加密,然后上传到存储桶。服务器端则是直接对当前存储桶里的对象进行数据加密。
- S3上可以存储静态网页,对于动态网页应用程序不可以在S3上托管。在S3上托管网页比EC2成本低,性价比高,但是每个网页必须有对应的DNS服务,才能实现针对域名的范围。
- S3中的版本控制功能(Versioning)所控制的版本其实是S3的版本,在该S3版本修改之前进行备份,方便账户在修改S3存储桶之后恢复修改之前的S3存储桶。
- S3中有个很便捷的功能,叫做Glazier(冰川),用它来存储一些长时间不用的数据对象。因为Glacier的价格更低,且无论Glazier里面存了多少数据,都需要3~5个小时才能将数据提取出来,所以它便宜但是后期提取数据成本高,所以只能用来存储一些不经常用的数据,降低了成本。
- Glazier的实现方法有两种,S3的生命周期功能和通过SDK直接把数据下载下来。S3生命周期功能可以使得S3存储桶中的数据在一定时间之后自动转移到Glazier上或者自动删除。S3所谓的生命周期功能指的是对存储桶数据的生命周期控制。
- S3其实就是个网盘,只能存一些静态的不变的东西,因为S3中如果要修改原来的数据,得先删除,然后重新上传才行。
- 在S3中写入新对象,存储桶中不会立刻显示出来,需要等S3返回“Complete”之后就可以立刻在存储桶中显示出来,有滞后性,可能是由于S3存储桶上的对象都是要复制到该Region内的三个数据中心,这需要时间。
- 在S3中更新对象时,就算返回了“完成”,也得过一段时间之后,点击该对象才能访问新的数据。删除对象也一样,需要返回“完成”后等一段时间才能真正删除这个对象,不在S3存储桶中显示出来。
- 如果不小心删除了S3中存储桶数据,CRR功能起不了防止的作用,因为如果源数据被误删了,其他数据中心的副本也会一同丢失。
- 数据库的热备份指的是在数据库运行时实时的同步数据,操作难度大,而冷备份则是在数据库停止运行的时候才备份数据,操作难度小。
- RDS的实例只需要关注实例的规格和数据库的引擎(MySQL或其他),EC2实例连接上RDS实例之后,可以立刻开始数据库读写的操作,在EC2实例中安装了DBMS之后,可以使得AWS账户只需要考虑业务处理,不需要考虑一些底层的技术支持了。
- RDS的多可用区部署中使用的是将现有的数据库实时备份的方法,使得在主数据库发生故障的时候,可以轻松的将主数据库切换为备用数据库,进行故障转移。数据库的备份副本默认不可以进行读写,但是如果需要提高数据库的可用性,其实也可以设置成只读副本,这样就能在数据库数据发生变化的时候,可以对副本进行读取操作,更安全。
- RDS也是AZ服务,它和EC2一样,在AZ内创建使用实例,并通过安全组和网络ACL等子网的路由规则进行访问控制。
疑问
- 存储在Glazier中的数据提取出来,存储在哪?S3存储桶?
- 为什么S3的上传新对象时返回“完成”之后就可以立刻显示新的对象,而更新对象时返回“完成”之后要等一段时间,点击该对象之后才能显示新的对象数据?S3更新和删除对象为什么会有延迟?
- 既然存储桶策略可以设置的IAM用户对象的访问控制比IAM策略更全面,范围更广,那么为什么IAM策略还能存在,不被淘汰?有何存在的意义?(难道是为了权限分层,使得存储桶策略可以拥有更高的权限,更安全?但是那存储桶为什么还要保留IAM策略的较低的权限呢?不也是浪费吗?)
1021
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
