的运营最佳实践AmazonWell-Architected 框架可靠性支柱 - Amazon Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的运营最佳实践AmazonWell-Architected 框架可靠性支柱

一致性包提供了一个通用的合规性框架,旨在使您能够使用托管或自定义的创建安全性、运营或成本优化治理检查Amazon Config和规则Amazon Config修正。合规性包(作为示例模板)的设计目的不是为了完全确保符合特定的监管或合规性标准。您有责任自行评估您对服务的使用是否符合适用的法律和法规要求。

以下提供了 Amazon Web Services 架 Well-Architected 的框架可靠性支柱和Amazon Config托管规则。每个 Config 规则都应用于特定Amazon资源,并与支柱的一个或多个设计原则相关。一个 Well-Architected 框架类别可以与多个 Config 规则相关联。有关这些映射的详细信息和指南,请参阅下表。

此一致性包已通过Amazon安全保证服务有限责任公司 (AmazonSAS),这是一个由支付卡行业合格安全评估员 (QSA)、HITRUST 认证通用安全框架从业员 (CCSFP) 和合规专业人员组成的团队,他们通过了认证以为各种行业框架提供指导和评估的合规专业人员组成。AmazonSAS 专业人员设计了此一致性包,使客户能够与架构良好的框架可靠性支柱设计原则的子集保持一致。

Amazon Web Services 区域:全部支持Amazon Web Services 区域中东(巴林)

控制 ID 控制描述 Amazon Config 规则 指南
相关-1 如何管理服务配额和约束? 对于基于云的工作负载体系结构,存在服务配额(也称为服务限制)。存在这些配额是为了防止意外配置超过您需要的资源,并限制 API 操作的请求速率,从而保护服务免受滥用。还有一些资源限制,例如,您可以向下推动光纤电缆的比特速率,或物理磁盘上的存储量。

dynamodb-throughput-limit-check

启用此规则可确保在 Amazon DynamoDB 表上检查预配置的吞吐量容量。这是每个表可以支持的读/写活动量。DynamoDB 使用此信息来预留足够的系统资源,以满足吞吐量需求。当吞吐量达到客户帐户的最大限制时,此规则会生成警报。此规则允许您选择设置帐户切断阈值百分比(Config 默认值:80)和 accountRCUThresholdPercentage(Config 默认值:80)参数。实际值应反映组织的策略。
相关-1 如何管理服务配额和约束? 对于基于云的工作负载体系结构,存在服务配额(也称为服务限制)。存在这些配额是为了防止意外配置超过您需要的资源,并限制 API 操作的请求速率,从而保护服务免受滥用。还有一些资源限制,例如,您可以向下推动光纤电缆的比特速率,或物理磁盘上的存储量。

此规则确保建立了 Lambda 函数的并发高和低限制。这可以帮助您确定您的函数在任何给定时间所服务的请求的基线。
REL-2 您如何规划网络拓扑? 工作负载通常存在于多个环境中。这些环境包括多个云环境(可公开访问和私有),还可能是您现有的数据中心基础设施。计划必须包括网络注意事项,如系统内和系统间连接、公有 IP 地址管理、私有 IP 地址管理和域名解析。

可实施冗余 Site-to-Site VPN 隧道以实现恢复要求。它使用两条隧道以帮助确保连接性,以防止出现 Site-to-Site VPN 连接不可用的情况。要避免因您的客户网关不可用而造成连接中断,您可使用第二个客户网关来为您的 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关设置另一个 Site-to-Site VPN 连接。
REL-7 您如何设计工作负载以适应需求的变化? 可扩展的工作负载提供了自动添加或删除资源的弹性,以便它们与任何给定时间点的当前需求紧密匹配。

dynamodb-autoscaling-enabled

Amazon DynamoDB 自动扩展使用Amazon应 Application Auto Scaling 服务可调整自动响应实际流量模式的预配置吞吐量容量。这将允许表或全局二级索引增大其预置读写容量以处理突增流量,而不进行限制。
REL-8 您如何实施更改? 为了部署新功能,并确保工作负载和操作环境正在运行已知软件,并且可以以可预测的方式修补或替换,需要受控更改。如果这些变化不受控制,那么就难以预测这些变化的影响或解决由此产生的问题。

redshift-cluster-maintenancesettings-check

此规则可确保 Amazon Redshift 集群具有您组织的首选设置。具体而言,他们具有数据库的首选维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade。默认值为 true。它还允许您选择性地设置 preferredMaintenanceWindow(默认值为坐:16:00-sat:16:30)和自动快照持续期(默认值为 1)。实际值应反映组织的策略。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

db-instance-backup-enabled

Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 将自动创建数据库实例的存储卷快照,备份整个数据库实例。该系统允许您设置特定的保留期以满足您的恢复要求。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

备份中的动态计划

为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是AmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

dynamodb-pitr-enabled

启用此规则可检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用了时间点恢复来维护备份。恢复将在过去 35 天内维护表的连续备份。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

备份计划

为帮助完成数据备份流程,请确保 Amazon Elastic Block Store (Amazon EBS) 卷是AmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

EFS 进入备份计划

要帮助进行数据备份流程,请确保 Amazon EFS lastic File File File File File File File File File File File File File File File File FileAmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

elasticache-redis-cluster-automatic-backup-check

启用自动备份后,Amazon ElastiCache 每天为集群创建一个备份。备份可以按照您的组织的指定保留几天。自动备份可以帮助防止数据丢失。如果发生故障,您可以通过从最新的备份还原所有数据来创建新集群。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

备份计划中的 RDS

为了帮助完成数据备份流程,请确保 Amazon Relational Database Service (Amazon RDS) 实例是AmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
REL-10 如何使用故障隔离来保护您的工作负载? 故障隔离边界将工作负载中故障的影响限制在有限数量的组件中。边界以外的元件不受失败的影响。使用多个故障隔离边界,您可以限制对工作负载的影响。

支持 ELB 跨区域负载平衡

为弹性负载均衡器 (ELB) 启用跨区域负载平衡,以帮助维持足够的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量实例的需求。它还提高应用程序处理一个或多个实例丢失情况的能力。
REL-9 您如何备份数据? 备份数据、应用程序和配置,以满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持维护充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
REL-10 如何使用故障隔离来保护您的工作负载? 故障隔离边界将工作负载中故障的影响限制在有限数量的组件中。边界以外的元件不受失败的影响。使用多个故障隔离边界,您可以限制对工作负载的影响。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持提供了增强的数据库实例的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建主数据库实例,并同步将数据复制到不同可用区中的备用实例。每个可用区都在独立的、物理上显著不同的、物理上显著不同的基础设施上运行并且被设计得高度可靠。在基础设施发生故障时,Amazon RDS 会自动执行到备用故障切换,以便在故障转移完成后立即恢复数据库操作。

Template

该模板在 GitHub 上提供。的运营最佳实践AmazonWell-Architected 可靠性支柱