Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

架构指导方针和决策 

本节将简要概述通常用于 SAP 工作负载的Amazon服务，以及在设计托管 SAP 的架构时需要了解的一些要点Amazon。如果您已经熟悉这些Amazon服务，则可以跳过本节。

区域和可用区

Amazon全球基础设施由Amazon区域和可用区 (AZ) 组成。 有关Amazon全球基础设施的更多详细信息，请参阅区域和可用区。

区域

Amazon业务遍及全球，可确保为世界各地的客户提供服务。 Amazon在北美、南美、欧洲、亚太和中东维护多个区域。

Amazon 区域是地理区域中的 Amazon 资源集合。每个区域都是孤立和独立的。有关区域名称和代码的列表，请参阅区域终端节点。

区域提供容错能力、稳定性和弹性。它们使您能够创建冗余资源，在不太可能发生的停机事件中，这些资源仍然可用且不受影响。

Amazon区域由多个可用区 (AZ) 组成，通常为 3。可用区是Amazon基础设施中完全隔离的分区。它由分散的数据中心组成，这些数据中心位于不同的设施中，具有冗余电源、网络和连接。

您保留对数据实际所在Amazon区域的完全控制权和所有权，从而可以轻松满足地区合规性和数据驻留要求。

可用区

可用区 (AZ) 使客户能够运行比单一数据中心更高的可用性生产应用程序和数据库。将应用程序分布在多个区域中，能够在面对大多数故障模式（包括自然灾害或系统故障）时保持弹性。

每个可用区可以是多个数据中心。全面而言，它可以包含数十万台服务器。它们是Amazon全球基础架构中完全隔离的分区。凭借其自身强大的基础架构，可用区与任何其他区域在物理上是分开的。有几千米的距离，尽管所有距离都在100千米以内（彼此相距60英里）。此距离可以隔离可能影响数据中心的最常见灾害（即洪水、火灾、暴风雨、地震等）。

一个区域内的所有可用区 (AZ) 都通过完全冗余的专用城域光纤与高带宽和低延迟网络互连。这可确保区域间的高吞吐量、低延迟联网。网络性能足以完成区域间的同步复制。 

Amazon可用区 (AZ) 使我们的客户能够以高度可用的方式运行其应用程序。为了实现高可用性，应用程序需要在多个位置同时运行完全相同的数据，从而允许在发生灾难时以最少的停机时间进行无缝故障转移。

服务

我们的一般政策是，根据客户需求、延迟、数据主权和其他因素，在正式上市后的 12 个月内向所有Amazon地区提供Amazon服务、功能和实例类型。您可以联系Amazon销售代表，分享您对本地区域交付的兴趣，索取服务路线图信息，或者深入了解服务相互依存关系（根据保密协议）。 

由于服务的性质，某些Amazon服务是在全球而不是按地区交付的，例如53号公路、Amazon Chime、亚马逊 WorkDocs、亚马逊和 WorkMail亚马逊 WorkSpaces。 WorkLink 

其他服务，例如亚马逊弹性计算云 (Amazon EC2) 和亚马逊弹性区块存储 (Amazon EBS) Elastic Block Store，都是区域服务。在创建用于启动的 Amazon EC2 或 Amazon EBS 资源时，需要在某个区域内指定所需的可用区。 

选择Amazon区域

在为 SAP 环境部署选择Amazon区域时，应考虑以下几点：

多区域注意事项

在多个区域部署时，一个重要的考虑因素是每个区域所需的核心服务（例如网络、安全和审计服务）的相关成本和管理工作。

网络延迟

如果您决定采用多区域方法，则应考虑从本地位置到次要区域的网络延迟增加所产生的影响。

跨区域数据传输

Amazon提供了几种在区域之间传输数据的方法。在设计用于灾难恢复的 SAP 架构时，这些方法非常重要。 在将数据传输到其他Amazon区域时，您应考虑任何数据驻留要求、与数据传输（跨区域对等互连和/或 Amazon S3 复制）相关的成本，以及次要区域的存储。 

0 级服务

使用Amazon区域时，在部署 SAP 工作负载之前，您需要许多第 0 层服务。这些产品包括 DNS、Active Directory 和/或 LDAP 以及任何Amazon或 ISV 提供的安全与合规产品和服务。

Amazon账户

虽然没有关于特定客户应拥有多少Amazon账户的 one-size-fits-all 答案，但大多数组织都希望创建一个以上的Amazon账户。多个账户可提供最高级别的资源和账单隔离。 

在 SAP 工作负载的背景下，客户通常在单独的Amazon账户中部署生产环境。它有助于将生产环境与 SAP 环境的其余部分隔离开来。

Amazon Organizations是一项账户管理服务，可让您将多个Amazon账户整合到一个由您创建和集中管理的组织中。 Amazon Organizations包括账户管理和整合账单功能。它使您能够更好地满足业务的预算、安全和合规需求。作为组织的管理员，您可以在组织中创建账户并邀请现有账户加入组织。

AmazonLanding Zon e 是一种解决方案，可帮助客户根据Amazon最佳实践更快地设置安全的多账户Amazon环境。您可以通过自动设置环境来运行安全和可扩展的工作负载，同时通过创建核心账户和资源来实现初始安全基准，从而节省时间。它还为开始使用多账户架构、Identity and Access Managem Amazon ent、治理、数据安全、网络设计和日志提供了一个基准环境。

注意：Lan Amazon ding Zone Amazon 解决方案由解决方案架构师或专业服务顾问提供，用于创建Amazon客户、网络和安全策略的自定义基准。

如果您希望通过 Active Directory 等自定义插件设置具有丰富自定义选项的可配置着陆区，并通过代码部署和配置管道进行变更管理，请考虑使用 Landing Zone 解决方案。Amazon

AmazonCont@@ rol Tower 基于与数千家企业合作建立的最佳实践，提供了设置和管理安全、合规的多账户Amazon环境的最简单方法。借助 C Amazon ontrol Tower，您的分散团队可以快速配置新Amazon帐户。同时，您的中央云管理员将知道所有账户都与集中制定的公司范围内的合规性政策保持一致。 

可以考虑使用Amazon控制塔（Control Tower）在带有预配置蓝图的着陆区基础上设置一个新Amazon环境。您可以使用预先配置的护栏以交互方式管理您的账户。 

计算

亚马逊弹性计算云 (Amazon EC2) 在亚马逊网络服务 (Amazon) 云中提供可扩展的计算容量。Amazon EC2 实例在指定亚马逊虚拟私有云 (Amazon VPC) 内的特定可用区启动。

当 Amazon EC2 实例部署在单个区域内的两个或多个可用区时，服务级别Amazon协议为 99.99%。

实例类型

SAP 支持一系列 Amazon EC2 实例类型。在为 SAP 工作负载选择实例类型时，应考虑哪些层可以灵活使用所用实例（应用程序层）。另外，根据计算、内存、存储吞吐量和许可证合规性要求，考虑哪些层需要使用特定的实例类型（数据库层）。

对于具有特定实例类型要求且在故障情况下无法灵活更改的等级，请考虑在所需的可用区和实例将要运行的区域内使用预留实例或按需容量预留进行容量预留。这种方法称为静态稳定性。有关更多信息，请参阅使用可用区的静态稳定性。

预留实例

与按需@@ 实例定价相比，预留实例可显著节省您的 Amazon EC2 成本。预留实例不是物理实例。它们是对账户中使用的按需实例所应用的账单折扣。要享受 discount 优惠，这些按需实例必须匹配某些属性，例如实例类型和区域。

当您在多个可用区部署 Amazon EC2 以实现高可用性时，我们建议您使用区域预留实例。除了比按需实例定价节省之外，区域预留实例还可在指定可用区内提供容量预留。这样可以确保所需的容量随时可用。

出于计费目的，的整合账单功能将组织中的所有账户Amazon Organizations视为一个账户。这意味着，组织中的所有账户都可以享受到任何其他账户购买的预留实例的小时成本优惠。

节省计划

S@@ avin gs Plans 是一种灵活的定价模式，可为您的Amazon计算使用量节省高达 72%。无论实例系列、大小、租期或Amazon地区如何，它都提供更低的 Amazon EC2 实例使用价格。Savings Plan 模式也适用于Amazon Fargate和Amazon Lambda使用。

与按需相比，Savings Plans 可节省大量费用，就像 Amazon EC2 预留实例一样，以换取承诺在一年或三年内使用特定数量的计算能力（以美元/小时计）。

On-Demand Capacity Reservations

按需容量预留允许您在特定可用区内为 Amazon EC2 实例预留任意期限的容量。这使您能够独立创建和管理容量预留，并享受 Savings Plans 或区域预留实例提供的账单折扣。您可以随时创建容量预留，确保在需要时随时可以访问 Amazon EC2 容量，只要您需要。您随时可以创建容量预留，而无需作出一年或三年期限承诺，并且可以立即使用该容量。当您不再需要预留时，我们建议您取消容量预留以停止为此产生费用。

跨可用区域的实例系列可用性

某些 Amazon EC2 实例系列（例如 X1 和高内存）不适用于一个区域内的所有可用区。您应确认 SAP 工作负载所需的实例类型，并检查目标可用区中是否有这些实例类型。

亚马逊 EC2 自动恢复

Amazon EC2 auto recovery 是一项 Amazon EC2 功能，如果实例由于底层硬件故障或需要Amazon参与修复的问题而受损，它会自动恢复同一可用区内的实例。

您可以通过创建监控实例状态的 Amazon CloudWatch 警报来为 Amazon EC2 实例启用自动恢复。 导致系统状态检查失败的问题示例包括：

尽管失败的实例通常需要不到 15 分钟的时间才能重启，但 Amazon EC2 auto reco very 不提供 SLA。因此，如果故障主机上运行的应用程序的恢复至关重要（例如，SAP 数据库或 SAP Central Services），则应考虑使用跨两个可用区的群集来帮助确保高可用性。 

高内存裸机专用主机

Amazon EC2 内存增强型实例专为运行大型内存数据库（例如 SAP HANA）而设计。 高内存裸机实例可在 Amazon EC2 专用主机上使用，预留期为一年或三年。

内存增强型实例支持专用主机恢复。 如果在您的专用主机上检测到故障，主机恢复会自动在新的替换主机上重启您的实例。主机恢复减少了手动干预的需求，并降低了专用主机意外故障时的操作负担。  

我们建议您在所选区域的不同可用区中使用内存第二高的实例，以防出现区域故障。

亚马逊 EC2 维护

Amazon维护实例的底层主机时，它会安排实例的维护时间。维护事件有两种类型：

此外，我们经常升级我们的 Amazon EC2 队列，许多补丁和升级都以透明的方式应用于实例。但是，有些更新需要短暂的重启。这样的重启应该很少发生，但对于应用可增强我们的安全性、可靠性和操作性能的升级是必要的。

作为 Amazon EC2 计划维护的一部分，可能需要进行两种类型的重启：

您可以使用 API 工具或命令行在Amazon Web Services Management Console或中查看您的实例即将发生的任何计划事件。

如果您不采取任何措施，则两种情况下对您的实例的影响都是一样的：在您的计划维护时段内，您的实例将经历重启，在大多数情况下需要几分钟。

或者，您可以通过在实例上执行停止和启动操作，将您的实例迁移到新主机。有关更多信息，请参阅停止和启动实例。您可以自动化立即停止并启动以响应计划维护事件。

联网

亚马逊 Virtual Private Cloud 和子网

A mazon Virtual Private Cloud（亚马逊 VPC）是专用于您的Amazon账户的虚拟网络。它在逻辑上与 Amazon 云中的其他虚拟网络隔绝。您可以在 VPC 内启动您的 Amazon 资源，例如 Amazon EC2 实例。

创建 VPC 时，必须以无类域间路由 (CIDR) 块的形式为 VPC 指定 IPv4 地址范围，例如 10.0.0.0/16。这是您的 VPC 的主要 CIDR 块。

您可以在所选Amazon区域内创建 VPC，它将在该区域内的所有可用区域中可用。 

要向您的 VPC 添加新子网，您必须在 VPC 范围内为该子网指定一个 IPv4 CIDR 块。您可以指定要在其中放置子网的可用区。您可以在同一个区域中拥有多个子网，但单个子网不能跨越多个区域。 

为了提供 future 的灵活性，我们建议您的子网和连接设计支持您账户在该区域内的所有可用区域，无论您最初计划在一个区域内使用多少个可用区。    

跨可用区域的延迟

所有可用区 (AZ) 都通过完全冗余的专用城域光纤与高带宽、低延迟的网络互连。这会导致同一区域中不同可用区的资源之间出现个位数毫秒的延迟。

为了获得高可用性，我们建议跨多个可用区（包括 SAP 应用程序服务器层）部署生产 SAP 工作负载。如果您有涉及大量数据库调用的 SAP 事务或批处理作业，我们建议您在与数据库位于同一可用区的 SAP 应用程序服务器上运行这些事务，并对最终用户使用 SAP 登录组 (SMLG)，对后台处理作业使用批处理服务器组 (SM61)。这可确保 SAP 工作负载中对延迟敏感的部分在正确的应用程序服务器上运行。

本地到Amazon连接

您可以通过点对点虚拟专用网络 (VPN) 或Amazon Direct Connect从本地连接到您的 VPC。 Amazon Direct Connect提供高达 99.99% 的 SLA，站点到站点 VPN 提供了 99.95% 的 SLA 

站点到站点 VPN 连接是指向特定区域。对于基于直接连接的连接，Di rect Connect Gateway 允许您连接到多个区域。 

在与Amazon本地建立连接时，请确保通过使用多个 Direct Connect Link、多个 VPN 连接或两者的组合来实现弹性连接。 

Amazon Direct Connect弹性工具包提供了一个包含多个弹性模型的连接向导。这些模型可帮助您订购专用连接以实现您的 SLA 目标。

VPC 端点

VPC 终端节点以私密方式将您的 VPC 连接到支持的Amazon服务和由提供支持的 VPC 终端节点服务Amazon PrivateLink。它不需要通过互联网网关、NAT 设备、VPN 连接或Amazon Direct Connect连接访问互联网。您的 VPC 中的实例不需要公有 IP 地址即可与Amazon服务中的资源通信。您的 VPC 与其他服务之间的流量不会离开亚马逊网络。 

VPC 终端节点可用于支持基于 SAP 的工作负载所需的所有核心Amazon服务，包括亚马逊 EC2 API、Amazon S3 和亚马逊 Elastic File System Amazon Elastic File System。

跨区域对等互连

Amazon Virtual Private Cloud（亚马逊 VPC）支持不同区域的两个 VPC 之间的区域间对等互连。这可用于允许网络流量（例如数据库复制流量）在不同区域的两个 Amazon EC2 实例之间流动。 区域间对等互连会产生数据传输成本。

Amazon Transit Gateway是一个网络传输中心，您可以使用它通过Amazon Direct Connect或 VPN 将区域内的虚拟私有云 (VPC) 与其他Amazon区域的其Amazon他 VPC 以及本地网络互连。使用 Transit Gateway 将产生 Tr ansit Gateway 费用。 Amazon Transit Gateway在一个区域内提供 99.95% 的 SL A。 

负载均衡

Elastic Loa d Balancing 支持四种类型的负载均衡：应用程序负载均衡器、网络负载均衡器、网关负载均衡器和经典负载均衡器。

Network Load Balancer 可用于支持跨多个可用区部署 SAP Web 调度器和/或 SAP 中央服务的高可用性。有关更多详细信息，请参阅使用 Network Load Balancer 叠加 IP 路由。

负载均衡器充当客户端的单一接触点。负载均衡器在多个目标（如 Amazon EC2 实例）之间分配传入的流量。 

侦听器使用您配置的协议和端口检查来自客户端的连接请求，然后将请求转发给目标组。

每个目标组使用 TCP 协议和指定的端口号将请求路由到一个或多个注册目标，例如 Amazon EC2 实例。您可以对每个目标组配置运行状况检查。在注册到目标组 (它是使用负载均衡器的侦听器规则指定的) 的所有目标上，执行运行状况检查。 

对于 TCP 流量，Network Load Balancer 使用基于协议、源 IP 地址、源端口、目标 IP 地址、目标端口和 TCP 序列号的流哈希算法选择目标。每个单独的 TCP 连接在连接的有效期内路由到单个目标。 

DNS

Amazon Route 53 是一种可用性高、可扩展性强的域名系统（DNS）Web 服务。您可以使用 Route 53 以任意组合执行三个主要功能：域注册、DNS 路由和运行状况检查。53 号公路提供的 SLA 为 100%。 

Amazon Route 53 Resolver 提供了一组功能，允许在本地和Amazon通过私有连接进行双向查询。

存储

对象存储

Amazon 简单存储服务 (Amazon S3) 是一项对象存储服务，可提供业界领先的可扩展性、数据可用性、安全性和性能。Amazon S3 是一项跨区域内所有可用区域的区域服务，其设计持久性为 99.999999999%（11 9），服务级别协议为 99.9%。

为了防止数据丢失，您可以对 Amazon S3 执行备份（例如数据库备份或文件备份）。此外，亚马逊 EBS 快照和亚马逊系统映像 (AMI) 存储在亚马逊 S3 中。 

Amazon S3 复制支持跨亚马逊 S3 存储桶自动异步复制对象。为对象复制配置的存储桶可由相同Amazon账户或不同账户拥有。 

亚马逊 S3 复制

您可以在相同或不同的Amazon区域之间复制对象。

跨区域复制会产生以下成本：

此外，您还可以通过跨区域复制启用 Amazon S3 复制时间控制。Amazon S3 复制时间控制 (Amazon S3 RTC) 可帮助您满足数据复制的合规性或业务要求，并提供对 Amazon S3 复制时间的可视性。Amazon S3 RTC 可在几秒钟内复制您上传到 Amazon S3 的大部分对象，并在 15 分钟内复制其中 99.99% 的对象。 

除了上面列出的跨区域复制费用外，Amazon S3 RTC 还会产生以下费用：

同区域复制会产生以下成本：

数据块存储

Amazon Elastic Block Store (Amazon EBS) 提供块级存储卷，用于亚马逊 EC2 实例。Amazon EBS 卷的行为类似于原始、未格式化的块储存设备。您可以将这些卷作为设备挂载在实例上。你可以在这些卷之上创建文件系统，也可以像使用块储存设备（如硬盘）一样使用它们。您可以动态更改连接到实例的卷的配置。

Amazon EBS 卷放置在特定的可用区中，在那里它们会被自动复制，以保护您免受单个组件故障的影响。 所有 Amazon EBS 卷类型都提供持久的快照功能，在多可用区配置下，每个卷的可用性为 99.999%，服务可用性为 99.99%。 需要使用数据库复制功能、块级复制解决方案或 Amazon EBS 快照，才能保证存储在 Amazon EBS 上的 SAP 数据跨多个可用区的持久性。

Amazon EBS 卷的设计年故障率 (AFR) 在 0.1%-0.2% 之间，其中故障是指卷完全或部分丢失，具体取决于卷的大小和性能。这使得 Amazon EBS 卷的可靠性是普通商用磁盘驱动器的 20 倍，后者出现故障，AFR 约为 4%。例如，如果您有 1,000 个 Amazon EBS 卷运行 1 年，那么您应该预计 1 到 2 个卷会出现故障。 

Amazon EBS 提供多种不同的卷类型。它必须用于存储 SAP 数据库相关的数据，必须使用通用固态硬盘 (gp2) 或预配置 IOPS 固态硬盘 (io1)。吞吐量和 IOPS 要求将决定是需要 gp2 还是 io1。  

借助 Amazon EBS Multi-Attach，您可以将单个预配置 IOPS 固态硬盘 (io1) 卷连接到位于同一可用区域的多达 16 个Amazon基于 Nitro 的实例。您可以将多个启用多重挂载的卷附加到一个实例或一组实例。卷附加到的每个实例都对共享卷拥有完全读取和写入权限。启用多重挂载的卷不支持 I/O 隔离栏。I/O 隔离栏协议控制共享存储环境中的写入访问，以保持数据一致性。您的应用程序必须为附加的实例提供写入顺序，以保持数据一致性。

Amazon EBS 快照

您可以通过拍摄 point-in-time快照将 Amazon EBS 卷上的数据备份到 Amazon S3。快照属于增量 备份，这意味着仅保存设备上在最新快照之后更改的数据块。由于无需复制数据，这将最大限度缩短创建快照所需的时间和增加存储成本节省。删除快照时，仅会删除该快照特有的数据。每张快照都包含将数据（从拍摄快照的那一刻起）恢复到新 Amazon EBS 卷所需的所有信息。

Amazon EBS 快照可以复制（复制）到其他地区和/或与其他Amazon账户共享。 

跨区域复制快照会产生以下费用：

还原快照

根据现有 Amazon EBS 快照创建的新卷会在后台延迟加载。这意味着，从快照创建卷后，无需等待所有数据从 Amazon S3 传输到您的 Amazon EBS 卷，您连接的实例就可以开始访问该卷及其所有数据。 

此初步操作需要时间，并且会显著增加 I/O 操作的延迟。 如果您的实例访问尚未加载的数据，则该卷会立即从 Amazon S3 下载请求的数据，然后继续在后台加载其余卷数据。

快速快照还原

Amazon EBS 快速快照还原允许您根据创建时已完全初始化的快照创建卷。这会消除首次访问块时对其执行 I/O 操作的延迟。使用快速快照还原创建的卷可立即提供其所有预配置性能。 要使用快速快照恢复，请为特定可用区中的特定快照启用该功能。对于启用快速快照还原功能的每个区域，按数据服务单位小时数 (DSU) 收费。DSU 按分钟计费，最少 1 小时。

文件存储

Amazon EFS

Amazon Elastic Fil e System（亚马逊 EFS）提供基于 NFS 版本 4 的可扩展文件存储，用于基于 Linux 的亚马逊 EC2（基于 Windows 的亚马逊 EC2 实例不支持亚马逊 EFS）。 该服务旨在实现高度可扩展性、可用性和耐用性。Amazon EFS 文件系统跨一个Amazon区域的多个可用区存储数据和元数据。亚马逊 EFS 提供的 SLA 为 99.99%。

Amazon EFS 文件系统可以在同一区域或不同区域内的账户和 VPC 之间共享，这使得 Amazon EFS 成为 SAP 全局文件系统 (/sapmnt) 和 SAP 传输目录 (/usr/sap/trans) 的理想选择。

Amazon DataSync支持 Amazon EFS 到 Amazon EFS 在区域和不同Amazon账户之间传输，允许跨区域复制基于 SAP 文件的关键数据。 Amazon Backup也可用于跨区域复制 Amazon EFS 文件系统的备份。

Amazon FSx

适用于 Windows File Server 的 Amazon FSx 提供完全托管式的 Microsoft Windows 文件服务器，由完全原生的 Windows 文件系统提供支持。Amazon FSx 提供 99.9% 的 SLA，同时支持单可用区和多可用区文件系统。 

使用单可用区文件系统，Amazon FSx 会在可用区内自动复制您的数据，持续监控硬件故障，并在出现故障时自动更换基础设施组件。Amazon FSx 还使用存储在 Amazon S3 中的 Windows 卷影复制服务，每天对您的文件系统进行高度持久的备份。您可以随时进行其他备份。

多可用区文件系统支持单可用区文件系统的所有可用性与持久性功能。此外，它们旨在为数据提供持续可用性，即使在可用区不可用时也是如此。在多可用区部署中，Amazon FSx 会自动在不同的区域预配置和维护备用文件服务器。任何写入文件系统磁盘的更改都将跨可用区同步复制到备用磁盘中。

Amazon FSx 文件系统可以在同一区域或不同区域内的账户和 VPC 之间共享，这使得 Amazon FSx 不仅可以用于 SAP 全球文件系统，还可以用于 SAP 传输目录。

此外，Amazon FSx 还可用于为微软 SQL Server 提供持续可用 (CA) 文件共享。 

监控和审计

Amazon CloudWatch

Amazon CloudWatch 是一项监控和可观察性服务，专为 DevOps 工程师、开发人员、站点可靠性工程师 (SRE) 和 IT 经理打造。 CloudWatch 为您提供数据和切实可行的见解，以监控您的应用程序、响应系统范围的性能变化、优化资源利用率并获得统一的运营状况视图。 CloudWatch 以日志、指标和事件的形式收集监控和操作数据，为您提供在服务器上和本地服务器上运行的Amazon资源、应用程序Amazon和服务的统一视图。您可以使用 CloudWatch 来检测环境中的异常行为、设置警报、并排可视化日志和指标、采取自动操作、解决问题以及发现见解，以保持应用程序平稳运行。

Amazon CloudTrail

Amazon CloudTrail是一项支持对您的Amazon账户进行治理、合规、运营审计和风险审计的服务。借 CloudTrail助，您可以记录、持续监控和保留与整个Amazon基础架构中的操作相关的账户活动。 CloudTrail 提供您的Amazon账户活动的事件历史记录，包括通过Amazon Web Services Management Console、Amazon SDK、命令行工具和其他Amazon服务执行的操作。此事件历史记录简化了安全分析、资源变更跟踪和故障排除。此外，您还可以使用 CloudTrail 来检测Amazon账户中的异常活动。这些功能有助于简化操作分析和故障排除。