使用AWS時應該注意的三大重點

其實應該是說不論用哪一家雲服務都一樣要注意這三大重點！

 

【一.資安管控】

資安沒做好、公司小心倒～ (可上網搜尋一下CodeSpaces等慘案)
所以在還沒談到技術、效能和成本之前，最先要做好的就是這件事。

▼帳號管理：對於root帳號一定要十分小心配發給重要人士管控，委外或員工建議給用IAM帳號

• ＃root帳號：就是有權限登入AWS管理平台的管理帳號
  ＃IAM帳號：使用AWS IAM所建立出來的帳號
  ＃MFA認證：建議上述帳號要結合此認證方式來加強安全性

▼權限管理：絕對不能因為偷懶或不懂就指派full access的權限，否則後果自理

• ＃root帳號：擁有最高的權限可以進行任何事，所以root帳號别亂給他人
  ＃IAM帳號：透過權限的指派才能得到適當的權限，可善用group來做管理

▼Key的管理：在AWS裡有各種不同的key，這裡僅針對常用的Key來說明

• ＃EC2 KeyPair：可以用來登入EC2，會產生.pem的金鑰供下載(windows要轉成ppk才能用)
  ＃IAM帳號：每個IAM帳號(User)都能產生Access Keys，主要是用來呼叫AWS API使用

 

舉例來說，若是希望讓客戶的IT人員可以連上AWS查看EC2的運作狀態、帳單明細，而客戶的委外廠商可以連進EC2進行操控時，可以這麼做：

• ＃客戶的IT人員：給一個專屬的IAM帳號，並設好EC2 Read Only、Billing的權限
  ＃客戶的委外廠商：給一個其專屬的EC2 KeyPair，該台EC2是選擇該KeyPair來啟動

 

 

【二.效能選擇】

在自備伺服器的時代，為了擔心效能不足的問題，往往會先買規格最好、最新的伺服器，然後一用就是五年、十年，再來做成本攤提(即便是CPU負載幾乎為0也沒關係，因為採購流程和簽核手續十分繁瑣，所以先買最好的)。

但在雲服務時代，這樣的買法就大大的錯了！

以現在AWS的EC2 Type來說全部有77種 (包括舊Type)，依照CPU、GPU、記憶體等不同用途來區分；加上現今要變更Type或是增減EC2數量都十分容易，所以應該是要視實際的需求來選擇效能相當的Type，使用中的EC2之CPU用量應該是30%-60%左右最好，若是CPU都是0%，那麼建議可以選擇小一些的Type來跑跑看 (除非有特殊需求的考量)。

事實上每家雲服務業者也都是這樣在宣導的，只是台灣企業的使用習慣根深蒂固，很多觀念還是改不過來，只好多花冤枉錢了。

 

 

【三.成本管理】

很多台灣企業本身並不了解雲服務，只盲目聽從台灣媒體的報導就以為用了雲服務就可以節省大量成本，結果用了之後才發現竟然比原本在IDC的成本多了好幾倍????

究其根本，原因大多如下：

• ＃企業中的負責人員不懂，全部交由委外廠商規劃、建置，只能乖乖繳錢
  ＃企業的IT人員沒受過專業訓練，於是用原本傳統的架構和模式搬上雲服務
  ＃企業經營者不了解雲服務的成本特性，也沒去思考所需的服務是否需要用雲
  ＃即便企業IT人員技術夠專業、委外廠商夠良善，但其不懂AWS的RIs複雜買法
  ＃太過盲從，聽大家用新加坡或東京的Region就跟著一起選用，沒做仔細的評估

所以台灣有很多用了七、八年AWS的企業，都不知道AWS有RIs的買法可以有限節省20%-50%的成本，此外也沒去注意不同Region之間的巨大價差(15%以上)，只一昧在意連線速度，而不去考量自己的需求需不需要那麼快的連線速度？沒去思考成本差異和速度差異之間的取捨？

底下是我用「問云」列出的Region成本差異，相信很容易就能一目了然！
(至於連線速度的差異也能在問云的雲服務測試報告中找到，有興趣的請自行去查看！)

中午吃飯去，下次聊囉～