我使用CloudFormation在一个自动扩展组中启动一些服务器,我希望它们都使用basic监控。我尝试在AWS::AutoScaling::AutoScalingGroup属性以及AWS::AutoScaling::LaunchConfiguration中将Monitoring设置为false,但堆栈无法启动;我看到CREATE\u失败了并显示了错误消息:遇到了不受支持的属性监视在几乎但不完全一致的CFN模板语法的可爱的流氓世界中又过了一天 您需要的属性是实例监视,而不是监视。它应该应用于您
我想登录我的amazon帐户,用java编程检索购买历史记录。 做了很多研究,发现了屏幕刮擦。这是唯一的方法还是亚马逊提供了API来登录和检索购买历史? 也研究了AWS,但太混乱了。有很多API无法确定使用哪种API。看起来亚马逊并没有提供专门用于满足您需要的API,但是我偶然发现您可能已经看到了它。我也遇到了同样的问题,并且没有找到用于检索购买历史记录的公共Amazon API 因此,我构建了一个Chrome扩展来解决这个问题。回购协议是有效的 我还构建了一个Udemy课程,主要回顾代码库:
在使用EC2命令行API创建新的AWS EC2实例时,我将向新实例传递一些用户数据 现在我怎么知道用户数据是否执行了 我应该如何检查它?在上调试用户数据脚本确实有点尴尬,因为通常没有办法主动连接到该过程中,因此理想情况下希望获得对用户数据脚本输出的实时访问,如Eric Hammond的文章所总结: 最近的Ubuntu AMIs仍然向控制台发送用户数据脚本 输出,因此您可以远程查看它,但它在中不再可用 实例上的syslog。控制台输出只更新了几次 实例启动、重新启动或终止后的分钟,强制 您需要等待
我刚刚开始尝试将我的基础设施转移到Chef,我想我肯定错过了一些明显的东西 我正在使用cookbook安装RVM,我希望它安装Ruby 1.9.3p125并将其设置为默认值 以下是我的基本服务器角色: name "base" description "Basic configuration for all nodes" run_list( 'recipe[git]', 'recipe[sudo]', 'recipe[ubuntu]', 'recipe[rvm]', 'reci
我试图创建一个AWS警报来监视SQS。如果队列有超过1条消息持续2分钟,我想创建一个警报来触发策略。我使用此命令创建报警: aws cloudwatch put-metric-alarm --alarm-name alarmName --metric-name ApproximateNumberOfMessagesVisible --namespace "AWS/SQS" --statistic Average --period 60 --evaluation-periods 2 --thre
我正在努力降低带宽费用。只有当用户的浏览器允许缓存时,才允许访问cloudfront吗?我正在研究一个虚拟私有云,但我没有看到它与cloudfront一起工作。Amazon cloudfront不需要用户的浏览器来支持缓存 文件缓存在CloudFront的边缘位置(全球50多个)。如果用户从CloudFront发行版请求信息,他们的DNS查找将重定向到最近的边缘位置。如果边缘位置缓存包含数据,则会将其返回给用户。如果不是,则从源站(例如AmazonS3或web服务器)获取数据。此过程不涉及用户的
elasticsearch Amazon Ec2
Ansible
我见过几个例子,但是根据启动ec2 intances的结果设置IP是失败的。有人知道为什么吗? Iam使用ansible 2.0.1.0 在3个不同的子网中启动3个实例的任务正确地工作如下 tasks: - name: elastic instance provisioning local_action: module: ec2 region: "{{ region }}" key_name: "{{ key }}" instance_type: "{{
我可以使用以下命令(从)在S3存储桶中的每个项目上设置缓存控制元数据: 是否有一种方法可以读取bucket中每个项的缓存控制元数据?这个bash-one-liner应该可以工作(但速度非常慢,因为它为每个对象发送单独的请求): 谢谢你,正如你所说,它可以工作,但速度很慢。另外,为了与Cygwin一起使用,我必须设置IFS=$'\r\n'。我还交换了输出的“列”以改进对齐。我最后使用的命令是IFS=$'\r\n';对于'aws s3 ls s3://我的bucket name——递归的'tr-s'
我正在使用elastic beanstalk来处理部署。 我阅读了关于这些部署选项的解释,但不太清楚。 有人能用更简单的话解释一下吗?我正在尝试构建一个nodejs部署系统 任何帮助都将不胜感激 谢谢 我想这会有点帮助 不可变–首先将应用程序代码部署到一个新创建的EC2实例。在第一个实例上成功部署后,将创建创建并行震源组所需的剩余实例数,并向其部署应用程序代码。在整个并行机队上部署成功后,运行旧应用程序版本的实例一次终止25%。此部署策略可确保部署失败的影响最小(即:单个EC2实例),并使您的应
我正在使用ECS优化的ECS镜像,并使用ECS进行部署 因此,如果我猛击容器并curl localhost得到预期的输出(预期在端口80上),这就可以了 然后如果我运行docker ps 我得到以下输出 CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 123
我在AWS s3上有一个bucket,它强制所有对象进行KMS加密。 我正在emr-5.2.1上运行Presto 我有s3上的外部表(无数据)。 当我使用 INSERT INTO hive.s3.new_table SELECT * FROM src_table 我被拒绝访问错误。 我测试了几个不同的选项,并获得了支持,但运气不佳。 如果我从bucket中删除策略,那么Presto可以正常工作,但是在s3上创建的文件没有加密 Presto在读取加密的外部s3表或在hdfs上本地创建这些表方面
我创建了一个jar,添加了一个主类,并使用java-jar运行它。这是正常执行的,但当我将其上传到AWS Lambda时,我得到以下信息: { "errorMessage": "Error loading class com.me.MyHandler:com/google/api/client/googleapis/json/GoogleJsonResponseException", "errorType": "class java.lang.NoClassDefFoundError" } 以
我已经创建了一个AmazonS3存储桶,我想为我所有的公司用户提供访问权限,这意味着任何人都可以访问S3存储桶并下载对象 我已经为IP限制编写了一个Bucket策略: { "Version": "2012-10-17", "Id": "S3PolicyIPRestrict", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "", "Actio
让我们假设我有一个AWS EIP分配为:eipalloc-94eb5af1 假设我有一个AWS网络接口:eni-e3d20a9a,eni-e3d20a9a 现在让我们假设我有两台EC2服务器。网络接口位于这两台服务器上 现在…假设我想设置监视。也许吧。如果eni-e3d20a9a不可见,我希望将EIP转移到eni-e3d20a9a 这可以通过以下方式轻松实现: aws ec2 associate-address --allocation-id eipalloc-03d3b666 \ --
限制未经授权的用户访问AWS VPC私有子网内的不同实例的最佳做法是什么?我为堡垒主机创建的私钥是唯一允许我通过堡垒主机访问私有子网内实例的密钥,这意味着拥有堡垒主机私钥的每个人都可以使用堡垒主机的私钥访问私有子网内的所有实例。我为私有子网内的实例创建的私钥不允许我在不将密钥保存在bastion主机中的情况下登录实例。请提供帮助。我想最安全的方法是与您的VPC配置VPN连接。 私钥将在您手中,VPN连接将仅从您的网络建立。最后,实例安全组和NACL只允许从您的IP地址进行ssh 我为私有子网内的
我有一个定制的php web应用程序,用户可以在其中上传图像。 我知道图像文件存在安全问题,因为黑客可以向图像文件添加恶意代码,并通过图像文件的url触发它们 因此,我不再将图像存储在web服务器中并直接上传到AmazonS3中。我想知道,即使图像文件存储在像AmazonS3这样完全独立的地方,黑客是否仍有可能通过恶意图像获得相同的结果 如果您将文件上载到S3中,那么就不必担心服务器端的漏洞(如RCE),因为它是一个不会执行的对象存储,但您需要注意客户端漏洞(如XSS)。。。 i、 例如,即使在
我如何监控一个特定EC2实例的成本,以及AWS中与之相关的资源 启用详细计费。。这将为S3存储桶中CSV格式的每个AWS资源节省成本。除了该文件的S3存储费用外,您不需要为此服务支付任何额外费用。下载CSV文件并筛选您正在查找的实例。您可以使用该功能使用标记键值对标记EC2实例,以便您能够看到使用该标记为特定EC2实例计费的成本 您还可以对EC2和相关资源(如EBS卷、VPC等)使用相同的标签。首先。。启用详细信息计费。 然后,根据您的需求,您可以为每个资源创建标记,然后开始接收成本分配报告,该
我正在尝试基于AWS无服务器架构实现CQRS+事件源后端。 问题在于readmodel更新 当事件保存到事件存储时,它将发布到SNS。SNS然后调用updateradmodellambda。 将多个连续事件发布到SNS时,会调用多个lambda 第一个问题是,它们都执行相同的ReadModel更新,实际上,所有事件都只能调用一个lambda 第二个问题是,在多次执行lambdas之后,最终ReadModel状态可能会损坏 要求每个ReadModel只调用一个lambda 可能的解决办法: 使用M
因此,问题更多地与我应该使用哪些服务来获得高效性能有关 背景和目标: 所以我想做的就是使用tag manager自定义HTML,在每个Universal Analytics标记(事件或页面视图)发送到我自己的EC2服务器后,发送一个HTTP请求,其负载与发送到Google Analytics的负载类似 到目前为止我的想法、计划和研究: 现在我有两个很大的选择 使用AWS,这似乎是一个好主意,但问题是,它只会在一个红移表中删除信息,我希望至少有4到5,这样我就可以区分页面浏览和事件等。。。我的解
我在本期的AWS SAM git项目中看到了这个例子: 昂首阔步:“2.0” 基本路径:“/Prod” 计划: -“https” 路径: /报告: 获取: 答复:{} 安全: -sigv4:[] x-amazon-apigateway-integration: 类型:“aws_代理” uri:“arn:aws:apigateway:us-east-1:lambda:path/2015-03-31/functions/arn:aws:lambda:us-east-1:>:function:${st
我在负载平衡器后面的许多EC2实例上部署了一个RESTful应用程序。 身份验证部分由名为“X-App-Key”的自定义请求头处理 我刚刚将我的经典负载平衡器迁移到应用程序负载平衡器,我开始遇到一些间歇性问题,其中一些有效请求(通过使用CURL进行测试)无法通过某些用户的身份验证。看起来自定义请求头只是间歇性地被传递。使用apache bench时,500个请求中大约有100个失败。 如果我用一个经典的负载平衡器进行测试,所有500个都会成功 我进一步研究了一下,发现失败的用户使用的是稍微更新的
我正在创建一个嵌套的cf模板,我有一个包含此列表参数的父模板 "DatabaseSubnets": { "Description": "The subnets to place database instances in.", "Type": "List<AWS::EC2::Subnet::Id>" } 我正在从vpc子模板返回列表,并尝试传递到rds模板,但我得到一个错误,即属性参数的值必须是一个具有字符串(或简单类型)属性的对象 我对此进行了研
是否可以在基于web的appsync查询工具上使用IAM auth模拟登录用户?如果您使用cognito choosen作为身份验证类型,那么有一个小的web工具可以作为用户登录,但是如果我选择IAM,似乎没有办法做到这一点。我遗漏了什么吗?您可以使用任何想要与控制台交互的IAM用户,但您必须通过正常的AWS控制台登录页面登录 创建IAM用户时,单击启用AWS管理控制台访问的复选框。这将允许为IAM用户创建密码,以便您可以登录AWS控制台 这将允许您以给定IAM用户身份登录并使用AppSync控
我试图在lambda函数中获取Cognito用户数据。我试图使用身体映射模板将其传递给lambda { "cognito-authentication-provider" : "$context.identity.cognitoAuthenticationProvider", "cognito-authentication-type" : "$context.identity.cognitoAuthenticationType", "cognito-identity-id
在Lambda中,我想用aws-signature-v4对我的AppSync端点进行签名,以便将其用于突变 生成的URL似乎正常,但在我尝试时,它会给我以下错误: { “错误”:[{ “errorType”:“InvalidSignatureException”, “消息”:“我们计算的请求签名与您提供的签名不匹配。请检查您的AWS秘密访问密钥和签名方法。有关详细信息,请参阅服务文档。等等。。。 } ] } 这是我的lambda函数 从“aws lambda”导入{Context,Callba
我试图通过代码在雅典娜中创建一个表。 我得到这个错误: com.amazonaws.services.athena.model.InvalidRequestException: line 119:1: mismatched input 'ROW' expecting {<EOF>, 'WITH'} (Service: AmazonAthena; Status Code: 400; Error Code: InvalidRequestException; Request ID: 6c
我正在一个新的网站上工作,我正在启动一个新的服务器。我遇到了一个以前从未遇到过的问题。在服务器上安装LAMP(Ubuntu 16.04)后,我没有收到默认的Apache Ubuntu页面。我得到这个错误: 13.59.41.148 took too long to respond. 过去,我使用数字海洋启动了许多LAMP服务器,但这是我第一次使用AWS EC2。是否有可能是我缺少的东西与此新主机有关?您的实例已经分配了一个公共IP,问题是安全组 检查默认组,您将使ssh端口(22)打开到0.0
我的静态网站托管在S3上,它使用AmazonS3链接正确显示 根据Amazon文档,我创建了两个bucket,example.io和www.example.io。io包含网站的内容(文件);www.example.io bucket正在重定向到phlo.io bucket 我正在尝试配置Godaddy Apex域DNS设置以重定向到S3存储桶。例如,域是&我以以下形式在Godaddy域DNS中输入设置: Type: CNAME Name: www value: example.io.s3-web
目前我正在尝试刷新cognito用户会话。 互联网上有很多例子,但我对cognito的看法有点不同 我不通过用户名和密码登录。。。我使用accessToken、idToken和refreshToken登录 让我告诉你,我是如何做到的: return new Promise(async (resolve, reject) => { const sessionData = { IdToken: new CognitoIdToken({IdToken: t
目前,我有R53将我的www.domain指向一个CloudFront dist,它指向一个S3 bucket,其中包含我的前端html、css、js等 这很有效 现在我在网站上添加了一个“联系我们”表单。我打算构建一个API网关,然后调用Lambda函数来处理提交 形成URL的最佳方式是什么,以便R53将请求定向到API网关而不是CloudFront 假设一个子域可以工作?这是标准吗?大多数人都遵循命名惯例吗 类似于https://api.mydomain.com/contactus?对路由5
我正在EC2上启动AWS Cloudwatch代理,并尝试记录与“test*”匹配的所有文件,例如:/var/log/test\u pyserver&/var/log/test\r服务器 但是,我当前的agent.json: { "logs": { "logs_collected": { "files": { "collect_list"
在AWS Dynamodb中,是吗 DynamodbMapper.batchSave(记录) 操作被视为一次写入操作,还是等于记录数 我问的是关于写容量单位的问题。一个写入容量单位表示每秒写入一次。因此,如果我有10个WCU,那么我可以使用一个batchSave调用保存100条记录,并且仍然只使用一个WCU。DynamoDBMapper在幕后使用BatchWriteItemAPI作为batchSave方法。从文件中: 每个指定的put和delete请求消耗相同数量的写入容量单位,无论它是并行处理
是按事件调用lambda的示例: EventRule: Type: AWS::Events::Rule Properties: Description: "EventRule" EventPattern: source: - "aws.ec2" detail-type: - "EC2 Instance State-change Notification" detail: sta
使用AWS云,我们试图创建一个系统,允许客户使用移动应用程序管理物联网设备。每个用户(来自Cognito用户池)将至少有一个设备。他将能够发送配置并监听这些设备的状态变化。我们目前正在考虑如何保护他的设备不被其他用户访问 到目前为止,我们正在考虑使用“客户管理的策略”来保护对单个MQTT主题的访问。每个用户都有一个静态策略,授权他访问特定的主题。如果所有权发生变化,将更新该政策。但是,似乎有1500个策略的限制,这低于预期的用户数量 我们希望目标解决方案具有足够的灵活性,允许以简单的方式更改设备
我的变量定义如下 variable "iam_assume_principal_list" { description = "IAM principal ARN that can assume the role" type = "map" default = { test = <<IAM_ARN_TEST "arn:aws:iam::0211111111:user/j2nh~123", "arn:aws:iam::35122411
我有一个用JSON编写的AWS SAM/CloudFormation模板,其中包含: API网关API的定义,端点使用 OpenAPIDefinitionBody格式 API网关授权器的定义,使用SAM/CF格式定义 我正试图找到一种方法,为我希望使用授权者的每个端点(1)引用授权者(2) 代码如下: 授权人定义: "LambdaAuthorizer":{ "Type": "AWS::ApiGateway::Authorizer", "Properties":{
我需要从terraform启用防止用户存在错误。由于tarraform版本此功能可与防止用户存在错误属性一起使用,可能的值为:启用或遗留。 例如: 你还不能这么做。它看起来也没有一个现有的功能要求,所以你应该要求在是的,我已经这样做了,当我找不到它的定义在供应商。请不要投票表决这个问题谢谢 resource "aws_cognito_user_pool" "pool" { name = "pool" } resource &quo
我在AWS Fargate AWS::ECS::TaskDefinition上遇到端口映射问题。容器内的应用程序侦听单个特定端口上的TCP和UDP通信。然而,AWS文件注意到: 不能为多个协议公开同一容器端口。如果尝试此操作,将返回一个错误 对于在单个端口上同时侦听TCP和UDP通信的服务,是否有一种建议的方法可以绕过此限制?(除了直接在EC2实例上运行之外)。是的,这是不可能的,我会检查是否有办法在应用程序级别公开两个不同的端口 我不确定我是否遵守,该协议是可选的,因为它默认只接受TCP连接。
我一直在尝试在CodePipeline中设置一个管道,将服务从一个帐户部署到另一个帐户。但我一直在犯这样的错误: 不允许跨帐户传递角色(服务:AmazonCloudFormation;状态代码:403;错误代码:AccessDenied 这里我有两个账户: 部署帐户:这里有一个CodeCommit repo,它带有我要部署的模板。这是同一帐户中的CodePipeline的源。我想通过CloudFormation从部署帐户将堆栈部署到测试帐户中 测试帐户:这里我想部署堆栈。这里我有一个跨帐户角色,
识别S3存储桶中占用最多带宽的对象和数千个其他对象的最佳方法是什么?通过“带宽”,我假设您指的是将文件从S3传送到Internet上某个位置所消耗的带宽(就像使用S3服务静态资产一样) 要跟踪这一点,您需要启用,这将在不同的bucket中创建日志文件,显示针对主bucket(或其中的路径)的所有操作 下面是两个记录的GET操作示例。第一种是使用公共S3URL进行匿名Internet访问,而第二种是使用AWS CLI下载文件。我已经编辑或修改了任何标识字段,但您应该能够从剩下的内容中找出格式 xx
elasticsearch
我有一个ElasticSearch查询,如下所示: { "query": { "constant_score": { "filter": { "bool": { "should": [ { "wildcard": { "Message.keyword": "*System.Net.WebClient).DownloadString(*"
我有几个正在运行的任务,我想获得最新的任务(最后开始的任务,最后创建于)任务arn。 我正在使用这个命令 aws ecs列表任务--cluster{cluster}--family{family}--所需状态“STOPPED” 经过一点探索,我了解了sort\u by。我试过了 aws ecs列表任务--cluster{cluster}--family{family}--所需状态“STOPPED”--查询“排序依据(taskArns,&CreatedAt)” 但这会产生错误 In funct
我不熟悉aws和ec2与交通流的交互 我有一个ec2实例,我将其用作web服务器,另一个用作应用程序服务器。 我的两个ec2如何相互交互以维护所需的所有安全性 两台ec2机器都在ubuntu映像上 我尝试添加源代码为0.0.0.0/0的所有ICMP-IPv4。我觉得这不是正确的方式,我只希望我的其他实例访问它 我还尝试将源添加为其他实例安全组,但没有成功。我无法从一台机器ping到另一台机器建议的安全配置为: 为允许HTTP和HTTPS(端口80443)入站通信的web服务器(web SG)创
我正在尝试将值列表从aws cli查询传递到另一个命令。 尽管我在AWS中看到了很多示例,但当我尝试将所有值组合在一起时: policy\u versions=`aws iam列出策略版本--查询“versions[].VersionId”--策略arn$policy\u arn--输出文本` echo“policy\u versions=$policy\u versions” 适用于$policy_版本的版本;做 echo“第一版:$ver” 完成 然后打印出: policy_version
我有一个静态站点托管在私有S3 bucket上,配置了cloudfront(+域/路由)。我注意到的一个问题是,任何用户都可以通过cloudfront访问S3存储桶中的所有文件,而他们本不应该访问这些文件 例如,用户应该可以访问index.html、404.html和about.html,但不能访问js和css文件(可能?),也不能访问内部文件,如 当涉及到客户可以访问的内容时,最佳实践是什么?如果我确实需要限制对某些文件的访问,我将如何做到这一点?最简单的方法是将私人文件保存在不同的存储桶中
涉及对外部天气API的http请求的代码不会在所有函数调用上执行,也不只是在冷启动时执行 下面是一段代码片段,其中包含相关逻辑: let weatherReport = await axios({ method: 'get', url: 'http://api.weatherapi.com/v1/forecast.json', params: { key: weatherApiKey, q: city, days
我有aws cloud watch日志组,如“data_analysis”,保留期为30天,昨天我将保留期更改为“永不过期”。虽然使用“数据分析”上的“日志洞察”查询数据,但日志组仍获得30天的数据。请您建议获取整个数据的解决方案(至少365天) 注意:查询结果不超过1000,我正在添加“logs insights”查询的限制条件 提前谢谢
我需要我在VPC的公共子网中启动的所有实例都可以通过SSH访问,而无需提供.pem,只需提供其私有IP即可。此外,我需要在其中一个中创建一个OpenVPN服务器,以便任何可以通过VPN访问子网的人都可以通过SSH访问任何实例,而无需使用其专用IP提供.pem 我不知道这是否可行,但如果有其他方法,如果您能告诉我,我将不胜感激。是的,这是可能的,您可以使用访问您的实例,而无需.pem文件 通过AWS控制台页面使用AWS System Manager的会话管理器服务 :只需从浏览器或AWS CLI单
开发应用程序,最终用户(例如开发人员)可以使用令牌在应用程序中启动操作。用户将在web应用程序本身中生成/撤销令牌。。。一种非常常见的模式 用户可以通过编程方式使用令牌来安排操作,甚至可以将其集成到其他流程中(例如代码构建等) 使用AWS作为云提供商,我正在考虑将信息作为密钥/值对存储在DynamoDB中(例如,API令牌和用户id) 告诉我为什么这是个坏主意,并请提供替代方案。 (AWS KMS似乎有些过分,而且机密管理器有配额限制。)很抱歉我的问题,但是令牌是代码中会更改的东西吗?还是像一个
有谁能建议我如何自动装载使用terraform创建的EBS卷,并使其在/custom上可用 resource "aws_instance" "ec201" { ... ebs_block_device { device_name = "/dev/sdd" volume_type = "gp2" volume_size = 10 delete_on_termination = tru