如何安全地配置 AWS EC2 实例( 四 ) _AWS

最小权限访问是一种安全最佳实践，我们添加角色（或在其他情况下，IAM 用户）执行其工作所需的确切权限。将此原则应用于附加到实例的 IAM 角色，仅应将实例执行其作业所需的权限添加到实例角色中，而不是其他任何内容。这可确保在凭据泄露的情况下，将损害降至最低。
为 IAM 角色配置最低权限是非常上下文相关的；即，它不能一概而论。因此，提供实例和各种用例可以使用的不同可能权限组合的详尽列表超出了本文的范围。

使用 VPC 和子网隔离机器虚拟私有云
Virtual Private Cloud 或 VPC 是一种 AWS 服务，允许用户创建逻辑上相互隔离的虚拟网络。具体来说说EC2实例，举个例子，我们可以想到一些EC2实例只需要访问内部资源，不需要访问互联网的情况。对于此类实例，我们可以创建一个不允许来自 Inte.NET 的入站和出站连接的 VPC，因此只能在同一 VPC 中的资源之间进行通信。AWS 的文档可用于了解如何创建新的 VPC 。

通过控制台创建 VPC
执行以下步骤以创建新的 VPC：

导航到 VPC 管理页面。
单击“启动 VPC 向导”按钮。

文章插图

选择“具有单个公共子网的 VPC”选项，然后单击“选择”按钮。如果我们愿意，我们可以稍后添加更多子网。

文章插图

为 VPC 提供 IPv4 CIDR 块，然后单击“创建 VPC”按钮。

文章插图

使用 AWS CLI 创建 VPC
运行以下命令创建一个新的 VPC，指定的 CIDR 为 192.168.0.0/16：
aws ec2 create-vpc --cidr-block 192.168.0.0/16

子网
子网是 VPC 中的子组件，可以在较小的虚拟网络中进一步隔离资源。例如，使用 CIDR 块 192.168.0.0/16 创建的 VPC 可以具有子网 192.168.1.0/24 和 192.168.2.0/24，其中两个子网位于同一个 VPC 中，但彼此隔离。

通过控制台创建子网
执行以下步骤以创建新的 VPC：

导航到 VPC 管理页面。
单击“虚拟私有云”菜单的“子网”链接。

文章插图

单击“创建子网”按钮。

文章插图

选择 VPC 以在其中创建子网。

文章插图

添加子网的 CIDR 块以及可选的名称和标签。

文章插图

最后，单击“创建子网”按钮。

文章插图

使用 AWS CLI 创建子网
运行以下命令在 CIDR 块 192.168.1.0/24 内创建新子网：
aws ec2 create-subnet --vpc-id --cidr-block 192.168.1.0/24

为实例启用详细监控
默认情况下，EC2 实例从启动时就已进行基本监控。基本监控固然不错，但往往不够。这里提供了对 EC2 实例的详细监控，例如 CPU 信用指标、实例指标等。