AWS Certified CloudOps Engineer Associate
נבדק לאחרונה: מאי 2026
מדריך מקוצר ובר-סריקה לדפוסי ארכיטקטורה שמבחן SOA-C03 בודק. קראו מלמעלה למטה, או דלגו לסעיף.
איסוף מדדי זיכרון, דיסק ותהליכים מצי EC2. מדדי CloudWatch ברירת מחדל אינם כוללים אותם.
התקן את סוכן CloudWatch באמצעות SSM Distributor או `AmazonCloudWatch-ManageAgent` Run Command. דחוף את תצורת הסוכן מ-Parameter Store.
למה: זיכרון ודיסק הם מדדי מערכת הפעלה אורחת – ה-hypervisor אינו יכול לראות אותם. מדדי CW ברירת מחדל הם CPU/רשת/קלט-פלט דיסק בשכבת EBS בלבד.
האפליקציה צריכה לפרסם KPI עסקי (לדוגמה, הזמנות/דקה) ל-CloudWatch.
API של `PutMetricData` עם מרחב שמות מותאם אישית + ממדים. לשימוש בנפח גבוה, השתמש בפורמט מטריקה משובצת (EMF) — כתוב JSON מובנה ליומנים ו-CW יחלץ מדדים אוטומטית.
הפחת עלויות של מדדים מותאמים אישית בעלי קרדינליות גבוהה.
פורמט מטריקה משובצת (EMF). רשום אירוע מובנה פעם אחת; CW שולף ממנו מדדים. יומן אחד + מדד אחד = זול יותר מקריאות `PutMetricData` נפרדות לכל שילוב ממדים.
אזעקות סף סטטיות מייצרות התראות שווא מכיוון שלתעבורה יש עונתיות יומית/שבועית.
אזעקת זיהוי חריגות של CloudWatch. הרצועות מתאימות את עצמן לעונתיות שנלמדה; אזעקה מופעלת כאשר המדד עוזב את הרצועה.
למה: לעומסי עבודה עונתיים יש מצב נורמלי משתנה – ספים קבועים שגויים בחצי מהזמן.
הזעק כונן רק כאשר גם שיעור שגיאות גבוה וגם תעבורה נמוכה – לא כאשר אחת מהן מופעלת לבד.
אזעקה מורכבת עם ביטוי כלל `ALARM(errors) AND ALARM(low_traffic)`. אזעקות הבסיס עדיין מופעלות בנפרד, אך רק האזעקה המורכבת שולחת התראה ל-SNS.
המר שורות יומן כמו `ERROR uid=123` למדד CloudWatch לצורך אזעקה.
מסנן מדדים של CloudWatch Logs — דפוס `ERROR` מגדיל מדד. לאחר מכן צור אזעקה על המדד.
למה: מסננים מוערכים כשהיומנים נקלטים; אין צורך בצינור ניתוח נפרד.
מצא את 10 כתובות ה-IP המובילות שגורמות לשגיאות 5xx בשעה האחרונה על פני זרמי יומן רבים.
שאילתת CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`.
ברירת המחדל לשמירת קבוצת יומנים היא "לעולם לא יפוג" — החשבון גדל.
הגדר שמירה לכל קבוצת יומנים (יום אחד עד 10 שנים). החל באמצעות `aws logs put-retention-policy` או כלל AWS Config שמתקן אוטומטית קבוצות חדשות.
רכז יומנים מ-50 חשבונות לחשבון אבטחה אחד.
מסנן מנוי על כל קבוצת יומני מקור ← Kinesis Data Streams או Firehose בחשבון המרכזי. CloudWatch cross-account observability למדדים + מעקבים.
ארכיון יומנים לטווח ארוך בעלות נמוכה.
הירשם לקבוצת יומנים ל-Kinesis Firehose ← S3 עם מחזור חיים של מעבר ל-Glacier. או `CreateExportTask` מתוזמן ל-S3 ישירות.
למה: Firehose הוא רציף; ExportTask הוא ייצוא בכמות גדולה לפי דרישה. S3 + Glacier זול פי 100 מאחסון יומני CW.
שתף לוח מחוונים תפעולי עם קבלן שאינו AWS ללא גישת IAM.
שיתוף לוח מחוונים של CloudWatch — קישור שיתוף ציבורי (עם אימות המסופק על ידי Cognito) או אנונימי (נעול ללוח מחוונים ספציפי).
הפעל Lambda כאשר מופע EC2 עובר למצב `stopped`.
כלל EventBridge עם דפוס אירוע `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` ← יעד Lambda.
צור כרטיס אוטומטית כאשר AWS מודיעה על תחזוקה מתוזמנת עבור אחד ממופעי ה-RDS שלך.
AWS Health ← EventBridge default bus ← Lambda או SNS ← מערכת כרטיסים. סנן לפי `source: aws.health` ומשאב מושפע.
זהה מתי אתר ציבורי מחזיר 404s לפני שהלקוחות מתלוננים.
CloudWatch Synthetics canary — פגיעת דפדפן מתוסרטת כל דקה, צילום מסך בעת כשל, אזעקה על הפעלות כושלות.
מדוד זמני טעינת דף ושגיאות JavaScript מצד הלקוח ממשתמשים אמיתיים.
CloudWatch RUM. קטע קוד בדף שולח נתוני ביצועים + שגיאות. חבר עם X-Ray לקורלציה של Backend.
התאמת גודל צי EC2 ללא בדיקה ידנית של CloudWatch בכל מופע.
AWS Compute Optimizer — מנתח מדדי CW + נתוני זיכרון (עם סוכן) וממליץ על שינויים בסוג המופע. מכסה EC2, ASG, EBS, Lambda, ECS Fargate.
ראה "האם הצפנה במנוחה מופעלת בכל נפח EBS" על פני 200 חשבונות.
AWS Config aggregator עם אישור רב-חשבונות ורב-אזורים. לוחות מחוונים של Aggregator + שאילתות מתקדמות (SQL).
תיקון אוטומטי של משאבים שאינם תואמים (לדוגמה, נפח EBS לא מוצפן ← תמונת מצב + יצירה מחדש מוצפנת).
כלל AWS Config + פעולת תיקון אוטומטית באמצעות runbook של SSM Automation. ציין ספירת ניסיונות חוזרים + פרמטרים.
חשוף הזדמנויות לחיסכון בעלויות וסיכוני אבטחה ללא כתיבת סקריפטים מותאמים אישית.
AWS Trusted Advisor. בדיקות עלות / ביצועים / אבטחה / סבילות תקלות / מגבלות שירות. סט בדיקות מלא דורש תמיכה עסקית או ארגונית.
צריך להעלות את מכסת vCPU של EC2 באזור לקראת השקה קרובה.
קונסולת Service Quotas — בקש הגדלת מכסה. או השתמש ב-API של Service Quotas כדי לתסרט. חלק מהמכסות מאושרות אוטומטית; אחרות עוברות דרך התמיכה.
תפוס עליות עלות בלתי צפויות לפני הגעת החשבון החודשי.
AWS Cost Anomaly Detection — מבוסס למידת מכונה; הגדר צגים לפי שירות / חשבון מקושר / קטגוריית עלות. התראות באמצעות SNS או דוא"ל.
עצור אוטומטית EC2 שאינו Production אם התקציב החודשי חורג מהסף.
פעולת AWS Budgets — כשהסף נחצה, הפעל SSM Automation שעוצר מופעים מתויגים או מיישם SCP מסוג deny-all באמצעות IAM.
רוקן חיבורים + רוקן יומנים לפני ש-ASG מסיים מופע.
Lifecycle hook על `EC2_INSTANCE_TERMINATING`. המופע נכנס למצב `Terminating:Wait`; מסמך SSM מפעיל סקריפט ריקון; שחרר פעולת `CONTINUE` כשהוא מוכן.
התאם קנה מידה אוטומטית כדי לשמור על ממוצע CPU סביב 60%.
מדיניות קנה מידה עוקבת יעד עם `ASGAverageCPUUtilization` = 60. ASG יוצרת אזעקות מדורגות אוטומטית.
למה: פשוט יותר מקנה מידה מדורג. הטוב ביותר למדדים סימטריים. קנה מידה מדורג מיועד לכללי הגדלה/הקטנה מדויקים.
תעבורה עולה מדי יום בשעה 9 בבוקר; קנה מידה ריאקטיבי מפגר.
קנה מידה חזוי. ASG חוזה עומס 48 שעות קדימה מהיסטוריית CW; מקדים את קנה המידה לפני העלייה.
איתחול מופע לוקח 8 דקות; הגדלת קנה המידה איטית מדי.
ASG warm pool — מופעים מופסקים/מושהים שאותחלו מראש. בהגדלת קנה מידה, העבר Stopped → InService במקום להפעיל קר.
הפעל ASG בעיקר על Spot כדי לחסוך בעלויות, אך עם בסיס של On-Demand ליציבות.
מדיניות מופעים מעורבים — תבנית הפעלה + קיבולת בסיסית (On-Demand) + אחוז מעל הבסיס על Spot. השתמש במספר סוגי מופעים לגיוון Spot.
הגירה מ-Launch Configurations.
השתמש ב-Launch Templates. AWS הפסיקה את התמיכה ב-Launch Configurations עבור ASGs חדשים; רק LTs תומכים בתכונות חדשות יותר (warm pool, mixed instances, אכיפת IMDSv2, EBS gp3 וכו').
מסד נתונים RDS חייב לשרוד הפסקת AZ עם זמן השבתה מינימלי.
פריסה מרובת אזורים (Multi-AZ). עותק רזרבי סינכרוני באזור זמינות אחר; מעבר כשל מופעל על ידי כשל מארח/אחסון או הפסקת AZ. נקודת הקצה נשארת זהה.
למה: Multi-AZ מיועד לזמינות גבוהה, לא להרחבת קריאה. להרחבת קריאה הוסף רפליקת קריאה.
אסון חוצה אזורים: קדם רפליקת קריאה לפרימרי.
פעולת API או קונסולה של `PromoteReadReplica`. הרפליקה החדשה הופכת למופע עצמאי הניתן לכתיבה; עדכן את נקודות הקצה של האפליקציה.
רכז גיבויים של EFS, RDS, EBS, DynamoDB, FSx תחת לוח זמנים אחד + מדיניות שמירה.
AWS Backup — תוכנית גיבוי עם כללים (תדירות, שמירה, מחזור חיים לאחסון קר), בחירות גיבוי (ARN משאב או מסנן תגים).
עמידה בדרישת גיבוי בלתי משתנה רגולטורית (WORM).
AWS Backup Vault Lock עם מצב תאימות. לאחר אכיפה, לא ניתן למחוק גיבויים לפני שפג תוקף השמירה – אפילו על ידי משתמש ה-root.
תמונות מצב יומיות של כל נפח EBS מתויג עם שמירה ל-30 יום.
מדיניות Amazon Data Lifecycle Manager (DLM) — לוח זמנים + מסנן תגים + שמירה. ללא קוד, ללא Lambdas מתוזמנים.
DR פעיל-פסיבי: Route53 חייב לשלוח תעבורה לאזור המתנה כאשר הראשי נכשל.
מדיניות ניתוב כשל של Route 53 עם בדיקות תקינות בנקודת הקצה הראשית. בכשל בדיקת תקינות, DNS מפנה למצב המתנה.
זהה כשל בנקודת קצה מהר יותר מברירת המחדל של 30 שניות.
בדיקת תקינות Route 53 עם מרווח מהיר (10 שניות) וסף של 3 כשלים. שלב מספר בדיקות תקינות באמצעות בדיקות מחושבות.
חיבורים ארוכי טווח נופלים כאשר ALB מסיר יעד במהלך פריסה.
השהיית ביטול רישום קבוצת יעד (ברירת מחדל 300 שניות, הגדל לפי הצורך). בקשות חדשות מפסיקות לזרום מיד; חיבורים בטיסה מתרוקנים עד תום ההשהיה.
הגדר כמה זמן ALB ממתין לבקשות בטיסה במהלך ביטול רישום יעד.
זהה להשהיית ביטול רישום. הגדר לכל קבוצת יעד. ל-NLB מנגנון נפרד אך מקביל.
EFS איטי תחת עומס עבודה פתאומי.
עבור למצב Elastic Throughput (התאמה אוטומטית). או Provisioned Throughput לעומסי עבודה צפויים. Bursting ברירת המחדל מבוסס אשראי ונגמר תחת עומס מתמשך.
בחר אסטרטגיית DR לפי תקציב RPO/RTO.
גיבוי ושחזור (RTO שעות, RPO שעות, הזול ביותר). Pilot Light (RTO דקות, RPO דקות). Warm Standby (RTO דקות, RPO שניות, המתנה מופחתת פועלת). Multi-Site Active-Active (RTO ~0, RPO ~0, היקר ביותר).
שכפל אובייקטי S3 לאזור שני לצורך תאימות + DR.
S3 Cross-Region Replication (CRR). דליי מקור ויעד, תפקיד IAM, כלל שכפול. השתמש ב-Replication Time Control (RTC) עבור SLA של 15 דקות.
הגן על אובייקטים מפני מחיקה מקרית או זדונית.
אפשר Versioning + MFA Delete על הדלי. MFA Delete דורש אישורי root + קוד MFA כדי למחוק לצמיתות גרסאות או להשבית את ה-Versioning.
יישום TCP/UDP זקוק לכתובות IP סטטיות וכשל מהיר על פני אזורים.
AWS Global Accelerator — 2 כתובות IP מסוג Anycast שמנותבות לנקודת הקצה האזורית הבריאה הקרובה ביותר דרך עמוד השדרה של AWS. מעבר כשל בפחות מ-30 שניות.
למה: טוב יותר ממעבר כשל של Route 53 לתעבורה שאינה HTTP; לקוחות שומרים על אותה כתובת IP.
מישהו שינה משאבים בקונסולה; בדוק מה סטה מתבנית CloudFormation.
זיהוי סטייה של CloudFormation על ה-stack. מדווח על סטטוס סטייה לכל משאב עם הבדלים ברמת המאפיין.
ראה בדיוק מה CloudFormation ישנה לפני החלת שינוי בתבנית.
צור Change Set תחילה; סקור את השינויים המוצעים; בצע רק אם בטוח. Change Sets תומכים ב-nested stacks ובהפניות חוצות stack.
מנע עדכון מקרי למשאב קריטי (לדוגמה, RDS ב-Production) בתוך Stack.
מדיניות Stack של CloudFormation — מסמך בסגנון IAM המאפשר או מונע `Update:*` על מזהי משאבים לוגיים ספציפיים. מיושם על ה-stack, בנפרד מ-IAM.
פרוס את אותו קו בסיס (לדוגמה, CloudTrail, Config, GuardDuty) לכל החשבונות בארגון.
CloudFormation StackSets עם הרשאות מנוהלות שירות + פריסה אוטומטית לחשבונות חדשים ב-OUs היעד.
הפעל תצורה + אות השלמה ל-CloudFormation מנתוני המשתמש של EC2.
cfn-init (תצורה), cfn-signal (אות CreationPolicy), cfn-hup (החל שינויים במטא נתונים). CreationPolicy גורם ל-Stack להמתין לאות לפני סימון CREATE_COMPLETE.
החזר Stack אוטומטית אם אזעקות CloudWatch מופעלות לאחר הפריסה.
תצורת החזרה של CloudFormation — רשימת אזעקות CW + זמן ניטור. אם אזעקה כלשהי מופעלת במהלך החלון, ה-Stack חוזר אוטומטית.
דחף פקודת מעטפת חד-פעמית ל-500 מופעי EC2 לפי תג.
SSM Run Command עם מסמך `AWS-RunShellScript`, יעד לפי תג. ללא SSH. יומנים ל-S3 / CloudWatch Logs.
אכוף תצורה באופן רציף (לדוגמה, סוכן CloudWatch מותקן) על פני כל המופעים.
שיוך SSM State Manager — לוח זמנים + מסמך + יעדים. SSM מיישם את המצב הרצוי לפי לוח זמנים ומדווח על תאימות.
החל טלאים למערכת הפעלה על צי לפי לוח זמנים עם בטיחות חזרה לאחור.
SSM Patch Manager — קו בסיס טלאים (כללים: חומרה, סיווג, עיכוב אישור) + קבוצת טלאים (תג) + חלון תחזוקה להרצה.
SSH למופע תת-רשת פרטית ללא שרת Bastion או יציאות נכנסות פתוחות.
SSM Session Manager — סוכן + תפקיד IAM פותחים את ההפעלה מעל ה-API של SSM Messages. ללא IP ציבורי, ללא מפתח SSH, רישום הפעלות מלא.
אחסן מחרוזת חיבור למסד נתונים כדי שהאפליקציה תוכל לשלוף אותה בזמן ריצה — ללא סודות מוכנסים לקוד.
SSM Parameter Store SecureString (מוצפן KMS) או Secrets Manager (סיבוב). האפליקציה קוראת ל-`GetParameter` עם תפקיד IAM.
למה: Parameter Store חינמי ברמת Standard; ל-Secrets Manager יש סיבוב מובנה עבור RDS/DocumentDB/Redshift.
תיקון אוטומטי של ממצאי תאימות (לדוגמה, קבוצת אבטחה פתוחה לעולם ← הגבלה).
SSM Automation runbook (YAML מותאם אישית או בבעלות AWS). מופעל על ידי EventBridge / Config / ידני. שלבים: פיצול, מקביל, ניסיון חוזר, ביטול.
הפעל תיקונים רק בין השעות 02:00–04:00 ביום ראשון.
חלון תחזוקה של SSM — לוח זמנים (cron), יעדים, משימות. עוטף הפעלות Run Command / Automation / Lambda / Step Functions.
בנה AMIs מוקשחים של Linux/Windows עם סוכנים מותקנים מראש לפי לוח זמנים.
EC2 Image Builder — Pipeline (מתכון תמונה + רכיבים + תצורת תשתית + הפצה). פלט AMIs למספר אזורים/חשבונות.
פרוס גרסת אפליקציה חדשה לחלק קטן מ-EC2/ECS/Lambda לפני פריסה מלאה.
CodeDeploy עם תצורת פריסה canary או linear. Canary של Lambda `Lambda10Percent5Minutes` מסיט תעבורה באמצעות משקלי Alias.
פריסת Blue/Green על ASG מאחורי ALB.
קבוצת פריסת Blue/Green של CodeDeploy — מספקת ASG חדש, רושמת אותו בקבוצת יעד של ALB, ממתינה לבריאות, מחליפה תעבורה, מביאה לסיום את הישן.
Pipeline בחשבון הכלים פורס לחשבונות dev/stage/prod.
CodePipeline חוצה חשבונות — שלב הפריסה משתמש בתפקיד חוצה חשבונות מחשבון היעד. מפתח KMS בחשבון הכלים משותף עם היעד.
אפשר לצוותי פיתוח לספק לעצמם תשתית מאושרת (לדוגמה, VPC, דלי S3) ללא מתן IAM מלא.
AWS Service Catalog — מנהל מפרסם מוצרים (תבניות CFN), משתמשים משיקים באמצעות הרשאת IAM להשקת תפקיד המוצר, לא המשאבים הבסיסיים.
אכוף שלכל המשאבים יהיו תגיות `Environment` ו-`CostCenter` בכל הארגון.
מדיניות תגיות של AWS Organizations. הגדר מפתחות תגיות + ערכים מותרים; תיוג שאינו תואם מוצג ב-Resource Groups Tag Editor + Config.
הגירה מ-OpsWorks Stacks (EOL מאי 2024).
OpsWorks Stacks הגיע לסוף חייו. הגר ל-AWS Systems Manager + Chef/Puppet מקורי ב-EC2, או המר ל-ECS/EKS, או בנה מחדש באמצעות SSM Automation + CFN.
בחר בין Stacks מקוננים לבין הפניות חוצות Stacks.
Stacks מקוננים: קשורים היטב, מחזור חיים מנוהל יחד (עדכון יחיד). Cross-stack `Export`/`ImportValue`: קשורים באופן רופף, מחזורי חיים עצמאיים, ייצוא בלתי ניתן לשינוי כל עוד הוא מיובא.
זהה משתמשי IAM עם מפתחות גישה ישנים מ-90 יום.
צור דוח אישורים (`generate-credential-report` + `get-credential-report`). קובץ CSV עם שימוש אחרון + גיל מפתח לכל משתמש. שלב עם Access Analyzer לסקירת הרשאות מינימליות.
מצא תפקידי IAM, דליי S3, מפתחות KMS הנגישים מחוץ לחשבון / לארגון.
IAM Access Analyzer — סריקת אזור אמון מדווחת על ממצאי גישה חיצונית. מנתח גישה חיצונית חינמי; מנתח גישה לא בשימוש בתשלום.
קצץ מדיניות IAM עם הרשאות יתר — הסר שירותים שהישות מעולם לא השתמשה בהם.
מידע IAM Last Accessed לכל תפקיד/משתמש. מפרט את השימוש האחרון ברמת השירות + (עבור שירותים מסוימים) ברמת הפעולה. הסר הרשאות שאינן בשימוש.
בקר את כל קריאות ה-API בכל חשבון בארגון עם אחסון מרכזי.
Organization trail בחשבון הניהול או בחשבון המנהל המואצל. דלי S3 יחיד; מכסה את כל חשבונות החברים הנוכחיים + העתידיים; לא ניתן להשבית על ידי חברים.
תעד כל קריאת אובייקט S3 בדלי רגיש.
אפשר אירועי נתונים של CloudTrail עבור S3 (לפי דלי או כולם). Trails רגילים לוכדים אירועי ניהול בלבד; אירועי נתונים מחויבים בנפרד.
זיהוי אישורים שנפרצו, סריקות פורטים, כריית קריפטו, פעילות API חריגה.
הפעל GuardDuty בכל אזור. מנהל מואצל בחשבון האבטחה צובר ממצאים ברמת הארגון. כלל EventBridge ← SNS לחומרה גבוהה.
סריקת CVE רציפה של AMIs של EC2 ותמונות ECR.
Amazon Inspector v2. מגלה אוטומטית EC2 + ECR + Lambda; תוצאות ב-Security Hub. CVEs מדורגים לפי חומרה.
לוח מחוונים יחיד לממצאים מ-GuardDuty, Inspector, Macie, IAM Access Analyzer, וכלים של צד שלישי.
AWS Security Hub. סטנדרטים (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS). צבירת אזורים מרובים + מנהל מואצל.
גלה וסווג PII / נתוני כרטיסי אשראי ב-S3.
Amazon Macie. משימות גילוי אוטומטיות מול דליי; מזהי נתונים מנוהלים + ביטויים רגולריים מותאמים אישית. ממצאים ל-Security Hub / EventBridge.
סובב מפתחות הצפנה של KMS ללא הצפנה מחדש של נתונים.
אפשר סיבוב מפתחות אוטומטי ב-CMKs מנוהלי לקוח (שנתי). KMS שומר חומר מפתח ישן כדי לפענח ciphertexts קיימים; הצפנות חדשות משתמשות בחומר העדכני ביותר.
סובב אוטומטית את סיסמת ה-master של RDS כל 30 יום.
סיבוב Secrets Manager עם Lambda המסופק על ידי AWS עבור מנוע RDS. אסטרטגיית סיבוב משתמש יחיד או משתמש מתחלף.
החל Benchmarks של CIS על פני כל הארגון.
AWS Config Conformance Pack — חבילה של כללי Config + פעולות תיקון. פרוס באמצעות Config לכל החשבונות דרך aggregator; ברמת הארגון דרך חשבון הניהול.
חסום התקפות SSRF הקוראות מטא נתונים של מופעי EC2.
דרוש IMDSv2 (`HttpTokens=required`) בכל מופע. מבוסס אסימונים; חוסם קריאות SSRF לא מאומתות של אישורי תפקיד מופע.
אחריות רוחבית לחשבון שאף דלי S3 אינו קריא לציבור, לעולם.
S3 Block Public Access ברמת החשבון. עוקף מדיניות פר-דלי. שלב עם `aws:SecureTransport` SCP עבור HTTPS בלבד.
הפוך את איסוף הראיות לאוטומטי עבור ביקורת SOC 2 / HIPAA / PCI.
AWS Audit Manager — Frameworks ממפים בקרות למקורות ראיות (Config, CloudTrail, Security Hub). אוסף ומרכיב אוטומטית לדוחות מוכנים לבקר.
חקור תעבורת תנועה רוחבית חשודה בין תת-רשתות.
VPC Flow Logs ל-CloudWatch Logs / S3 / Firehose. פורמט מותאם אישית עם `pkt-srcaddr` + `pkt-dstaddr` חושף את ה-src/dst של המנות בפועל (בניגוד ל-src/dst של ENI).
שאילתת טרה-בייטים של יומני VPC Flow Logs בעלות נמוכה.
הזרם יומני Flow Logs ל-S3 בפורמט Parquet; שלף עם Athena מחולק לפי שנה/חודש/יום. זול יותר מ-CW Logs Insights לניתוח ארכיוני.
קבע מדוע משימת ECS אינה יכולה להגיע ל-RDS — SG, NACL, טבלת ניתוב או NAT?
VPC Reachability Analyzer — ENI מקור → ENI יעד; מדווח על נגישות/חסומה + איזה רכיב חוסם (לדוגמה, כלל SG נכנס).
מצא את כל הנתיבים מהאינטרנט לתת-רשת מסד נתונים ברמת הארגון.
Network Access Analyzer עם Network Access Scope (לדוגמה, `Source: internet, Destination: db-subnet-tag`). מחזיר נתיבי רשת תואמים לסקירה.
EC2 בתת-רשת פרטית חייב להגיע ל-S3 / DynamoDB ללא עלויות יציאה של NAT.
Gateway VPC endpoint עבור S3 / DynamoDB. חינם; רשימת קידומות טבלת ניתוב. נמנע מבתים של NAT.
קישוריות פרטית מ-VPC לרוב שירותי AWS האחרים (KMS, SSM, ECR וכו').
Interface VPC endpoint (PowerLink). ENI בתת-הרשת שלך, מחויב לכל AZ + לכל GB. השתמש במדיניות נקודות קצה כדי להגביל למשאבים ספציפיים.
עמלות עיבוד נתונים של NAT Gateway שולטות בחשבון.
העבר תעבורת S3/DynamoDB ל-gateway endpoints (חינם). העבר תעבורת שירותי AWS אחרים ל-interface endpoints. עבור תקשורת בין VPCs, השתמש ב-Transit Gateway / VPC peering במקום ניתוב דרך NAT.
40 VPCs זקוקים לקישוריות כל-לכל ללא N×N peering.
Transit Gateway כ-hub. VPCs מתחברים ל-TGW; טבלאות ניתוב שולטות אילו VPCs יכולים לתקשר. Hub מנוהל יחיד לעומת חיבורי peering ב-O(N²).
DNS מקומי חייב לפתור את `internal.company.com` למשאבי VPC פרטיים, ולהיפך.
Route 53 Resolver inbound + outbound endpoints + כללי העברה. Inbound = שאילתות מקומיות ל-AWS; outbound = שאילתות AWS למקומי.
בקר אילו שמות DNS נפתרים מ-VPC.
רישום שאילתות של Route 53 Resolver ל-CloudWatch Logs / S3 / Firehose. תצורת רישום לפי VPC.
מקור CloudFront מחזיר 5xx; יש צורך במעבר כשל אוטומטי למקור משני.
קבוצת Origin עם Origin ראשי + משני וקריטריוני מעבר כשל (קודי סטטוס 500/502/503/504/404). התנהגות מטמון מצביעה על הקבוצה.
מקסם את יחס פגיעות המטמון עבור תוכן סטטי ברובו.
הגדר `Cache-Control: max-age=...` על תגובות המקור; הגדר את CloudFront להעביר רק מפתחות מטמון נדרשים (הימנע מהעברת כל הכותרות/עוגיות/מחרוזות שאילתה, דבר ההורס את יעילות המטמון).
CloudFront מול S3 — חסום גישה ישירה ל-S3.
Origin Access Control (OAC). מחליף את Origin Access Identity (OAI) המיושן — תומך ב-SigV4, בדליי מוצפנים ב-KMS, בכל האזורים. מדיניות דלי מונעת גישה לעקרונות שאינם OAC.
חסום הזרקות SQL + הגבל קצב ללקוחות אגרסיביים על ALB.
AWS WAFv2 web ACL: קבוצת כללים מנוהלת של AWS `AWSManagedRulesSQLiRuleSet` + כלל מבוסס קצב (לדוגמה, 2000 בקשות / 5 דקות לכל IP). שייך ל-ALB / API Gateway / CloudFront / AppSync.
הפחת מתקפות DDoS מתמשכות בשכבה 7 עם הבטחת הגנה על עלויות.
AWS Shield Advanced — מעורבות יזומה, זיהוי DDoS בשכבת האפליקציה, גישת SRT 24×7, החזר עלויות עבור קפיצות קנה מידה במהלך התקפה. הפעל על Route 53 / CloudFront / ALB / EIP / Global Accelerator.
נהל באופן מרכזי מדיניות WAF / Shield / SG / Network Firewall על פני כל חשבונות הארגון.
AWS Firewall Manager (מנהל מואצל). מדיניות מיושמת אוטומטית על חשבונות/משאבים בטווח; מדווח על אי-תאימות.
הפסקת Direct Connect משביתה קישוריות היברידית.
Site-to-Site VPN כגיבוי על גבי האינטרנט. BGP בוחר ב-DX כמועדף (MED נמוך יותר / AS-PATH קצר יותר); עובר ל-VPN אוטומטית.
