AWS Certified CloudOps Engineer Associate
अंतिम समीक्षा: मई 2026
SOA-C03 परीक्षा द्वारा परखे जाने वाले architectural patterns का स्कैन-योग्य संदर्भ। ऊपर से नीचे पढ़ें या किसी section पर जाएं।
EC2 फ़्लीट से मेमोरी, डिस्क और प्रोसेस मेट्रिक्स एकत्र करें। डिफ़ॉल्ट CloudWatch मेट्रिक्स में वे शामिल नहीं होते हैं।
SSM Distributor या `AmazonCloudWatch-ManageAgent` Run Command के माध्यम से CloudWatch एजेंट इंस्टॉल करें। Parameter Store से एजेंट कॉन्फ़िग पुश करें।
क्यों: मेमोरी और डिस्क गेस्ट-OS मेट्रिक्स हैं — हाइपरवाइज़र उन्हें नहीं देख सकता। डिफ़ॉल्ट CW मेट्रिक्स केवल EBS लेयर पर CPU/नेटवर्क/डिस्क-IO होते हैं।
एप्लिकेशन को CloudWatch पर एक व्यावसायिक KPI (जैसे ऑर्डर/मिनट) प्रकाशित करने की आवश्यकता है।
कस्टम नेमस्पेस + आयामों के साथ `PutMetricData` API का उपयोग करें। उच्च-मात्रा वाले उपयोग के लिए एम्बेडेड मेट्रिक फ़ॉर्मेट (EMF) का उपयोग करें — लॉग में संरचित JSON लिखें और CW स्वचालित रूप से मेट्रिक्स निकालता है।
उच्च-कार्डिनैलिटी वाले कस्टम मेट्रिक्स की लागत कम करें।
एम्बेडेड मेट्रिक फ़ॉर्मेट (EMF)। एक संरचित इवेंट एक बार लॉग करें; CW उससे मेट्रिक्स निकालता है। एक लॉग + एक मेट्रिक = प्रति आयाम कॉम्बो के लिए अलग `PutMetricData` कॉल की तुलना में सस्ता।
स्थैतिक थ्रेशोल्ड अलार्म झूठे सकारात्मक परिणाम उत्पन्न करते हैं क्योंकि ट्रैफ़िक में दैनिक/साप्ताहिक मौसमीता होती है।
CloudWatch विसंगति डिटेक्शन अलार्म। बैंड सीखी हुई मौसमीता के अनुसार अनुकूलित होते हैं; अलार्म तब सक्रिय होता है जब मेट्रिक बैंड से बाहर हो जाता है।
क्यों: मौसमी वर्कलोड में परिवर्तनीय सामान्य होता है — निश्चित थ्रेशोल्ड आधे समय गलत होते हैं।
ऑन-कॉल को केवल तभी सूचित करें जब उच्च-त्रुटि-दर और कम-ट्रैफ़िक दोनों हों — न कि जब कोई एक अकेला ट्रिगर हो।
नियम अभिव्यक्ति `ALARM(errors) AND ALARM(low_traffic)` के साथ कंपोजिट अलार्म। अंतर्निहित अलार्म अभी भी व्यक्तिगत रूप से सक्रिय होते हैं लेकिन केवल कंपोजिट ही SNS को सूचित करता है।
`ERROR uid=123` जैसी लॉग लाइनों को अलार्म के लिए CloudWatch मेट्रिक में बदलें।
CloudWatch Logs मेट्रिक फ़िल्टर — पैटर्न `ERROR` एक मेट्रिक को बढ़ाता है। फिर मेट्रिक पर एक अलार्म बनाएं।
क्यों: फ़िल्टर लॉग इनजेस्ट करते समय मूल्यांकन किए जाते हैं; किसी अलग पार्सिंग पाइपलाइन की आवश्यकता नहीं होती है।
पिछले एक घंटे में कई लॉग स्ट्रीम में 5xx त्रुटियाँ पैदा करने वाले शीर्ष 10 IPs का पता लगाएं।
CloudWatch Logs Insights क्वेरी: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`।
लॉग ग्रुप रिटेंशन डिफ़ॉल्ट रूप से "कभी समाप्त न हो" पर सेट होता है — बिल बढ़ रहा है।
प्रति लॉग ग्रुप रिटेंशन सेट करें (1 दिन–10 साल)। `aws logs put-retention-policy` या AWS Config नियम के माध्यम से लागू करें जो नए ग्रुप्स को स्वचालित रूप से ठीक करता है।
50 खातों से लॉग को एक सुरक्षा खाते में केंद्रीकृत करें।
प्रत्येक स्रोत लॉग ग्रुप पर सब्सक्रिप्शन फ़िल्टर → केंद्रीय खाते में Kinesis Data Streams या Firehose। मेट्रिक्स + ट्रेसेस के लिए CloudWatch क्रॉस-अकाउंट ऑब्ज़र्वेबिलिटी।
कम लागत पर लंबे समय तक लॉग संग्रह।
लॉग ग्रुप को Kinesis Firehose → Glacier ट्रांज़िशन लाइफ़सायकल के साथ S3 पर सब्सक्राइब करें। या सीधे S3 पर निर्धारित `CreateExportTask`।
क्यों: Firehose निरंतर है; ExportTask ऑन-डिमांड बल्क निर्यात है। S3 + Glacier, CW Logs स्टोरेज से 100 गुना सस्ता है।
IAM एक्सेस के बिना किसी गैर-AWS कॉन्ट्रैक्टर के साथ एक ऑप्स डैशबोर्ड साझा करें।
CloudWatch डैशबोर्ड शेयरिंग — सार्वजनिक शेयर लिंक (Cognito द्वारा प्रदान की गई प्रमाणीकरण के साथ) या गुमनाम (विशिष्ट डैशबोर्ड तक सीमित)।
जब EC2 इंस्टेंस `stopped` स्थिति में जाए तो Lambda को ट्रिगर करें।
इवेंट पैटर्न `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` → Lambda लक्ष्य के साथ EventBridge नियम।
जब AWS आपके किसी RDS इंस्टेंस के लिए निर्धारित रखरखाव की घोषणा करे तो स्वचालित रूप से एक टिकट बनाएं।
AWS Health → EventBridge डिफ़ॉल्ट बस → Lambda या SNS → टिकट सिस्टम। `source: aws.health` और प्रभावित संसाधन पर फ़िल्टर करें।
ग्राहकों के शिकायत करने से पहले पता लगाएं कि सार्वजनिक वेबसाइट 404s कब है।
CloudWatch Synthetics canary — हर मिनट स्क्रिप्टेड ब्राउज़र हिट, विफलता पर स्क्रीनशॉट, विफल रन पर अलार्म।
वास्तविक उपयोगकर्ताओं से ब्राउज़र-साइड पेज-लोड समय और JavaScript त्रुटियों को मापें।
CloudWatch RUM। पेज पर स्निपेट प्रदर्शन + त्रुटि डेटा भेजता है। बैकएंड सहसंबंध के लिए X-Ray के साथ युग्मित करें।
हर इंस्टेंस पर CloudWatch को मैन्युअल रूप से जांचे बिना EC2 फ़्लीट का सही आकार निर्धारित करें।
AWS Compute Optimizer — CW मेट्रिक्स + मेमोरी डेटा (एजेंट के साथ) का विश्लेषण करता है और इंस्टेंस-टाइप परिवर्तनों की सिफारिश करता है। इसमें EC2, ASG, EBS, Lambda, ECS Fargate शामिल हैं।
200 खातों में "क्या हर EBS वॉल्यूम पर एन्क्रिप्शन-एट-रेस्ट सक्षम है" देखें।
मल्टी-अकाउंट मल्टी-रीजन ऑथोराइजेशन के साथ AWS Config एग्रीगेटर। एग्रीगेटर डैशबोर्ड + उन्नत क्वेरीज़ (SQL)।
गैर-अनुपालक संसाधनों को स्वचालित रूप से ठीक करें (जैसे अनएन्क्रिप्टेड EBS वॉल्यूम → स्नैपशॉट + एन्क्रिप्टेड फिर से बनाएं)।
AWS Config नियम + SSM Automation रनबुक के माध्यम से स्वचालित सुधार कार्रवाई। पुनः प्रयास संख्या + पैरामीटर निर्दिष्ट करें।
कस्टम स्क्रिप्ट लिखे बिना लागत बचत के अवसर और सुरक्षा जोखिमों को उजागर करें।
AWS Trusted Advisor। लागत / प्रदर्शन / सुरक्षा / दोष सहिष्णुता / सेवा सीमाएं जांचें। पूर्ण चेक सेट के लिए Business या Enterprise Support की आवश्यकता होती है।
आने वाले लॉन्च के लिए किसी क्षेत्र में EC2 vCPU कोटा बढ़ाने की आवश्यकता है।
Service Quotas कंसोल — कोटा वृद्धि का अनुरोध करें। या स्क्रिप्ट करने के लिए Service Quotas API का उपयोग करें। कुछ कोटा स्वचालित रूप से अनुमोदित होते हैं; अन्य Support के माध्यम से जाते हैं।
मासिक बिल आने से पहले अप्रत्याशित लागत स्पाइक्स को पकड़ें।
AWS Cost Anomaly Detection — ML-आधारित; प्रति सेवा / लिंक्ड अकाउंट / लागत श्रेणी के मॉनिटर कॉन्फ़िगर करें। SNS या ईमेल के माध्यम से अलर्ट।
यदि मासिक बजट थ्रेशोल्ड से अधिक हो तो गैर-उत्पादन EC2 को स्वचालित रूप से रोकें।
AWS Budgets एक्शन — थ्रेशोल्ड पर, एक SSM ऑटोमेशन चलाएं जो टैग किए गए इंस्टेंस को रोकता है या IAM के माध्यम से एक डिनाई-ऑल SCP लागू करता है।
ASG किसी इंस्टेंस को समाप्त करने से पहले कनेक्शन बंद करें + लॉग फ्लश करें।
`EC2_INSTANCE_TERMINATING` पर लाइफ़सायकल हुक। इंस्टेंस `Terminating:Wait` में प्रवेश करता है; SSM डॉक ड्रेन स्क्रिप्ट चलाता है; पूरा होने पर `CONTINUE` एक्शन एमिट करें।
औसत CPU को लगभग 60% पर रखने के लिए ऑटो-स्केल करें।
`ASGAverageCPUUtilization` = 60 के साथ टारगेट-ट्रैकिंग स्केलिंग नीति। ASG स्वचालित रूप से स्टेप अलार्म बनाता है।
क्यों: स्टेप-स्केलिंग से सरल। सममित मेट्रिक्स के लिए सबसे अच्छा। स्टेप स्केलिंग फाइन-ग्रेन्ड स्केल-अप बनाम स्केल-डाउन नियमों के लिए है।
ट्रैफ़िक प्रतिदिन सुबह 9 बजे बढ़ता है; रिएक्टिव स्केलिंग पीछे रह जाती है।
प्रेडिक्टिव स्केलिंग। ASG CW हिस्ट्री से 48 घंटे पहले लोड का पूर्वानुमान लगाता है; स्पाइक से पहले प्री-स्केल करता है।
इंस्टेंस बूटस्ट्रैप में 8 मिनट लगते हैं; स्केल-आउट बहुत धीमा है।
ASG वार्म पूल — प्री-इनिशियलाइज़्ड स्टॉप्ड/हाइबरनेटेड इंस्टेंस। स्केल-आउट पर, कोल्ड लॉन्च करने के बजाय स्टॉप्ड → इनसर्विस में ट्रांज़िशन करें।
लागत बचाने के लिए मुख्य रूप से Spot पर एक ASG चलाएं लेकिन स्थिरता के लिए On-Demand का एक बेसलाइन रखें।
मिक्स्ड इंस्टेंस पॉलिसी — लॉन्च टेंप्लेट + बेस कैपेसिटी (On-Demand) + Spot पर बेस से ऊपर का प्रतिशत। Spot विविधीकरण के लिए कई इंस्टेंस प्रकारों का उपयोग करें।
लॉन्च कॉन्फ़िगरेशन से माइग्रेट करना।
लॉन्च टेंप्लेट का उपयोग करें। AWS ने नए ASG के लिए लॉन्च कॉन्फ़िगरेशन को अप्रचलित कर दिया है; केवल LT ही नई सुविधाओं (वार्म पूल, मिक्स्ड इंस्टेंस, IMDSv2 एनफोर्समेंट, EBS gp3, आदि) का समर्थन करते हैं।
RDS डेटाबेस को न्यूनतम डाउनटाइम के साथ AZ आउटेज से बचना चाहिए।
मल्टी-AZ डिप्लॉयमेंट। दूसरे AZ में सिंक्रोनस स्टैंडबाय; होस्ट/स्टोरेज विफलता या AZ आउटेज द्वारा फ़ेलओवर ट्रिगर होता है। एंडपॉइंट वही रहता है।
क्यों: मल्टी-AZ HA के लिए है, रीड स्केल-आउट के लिए नहीं। रीड स्केल-आउट के लिए रीड रेप्लिका जोड़ें।
क्रॉस-रीजन आपदा: रीड रेप्लिका को प्राइमरी में प्रमोट करें।
`PromoteReadReplica` API या कंसोल एक्शन। नया रेप्लिका स्टैंडअलोन लिखने योग्य इंस्टेंस बन जाता है; ऐप एंडपॉइंट अपडेट करें।
एक ही शेड्यूल + रिटेंशन पॉलिसी के तहत EFS, RDS, EBS, DynamoDB, FSx बैकअप को केंद्रीकृत करें।
AWS Backup — नियमों (फ़्रीक्वेंसी, रिटेंशन, कोल्ड स्टोरेज में लाइफ़सायकल), बैकअप चयन (संसाधन ARN या टैग फ़िल्टर) के साथ बैकअप प्लान।
नियामक अपरिवर्तनीय-बैकअप आवश्यकता (WORM) का अनुपालन करें।
अनुपालन मोड के साथ AWS Backup Vault Lock। एक बार लागू होने पर, बैकअप को रिटेंशन समाप्त होने से पहले हटाया नहीं जा सकता — यहां तक कि रूट द्वारा भी नहीं।
30-दिवसीय रिटेंशन के साथ प्रत्येक टैग किए गए EBS वॉल्यूम के दैनिक स्नैपशॉट।
Amazon Data Lifecycle Manager (DLM) पॉलिसी — शेड्यूल + टैग फ़िल्टर + रिटेंशन। कोई कोड नहीं, कोई निर्धारित लैम्डा नहीं।
एक्टिव-पैसिव DR: प्राइमरी फेल होने पर Route53 को स्टैंडबाय रीजन में ट्रैफ़िक भेजना चाहिए।
Route 53 फ़ेलओवर राउटिंग पॉलिसी जिसमें प्राइमरी एंडपॉइंट पर हेल्थ चेक होते हैं। हेल्थ-चेक विफलता पर, DNS स्टैंडबाय पर रिज़ॉल्व होता है।
डिफ़ॉल्ट 30s से तेज़ी से एंडपॉइंट विफलता का पता लगाएं।
तेज इंटरवल (10s) और 3 विफलताओं के थ्रेशोल्ड के साथ Route 53 हेल्थ चेक। कैलकुलेटेड चेक के माध्यम से कई हेल्थ चेक को मिलाएं।
डिप्लॉयमेंट के दौरान ALB द्वारा लक्ष्य को हटाने पर लंबे समय तक चलने वाले कनेक्शन टूट जाते हैं।
टारगेट ग्रुप डी-रजिस्ट्रेशन डिले (डिफ़ॉल्ट 300s, आवश्यकतानुसार बढ़ाएँ)। नए अनुरोध तुरंत प्रवाहित होना बंद कर देते हैं; इन-फ़्लाइट कनेक्शन डिले समाप्त होने तक बंद हो जाते हैं।
लक्ष्य डी-रजिस्ट्रेशन के दौरान ALB इन-फ़्लाइट अनुरोधों के लिए कितनी देर प्रतीक्षा करता है, इसे कॉन्फ़िगर करें।
डी-रजिस्ट्रेशन डिले के समान। प्रति टारगेट ग्रुप सेट करें। NLB में एक अलग लेकिन समानांतर तंत्र है।
बर्स्ट लोड के तहत EFS धीमा है।
इलास्टिक थ्रूपुट मोड (ऑटो-स्केल्स) पर स्विच करें। या अनुमानित वर्कलोड के लिए प्रोविज़ंड थ्रूपुट। डिफ़ॉल्ट बर्स्टिंग क्रेडिट-आधारित है और निरंतर लोड के तहत समाप्त हो जाता है।
RPO/RTO बजट द्वारा DR रणनीति चुनें।
बैकअप और रिस्टोर (RTO घंटे, RPO घंटे, सबसे सस्ता)। पायलट लाइट (RTO मिनट, RPO मिनट)। वार्म स्टैंडबाय (RTO मिनट, RPO सेकंड, स्केल-डाउन स्टैंडबाय चल रहा)। मल्टी-साइट एक्टिव-एक्टिव (RTO ~0, RPO ~0, सबसे महंगा)।
अनुपालन + DR के लिए S3 ऑब्जेक्ट को दूसरे क्षेत्र में रेप्लिकेट करें।
S3 क्रॉस-रीजन रेप्लिकेशन (CRR)। स्रोत + गंतव्य बकेट, IAM रोल, रेप्लिकेशन नियम। 15-मिनट SLA के लिए रेप्लिकेशन टाइम कंट्रोल (RTC) का उपयोग करें।
वस्तुओं को आकस्मिक या दुर्भावनापूर्ण विलोपन से सुरक्षित रखें।
बकेट पर वर्जनिंग + MFA डिलीट सक्षम करें। MFA डिलीट के लिए रूट क्रेडेंशियल्स + MFA कोड की आवश्यकता होती है ताकि संस्करणों को स्थायी रूप से हटाया जा सके या वर्जनिंग को अक्षम किया जा सके।
TCP/UDP एप्लिकेशन को स्टैटिक IP और क्षेत्रों में तेज़ फ़ेलओवर की आवश्यकता है।
AWS Global Accelerator — 2 anycast IP जो AWS बैकबोन के माध्यम से निकटतम स्वस्थ क्षेत्रीय एंडपॉइंट पर रूट करते हैं। सब-30s फ़ेलओवर।
क्यों: नॉन-HTTP ट्रैफ़िक के लिए Route 53 फ़ेलओवर से बेहतर; क्लाइंट वही IP रखते हैं।
किसी ने कंसोल में संसाधनों को संशोधित किया; जांचें कि CloudFormation टेंप्लेट से क्या विचलन हुआ है।
स्टैक पर CloudFormation ड्रिफ्ट डिटेक्शन। संपत्ति-स्तर के अंतर के साथ प्रति-संसाधन ड्रिफ्ट स्थिति की रिपोर्ट करता है।
टेंप्लेट परिवर्तन लागू करने से पहले देखें कि CloudFormation ठीक-ठीक क्या संशोधित करेगा।
पहले एक चेंज सेट बनाएं; प्रस्तावित परिवर्तनों की समीक्षा करें; केवल तभी निष्पादित करें जब सुरक्षित हो। चेंज सेट नेस्टेड स्टैक और क्रॉस-स्टैक संदर्भों का समर्थन करते हैं।
एक स्टैक के अंदर एक महत्वपूर्ण संसाधन (जैसे प्रोडक्शन RDS) के आकस्मिक अपडेट को रोकें।
CloudFormation स्टैक पॉलिसी — विशिष्ट तार्किक संसाधन IDs पर `Update:*` को अनुमति देने या अस्वीकार करने वाला IAM-शैली का दस्तावेज़। स्टैक पर लागू होता है, IAM से अलग।
ऑर्ग में सभी खातों में समान बेसलाइन (जैसे CloudTrail, Config, GuardDuty) डिप्लॉय करें।
सर्विस-मैनेज्ड अनुमतियों + लक्ष्य OUs में नए खातों में ऑटो-डिप्लॉयमेंट के साथ CloudFormation StackSets।
EC2 उपयोगकर्ता-डेटा से CloudFormation को कॉन्फ़िग + सिग्नल पूर्णता चलाएं।
cfn-init (कॉन्फ़िग), cfn-signal (सिग्नल क्रिएशनपॉलिसी), cfn-hup (मेटाडेटा परिवर्तन लागू करें)। क्रिएशनपॉलिसी स्टैक को `CREATE_COMPLETE` चिह्नित करने से पहले सिग्नल की प्रतीक्षा करवाती है।
यदि डिप्लॉय के बाद CloudWatch अलार्म सक्रिय होते हैं तो स्टैक को स्वचालित रूप से रोलबैक करें।
CloudFormation रोलबैक कॉन्फ़िगरेशन — CW अलार्म + मॉनिटरिंग टाइम की सूची। यदि विंडो के दौरान कोई भी अलार्म सक्रिय होता है, तो स्टैक स्वचालित रूप से रोलबैक हो जाता है।
टैग द्वारा 500 EC2 इंस्टेंस पर एक बार का शेल कमांड पुश करें।
`AWS-RunShellScript` दस्तावेज़ के साथ SSM Run Command, टैग द्वारा लक्ष्य करें। कोई SSH नहीं। S3 / CloudWatch Logs पर लॉग।
सभी इंस्टेंसों पर एक कॉन्फ़िग (जैसे CloudWatch एजेंट इंस्टॉल किया गया) को लगातार लागू करें।
SSM State Manager एसोसिएशन — शेड्यूल + दस्तावेज़ + लक्ष्य। SSM शेड्यूल पर वांछित स्थिति लागू करता है और अनुपालन की रिपोर्ट करता है।
रोलबैक सुरक्षा के साथ एक बेड़े पर OS पैच शेड्यूल पर लागू करें।
SSM Patch Manager — पैच बेसलाइन (नियम: गंभीरता, वर्गीकरण, अनुमोदन विलंब) + पैच ग्रुप (टैग) + रन के लिए रखरखाव विंडो।
बिना बैस्टियन होस्ट या खुले इनबाउंड पोर्ट के निजी-सबनेट इंस्टेंस में SSH करें।
SSM Session Manager — एजेंट + IAM रोल SSM Messages API पर सत्र खोलते हैं। कोई सार्वजनिक IP नहीं, कोई SSH कुंजी नहीं, पूर्ण सत्र लॉगिंग।
DB कनेक्शन स्ट्रिंग को रनटाइम पर ऐप द्वारा फ़ेच करने के लिए स्टोर करें — कोई चेक-इन रहस्य नहीं।
SSM Parameter Store SecureString (KMS-एन्क्रिप्टेड) या Secrets Manager (रोटेशन)। ऐप IAM रोल के साथ `GetParameter` को कॉल करता है।
क्यों: पैरामीटर स्टोर स्टैंडर्ड टियर पर मुफ्त है; Secrets Manager में RDS/DocumentDB/Redshift के लिए बिल्ट-इन रोटेशन है।
अनुपालन निष्कर्षों को स्वचालित रूप से ठीक करें (जैसे ओपन-टू-वर्ल्ड सिक्योरिटी ग्रुप → प्रतिबंधित करें)।
SSM Automation रनबुक (कस्टम YAML या AWS-स्वामित्व)। EventBridge / Config / मैन्युअल द्वारा ट्रिगर किया गया। स्टेप्स: ब्रांच, पैरेलल, रिट्राई, एबॉर्ट।
पैचिंग केवल रविवार को 02:00–04:00 के दौरान चलाएं।
SSM मेंटेनेंस विंडो — शेड्यूल (cron), लक्ष्य, कार्य। रन कमांड / ऑटोमेशन / लैम्डा / स्टेप फंक्शन्स इनवोकेशन्स को लपेटता है।
शेड्यूल पर प्री-इंस्टॉल्ड एजेंटों के साथ कठोर Linux/Windows AMI बनाएं।
EC2 Image Builder — पाइपलाइन (इमेज रेसिपी + कंपोनेंट्स + इंफ्रा कॉन्फ़िग + डिस्ट्रीब्यूशन)। कई क्षेत्रों/खातों में AMI आउटपुट करें।
पूर्ण रोलआउट से पहले EC2/ECS/Lambda के एक छोटे हिस्से में नया ऐप संस्करण डिप्लॉय करें।
कैनरी या लीनियर डिप्लॉयमेंट कॉन्फ़िगरेशन के साथ CodeDeploy। लैम्डा कैनरी `Lambda10Percent5Minutes` एलियास वज़न के माध्यम से ट्रैफ़िक शिफ्ट करता है।
ALB के पीछे ASG पर ब्लू/ग्रीन डिप्लॉय करें।
CodeDeploy ब्लू/ग्रीन डिप्लॉयमेंट ग्रुप — नया ASG प्रोविज़न करता है, ALB टारगेट ग्रुप के साथ रजिस्टर करता है, हेल्थ का इंतजार करता है, ट्रैफ़िक स्वैप करता है, पुराने को समाप्त करता है।
टूलिंग अकाउंट में पाइपलाइन देव/स्टेज/प्रोड अकाउंट में डिप्लॉय होती है।
क्रॉस-अकाउंट CodePipeline — डिप्लॉय स्टेज लक्ष्य अकाउंट से क्रॉस-अकाउंट रोल का उपयोग करता है। टूलिंग अकाउंट में KMS कुंजी लक्ष्य के साथ साझा की जाती है।
देव टीमों को पूर्ण IAM दिए बिना स्वीकृत इंफ्रास्ट्रक्चर (जैसे VPC, S3 बकेट) को स्वयं-सेवा करने दें।
AWS Service Catalog — एडमिन उत्पाद (CFN टेंप्लेट) प्रकाशित करता है, उपयोगकर्ता उत्पाद भूमिका लॉन्च करने के लिए IAM अनुमति के माध्यम से लॉन्च करते हैं, अंतर्निहित संसाधनों को नहीं।
संगठन-व्यापी सभी संसाधनों में `Environment` और `CostCenter` टैग हों, इसे लागू करें।
AWS Organizations टैग नीतियाँ। अनुमत टैग कुंजियाँ + मान परिभाषित करें; गैर-अनुपालक टैगिंग Resource Groups Tag Editor + Config में सामने आती है।
OpsWorks Stacks (EOL मई 2024) से माइग्रेट करना।
OpsWorks Stacks एंड-ऑफ़-लाइफ़ है। AWS Systems Manager + EC2 पर नेटिव Chef/Puppet पर माइग्रेट करें, या ECS/EKS में कनवर्ट करें, या SSM Automation + CFN के माध्यम से फिर से बनाएं।
नेस्टेड स्टैक और क्रॉस-स्टैक संदर्भों के बीच चयन करें।
नेस्टेड स्टैक: कसकर युग्मित, लाइफ़सायकल एक साथ प्रबंधित (एकल अपडेट)। क्रॉस-स्टैक `Export`/`ImportValue`: ढीले युग्मित, स्वतंत्र लाइफ़सायकल, निर्यात आयातित होने पर अपरिवर्तनीय।
90 दिनों से अधिक पुराने एक्सेस कुंजी वाले IAM उपयोगकर्ताओं की पहचान करें।
क्रेडेंशियल रिपोर्ट जनरेट करें (`generate-credential-report` + `get-credential-report`)। प्रति उपयोगकर्ता अंतिम-उपयोग + कुंजी-आयु के साथ CSV। न्यूनतम-विशेषाधिकार समीक्षा के लिए Access Analyzer के साथ मिलाएं।
IAM भूमिकाएँ, S3 बकेट, KMS कुंजियाँ जो अकाउंट / ऑर्ग के बाहर से सुलभ हैं, का पता लगाएं।
IAM Access Analyzer — ज़ोन-ऑफ़-ट्रस्ट स्कैन बाहरी एक्सेस निष्कर्षों की रिपोर्ट करता है। एक्सटर्नल-एक्सेस एनालाइज़र मुफ्त है; अनयूज़्ड-एक्सेस एनालाइज़र सशुल्क है।
अत्यधिक अनुमत IAM नीतियों को ट्रिम करें — उन सेवाओं को हटा दें जिनका प्रमुख ने कभी उपयोग नहीं किया।
प्रति भूमिका/उपयोगकर्ता IAM लास्ट एक्सेस इंफॉर्मेशन। सेवा-स्तर + (कुछ सेवाओं के लिए) एक्शन-स्तर अंतिम-उपयोग सूचीबद्ध करता है। अप्रयुक्त अनुमतियाँ हटाएँ।
संगठन में सभी खातों में केंद्रीय स्टोरेज के साथ सभी API कॉल का ऑडिट करें।
प्रबंधन या प्रतिनिधि एडमिन अकाउंट में संगठन ट्रेल। एकल S3 बकेट; सभी वर्तमान + भविष्य के सदस्य खातों को कवर करता है; सदस्यों द्वारा अक्षम नहीं किया जा सकता।
संवेदनशील बकेट में पढ़े गए हर S3 ऑब्जेक्ट को रिकॉर्ड करें।
S3 के लिए CloudTrail डेटा इवेंट सक्षम करें (प्रति-बकेट या सभी)। मानक ट्रेल केवल प्रबंधन इवेंट कैप्चर करते हैं; डेटा इवेंट अलग से बिल किए जाते हैं।
समझौता किए गए क्रेडेंशियल्स, पोर्ट स्कैन, क्रिप्टो-माइनिंग, असामान्य API गतिविधि का पता लगाएं।
हर क्षेत्र में GuardDuty सक्षम करें। सुरक्षा अकाउंट में प्रतिनिधि एडमिन संगठन-व्यापी निष्कर्षों को एकत्रित करता है। EventBridge नियम → उच्च-गंभीरता के लिए SNS।
EC2 AMI और ECR इमेज की निरंतर CVE स्कैनिंग।
Amazon Inspector v2। EC2 + ECR + Lambda को स्वचालित रूप से खोजता है; Security Hub में परिणाम। गंभीरता-स्कोर किए गए CVEs।
GuardDuty, Inspector, Macie, IAM Access Analyzer, तृतीय-पक्ष टूल से निष्कर्षों के लिए सिंगल डैशबोर्ड।
AWS Security Hub। मानक (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS)। क्रॉस-रीजन एग्रीगेशन + प्रतिनिधि एडमिन।
S3 में PII / क्रेडिट-कार्ड डेटा खोजें और वर्गीकृत करें।
Amazon Macie। बकेट के विरुद्ध ऑटो-डिस्कवरी जॉब्स; प्रबंधित डेटा पहचानकर्ता + कस्टम रेगुलर एक्सप्रेशन। Security Hub / EventBridge को निष्कर्ष।
डेटा को फिर से एन्क्रिप्ट किए बिना KMS एन्क्रिप्शन कुंजियों को घुमाएँ (rotate)।
ग्राहक-प्रबंधित CMKs (वार्षिक) पर स्वचालित कुंजी रोटेशन सक्षम करें। KMS मौजूदा सिफरटेक्स्ट को डिक्रिप्ट करने के लिए पुरानी कुंजी सामग्री रखता है; नए एन्क्रिप्शन नवीनतम सामग्री का उपयोग करते हैं।
हर 30 दिनों में RDS मास्टर पासवर्ड को स्वचालित रूप से घुमाएँ।
RDS इंजन के लिए AWS-प्रदान किए गए लैम्डा के साथ Secrets Manager रोटेशन। सिंगल-यूज़र या अल्टरनेटिंग-यूज़र रोटेशन रणनीति।
पूरे संगठन में CIS बेंचमार्क लागू करें।
AWS Config Conformance Pack — Config नियमों + सुधार कार्यों का बंडल। एग्रीगेटर के माध्यम से सभी खातों में Config के माध्यम से डिप्लॉय करें; प्रबंधन खाते के माध्यम से ऑर्ग-स्तर पर।
EC2 इंस्टेंस मेटाडेटा पढ़ने वाले SSRF हमलों को ब्लॉक करें।
प्रत्येक इंस्टेंस पर IMDSv2 (`HttpTokens=required`) की आवश्यकता है। टोकन-आधारित; इंस्टेंस रोल क्रेडेंशियल्स के अप्रमाणित SSRF रीड्स को ब्लॉक करता है।
अकाउंट-व्यापी गारंटी है कि कोई भी S3 बकेट कभी भी सार्वजनिक रूप से पठनीय नहीं है।
अकाउंट स्तर पर S3 Block Public Access। प्रति-बकेट नीतियों को ओवरराइड करता है। HTTPS-केवल के लिए `aws:SecureTransport` SCP के साथ मिलाएं।
SOC 2 / HIPAA / PCI ऑडिट के लिए साक्ष्य संग्रह को स्वचालित करें।
AWS Audit Manager — फ्रेमवर्क नियंत्रणों को साक्ष्य स्रोतों (Config, CloudTrail, Security Hub) से मैप करते हैं। स्वचालित रूप से एकत्र करता है + मूल्यांकनकर्ता-तैयार रिपोर्टों में इकट्ठा करता है।
सबनेट के बीच संदिग्ध पार्श्व-आंदोलन ट्रैफ़िक की जांच करें।
VPC Flow Logs को CloudWatch Logs / S3 / Firehose पर। `pkt-srcaddr` + `pkt-dstaddr` के साथ कस्टम प्रारूप वास्तविक पैकेट src/dst (बनाम ENI src/dst) को उजागर करता है।
टेराबाइट्स VPC Flow Logs को सस्ते में क्वेरी करें।
Flow Logs को Parquet प्रारूप में S3 पर स्ट्रीम करें; एथेना के साथ वर्ष/माह/दिन द्वारा विभाजित क्वेरी करें। पुरालेख विश्लेषण के लिए CW Logs Insights से सस्ता।
निर्धारित करें कि ECS टास्क RDS तक क्यों नहीं पहुंच पा रहा है — SG, NACL, रूट टेबल, या NAT?
VPC Reachability Analyzer — स्रोत ENI → गंतव्य ENI; पहुंच योग्य/अवरुद्ध + कौन सा घटक अवरुद्ध करता है (जैसे इनबाउंड SG नियम) की रिपोर्ट करता है।
संगठन-व्यापी एक डेटाबेस सबनेट तक इंटरनेट से सभी पथ खोजें।
नेटवर्क एक्सेस स्कोप (जैसे `Source: internet, Destination: db-subnet-tag`) के साथ Network Access Analyzer। समीक्षा के लिए मिलान करने वाले नेटवर्क पथ लौटाता है।
निजी सबनेट में EC2 को NAT निकास लागत के बिना S3 / DynamoDB तक पहुंचना चाहिए।
S3 / DynamoDB के लिए Gateway VPC एंडपॉइंट। मुफ्त; रूट-टेबल प्रीफिक्स सूची। NAT बाइट्स से बचाता है।
VPC से अधिकांश अन्य AWS सेवाओं (KMS, SSM, ECR, आदि) तक निजी कनेक्टिविटी।
इंटरफ़ेस VPC एंडपॉइंट (PowerLink)। आपके सबनेट में ENI, प्रति-AZ + प्रति-GB बिल किया जाता है। विशिष्ट संसाधनों तक सीमित करने के लिए एंडपॉइंट नीतियों का उपयोग करें।
NAT Gateway डेटा-प्रोसेसिंग शुल्क बिल पर हावी हैं।
S3/DynamoDB ट्रैफ़िक को गेटवे एंडपॉइंट्स पर ले जाएं (मुफ्त)। अन्य AWS सेवा ट्रैफ़िक को इंटरफ़ेस एंडपॉइंट्स पर ले जाएं। इंटर-VPC के लिए, NAT के माध्यम से रूटिंग के बजाय Transit Gateway / VPC पीयरिंग का उपयोग करें।
40 VPCs को N×N पीयरिंग के बिना किसी-से-किसी कनेक्टिविटी की आवश्यकता है।
Transit Gateway एक हब के रूप में। VPCs TGW से जुड़ते हैं; रूट टेबल नियंत्रित करते हैं कि कौन से VPCs बात कर सकते हैं। O(N²) पीयरिंग कनेक्शन के बजाय एकल प्रबंधित हब।
ऑन-प्रैम DNS को `internal.company.com` को निजी VPC संसाधनों में, और इसके विपरीत, रिज़ॉल्व करना चाहिए।
Route 53 Resolver इनबाउंड + आउटबाउंड एंडपॉइंट्स + फ़ॉरवर्डिंग नियम। इनबाउंड = ऑन-प्रैम AWS से क्वेरी करता है; आउटबाउंड = AWS ऑन-प्रैम से क्वेरी करता है।
यह ऑडिट करें कि VPC से कौन से DNS नाम रिज़ॉल्व किए जा रहे हैं।
Route 53 Resolver क्वेरी लॉगिंग को CloudWatch Logs / S3 / Firehose पर। प्रति-VPC लॉगिंग कॉन्फ़िगरेशन।
CloudFront ओरिजिन 5xx लौटाता है; सेकेंडरी ओरिजिन पर स्वचालित फ़ेलओवर की आवश्यकता है।
प्राइमरी + सेकेंडरी ओरिजिन और फ़ेलओवर क्राइटेरिया (स्टेटस कोड 500/502/503/504/404) के साथ ओरिजिन ग्रुप। कैश बिहेवियर ग्रुप को इंगित करता है।
बड़े पैमाने पर स्थिर कंटेंट के लिए कैश हिट अनुपात को अधिकतम करें।
ओरिजिन रिस्पॉन्स पर `Cache-Control: max-age=...` सेट करें; CloudFront को केवल आवश्यक कैश कुंजियों को फ़ॉरवर्ड करने के लिए कॉन्फ़िगर करें (सभी हेडर/कुकीज़/क्वेरी स्ट्रिंग को फ़ॉरवर्ड करने से बचें, जो कैश प्रभावशीलता को नष्ट कर देता है)।
S3 के सामने CloudFront — सीधे S3 एक्सेस को ब्लॉक करें।
Origin Access Control (OAC)। लेगेसी Origin Access Identity (OAI) को प्रतिस्थापित करता है — SigV4, KMS-एन्क्रिप्टेड बकेट, सभी क्षेत्रों का समर्थन करता है। बकेट नीति गैर-OAC प्रमुखों को अस्वीकार करती है।
ALB पर SQL इंजेक्शन + आक्रामक क्लाइंट को रेट-लिमिट ब्लॉक करें।
AWS WAFv2 वेब ACL: AWS प्रबंधित नियम समूह `AWSManagedRulesSQLiRuleSet` + रेट-आधारित नियम (जैसे प्रति IP 2000 अनुरोध / 5 मिनट)। ALB / API Gateway / CloudFront / AppSync से संबद्ध करें।
लागत-संरक्षण गारंटी के साथ लगातार लेयर 7 DDoS को कम करें।
AWS Shield Advanced — प्रोएक्टिव एंगेजमेंट, एप्लिकेशन-लेयर DDoS डिटेक्शन, 24×7 SRT एक्सेस, हमले के दौरान स्केलिंग स्पाइक्स के लिए लागत प्रतिपूर्ति। Route 53 / CloudFront / ALB / EIP / Global Accelerator पर सक्रिय करें।
संगठन के सभी खातों में WAF / Shield / SG / Network Firewall नीतियों को केंद्रीय रूप से प्रबंधित करें।
AWS Firewall Manager (प्रतिनिधि एडमिन)। नीतियाँ स्वचालित रूप से इन-स्कोप खातों/संसाधनों पर लागू होती हैं; गैर-अनुपालन की रिपोर्ट करता है।
Direct Connect आउटेज हाइब्रिड कनेक्टिविटी को बाधित करता है।
इंटरनेट पर बैकअप के रूप में Site-to-Site VPN। BGP DX को पसंदीदा (कम MED / छोटा AS-PATH) के रूप में चुनता है; स्वचालित रूप से VPN पर फ़ेलओवर होता है।
