AWS Certified CloudOps Engineer Associate
Последняя проверка: май 2026 г.
Сжатый справочник архитектурных шаблонов, проверяемых на экзамене SOA-C03. Читайте сверху вниз или переходите к нужному разделу.
Собирать метрики памяти, диска и процессов из парка EC2. Стандартные метрики CloudWatch их не включают.
Установите агент CloudWatch через SSM Distributor или команду Run `AmazonCloudWatch-ManageAgent`. Отправьте конфигурацию агента из Parameter Store.
Почему: Метрики памяти и диска являются метриками гостевой ОС — гипервизор их не видит. Стандартные метрики CW — это только CPU/сеть/дисковый ввод-вывод на уровне EBS.
Приложению необходимо публиковать бизнес-KPI (например, заказы/мин) в CloudWatch.
API `PutMetricData` с пользовательским пространством имен + измерениями. Для большого объема используйте Embedded Metric Format (EMF) — записывайте структурированный JSON в логи, а CW автоматически извлекает метрики.
Снизить стоимость пользовательских метрик с высокой кардинальностью.
Embedded Metric Format (EMF). Запишите структурированное событие один раз; CW извлекает из него метрики. Один лог + одна метрика = дешевле, чем отдельные вызовы `PutMetricData` для каждой комбинации измерений.
Аварийные сигналы со статическим порогом дают ложные срабатывания, потому что трафик имеет дневную/недельную сезонность.
Сигнал обнаружения аномалий CloudWatch. Диапазоны адаптируются к изученной сезонности; сигнал срабатывает, когда метрика выходит за пределы диапазона.
Почему: Сезонные рабочие нагрузки имеют переменную норму — фиксированные пороги ошибочны половину времени.
Оповещать дежурного только тогда, когда И высокий процент ошибок, И низкий трафик — а не когда срабатывает что-то одно.
Композитный сигнал с выражением правила `ALARM(errors) AND ALARM(low_traffic)`. Базовые сигналы по-прежнему срабатывают индивидуально, но только композитный отправляет уведомления в SNS.
Преобразовать строки логов типа `ERROR uid=123` в метрику CloudWatch для оповещения.
Метрический фильтр CloudWatch Logs — шаблон `ERROR` увеличивает метрику. Затем создайте сигнал на основе этой метрики.
Почему: Фильтры оцениваются по мере поступления логов; отдельный конвейер парсинга не требуется.
Найти 10 лучших IP-адресов, вызывающих ошибки 5xx за последний час, по многим потокам логов.
Запрос CloudWatch Logs Insights: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`.
Срок хранения группы логов по умолчанию установлен как "Никогда не истекает" — счет растет.
Установите срок хранения для каждой группы логов (от 1 дня до 10 лет). Примените через `aws logs put-retention-policy` или правило AWS Config, которое автоматически устраняет новые группы.
Централизовать логи из 50 аккаунтов в один аккаунт безопасности.
Фильтр подписки на каждой исходной группе логов → Kinesis Data Streams или Firehose в центральном аккаунте. CloudWatch cross-account observability для метрик + трассировок.
Долгосрочный архив логов с низкой стоимостью.
Подпишите группу логов на Kinesis Firehose → S3 с жизненным циклом перехода в Glacier. Или запланированная `CreateExportTask` непосредственно в S3.
Почему: Firehose непрерывен; ExportTask — это массовый экспорт по требованию. S3 + Glacier в 100 раз дешевле, чем хранилище CW Logs.
Поделиться операционной панелью с подрядчиком без доступа IAM.
CloudWatch Dashboard Sharing — публичная ссылка для общего доступа (с аутентификацией, предоставляемой Cognito) или анонимная (привязана к конкретной панели).
Запустить Lambda, когда инстанс EC2 переходит в состояние `stopped`.
Правило EventBridge с шаблоном события `{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}` → целевая Lambda.
Автоматически создавать тикет при объявлении AWS планового обслуживания для одного из ваших инстансов RDS.
AWS Health → шина событий EventBridge по умолчанию → Lambda или SNS → система тикетов. Фильтруйте по `source: aws.health` и затронутому ресурсу.
Обнаружить 404 ошибки на публичном веб-сайте до того, как клиенты начнут жаловаться.
CloudWatch Synthetics Canary — скриптовый заход браузера каждую минуту, скриншот при сбое, сигнал при неудачных запусках.
Измерить время загрузки страниц на стороне браузера и ошибки JavaScript от реальных пользователей.
CloudWatch RUM. Фрагмент кода на странице отправляет данные о производительности + ошибках. Используйте в паре с X-Ray для корреляции с бэкендом.
Правильно подобрать размер парка EC2 без ручной проверки CloudWatch на каждом инстансе.
AWS Compute Optimizer — анализирует метрики CW + данные о памяти (с агентом) и рекомендует изменения типа инстансов. Охватывает EC2, ASG, EBS, Lambda, ECS Fargate.
Посмотреть, включено ли шифрование в состоянии покоя на каждом томе EBS в 200 аккаунтах.
Агрегатор AWS Config с многоаккаунтной и многорегиональной авторизацией. Панели агрегатора + расширенные запросы (SQL).
Автоматически исправлять несоответствующие ресурсы (например, незашифрованный том EBS → снимок + повторное создание зашифрованного).
Правило AWS Config + автоматическое действие по исправлению через SSM Automation runbook. Укажите количество повторных попыток + параметры.
Выявлять возможности экономии средств и риски безопасности без написания пользовательских скриптов.
AWS Trusted Advisor. Проверки стоимости / производительности / безопасности / отказоустойчивости / лимитов сервисов. Полный набор проверок требует подписки Business или Enterprise Support.
Необходимо увеличить квоту vCPU EC2 в регионе для предстоящего запуска.
Консоль Service Quotas — запросить увеличение квоты. Или использовать API Service Quotas для автоматизации. Некоторые квоты одобряются автоматически; другие проходят через Support.
Выявить неожиданные всплески затрат до получения ежемесячного счета.
AWS Cost Anomaly Detection — на основе машинного обучения; настройте мониторы для каждого сервиса / связанного аккаунта / категории затрат. Оповещения через SNS или email.
Автоматически останавливать непромышленные EC2, если месячный бюджет превышает порог.
Действие AWS Budgets — при превышении порога запустить SSM Automation, который останавливает инстансы с тегами или применяет SCP deny-all через IAM.
Отключить соединения + сбросить логи до того, как ASG завершит работу инстанса.
Хук жизненного цикла `EC2_INSTANCE_TERMINATING`. Инстанс переходит в `Terminating:Wait`; SSM doc запускает скрипт отключения; после завершения выдает действие `CONTINUE`.
Автоматически масштабировать для поддержания среднего CPU около 60%.
Политика масштабирования с отслеживанием цели с `ASGAverageCPUUtilization` = 60. ASG автоматически создает пошаговые сигналы.
Почему: Проще, чем пошаговое масштабирование. Лучше всего для симметричных метрик. Пошаговое масштабирование предназначено для детальных правил увеличения и уменьшения масштаба.
Трафик ежедневно возрастает в 9 утра; реактивное масштабирование отстает.
Предиктивное масштабирование. ASG прогнозирует нагрузку на 48 часов вперед на основе истории CW; масштабируется заранее до пика.
Загрузка инстанса занимает 8 минут; масштабирование слишком медленное.
Warm pool ASG — предварительно инициализированные остановленные/гибернированные инстансы. При масштабировании переход из Stopped → InService вместо "холодного" запуска.
Запустить ASG преимущественно на Spot для экономии средств, но с базовым уровнем On-Demand для стабильности.
Политика Mixed Instances — шаблон запуска + базовая емкость (On-Demand) + процент сверх базы на Spot. Используйте несколько типов инстансов для диверсификации Spot.
Миграция с Launch Configurations.
Используйте Launch Templates. AWS прекратила поддержку Launch Configurations для новых ASG; только LT поддерживают новые функции (warm pool, mixed instances, применение IMDSv2, EBS gp3 и т. д.).
База данных RDS должна пережить сбой AZ с минимальным временем простоя.
Развертывание Multi-AZ. Синхронный режим ожидания в другой AZ; отработка отказа, вызванная сбоем хоста/хранилища или сбоем AZ. Конечная точка остается той же.
Почему: Multi-AZ предназначен для высокой доступности, а не для масштабирования чтения. Для масштабирования чтения добавьте реплику для чтения.
Межрегиональная катастрофа: повысить реплику для чтения до первичной.
API `PromoteReadReplica` или действие в консоли. Новая реплика становится автономным записываемым инстансом; обновите конечные точки приложения.
Централизовать резервное копирование EFS, RDS, EBS, DynamoDB, FSx по одному расписанию + политике хранения.
AWS Backup — план резервного копирования с правилами (частота, срок хранения, жизненный цикл до холодного хранилища), выбор резервных копий (ARN ресурса или фильтр по тегу).
Соответствие нормативным требованиям к неизменяемым резервным копиям (WORM).
AWS Backup Vault Lock с режимом соответствия. После принудительного применения резервные копии не могут быть удалены до истечения срока хранения — даже root пользователем.
Ежедневные снимки каждого помеченного тома EBS со сроком хранения 30 дней.
Политика Amazon Data Lifecycle Manager (DLM) — расписание + фильтр по тегам + срок хранения. Без кода, без запланированных Lambda.
Активно-пассивное аварийное восстановление: Route53 должен отправлять трафик в резервный регион при сбое основного.
Политика маршрутизации Route 53 failover с проверками работоспособности основной конечной точки. При сбое проверки работоспособности DNS разрешается в резервную.
Обнаружение сбоя конечной точки быстрее, чем стандартные 30 секунд.
Проверка работоспособности Route 53 с быстрым интервалом (10 с) и порогом 3 сбоя. Объедините несколько проверок работоспособности с помощью расчетных проверок.
Долгоживущие соединения разрываются, когда ALB удаляет цель во время развертывания.
Задержка отмены регистрации целевой группы (по умолчанию 300 с, увеличьте по мере необходимости). Новые запросы немедленно прекращают поступать; текущие соединения завершаются до истечения задержки.
Настроить, как долго ALB ждет текущие запросы во время отмены регистрации цели.
То же, что и задержка отмены регистрации. Устанавливается для каждой целевой группы. NLB имеет отдельный, но параллельный механизм.
EFS медленно работает под пиковой нагрузкой.
Переключитесь в режим Elastic Throughput (автоматически масштабируется). Или Provisioned Throughput для предсказуемых нагрузок. Режим Bursting по умолчанию основан на кредитах и исчерпывается при длительной нагрузке.
Выбрать стратегию аварийного восстановления по бюджету RPO/RTO.
Backup & Restore (RTO часы, RPO часы, самый дешевый). Pilot Light (RTO минуты, RPO минуты). Warm Standby (RTO минуты, RPO секунды, запущенный резервный режим с уменьшенным масштабом). Multi-Site Active-Active (RTO ~0, RPO ~0, самый дорогой).
Реплицировать объекты S3 во второй регион для соответствия требованиям + DR.
S3 Cross-Region Replication (CRR). Исходные + целевые бакеты, роль IAM, правило репликации. Используйте Replication Time Control (RTC) для SLA в 15 минут.
Защитить объекты от случайного или вредоносного удаления.
Включите Versioning + MFA Delete на бакете. MFA Delete требует корневых учетных данных + кода MFA для окончательного удаления версий или отключения версионирования.
Приложению TCP/UDP требуются статические IP-адреса и быстрое переключение между регионами.
AWS Global Accelerator — 2 Anycast IP, которые маршрутизируются к ближайшей работоспособной региональной конечной точке через магистраль AWS. Переключение менее чем за 30 секунд.
Почему: Лучше, чем Route 53 failover для не-HTTP трафика; клиенты сохраняют тот же IP.
Кто-то изменил ресурсы в консоли; проверьте, что отклонилось от шаблона CloudFormation.
Обнаружение дрейфа CloudFormation в стеке. Отчеты о статусе дрейфа для каждого ресурса с различиями на уровне свойств.
Посмотреть, что именно CloudFormation изменит, прежде чем применять изменения шаблона.
Сначала создайте набор изменений; просмотрите предложенные изменения; выполните только если это безопасно. Наборы изменений поддерживают вложенные стеки и перекрестные ссылки на стеки.
Предотвратить случайное обновление критического ресурса (например, производственной RDS) внутри стека.
Политика стека CloudFormation — документ в стиле IAM, разрешающий или запрещающий `Update:*` для определенных логических идентификаторов ресурсов. Применяется к стеку, отдельно от IAM.
Развернуть одну и ту же базовую конфигурацию (например, CloudTrail, Config, GuardDuty) во все аккаунты в организации.
CloudFormation StackSets с управляемыми сервисом разрешениями + автоматическое развертывание в новые аккаунты в целевых OU.
Запустить конфигурацию + сигнализировать о завершении CloudFormation из пользовательских данных EC2.
cfn-init (конфигурация), cfn-signal (сигнал CreationPolicy), cfn-hup (применить изменения метаданных). CreationPolicy заставляет стек ждать сигнала, прежде чем пометить CREATE_COMPLETE.
Автоматический откат стека, если после развертывания срабатывают сигналы CloudWatch.
Конфигурация отката CloudFormation — список сигналов CW + время мониторинга. Если какой-либо сигнал срабатывает в течение окна, стек автоматически откатывается.
Отправить однократную команду оболочки на 500 инстансов EC2 по тегу.
SSM Run Command с документом `AWS-RunShellScript`, цель по тегу. Без SSH. Логи в S3 / CloudWatch Logs.
Непрерывно обеспечивать соблюдение конфигурации (например, установленный агент CloudWatch) на всех инстансах.
Ассоциация SSM State Manager — расписание + документ + цели. SSM применяет желаемое состояние по расписанию и сообщает о соответствии.
Применить патчи ОС к парку по расписанию с безопасным откатом.
SSM Patch Manager — базовая линия патчей (правила: серьезность, классификация, задержка утверждения) + группа патчей (тег) + окно обслуживания для запуска.
Подключиться по SSH к инстансу в частной подсети без bastion-хоста или открытых входящих портов.
SSM Session Manager — агент + роль IAM открывают сессию через API SSM Messages. Без публичного IP, без SSH-ключа, полное логирование сессии.
Сохранить строку подключения к БД для получения приложением во время выполнения — без коммитов секретов в репозиторий.
SSM Parameter Store SecureString (зашифрованный KMS) или Secrets Manager (ротация). Приложение вызывает `GetParameter` с ролью IAM.
Почему: Parameter Store бесплатен на стандартном уровне; Secrets Manager имеет встроенную ротацию для RDS/DocumentDB/Redshift.
Автоматически устранять обнаруженные несоответствия (например, группа безопасности, открытая для всего мира → ограничить).
SSM Automation runbook (пользовательский YAML или от AWS). Запускается EventBridge / Config / вручную. Шаги: ветвление, параллельное выполнение, повтор, прерывание.
Выполнять установку патчей только с 02:00 до 04:00 в воскресенье.
SSM Maintenance Window — расписание (cron), цели, задачи. Обертывает вызовы Run Command / Automation / Lambda / Step Functions invocations.
Создавать усиленные AMI Linux/Windows с предустановленными агентами по расписанию.
EC2 Image Builder — конвейер (рецепт образа + компоненты + конфигурация инфраструктуры + распространение). Вывод AMI в несколько регионов/аккаунтов.
Развернуть новую версию приложения на небольшой части EC2/ECS/Lambda перед полным развертыванием.
CodeDeploy с конфигурацией развертывания canary или linear. Canary Lambda `Lambda10Percent5Minutes` перенаправляет трафик через веса алиасов.
Развертывание blue/green на ASG за ALB.
Группа развертывания CodeDeploy blue/green — выделяет новый ASG, регистрирует его в целевой группе ALB, ждет проверки работоспособности, переключает трафик, завершает старый.
Конвейер в аккаунте инструментов развертывается в аккаунты разработки/тестирования/производства.
Межаккаунтный CodePipeline — этап развертывания использует межаккаунтную роль из целевого аккаунта. Ключ KMS в аккаунте инструментов совместно используется с целевым аккаунтом.
Разрешить командам разработчиков самостоятельно предоставлять одобренную инфраструктуру (например, VPC, S3 bucket) без предоставления полного доступа IAM.
AWS Service Catalog — администратор публикует продукты (шаблоны CFN), пользователи запускают их через разрешение IAM на запуск роли продукта, а не на базовые ресурсы.
Обеспечить наличие тегов `Environment` и `CostCenter` для всех ресурсов в масштабах организации.
Политики тегов AWS Organizations. Определите разрешенные ключи тегов + значения; несоответствующая тегировка выявляется в Resource Groups Tag Editor + Config.
Миграция с OpsWorks Stacks (EOL май 2024 г.).
OpsWorks Stacks прекращает поддержку. Мигрируйте на AWS Systems Manager + нативные Chef/Puppet на EC2, или преобразуйте в ECS/EKS, или перестройте с помощью SSM Automation + CFN.
Выбрать между вложенными стеками и перекрестными ссылками на стеки.
Вложенные стеки: тесно связаны, жизненный цикл управляется вместе (одно обновление). Перекрестные ссылки `Export`/`ImportValue`: слабо связаны, независимые жизненные циклы, экспорты неизменяемы во время импорта.
Определить пользователей IAM с ключами доступа старше 90 дней.
Сгенерировать отчет о учетных данных (`generate-credential-report` + `get-credential-report`). CSV с последним использованием + возрастом ключа для каждого пользователя. Объединить с Access Analyzer для проверки принципа наименьших привилегий.
Найти роли IAM, бакеты S3, ключи KMS, доступные извне аккаунта / организации.
IAM Access Analyzer — сканирование зоны доверия сообщает о находках внешнего доступа. Анализатор внешнего доступа бесплатен; анализатор неиспользуемого доступа платный.
Урезать избыточно разрешенные политики IAM — удалить сервисы, которые принципал никогда не использовал.
Информация о последнем доступе IAM для каждой роли/пользователя. Перечисляет последнее использование на уровне сервиса + (для некоторых сервисов) на уровне действия. Удалите неиспользуемые разрешения.
Аудит всех вызовов API во всех аккаунтах в организации с централизованным хранилищем.
Организационный след в управляющем или делегированном административном аккаунте. Единый бакет S3; охватывает все текущие + будущие аккаунты-члены; не может быть отключен членами.
Записывать каждое чтение объекта S3 в чувствительном бакете.
Включите события данных CloudTrail для S3 (для каждого бакета или для всех). Стандартные трейлы фиксируют только события управления; события данных оплачиваются отдельно.
Обнаружение скомпрометированных учетных данных, сканирования портов, крипто-майнинга, аномальной активности API.
Включите GuardDuty в каждом регионе. Делегированный администратор в аккаунте безопасности агрегирует обнаруженные данные по всей организации. Правило EventBridge → SNS для высокой серьезности.
Непрерывное сканирование CVE образов EC2 AMI и ECR.
Amazon Inspector v2. Автоматически обнаруживает EC2 + ECR + Lambda; результаты в Security Hub. CVE с оценкой серьезности.
Единая панель для результатов GuardDuty, Inspector, Macie, IAM Access Analyzer, сторонних инструментов.
AWS Security Hub. Стандарты (CIS AWS Foundations, AWS Foundational Security Best Practices, PCI DSS). Межрегиональная агрегация + делегированный администратор.
Обнаружение и классификация PII / данных кредитных карт в S3.
Amazon Macie. Задания автообнаружения для бакетов; управляемые идентификаторы данных + пользовательские регулярные выражения. Находки в Security Hub / EventBridge.
Ротация ключей шифрования KMS без повторного шифрования данных.
Включить автоматическую ротацию ключей на управляемых клиентом CMK (ежегодно). KMS сохраняет старый материал ключа для расшифровки существующих шифротекстов; новые шифрования используют последний материал.
Автоматическая ротация мастер-пароля RDS каждые 30 дней.
Ротация Secrets Manager с предоставляемой AWS Lambda для движка RDS. Стратегия ротации с одним пользователем или с чередованием пользователей.
Применить CIS Benchmarks ко всей организации.
AWS Config Conformance Pack — набор правил Config + действия по исправлению. Развертывание через Config во все аккаунты через агрегатор; на уровне организации через управляющий аккаунт.
Блокировка SSRF-атак, которые считывают метаданные инстанса EC2.
Требовать IMDSv2 (`HttpTokens=required`) на каждом инстансе. На основе токенов; блокирует неаутентифицированные SSRF-чтения учетных данных роли инстанса.
Гарантия на уровне аккаунта, что ни один бакет S3 никогда не будет общедоступным для чтения.
S3 Block Public Access на уровне аккаунта. Переопределяет политики для отдельных бакетов. Объединить с `aws:SecureTransport` SCP для только HTTPS.
Автоматизировать сбор доказательств для аудита SOC 2 / HIPAA / PCI.
AWS Audit Manager — фреймворки связывают средства контроля с источниками доказательств (Config, CloudTrail, Security Hub). Автоматически собирает + компилирует отчеты, готовые для оценщика.
Расследовать подозрения на боковое перемещение трафика между подсетями.
VPC Flow Logs в CloudWatch Logs / S3 / Firehose. Пользовательский формат с `pkt-srcaddr` + `pkt-dstaddr` показывает фактический src/dst пакета (в отличие от ENI src/dst).
Дешево запрашивать терабайты VPC Flow Logs.
Поток Flow Logs в S3 в формате Parquet; запрос с помощью Athena, разбитый по году/месяцу/дню. Дешевле, чем CW Logs Insights для архивного анализа.
Определить, почему задача ECS не может достичь RDS — SG, NACL, таблица маршрутизации или NAT?
VPC Reachability Analyzer — от ENI источника до ENI назначения; сообщает о доступности/блокировке + какой компонент блокирует (например, правило SG для входящего трафика).
Найти все пути из интернета к подсети базы данных в масштабах организации.
Network Access Analyzer с Network Access Scope (например, `Source: internet, Destination: db-subnet-tag`). Возвращает соответствующие сетевые пути для просмотра.
EC2 в частной подсети должен достигать S3 / DynamoDB без затрат на исходящий трафик NAT.
Gateway VPC endpoint для S3 / DynamoDB. Бесплатно; список префиксов в таблице маршрутизации. Избегает байтов NAT.
Частное подключение из VPC к большинству других сервисов AWS (KMS, SSM, ECR и т. д.).
Interface VPC endpoint (PowerLink). ENI в вашей подсети, тарифицируется за AZ + за ГБ. Используйте политики конечных точек для ограничения доступа к конкретным ресурсам.
Плата за обработку данных NAT Gateway доминирует в счете.
Переместите трафик S3/DynamoDB на шлюзовые конечные точки (бесплатно). Переместите трафик других сервисов AWS на интерфейсные конечные точки. Для меж-VPC используйте Transit Gateway / VPC peering вместо маршрутизации через NAT.
40 VPCs требуется связь "любой-с-любым" без N×N пиринга.
Transit Gateway в качестве хаба. VPC подключаются к TGW; таблицы маршрутизации контролируют, какие VPC могут взаимодействовать. Один управляемый хаб против O(N²) пиринговых соединений.
Локальный DNS должен разрешать `internal.company.com` в частные ресурсы VPC и наоборот.
Входящие + исходящие конечные точки Route 53 Resolver + правила пересылки. Входящие = локальные запросы к AWS; исходящие = AWS запросы к локальной сети.
Аудит того, какие DNS-имена разрешаются из VPC.
Логирование запросов Route 53 Resolver в CloudWatch Logs / S3 / Firehose. Конфигурация логирования для каждого VPC.
CloudFront Origin возвращает 5xx; требуется автоматическое переключение на вторичный Origin.
Группа Origin с первичным + вторичным Origin и критериями переключения (коды состояния 500/502/503/504/404). Поведение кэша указывает на группу.
Максимизировать коэффициент попадания в кэш для в основном статического контента.
Установите `Cache-Control: max-age=...` в ответах Origin; настройте CloudFront для пересылки только необходимых ключей кэша (избегайте пересылки всех заголовков/куки/строк запроса, что ухудшает эффективность кэша).
CloudFront перед S3 — блокировать прямой доступ к S3.
Origin Access Control (OAC). Заменяет устаревший Origin Access Identity (OAI) — поддерживает SigV4, бакеты, зашифрованные KMS, все регионы. Политика бакета запрещает принципалы, не относящиеся к OAC.
Блокировать SQL-инъекции + ограничивать скорость агрессивных клиентов на ALB.
AWS WAFv2 web ACL: управляемая AWS группа правил `AWSManagedRulesSQLiRuleSet` + правило, основанное на скорости (например, 2000 запросов / 5 минут на IP). Привязка к ALB / API Gateway / CloudFront / AppSync.
Смягчить продолжительные DDoS-атаки уровня 7 с гарантией защиты от затрат.
AWS Shield Advanced — проактивное взаимодействие, обнаружение DDoS-атак на уровне приложения, круглосуточный доступ к SRT, возмещение затрат на всплески масштабирования во время атаки. Активировать на Route 53 / CloudFront / ALB / EIP / Global Accelerator.
Централизованно управлять политиками WAF / Shield / SG / Network Firewall во всех аккаунтах организации.
AWS Firewall Manager (делегированный администратор). Политики автоматически применяются к аккаунтам/ресурсам в области действия; сообщает о несоответствиях.
Сбой Direct Connect отключает гибридную связь.
Site-to-Site VPN в качестве резервного канала через интернет. BGP выбирает DX как предпочтительный (более низкий MED / более короткий AS-PATH); автоматически переключается на VPN.
