手册

AWS Certified Cloud Practitioner

最后审核：2026年5月

CLF-C02 考试涉及的架构模式快速参考。从头到尾阅读，或跳转到任意章节。

云概念

初创公司希望在不预先购买服务器的情况下推出一个Web应用程序。

云服务将资本支出 (CapEx) 转化为运营支出 (OpEx) — 按需付费计算，无需购买硬件。

原因: 可变成本随使用量扩展；没有闲置资金束缚在休眠服务器上。

参考

工作负载在促销活动期间激增，夜间闲置。

弹性 — 根据需求自动扩展和缩减资源。只为运行的资源付费。

原因: 与可伸缩性（最大容量）不同。弹性是双向和自动的。

参考

团队希望试验 ML 服务，而无需长期承诺。

云敏捷性 — 在几分钟内完成预置，完成后终止，没有资本风险。

为什么云计算比自己运行更便宜？

规模经济 — AWS 汇集了数百万客户的需求；随着用量增长，单位成本下降。

停止“以防万一”的过度预置服务器，或避免在高峰期资源不足。

云允许您精确预置所需资源，按需扩展，即时解除配置。

原因: 消除了容量规划的赌博，避免了在闲置硬件上浪费开支或面临中断风险。

希望在全球部署，而无需在每个国家建设数据中心。

云允许您通过 Region 和 Edge locations 在几分钟内走向全球。无需建设设施。

选择部署位置：物理隔离实现故障隔离 + 低跨可用区延迟。

Region = 地理区域（例如 `us-east-1`）。Availability Zone = Region 内的独立数据中心组（每个 Region 至少有 3 个）。

原因: 多可用区设计可以应对数据中心故障；同一 Region 内保持可用区间延迟较低（个位数毫秒）。

参考

在全球范围内缓存靠近最终用户的内容。

CloudFront edge locations + 区域边缘缓存。全球 600 多个 POP。

原因: 边缘位置从最近的 POP 提供静态内容；与往返源 Region 相比，可减少延迟。

参考

需要在一个 Region 未覆盖的都市区实现个位数毫秒延迟；或部署在 5G 运营商边缘。

AWS Local Zones (Region 的都市扩展) 用于一般的低延迟需求。AWS Wavelength 用于 5G 移动边缘用例。

参考

需要 AWS API 和服务在本地运行（合规性、延迟、数据驻留）。

AWS Outposts — 在您的数据中心内提供完全托管的 AWS 机架/服务器。与云端使用相同的 API。

参考

选择部署模型：全云、仅本地或混合。

云（完整 AWS）、混合云（通过 Direct Connect/VPN/Outposts 连接的云 + 本地）、本地（无云）。

参考

设计一个安全、可靠、高性能、成本效益高、可持续且运营稳健的工作负载。

六大完善架构支柱：卓越运营、安全性、可靠性、性能效率、成本优化、可持续性。

原因: 这些支柱是规范的 AWS 设计清单。可靠性 = 从故障中恢复 + 弹性满足需求。可持续性（2021 年新增）= 最小化环境影响。

参考

工作负载必须在 AZ 中断后以最少的停机时间存活。

多可用区设计 — 在负载均衡器后部署到 ≥2 个可用区。数据库使用 RDS Multi-AZ。

参考

区分“容错”和“高可用”。

HA = 从故障中快速恢复（有一定停机时间，可能使用被动副本）。容错 = 无感知停机时间，冗余组件实时运行。

原因: HA 成本较低；容错需要重复的活动容量。根据 SLA + 成本选择。

安全与合规

谁负责什么安全 — AWS 与客户。

AWS = 云的安全性 (硬件、管理程序、区域、托管服务补丁)。客户 = 云中的安全性 (数据、IAM、KMS 密钥、网络配置、EC2 上的操作系统补丁、应用程序配置)。

原因: 边界因服务而异：EC2 = 客户打操作系统补丁；RDS = AWS 打数据库引擎补丁，客户管理用户 + 数据；S3 = AWS 处理基础设施，客户处理存储桶策略 + 对象。

参考

授予开发人员对 AWS 资源的访问权限，而无需共享根凭证。

IAM 用户（个人）、组（角色捆绑）、角色（由服务或联合身份承担）、策略（JSON 权限文档）。

原因: 对于人员和工作负载，角色 + 临时凭证优于长期访问密钥。

参考

在第一天就设置一个遵循 AWS 安全最佳实践的账户。

锁定根账户（MFA，无编程密钥，仅用于账单/账户任务）。创建 IAM 用户 + 组，为所有人员用户启用 MFA，授予最小权限，优先使用角色而非长期密钥，轮换凭证。

参考

权限可以附加到哪里？

基于身份的（附加到用户/组/角色）、基于资源的（附加到 S3 存储桶、KMS 密钥、SQS 队列、Lambda 函数）、权限边界（主体的最大权限）、SCP（组织范围内的最大权限）。

参考

集中管理多个 AWS 账户和 SaaS 应用程序的员工 SSO。

AWS IAM Identity Center（以前称为 AWS SSO）。连接到现有 IdP (Okta, Entra ID, AD) 或使用内置目录；将权限集分配给账户。

参考

阻止组织中的所有账户在 `eu-west-1` 和 `eu-central-1` 之外启动资源。

附加到 OU 的 AWS Organizations Service Control Policy (SCP)。SCP 设置最大权限；它们不能授予权限。

原因: SCP 是预防性的 — 即使子账户中的管理员也无法超越它们。

参考

建立一个预先配置了护栏的多账户着陆区。

AWS Control Tower — 编排 Organizations、IAM Identity Center、Config、CloudTrail、S3 日志记录以及预构建的护栏。账户工厂会预置带有基线的新账户。

参考

持续检查资源配置是否与内部策略匹配。

AWS Config — 记录资源随时间变化的状态，根据托管/自定义规则进行评估，发现不合规资源，并通过 SSM Automation 支持自动修复。

参考

审计谁、何时、何地在 AWS 账户中执行了什么操作。

AWS CloudTrail — 记录每个管理 API 调用；S3/Lambda 可选数据事件。组织追踪将所有账户的日志捕获到一个中央 S3 存储桶。

参考

检测被盗用的 IAM 密钥、加密货币挖矿 EC2 实例或异常 API 模式。

Amazon GuardDuty — 托管式威胁检测服务。分析 CloudTrail、VPC Flow Logs、DNS 日志、EKS 审计日志、S3 数据事件、EBS 中的恶意软件、RDS 登录。

参考

持续扫描 EC2、ECR 镜像和 Lambda 以查找已知漏洞。

Amazon Inspector — 自动化的 CVE + 网络可达性扫描。ECR/Lambda 无需代理；EC2 使用 SSM 代理。

参考

在 S3 存储桶中查找 PII（信用卡、SSN、秘密）。

Amazon Macie — 基于 ML 的 S3 敏感数据发现。支持计划和事件驱动扫描；将发现结果报告给 Security Hub。

参考

GuardDuty、Inspector、Macie、IAM Access Analyzer 和第三方工具的安全发现的单一视图。

AWS Security Hub — 聚合发现结果，运行 CIS / PCI-DSS / NIST 自动化标准检查，支持跨账户聚合。

参考

保护公共 Web 应用程序免受 SQL 注入 / XSS 攻击并吸收 DDoS 攻击。

AWS WAF 用于 L7 Web 漏洞攻击（在 CloudFront / ALB / API Gateway 处提供托管 + 自定义规则）。AWS Shield Standard（免费，始终开启的 L3/L4 DDoS）+ Shield Advanced 用于复杂攻击 + 24×7 DRT 支持。

参考

使用 AWS 托管密钥对静态数据进行加密，并支持审计 + 轮换。

AWS KMS — 托管的 CMK（客户主密钥）、信封加密、自动年度轮换、密钥策略、CloudTrail 记录的使用情况。大多数 AWS 服务都原生集成。

参考

存储和轮换数据库密码、API 密钥。

AWS Secrets Manager — 通过 Lambda 自动轮换，原生 RDS 集成，细粒度 IAM。对于不需轮换的简单配置，使用 SSM Parameter Store (Standard)（它是免费的；Secrets Manager 按秘密数量收费）。

参考

审计师需要 AWS 环境的 SOC 2 / ISO 27001 / PCI-DSS 报告。

AWS Artifact — 自助下载 AWS 合规证明和协议（BAA 等）。

参考

医疗保健工作负载需要符合 HIPAA 资格的 AWS 服务。

AWS 发布了一份符合 HIPAA 资格的服务列表 + 通过 Artifact 签署商业伙伴附录 (BAA)。PHI 仅使用列出的服务；要求静态加密 + 传输中加密。

参考

检测可从账户或组织外部访问的 S3 存储桶、IAM 角色、KMS 密钥等。

IAM Access Analyzer — 证明哪些资源可从外部访问；标记意外访问。从 CloudTrail 生成最小权限策略。

参考

云技术与服务

选择如何与 AWS 互动。

管理控制台（Web UI）、AWS CLI（终端）、SDK（Python/Java/Go 等代码）、CloudShell（预加载凭证的浏览器内 Shell）、基础设施即代码（CloudFormation、CDK）。

参考

需要完全控制操作系统、内核、自定义 AMI、GPU 实例类型。

Amazon EC2 — 可调整大小的虚拟服务器。根据工作负载选择实例系列（计算 / 内存 / 存储 / GPU / ARM Graviton）。

参考

运行短时（≤15 分钟）事件驱动代码，无需管理服务器。

AWS Lambda — 按请求 + GB-秒付费。由 S3、API Gateway、EventBridge、SQS 等触发。

原因: 无需修补或扩展基础设施；冷启动和 15 分钟的上限排除了长时间运行的工作负载。

参考

在 AWS 上运行容器化工作负载。

Amazon ECS = AWS 原生容器编排器。Amazon EKS = 托管的 Kubernetes。Fargate = 两者的无服务器计算后端（无需管理 EC2）。

参考

需要一个简单的 VPS，具有可预测的月度定价，适用于小型网站或开发环境。

Amazon Lightsail — 捆绑式 VPS（计算 + 存储 + 数据传输），一键部署 WordPress / LAMP / Node。

参考

部署 Java / .NET / Node / Python Web 应用程序，而无需自己配置 EC2 + ELB + ASG。

AWS Elastic Beanstalk — 托管 PaaS，为您预置和编排 EC2、ELB、ASG、RDS。您上传代码；AWS 运行平台。

参考

以 11 个 9 的持久性存储任意数量的非结构化数据。

Amazon S3 — 对象存储。存储桶全局命名；对象最大 5 TB；存储类优化成本。

参考

根据访问模式选择 S3 存储类。

Standard（频繁访问）、Intelligent-Tiering（根据访问自动移动）、Standard-IA（不频繁访问）、One Zone-IA（单可用区）、Glacier Instant Retrieval（毫秒级）、Glacier Flexible Retrieval（分钟-小时级）、Glacier Deep Archive（12 小时恢复，最便宜）。

参考

需要一个持久性块存储卷附加到 EC2 实例（用于操作系统、数据库文件）。

Amazon EBS — 附加到单个 EC2 的块存储（io1/io2 支持 Multi-Attach）。卷类型 gp3（通用 SSD）、io2（高 IOPS SSD）、st1/sc1（吞吐量/冷 HDD）。

参考

需要一个由多个计算实例挂载的共享文件系统。

Amazon EFS — 托管 NFS，多可用区，自动扩展；适用于 Linux。Amazon FSx — 适用于 Windows (FSx for Windows)、Lustre (HPC)、NetApp ONTAP、OpenZFS 的托管文件系统。

参考

将本地应用程序与 S3 支持的存储通过本地缓存连接起来。

AWS Storage Gateway — 文件（NFS/SMB → S3）、卷（iSCSI 缓存/存储）、磁带（VTL → S3 + Glacier）。

参考

需要一个托管关系型数据库（MySQL / PostgreSQL / MariaDB / Oracle / SQL Server）。

Amazon RDS — 托管引擎：备份、打补丁、多可用区故障转移、只读副本、参数组。您控制 schema、查询、用户。

参考

需要更高吞吐量、更快恢复和多区域故障转移的 MySQL / PostgreSQL 工作负载。

Amazon Aurora — 兼容 MySQL/PostgreSQL，吞吐量高达 MySQL 的 5 倍，跨 3 个可用区分布式存储，Aurora Global Database 可实现亚秒级跨区域复制。

参考

任何规模的个位数毫秒级键值或文档工作负载，无需 schema 迁移。

Amazon DynamoDB — 完全托管的 NoSQL。按需或预置容量，Global Tables 用于多区域主动-主动模式，时间点恢复，TTL 用于自动删除。

参考

跨 TB / PB 级数据运行分析型 SQL。

Amazon Redshift — 托管的列式数据仓库，用于 PB 级分析。Amazon Athena — 直接在 S3 上运行的无服务器 SQL，按扫描数据量付费。

参考

需要一个逻辑隔离的网络用于 AWS 资源。

Amazon VPC — 您在 AWS 中的私有网络。每个可用区一个子网、路由表、互联网网关（公共访问）、NAT 网关（私有子网 → 互联网）、安全组（有状态）、NACL（无状态）。

参考

在全球范围内低延迟分发静态 + 动态内容。

Amazon CloudFront — 拥有 600 多个边缘位置的 CDN。与 S3、ALB、API Gateway 集成。Lambda@Edge / CloudFront Functions 用于边缘逻辑。

参考

具有健康检查和故障转移路由的权威 DNS。

Amazon Route 53 — 托管 DNS。路由策略：简单、加权、延迟、故障转移、地理位置、地理近邻、多值。

参考

将本地网络私密连接到 AWS。

AWS Direct Connect — 专用光纤链路，可预测的延迟。AWS Site-to-Site VPN — 通过互联网的加密隧道，设置更快。两者都用：VPN 作为 Direct Connect 的备份。

参考

监控 AWS 资源指标，收集日志，对阈值发出警报。

Amazon CloudWatch — 指标、日志、警报、控制面板、Logs Insights 用于日志查询、EventBridge 集成用于自动化。

参考

将 AWS 基础设施定义为版本控制模板。

AWS CloudFormation — 用于预置和更新堆栈的 JSON / YAML 模板。AWS CDK 允许您使用 TypeScript/Python/Java/Go 编写 CloudFormation。

参考

修补 EC2 机群，运行命令，存储配置，自动化运行手册。

AWS Systems Manager — Patch Manager、Run Command、Session Manager（无需 SSH 跳板机）、Parameter Store、自动化运行手册、Inventory。

参考

自动调整跨服务的计算资源大小。

EC2 Auto Scaling — 扩展 EC2 的 ASG。AWS Auto Scaling — 跨 EC2、ECS、DynamoDB、Aurora 等的统一扩展计划。

参考

将流量分发到 EC2 / ECS / Lambda 目标。

ALB — L7 HTTP/HTTPS，路径/主机路由，原生支持容器 + Lambda。NLB — L4 TCP/UDP，超低延迟，静态 IP。GWLB — 用于内联第三方安全设备。

参考

检查 AWS 本身是否发生中断。

AWS Service Health Dashboard（公开）用于整体服务状态。AWS Health Dashboard（账户内）用于影响您特定资源的事件，支持 API + EventBridge 集成。

参考

跟踪服务限制并请求增加。

AWS Service Quotas — 查看每个服务的默认和已应用配额，请求增加，在接近限制时与 CloudWatch 警报集成。

参考

查找 AWS 的咨询合作伙伴或第三方软件。

AWS Partner Network (APN) — 咨询 + 技术合作伙伴目录。AWS Marketplace — 购买/部署第三方 SaaS、AMI、容器镜像。

参考

用于 AWS 控制台问题和业务数据的生成式 AI 助手。

Amazon Q Developer — 用于 AWS 文档 / CLI / IDE 的聊天。Amazon Q Business — 通过 Bedrock 支持的答案，在企业数据源上进行聊天。

参考

账单、定价与支持

选择 EC2 定价模型。

按需（无承诺，每小时费用最高）。Savings Plans / Reserved Instances（1 年或 3 年承诺，最高 72% 折扣）。Spot（最高 90% 折扣，可在 2 分钟通知后中断）。Dedicated Hosts（合规性 / BYOL）。

原因: 稳定基线 → Savings Plans/RI。高峰期 → 按需。容错批处理 → Spot。

参考

选择 Savings Plans 还是 Reserved Instances。

Savings Plans — 灵活，适用于 EC2/Fargate/Lambda，按小时承诺（Compute SP）或特定实例系列（EC2 Instance SP）。RIs — 实例专用，适用于 EC2 / RDS / Redshift / ElastiCache / OpenSearch。

参考

无需花费即可进行实验。

AWS 免费套餐 — 三个类别：12 个月免费（例如每月 750 小时 t2.micro）、始终免费（例如每月 100 万个 Lambda 请求，25 GB DynamoDB）、试用期（60 天 Inspector 等）。

参考

在部署新架构之前估算其月度成本。

AWS 定价计算器 — 按服务模拟资源，获取详细的月度 + 年度成本，通过 URL 共享。

参考

可视化 AWS 支出随时间的变化。

AWS Cost Explorer — 交互式图表，按服务 / 标签 / 关联账户过滤，预测下月支出，提供 Savings Plan 建议。

参考

在月度支出超过阈值之前收到警报。

AWS Budgets — 设置成本 / 使用量 / RI / Savings Plan 预算并设置阈值；发送电子邮件/SNS 警报；预算操作可以自动修复（应用 SCP，停止 EC2）。

参考

及早发现意外的成本激增。

AWS Cost Anomaly Detection — 基于机器学习的服务 / 关联账户 / 成本类别 / 标签监控器。当支出偏离基线时发送电子邮件 + SNS 警报。

参考

将 AWS 支出分摊到团队 / 项目。

成本分配标签 — 在 Billing 控制台中激活用户定义的标签，然后通过标签对 Cost Explorer + CUR 报告进行分组/过滤。在 Organizations 中使用标签策略强制命名。

组织中的多个关联账户。

通过 AWS Organizations 的合并账单 — 单一付款账户，聚合容量层级（S3、数据传输），组织内共享 RI / Savings Plan 优惠。

参考

选择 AWS Support 计划。

Basic（免费，仅限账户/账单）。Developer（工作时间电子邮件支持，$29+/月）。Business（24×7 聊天/电话支持，完整 Trusted Advisor，$100+/月）。Enterprise On-Ramp（$5,500+/月，共享 TAM，30 分钟关键 SLA）。Enterprise（$15,000+/月，专属 TAM，15 分钟关键 SLA，IEM，完善架构评审）。

参考

跨成本、性能、安全性、容错、服务限制的最佳实践检查。

AWS Trusted Advisor。Basic / Developer 计划获得核心检查（S3 存储桶公开、根账户 MFA、安全组）。Business / Enterprise 计划获得完整的检查集 + API 访问。

参考

需要指定的 AWS 联系人和主动的事件支持。

Enterprise Support — 专属技术客户经理 (TAM)，基础设施事件管理 (IEM) 用于启动/迁移，完善架构评审，运营评审。

参考

云概念