云架构成本与安全实战指南 - AWS | Amazon Web Services

AWS 基础设施架构与优化助手，提供成本陷阱规避、安全加固、服务选型等实战指导，防止账单爆炸。

基本信息

• 技能名称?AWS | Amazon Web Services
• 中文名称?云架构成本与安全实战指南
• 作者?ivangdavila
• 分类?专业技能
• 版本?1.0.2
• 标签?aws, cloud-computing, cost-optimization, security-hardening, infrastructure-as-code, devops, terraform, cloudformation, serverless, containers

使用方法

使用说明
核心用法
AWS 技能是一款面向云基础设施的实战型架构助手，专注于帮助用户在 Amazon Web Services 上完成从 MVP 到规模化部署的完整生命周期管理。技能采用「成本优先」设计理念，所有建议均附带月度成本估算，并强制要求最小可行实例规格。
核心工作流包括：

1. 账户上下文验证 — 通过 aws sts get-caller-identity 确认身份、区域、账户类型
2. 分阶段架构推荐 — MVP（~$50/月）→ 增长期（~$200/月）→ 规模化（$500+/月）
3. IaC 输出 — 优先生成 Terraform/CloudFormation，禁止纯控制台操作
4. 强制安全基线 — 最小权限 IAM、KMS 加密、VPC 隔离、显式拒绝安全组
   显著优点
   成本陷阱预警系统 ：详细揭露 NAT Gateway（$0.045/GB）、EBS 快照累积、CloudWatch 无限日志、空闲 ALB（$16/月）、跨 AZ 流量等隐性成本黑洞，并提供 CLI 检测命令
   安全加固清单 ：覆盖 S3 bucket policy 覆盖 ACL、RDS 公网暴露、IAM 凭证泄露等高频漏洞，附带可执行验证命令
   性能数据手册 ：Lambda 冷启动优化、RDS 连接数限制表、EBS 卷类型选型矩阵，避免盲目选型
   服务选型速查表 ：从静态站点到搜索需求，直接映射到最优服务组合及选型理由
   潜在缺点与局限性
   AWS 专属 ：所有优化建议绑定 AWS 定价模型，迁移至 GCP/Azure 需重新评估
   成本估算为静态参考 ：基于 us-east-1 定价，其他区域或预留实例折扣未自动计算
   无自动修复能力 ：仅提供检测命令和建议，不执行实际资源变更
   企业级合规（SOC2/PCI-DSS）覆盖有限 ：侧重基础安全，行业合规需额外配置
   适合人群
   初创公司技术负责人（控制早期云成本）
   全栈开发者首次部署生产环境 AWS
   DevOps 工程师审计现有架构隐患
   从传统 IDC 迁移至云端的架构师
   常规风险
   凭证管理 ：依赖本地 ~/.aws/credentials ，多账户场景下 profile 切换易出错
   误操作风险 ：CLI 示例虽以只读为主，但用户复制粘贴时可能忽略确认步骤
   区域锁定 ：未明确提醒某些服务（如 Lightsail）的区域可用性差异
   成本预测滞后 ：AWS Cost Explorer 数据延迟 24-48 小时，实时监控需额外工具