阿肥的AWS學習日誌

AWS Security and Compliance 總整理

一、核心概念

AWS 安全與合規不是靠單一服務，而是透過多層防護來完成。從外部流量防護、身分權限、資料加密、設定稽核、威脅偵測，到集中管理與事件調查，每一個服務都有不同的角色。

簡單記法：
Shield / WAF / Network Firewall 負責擋攻擊；
KMS / CloudHSM / ACM 負責加密與憑證；
GuardDuty / Inspector / Macie 負責找風險；
CloudTrail / Config 負責記錄與合規；
Security Hub / Detective 負責集中管理與調查。

二、AWS 服務整理表

AWS 服務	用途	白話說明
Shared Responsibility Model	定義 AWS 與使用者責任	AWS 管底層基礎設施，使用者管自己的設定、資料與權限。
AWS Shield	DDoS 防護	幫 AWS 資源抵擋大量流量攻擊。
AWS WAF	Web 防火牆	根據規則過濾 HTTP / HTTPS 請求。
AWS KMS	金鑰管理	用來建立與管理加密金鑰。
CloudHSM	硬體加密模組	你自己管理金鑰，AWS 管理底層硬體。
ACM	SSL / TLS 憑證管理	幫網站、ALB、CloudFront 等服務使用 HTTPS。
AWS Artifact	合規文件	可以下載 PCI、ISO、SOC 等合規報告。
GuardDuty	威脅偵測	分析 CloudTrail、VPC Flow Logs、DNS Logs 找可疑行為。
Inspector	弱點掃描	檢查 EC2、ECR Image、Lambda 是否有軟體漏洞。
Network Firewall	VPC 網路防火牆	保護 VPC 進出流量，抵擋網路層攻擊。
AWS Config	設定追蹤與合規檢查	記錄資源設定變更，也能檢查設定是否符合規範。
Macie	敏感資料偵測	找出 S3 裡面的個資與敏感資料。
CloudTrail	API 稽核	記錄誰在 AWS 帳號中做了什麼操作。
Security Hub	安全發現集中管理	把多個安全服務與多個帳號的告警集中管理。
Detective	事件根因分析	協助調查安全事件發生的原因。
IAM Access Analyzer	外部存取分析	找出哪些資源被分享到信任範圍之外。
Firewall Manager	集中管理安全規則	跨 AWS Organization 管理 WAF、Shield、Security Group 等規則。

三、生活化比喻

可以把 AWS 帳號想成一棟企業大樓。 Shield 是外面的防暴盾牌，WAF 是大門警衛，Network Firewall 是整棟大樓的網路管制站。 KMS 是鑰匙管理員，CloudHSM 是你自己掌控的高級保險箱。 CloudTrail 是監視器，Config 是資產盤點員，GuardDuty 是 AI 保全， Inspector 是安檢人員，Macie 是個資巡查員。 Security Hub 是中央保全控制室，Detective 則是負責追查原因的偵探。

四、整體流程圖

使用者 / 外部流量 │ ▼ [邊界防護] Shield + WAF + Network Firewall │ ▼ [身分與權限] IAM + IAM Access Analyzer + Root User 控制 │ ▼ [資料保護] KMS + CloudHSM + ACM │ ▼ [設定與合規] AWS Config + AWS Artifact │ ▼ [威脅與弱點偵測] GuardDuty + Inspector + Macie │ ▼ [稽核與記錄] CloudTrail │ ▼ [集中管理與調查] Security Hub + Detective + Firewall Manager

五、常見誤解

常見誤解	正確觀念
GuardDuty 是掃毒軟體	不是。GuardDuty 是分析 Log 與行為，找出可疑資安活動。
Inspector 跟 GuardDuty 一樣	不一樣。Inspector 找漏洞，GuardDuty 找可疑行為。
CloudTrail 是監控 CPU 的	不是。CloudTrail 是記錄 API 操作。
Macie 可以掃所有 AWS 資料	Macie 主要用來偵測 S3 裡的敏感資料。
Security Hub 會取代 GuardDuty	不會。Security Hub 是集中平台，GuardDuty 是安全發現來源之一。
Root user 可以日常使用	不建議。Root user 權限太大，應該只在必要時使用。

AWS成本管理工具比較

AWS Billing and Costing Tools 總整理

AWS 成本管理工具可以幫你做到：事前估算、事中追蹤、事後分析、即時告警、長期最佳化。

一、AWS 成本工具總覽

AWS 提供多種帳單與成本管理工具。每個工具解決的問題不同：有些用來估算成本，有些用來追蹤帳單，有些用來分析趨勢，有些用來偵測異常，有些則用來降低成本。

成本管理的重點不是只看帳單金額，而是要知道：錢花在哪裡、誰造成成本、未來會不會變高、哪裡可以省錢。

簡單記法： 先估算，再追蹤，再分析，再告警，最後最佳化。

二、AWS 專家口語化說明

AWS 成本工具可以分成幾個層次。

估算還沒開資源前，用 Pricing Calculator 算大概費用。
總覽想快速看帳單，用 Billing Dashboard。
分類想知道哪個部門或專案花錢，用 Cost Allocation Tags。
明細要查最完整費用資料，用 Cost and Usage Report。
分析要看趨勢與預測，用 Cost Explorer。
告警要避免超支，用 Billing Alarms 或 AWS Budgets。
省錢要最佳化成本，用 Compute Optimizer 與 Savings Plans。
異常要抓突然暴增費用，用 Cost Anomaly Detection。
上限要避免服務打到限制，用 Service Quotas。

三、AWS 服務與用途表格

AWS 服務 / 工具	用途	白話說明
AWS Compute Optimizer	資源最佳化建議	分析資源是否開太大或太小，協助降低成本與改善效能。
AWS Pricing Calculator	預估成本	在正式建立 AWS 資源前，先試算大概要花多少錢。
Billing Dashboard	帳單總覽	快速查看本月成本、上月成本與預估成本。
Cost Allocation Tags	成本分類	用 Tag 區分部門、專案、環境，方便分攤成本。
Cost and Usage Report	詳細帳單報表	AWS 最完整的成本與使用量明細資料。
Cost Explorer	成本分析與預測	用圖表看成本趨勢，也可以預測未來成本。
Billing Alarms	帳單告警	實際帳單超過門檻時通知，Billing Metrics 位於 us-east-1。
AWS Budgets	預算控管	可追蹤成本、用量、Reserved Instances、Savings Plans 並發出告警。
Savings Plans	長期使用折扣	承諾每小時固定花費，換取比 On-Demand 更低的價格。
Cost Anomaly Detection	成本異常偵測	使用機器學習找出突然暴增或不正常的 AWS 花費。
Service Quotas	服務配額管理	監控 AWS 服務使用上限，接近限制時通知，也可申請提高配額。

四、生活化比喻

可以把 AWS 成本工具想成公司財務管理系統。

生活場景	AWS 對應
買設備前先請廠商報價	AWS Pricing Calculator
信用卡帳單首頁	Billing Dashboard
發票貼上部門與專案標籤	Cost Allocation Tags
完整交易明細	Cost and Usage Report
記帳 App 圖表	Cost Explorer
刷卡超額提醒	Billing Alarms
每月預算表	AWS Budgets
長期合約折扣	Savings Plans
設備健檢顧問	AWS Compute Optimizer
信用卡異常刷卡通知	Cost Anomaly Detection
公司資源申請上限表	Service Quotas

五、整體流程圖

AWS 成本管理工具總覽 │ ├─ 1. 使用前：先估算成本 │ └─ AWS Pricing Calculator │ ├─ 2. 使用中：查看帳單總覽 │ └─ Billing Dashboard │ ├─ 3. 使用中：分類成本 │ └─ Cost Allocation Tags │ ├─ 4. 使用中：查詳細明細 │ └─ Cost and Usage Report │ ├─ 5. 使用中：分析與預測 │ └─ Cost Explorer │ ├─ 6. 使用中：設定告警與預算 │ ├─ Billing Alarms │ └─ AWS Budgets │ ├─ 7. 成本最佳化 │ ├─ AWS Compute Optimizer │ └─ Savings Plans │ ├─ 8. 異常偵測 │ └─ Cost Anomaly Detection │ └─ 9. 配額管理 └─ Service Quotas

六、工具選擇速查表

你想解決的問題	建議工具
還沒使用 AWS，想先估算成本	AWS Pricing Calculator
想快速看目前帳單	Billing Dashboard
想知道哪個部門或專案花錢	Cost Allocation Tags
想查最完整成本明細	Cost and Usage Report
想看成本趨勢與未來預測	Cost Explorer
帳單超過門檻要通知	Billing Alarms
要設定正式預算與告警	AWS Budgets
想找出資源開太大造成浪費	AWS Compute Optimizer
長期穩定使用 AWS，想省錢	Savings Plans
想自動偵測異常花費	Cost Anomaly Detection
想知道服務是否快達到上限	Service Quotas

總結： AWS 成本管理不是單一工具可以完成。 Pricing Calculator 負責事前估算，Billing Dashboard 與 Cost Explorer 負責追蹤分析， Budgets 與 Alarms 負責提醒，Compute Optimizer、Savings Plans 與 Cost Anomaly Detection 負責最佳化與異常偵測。

AWS 帳號管理筆記

AWS 帳號最佳實務就是讓帳號集中管理、權限受控、日誌可追、成本可分、資源可標準化。

一、AWS 帳號管理核心觀念

如果你要管理多個 AWS 帳號，建議使用 AWS Organizations。它可以把多個帳號集中管理，並搭配 SCP 控制每個帳號可以做什麼、不能做什麼。

如果想更快速建立安全標準化的多帳號環境，可以使用 AWS Control Tower。它建立在 AWS Organizations 之上，可以協助你建立符合安全最佳實務的帳號架構。

簡單記法： Organizations 管帳號，SCP 管限制，Control Tower 幫你快速建立標準化多帳號環境。

二、AWS 專家口語化說明

AWS 帳號管理不是只建立帳號而已，重點是後續能不能控管。

你要知道誰可以做什麼、資源屬於誰、費用算在哪個部門、設定有沒有被改過、出問題時能不能查 API 紀錄，這些才是帳號治理的重點。

所以要搭配 IAM、Tags、CloudTrail、AWS Config、Trusted Advisor、CloudFormation、 Service Catalog 等工具，讓整個 AWS 環境可控、可查、可維護。

三、AWS 服務與用途表格

AWS 服務 / 概念	用途	白話說明
AWS Organizations	多帳號集中管理	把多個 AWS 帳號集中在同一個組織下管理。
SCP	限制帳號權限	控制某個帳號或 OU 最多可以做什麼、不能做什麼。
AWS Control Tower	快速建立多帳號環境	幫你用安全最佳實務建立 Landing Zone。
Tags	資源標籤	幫 EC2、RDS、S3 等資源加上分類資訊。
Cost Allocation Tags	成本分類標籤	依照部門、專案、環境追蹤 AWS 成本。
IAM	身分與權限管理	控制誰可以登入、可以操作哪些 AWS 資源。
MFA	多因素驗證	登入時多一層驗證，降低帳號被盜風險。
AWS Config	資源設定追蹤	記錄資源設定變化與合規狀態。
AWS CloudFormation	基礎設施自動化部署	用模板跨帳號、跨 Region 建立標準化資源。
AWS Trusted Advisor	帳號健康檢查	檢查成本、安全、效能、容錯、服務限制等問題。
Amazon S3	日誌保存	可集中保存服務日誌與存取日誌。
CloudWatch Logs	日誌集中管理	收集與查詢 AWS 服務或應用程式日誌。
AWS CloudTrail	API 呼叫紀錄	記錄誰在什麼時間對 AWS 做了什麼操作。
AWS Service Catalog	標準化資源自助入口	讓使用者建立管理員預先定義好的標準資源。

四、生活化比喻

可以把 AWS 多帳號管理想成管理一間大型公司。

生活場景	AWS 對應
總公司管理所有分公司	AWS Organizations
公司規章限制員工不能做危險行為	SCP
標準化開分公司流程	AWS Control Tower
資產貼上部門與負責人標籤	Tags / Cost Allocation Tags
門禁與身份權限控管	IAM / MFA / Least Privilege
監視器與門禁紀錄	AWS CloudTrail
資產變更紀錄	AWS Config
企業健檢顧問	AWS Trusted Advisor
核准採購清單	AWS Service Catalog

五、整體流程圖

AWS 帳號最佳實務 │ ├─ 1. 多帳號集中管理 │ ├─ AWS Organizations │ └─ SCP │ ├─ 2. 快速建立安全多帳號環境 │ └─ AWS Control Tower │ ├─ 3. 權限與身分安全 │ └─ IAM │ ├─ 啟用 MFA │ ├─ 最小權限 │ ├─ 密碼政策 │ └─ 密碼輪替 │ ├─ 4. 成本與資源管理 │ ├─ Tags │ └─ Cost Allocation Tags │ ├─ 5. 變更與合規追蹤 │ └─ AWS Config │ ├─ 6. 標準化部署 │ └─ AWS CloudFormation │ ├─ 7. 日誌與稽核 │ ├─ CloudTrail │ ├─ CloudWatch Logs │ └─ Amazon S3 / Logging Account │ ├─ 8. 帳號健康檢查 │ └─ AWS Trusted Advisor │ ├─ 9. 帳號被入侵時 │ ├─ 修改 Root Password │ ├─ 刪除或停用可疑 Passwords / Keys │ └─ 聯絡 AWS Support │ └─ 10. 使用者自助建立標準資源 └─ AWS Service Catalog

六、帳號被入侵時的處理

處理步驟	目的
修改 Root Password	防止攻擊者繼續使用最高權限帳號。
刪除或停用可疑 Passwords / Access Keys	避免被盜憑證繼續操作 AWS 資源。
檢查 CloudTrail	追查攻擊者做了哪些 API 操作。
聯絡 AWS Support	請 AWS 協助處理帳號安全事件。

總結： AWS 帳號管理的核心是集中治理、權限控管、日誌稽核、成本追蹤與標準化資源建立。 Organizations、Control Tower、IAM、CloudTrail、Config、Service Catalog 是帳號治理的重要組合。

AWS Support Plans 重點整理

AWS Support Plans 是依照系統重要性，選擇不同等級的 AWS 技術支援方案。

一、什麼是 AWS Support Plans？

AWS Support Plans 是 AWS 提供的支援方案。不同方案會提供不同層級的技術支援、回應時間、Trusted Advisor 檢查項目與專屬服務。

剛建立 AWS 帳號時，預設是 Basic Support，這是免費方案。如果系統開始進入開發、正式上線或支援核心業務，就可以依需求升級支援方案。

簡單記法： 系統越重要，支援方案就要越高階。

二、AWS 專家口語化說明

如果只是學習或測試，用 Basic Support 就夠。

如果是開發階段，需要用 Email 問 AWS 問題，可以用 Developer Support。

如果是正式系統上線，建議至少使用 Business Support，因為它提供 24/7 電話、Email、Chat 支援，也可以使用 Trusted Advisor 完整檢查。

如果是公司重要系統或核心業務系統，就要考慮 Enterprise On-Ramp 或 Enterprise Support。

三、AWS Support Plans 比較表

支援方案	用途	白話說明
Basic Support	免費基本支援	適合學習、測試、個人帳號使用。
Developer Support	開發階段支援	可以用 Email 開 Case 詢問 AWS 問題。
Business Support	正式系統支援	適合 Production 系統，有 24/7 電話、Email、Chat 支援。
Enterprise On-Ramp Support	重要業務系統支援	適合 Production 或 Business-Critical 工作負載。
Enterprise Support	關鍵任務系統支援	適合 Mission-Critical 系統，有指定 TAM 與最快回應。

四、重要功能比較

功能 / 服務	用途	適用方案
AWS Health Dashboard	查看個人化 AWS 服務健康狀態	Basic 以上
Trusted Advisor Core Checks	基本 AWS 帳號健檢	Basic 以上
Trusted Advisor Full Checks	完整 AWS 帳號健檢	Business 以上
AWS Support API	程式化存取 Trusted Advisor 與支援資料	Business 以上
Cloud Support Engineers	24/7 技術支援	Business 以上
Technical Account Manager	技術客戶經理	Enterprise On-Ramp / Enterprise
Concierge Support Team	帳務與帳號最佳實務支援	Enterprise On-Ramp / Enterprise
AWS Incident Detection and Response	重大事件偵測與回應	Enterprise 可額外付費使用

五、回應時間比較

情境	Developer	Business	Enterprise On-Ramp	Enterprise
一般指引	24 個營業小時內	24 小時內	24 小時內	24 小時內
系統受影響	12 個營業小時內	12 小時內	12 小時內	12 小時內
正式系統受影響	不適用	少於 4 小時	少於 4 小時	少於 4 小時
正式系統停擺	不適用	少於 1 小時	少於 1 小時	少於 1 小時
業務關鍵系統停擺	不適用	不適用	少於 30 分鐘	少於 15 分鐘

六、生活化比喻

可以把 AWS Support Plans 想成汽車道路救援方案。

Basic像免費說明書與官方網站，適合自己查資料。
Developer像營業時間 Email 問維修廠，適合開發階段。
Business像 24 小時道路救援，適合正式系統。
Enterprise On-Ramp像公司車隊支援，有一組技術顧問協助。
Enterprise像總裁專車等級支援，有指定顧問與最快回應。

七、整體流程圖

AWS Support Plans │ ├─ Basic Support │ ├─ 免費 │ ├─ 文件 / 白皮書 / 論壇 │ ├─ AWS Health Dashboard │ └─ Trusted Advisor 7 個核心檢查 │ ├─ Developer Support │ ├─ 包含 Basic │ ├─ 營業時間 Email 支援 │ ├─ 可開 Support Case │ ├─ 一般指引：24 個營業小時內 │ └─ 系統受影響：12 個營業小時內 │ ├─ Business Support │ ├─ 包含 Developer │ ├─ Trusted Advisor 完整檢查 │ ├─ AWS Support API │ ├─ 24/7 Phone / Email / Chat │ ├─ 正式系統受影響：少於 4 小時 │ └─ 正式系統停擺：少於 1 小時 │ ├─ Enterprise On-Ramp Support │ ├─ 包含 Business │ ├─ TAM Pool │ ├─ Concierge Support Team │ ├─ Operations Review │ ├─ Well-Architected Review │ └─ 業務關鍵系統停擺：少於 30 分鐘 │ └─ Enterprise Support ├─ 包含 Enterprise On-Ramp ├─ 指定 TAM ├─ Concierge Support Team ├─ AWS Incident Detection and Response └─ 業務關鍵系統停擺：少於 15 分鐘

八、選擇建議

使用情境	建議方案	原因
學習、測試、個人帳號	Basic Support	免費，基本文件與健康狀態資訊已足夠。
開發階段需要問 AWS 問題	Developer Support	可透過 Email 開 Case 詢問技術問題。
正式 Production 系統	Business Support	有 24/7 支援、完整 Trusted Advisor 檢查與較快回應。
重要業務系統	Enterprise On-Ramp Support	有 TAM Pool、營運檢查與更快的關鍵系統支援。
核心任務系統，停機影響重大	Enterprise Support	有指定 TAM，業務關鍵系統停擺回應時間最短。

總結： Basic 適合學習，Developer 適合開發，Business 適合正式系統， Enterprise On-Ramp 適合重要業務系統，Enterprise 適合關鍵任務系統。

AWS Trusted Advisor 重點整理

AWS Trusted Advisor 是 AWS 帳號的健康檢查工具，幫你找出成本、效能、安全、容錯與服務限制問題。

一、什麼是 AWS Trusted Advisor？

AWS Trusted Advisor 是 AWS 提供的帳號檢查服務。你不需要安裝任何東西，它會直接檢查你的 AWS 帳號，並提供改善建議。

它會從多個面向檢查你的 AWS 環境，例如成本是否浪費、安全設定是否有風險、架構是否有容錯能力，以及服務使用量是否快達到限制。

簡單記法： Trusted Advisor 就像 AWS 的健檢顧問，幫你指出帳號裡可能需要改善的地方。

二、AWS 專家口語化說明

Trusted Advisor 不是幫你自動修復問題，而是幫你發現問題。

例如它可能會提醒你：S3 Bucket 權限太開放、Security Group 開太大、 EBS Snapshot 被公開、RDS Snapshot 被公開，或是 Root Account 還在被使用。

如果你使用 Business 或 Enterprise Support Plan，就可以看到更完整的檢查項目，也可以透過 AWS Support API 用程式化方式取得 Trusted Advisor 結果。

三、Trusted Advisor 六大檢查類別

類別	用途	白話說明
Cost Optimization	成本最佳化	找出可能浪費錢的資源。
Performance	效能檢查	檢查資源設定是否可能影響效能。
Security	安全檢查	檢查 S3、Security Group、Snapshot、Root Account 等安全風險。
Fault Tolerance	容錯能力	檢查架構是否具備備援與高可用能力。
Service Limits	服務限制	檢查 AWS 服務是否快達到使用上限。
Operational Excellence	營運最佳化	檢查操作與管理是否符合最佳實務。

四、AWS 服務與概念表格

AWS 服務 / 概念	用途	白話說明
AWS Trusted Advisor	AWS 帳號健康檢查	幫你檢查成本、效能、安全、容錯、服務限制與營運問題。
Core Checks	核心檢查	基本可用的 Trusted Advisor 檢查項目。
Full Set of Checks	完整檢查	需要 Business 或 Enterprise Support Plan 才能使用。
AWS Support Plan	AWS 支援方案	支援方案等級會影響可使用的 Trusted Advisor 檢查項目。
AWS Support API	程式化存取 Trusted Advisor	Business / Enterprise Support 可透過 API 讀取檢查結果。
S3 Bucket Permissions	S3 權限檢查	檢查 Bucket 是否有不安全的公開存取。
Security Group Ports	Security Group 檢查	檢查 Port 是否對外開放過大。
EBS Public Snapshot	EBS Snapshot 安全檢查	檢查 EBS Snapshot 是否被公開。
RDS Public Snapshot	RDS Snapshot 安全檢查	檢查 RDS Snapshot 是否被公開。
Root Account Usage	Root 帳號使用檢查	檢查是否仍使用 Root Account 操作 AWS。

五、生活化比喻

可以把 AWS Trusted Advisor 想成企業健檢顧問。

公司請顧問來檢查辦公室時，顧問會看電費是否浪費、門禁是否太鬆、消防與備援設備是否正常、倉庫容量是否快滿。

Trusted Advisor 也是一樣，它會幫你檢查 AWS 帳號中可能需要改善的地方。

生活場景	AWS 對應
企業健檢顧問	AWS Trusted Advisor
電費浪費	Cost Optimization
門禁太鬆	Security
設備效能不好	Performance
沒有備援設備	Fault Tolerance
倉庫快滿	Service Limits
流程不標準	Operational Excellence

六、整體流程圖

AWS 帳號 │ ├─ EC2 ├─ S3 ├─ RDS ├─ EBS ├─ Security Groups ├─ IAM / Root Account └─ 其他 AWS 資源 │ ▼ AWS Trusted Advisor 自動檢查 │ ├─ Cost Optimization │ └─ 是否有浪費成本的資源 │ ├─ Performance │ └─ 是否有影響效能的設定 │ ├─ Security │ ├─ S3 Bucket 是否公開 │ ├─ Security Group 是否過度開放 │ ├─ EBS Snapshot 是否公開 │ ├─ RDS Snapshot 是否公開 │ └─ 是否使用 Root Account │ ├─ Fault Tolerance │ └─ 是否有足夠備援與高可用設計 │ ├─ Service Limits │ └─ 是否快達到 AWS 服務上限 │ └─ Operational Excellence └─ 操作是否符合最佳實務 │ ▼ 產生 Recommendations │ ├─ 正常項目 ├─ 需要調查項目 └─ 建議處理項目 │ ▼ 管理者檢查與改善 │ ├─ 修正安全設定 ├─ 優化成本 ├─ 調整效能 ├─ 補強備援 └─ 申請服務限制提升

總結： AWS Trusted Advisor 是 AWS 帳號的健康檢查工具。它會從成本、效能、安全、容錯、服務限制與營運最佳化角度提供建議。基本檢查可直接使用，完整檢查需要 Business 或 Enterprise Support Plan。

AWS Service Quotas 重點整理

AWS Service Quotas 是用來查看、監控與申請提高 AWS 服務使用上限的工具。

一、什麼是 AWS Service Quotas？

在 AWS 中，每個服務都有使用限制，這些限制稱為 Quotas，也就是服務配額。

例如 Lambda 同時執行數量、EC2 Instance 數量、VPC 數量、Elastic IP 數量，都可能有預設上限。

如果你的資源使用量快達到上限，可能會導致新的資源無法建立，或系統無法繼續擴展。

二、AWS 專家口語化說明

AWS Service Quotas 就像 AWS 帳號的資源上限管理表。

它可以讓你知道目前每個服務的上限是多少、現在用了多少，以及是否快要碰到限制。

簡單記法： Service Quotas 幫你避免「資源開到一半，才發現不能再開」。

三、AWS 服務與概念表格

AWS 服務 / 概念	用途	白話說明
AWS Service Quotas	管理 AWS 服務配額	查看各服務目前上限、使用量，並可申請提高配額。
Quota	服務配額 / 使用上限	AWS 對每個服務設定的使用限制。
CloudWatch Alarms	配額告警	當使用量接近配額時發出通知。
AWS Lambda Concurrent Executions	Lambda 同時執行數量	Lambda 同時可以跑多少個執行個體。
Amazon EC2	虛擬主機	EC2 可建立數量也會受到配額限制。
Amazon VPC	虛擬網路	每個 Region 可建立的 VPC 數量有限。
Elastic IP	固定公網 IP	每個帳號每個 Region 可用數量有限。
Security Group	防火牆規則群組	Security Group 數量與規則數也有配額。
Quota Increase Request	配額提升申請	如果上限不夠，可以向 AWS 申請增加。

四、生活化比喻

可以把 AWS Service Quotas 想成公司資源申請上限表。

公司可能規定每個部門最多只能申請 10 台筆電、2 台印表機、5 間會議室。這些就是資源配額。

如果某個部門快達到上限，系統就應該提醒管理員。如果真的需要更多資源，可以申請提高上限；如果是資源被亂用，就應該回收不必要的資源。

生活場景	AWS 對應
公司資源上限	AWS Service Quotas
最多可申請幾台筆電	某服務的 Quota
快達到上限時提醒	CloudWatch Alarm
申請更多設備	Request Quota Increase
回收不用的設備	關閉或刪除不必要 AWS 資源

五、整體流程圖

AWS 各服務都有使用上限 │ ├─ Lambda concurrent executions ├─ EC2 Instance 數量 ├─ VPC 數量 ├─ Elastic IP 數量 └─ Security Group 數量 │ ▼ AWS Service Quotas │ ├─ 查看目前服務配額 ├─ 查看目前使用狀況 └─ 判斷是否接近上限 │ ▼ 接近或達到配額 │ ├─ 建立 CloudWatch Alarm ├─ 發送通知給管理者 └─ 提醒可能影響資源建立或系統擴展 │ ▼ 管理者決策 │ ├─ 真的需要更多資源 │ └─ 申請 Quota Increase │ └─ 發現資源開太多 └─ 關閉或刪除不必要資源 │ ▼ 維持 AWS 帳號資源可控、可擴展

六、Service Quotas 的管理重點

管理重點	說明
不要等到打到上限才處理	正式系統要提前監控配額，避免擴展失敗。
搭配 CloudWatch Alarms	接近配額時主動通知管理者。
需要時申請提高配額	如果是正常業務成長，可以直接向 AWS 申請增加上限。
資源異常增加時要檢查	如果是測試資源或錯誤配置導致用量暴增，應先清理資源。

總結： AWS Service Quotas 的核心價值是提前掌握 AWS 服務上限。它可以搭配 CloudWatch Alarms 通知你，也可以直接申請提高配額，避免系統在擴展時突然受限。

訂閱：文章 (Atom)