AWS S3 儲存類別生命週期與最佳實踐

AWS S3 提供多樣化的儲存類別，從高用性的 S3 Standard 到成本效益極佳的 Glacier Deep Archive，滿足不同資料存取需求。搭配生命週期政策，更能自動化物件轉移流程，最佳化儲存成本。CloudFront 作為 CDN 服務，與 S3 整合後可大幅提升靜態網站內容的傳遞速度，降低延遲。此外，文章也探討了 IAM、Bucket Policy 和 ACL 等存取控制機制，以及 CloudTrail 和 Access Logs 等日誌監控工具，確保資料安全和合規性。最後，文章提供實務上的效能最佳化技巧，例如分段上傳、資料壓縮和高效資料檢索，並強調監控與分析的重要性，協助開發者最佳化 S3 效能並降低成本。

AWS S3 儲存類別與生命週期管理

AWS S3 提供多種儲存類別，以滿足不同的資料存取模式和成本需求。這些類別包括：

1. S3 Standard：適用於經常存取的資料，提供低延遲、高吞吐量、99.999999999% 的耐久性和 99.99% 的可用性，適合內容分發和大資料分析。
2. S3 Intelligent-Tiering：根據使用趨勢自動在頻繁和非頻繁存取層之間轉換資料，最佳化儲存成本而不影響效能。
3. S3 Standard-IA（不頻繁存取）：適用於較少存取但需要快速存取的資料，提供較低的儲存成本和較高的檢索費用，適合長期儲存、備份和災難復原。
4. S3 One Zone-IA：將資料儲存在單一可用區域，提供較低的成本但降低了可用性和耐久性，適合可以輕易重新建立的不頻繁存取資料。
5. S3 Glacier：提供經濟的儲存方案給極少存取的資料，檢索時間從幾分鐘到幾小時不等，適合檔案資料、法規遵從和數位儲存。
6. S3 Glacier Deep Archive：最具成本效益的類別，適用於極少存取的資料，需要 12 小時或以上的檢索時間，適合長期資料保留，如法規檔案。

生命週期政策

AWS S3 的生命週期政策允許使用者程式化地管理資料，最佳化儲存成本和效能。這些政策讓使用者能夠定義規則，以在不同的儲存類別之間轉換物件，也可以根據規則刪除物件。

例如，可以設定生命週期政策，將儲存在 S3 Standard 中的物件在 60 天未被存取後轉移到 S3 Standard-IA，再於 180 天後轉移到 S3 Glacier。這個自動化流程有助於降低成本。

程式碼範例：生命週期組態

<LifecycleConfiguration>
    <Rule>
        <ID>object-id</ID>
        <Filter>
            <Prefix>logs/</Prefix>
        </Filter>
        <Status>Enabled</Status>
        <Transition>
            <Days>60</Days>
            <StorageClass>STANDARD_IA</StorageClass>
        </Transition>
        <Transition>
            <Days>180</Days>
            <StorageClass>GLACIER</StorageClass>
        </Transition>
        <Expiration>
            <Days>365</Days>
        </Expiration>
    </Rule>
</LifecycleConfiguration>

內容解密：

1. <LifecycleConfiguration>：定義生命週期組態的根元素。
2. <Rule>：定義單一規則，包含多個動作。
3. <ID>：規則的唯一識別碼。
4. <Filter>：指定規則適用的物件字首。
5. <Status>：啟用或停用規則。
6. <Transition>：定義物件在特定天數後轉換到的儲存類別。
7. <Expiration>：定義物件在特定天數後過期並被刪除。

設定 AWS S3

1. 登入 AWS 控制檯。
2. 搜尋 S3 服務。
3. 點選「建立儲存桶」按鈕。
4. 選擇物件所有權並封鎖公開存取。
5. 選擇版本控制和加密型別。
6. 點選「建立」按鈕以設定 S3 儲存桶。

使用 CloudFormation 建立 S3 儲存桶

AWSTemplateFormatVersion: "2010-09-09"
Description: This is a cloud formation explaining S3 bucket creation and configuration
Parameters:
  BucketName: { Type: String, Default: "object-storage-bucket" }
Resources:
  AccessLogBucket:
    Type: "AWS::S3::Bucket"
    Properties:
      AccessControl: LogDeliveryWrite
  MainBucket:
    Type: "AWS::S3::Bucket"
    Properties:
      BucketName: !Ref BucketName
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256
      LoggingConfiguration:
        DestinationBucketName: !Ref AccessLogBucket
Outputs:
  MainBucketName:
    Description: Name of the main bucket
    Value: !Ref MainBucket
  LogBucketName:
    Description: Name of the access log bucket
    Value: !Ref AccessLogBucket

內容解密：

1. AWSTemplateFormatVersion：指定 CloudFormation 範本的版本。
2. Parameters：定義範本的引數，如儲存桶名稱。
3. Resources：定義要建立的 AWS 資源，如 S3 儲存桶。
4. AccessLogBucket 和 MainBucket：定義兩個 S3 儲存桶，一個用於存取日誌，另一個是主要儲存桶。
5. BucketEncryption 和 LoggingConfiguration：設定主要儲存桶的加密和日誌記錄組態。

AWS S3 的安全特性

AWS S3 提供了一套全面的安全控制措施，以保護資料免受未經授權的存取並確保符合各種法規標準。這些特性包括加密、存取控制機制和詳細的日誌記錄與監控功能。

靜態和傳輸中加密

AWS S3 使用強大的加密技術來保護靜態和傳輸中的資料。伺服器端加密（SSE）用於在資料儲存時進行加密，並在檢索時解密。使用者可以選擇多種加密選項，包括 SSE-S3、SSE-KMS 和 SSE-C。

使用 IAM、儲存桶政策和 ACL 進行存取控制

AWS S3 提供了一系列存取控制工具來管理許可權和保護資料。AWS IAM 是關鍵元件，允許開發人員精確管理存取許可權。儲存桶政策和 ACL 也提供了額外的控制層級，以確保資料安全。

AWS S3 存取控制與日誌監控的完整解析

AWS S3 提供多層次的存取控制機制，確保資料的安全性和合規性。主要透過 IAM（身分與存取管理）、Bucket Policy（儲存桶政策）和 ACL（存取控制清單）來管理許可權。

IAM 與精細化許可權控制

IAM 允許建立角色和政策，精確定義哪些使用者或服務可以存取特定的 S3 儲存桶和物件，並規範可執行的操作。這種機制確保只有授權的使用者能夠存取敏感資料。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": ["arn:aws:s3:::practical-serverless-bucket/*"]
    }
  ]
}

內容解密：

• 此 IAM 政策允許對 practical-serverless-bucket 儲存桶中的所有物件執行任何 S3 操作。
• Version 指定政策語言版本。
• Effect 設定為 Allow 表示允許存取。
• Action 為 s3:* 表示允許所有 S3 相關操作。
• Resource 指定此政策適用的 S3 資源路徑。

Bucket Policy 的靈活應用

Bucket Policy 是直接附加在 S3 儲存桶上的 JSON 格式政策，用於定義使用者或群組的存取許可權。它可用於公開儲存桶、限制特定 IP 位址存取，或實作跨帳戶存取。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678910:role/my-bucket-access"
      },
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::practical-serverless-bucket"
    }
  ]
}

內容解密：

• 此 Bucket Policy 允許帳戶 012345678910 下的 my-bucket-access 角色執行 s3:ListBucket 操作。
• Principal 指定受權的 IAM 角色。
• Action 為 s3:ListBucket，允許列出儲存桶中的物件。
• Resource 指定目標 S3 儲存桶。

ACL 的細粒度控制

ACL 提供更細緻的許可權控制，允許為儲存桶中的個別物件設定讀寫許可權。這種機制為資料存取增加了額外的安全層。

日誌記錄與監控

AWS S3 提供詳細的日誌記錄和監控功能，確保資料操作的可見性和合規性。主要工具包括 AWS CloudTrail 和 S3 Access Logs。

AWS CloudTrail

CloudTrail 可追蹤對 S3 的 API 呼叫，提供完整的操作稽核記錄，包括請求者的身分、請求時間和執行的操作。

S3 Access Logs

S3 Access Logs 記錄對儲存桶的所有請求詳情，包括請求者、請求型別和回應結果。這些日誌可用於分析存取模式和偵測潛在的安全問題。

將 AWS S3 與前端開發整合

1. 登入 AWS 管理主控台並建立新的 S3 儲存桶。
2. 建立儲存桶時需取消選取「封鎖所有公開存取權」，以允許公開存取靜態網站內容。
3. 在「屬性」標籤頁啟用「靜態網站託管」功能。
4. 設定「索引檔案」（如 index.html）和「錯誤檔案」（如 error.html）。

<!DOCTYPE html>
<html>
<head>
  <title>靜態網站載入</title>
</head>
<body style="background-color: green">
  <h1>Hello! 這是一個使用 AWS S3 的簡單靜態網站託管範例！</h1>
</body>
</html>

程式碼解析：

• 這是一個基本的 HTML 檔案，用作靜態網站的入口頁面。
• <body> 標籤設定背景顏色為綠色，並顯示歡迎訊息。

5. 上傳靜態網站檔案（HTML、CSS、JavaScript 和圖片等）至 S3 儲存桶，並將檔案設定為公開存取。
6. 網站上線後可透過「靜態網站託管」區段提供的端點 URL 存取，例如：https://your-bucket-name.s3-website-region.amazonaws.com

最佳化AWS S3效能與成本：靜態網站託管的最佳實踐

在上一章節中，我們成功地將靜態網站佈署到AWS S3上，並對外公開存取。S3是專為靜態內容託管設計的服務，若網站需要伺服器端處理或動態內容，則可能需要結合其他服務，如AWS Lambda或Amazon API Gateway。本章節將探討如何利用AWS S3的各項功能來最佳化效能和成本，特別是在快取策略、成本管理和效能最佳實踐等方面。

結合CloudFront實作快取策略

將Amazon S3與Amazon CloudFront（一個內容傳遞網路，CDN）整合，是提升效能的極佳策略。CloudFront利用全球各地的邊緣節點快取內容，從而降低延遲，實作快速的內容傳遞。這對於圖片、影片和網頁資產等靜態內容尤為重要，能夠根據使用者的地理位置快速提供內容。

CloudFront的快取功能可以透過快取行為進行自定義設定，使用者可以定義不同型別內容的快取方式。例如，設定特設定檔案型別的快取到期時間，或使用查詢字串引數來區分快取內容。透過調整這些設定，企業能夠最佳化快取效率，減少對S3儲存桶的負載。

此外，CloudFront還提供動態內容傳遞和SSL/TLS加密等功能，確保內容的安全與高效分發。藉由CloudFront的快取策略，企業能夠顯著提升無伺服器應用的效能，提供流暢的使用者經驗，同時降低資料傳輸成本。

利用儲存類別和生命週期策略進行成本管理

AWS S3提供了多種儲存類別，以根據資料的存取頻率來管理成本。選擇合適的儲存類別，可以有效控制支出。對於經常存取的資料，S3 Standard類別提供了高用性和低延遲；對於不常存取的資料，S3 Standard-IA和S3 One Zone-IA提供了更低的儲存成本，但檢索費用稍高；而對於歸檔資料，S3 Glacier和S3 Glacier Deep Archive則提供了最低的儲存成本，適合長期儲存。

生命週期策略進一步增強了成本管理的靈活性，使用者可以定義規則，將資料隨著時間推移或存取頻率的變化，自動轉移到更具成本效益的儲存類別中。

透過策略性地使用儲存類別和生命週期策略，企業能夠最佳化儲存成本，確保僅支付所需的資源，同時保持高效的資料管理。

AWS S3效能最佳實踐

為了確保無伺服器應用的最佳效能，以下是一些AWS S3的最佳實踐：

1. 分段上傳（Multipart Uploads）：對於大型檔案，使用分段上傳可以顯著提高效能。這種方法將檔案分成多個部分平行上傳，提高了上傳速度和可靠性，因為失敗的部分可以重試而不影響整個上傳過程。

   內容解密：

   分段上傳是一種將大檔案拆分為多個小部分並獨立上傳的技術。這不僅提高了上傳速度，還增強了可靠性，因為若某個部分上傳失敗，只需重試該部分，而不必重新上傳整個檔案。這對於處理大型資料集或媒體檔案的無伺服器應用尤為重要。

2. 資料壓縮（Data Compression）：在上傳到S3之前壓縮資料，可以減少儲存成本並提高傳輸速度。壓縮特別適用於文字檔案和日誌檔案，可以顯著減少檔案大小，從而降低資料傳輸和儲存的成本。

   內容解密：

   資料壓縮能夠減少需要傳輸和儲存的資料量，從而降低成本。特別是對於文字檔案和日誌檔案，壓縮可以帶來顯著的空間節省。壓縮後的資料不僅減少了S3的儲存需求，還加快了資料傳輸的速度。

3. 高效資料檢索（Efficient Data Retrieval）：實施高效的資料檢索策略至關重要。這包括使用範圍GET請求來下載物件中必要部分，以及利用S3 Select從物件內部擷取特定部分。這些技術減少了資料傳輸和處理時間，從而提升了應用效能。

   內容解密：

   高效的資料檢索能夠顯著提升應用效能。透過使用範圍GET請求，可以只下載需要的資料部分，而S3 Select則允許從物件中擷取特定的資料。這兩種技術都減少了不必要的資料傳輸，從而提升了應用的回應速度。

4. 監控與分析（Monitoring and Analytics）：定期監控S3的使用情況和效能指標，有助於發現瓶頸並有效分配資源。AWS提供了諸如AWS CloudWatch和AWS Cost Explorer等工具來追蹤效能和成本。透過分析這些指標，企業可以做出明智的決策，以提高效率並降低支出。

   內容解密：

   監控和分析是確保S3高效執行的關鍵。透過監控工具，可以及時發現效能瓶頸，並根據實際使用情況調整資源分配。這不僅有助於提升系統效能，還能有效控制成本，避免不必要的開支。

AWS CloudFront：加速內容分發

AWS CloudFront是一個強大的CDN服務，能夠加速網頁內容的分發。它透過全球邊緣節點網路路由使用者請求，確保內容以最低延遲和最快的傳輸速率交付。CloudFront特別適用於需要快速內容分發的應用，如網站、API和影片串流服務。

CloudFront 工作原理

@startuml
skinparam backgroundColor #FEFEFE
skinparam defaultTextAlignment center
skinparam rectangleBackgroundColor #F5F5F5
skinparam rectangleBorderColor #333333
skinparam arrowColor #333333

title CloudFront 工作原理

rectangle "DNS解析" as node1
rectangle "快取命中" as node2
rectangle "快取未命中" as node3
rectangle "取得內容" as node4
rectangle "同時快取內容" as node5

node1 --> node2
node2 --> node3
node3 --> node4
node4 --> node5

@enduml

圖表翻譯： 此圖示展示了CloudFront的工作原理。當使用者發出請求時，首先透過DNS解析到最近的CloudFront邊緣節點。若該節點有快取內容，則直接傳回；若無，則回源到S3或其他來源取得內容，並在傳回給使用者的同時快取該內容，以備後續請求使用。

透過結合S3和CloudFront的功能，企業能夠實作高效、安全的靜態網站託管，並最佳化效能與成本，為使用者提供更佳的體驗。