新加坡aws机房部署流程与合规性检查要点说明

1.

准备与账户配置

- 创建或确认 AWS 账号，进入 IAM 控制台创建组织管理员账号（避免使用 root 做日常操作）。
- 在本地配置 CLI：aws configure，Region 选择 ap-southeast-1（新加坡），示例：aws configure set region ap-southeast-1。
- 建议启用 MFA，创建管理员组、运维组、开发组并按最小权限原则分配策略（例如只给运维组 EC2、VPC、CloudWatch 权限）。

2.

区域与资源规划

- 确定新加坡 region（ap-southeast-1）作为主机房位置，列出需要的服务（EC2、RDS、S3、EFS、ELB、Route53、CloudFront、KMS）。
- 画出网络拓扑（子网划分：公有子网用于负载均衡/跳板，私有子网用于应用与数据库），确定可用区分布（ap-southeast-1a/1b/1c）。
- 确定备份、跨区复制或跨区域 DR 策略（是否需要复制到其他 region）。

3.

VPC 与子网部署（控制台与 CLI 示例）

- 控制台：VPC -> 创建 VPC（例如 10.0.0.0/16），创建三组私有/公有子网并指定可用区。
- CLI 示例创建 VPC：aws ec2 create-vpc --cidr-block 10.0.0.0/16 --region ap-southeast-1。记录 VpcId。
- 配置 Internet Gateway（IGW）、NAT Gateway（用于私有子网出网），以及路由表并关联子网，确保公有子网有到 IGW 的路由，私有子网通过 NAT 出网。

4.

安全组、网络 ACL 与访问控制

- 按应用分组创建安全组（SG）：负载均衡 SG 允许 80/443 入站，跳板 SG 仅允许指定管理 IP（白名单）。
- NACL 作为补充防护，通常保持默认允许入站/出站规则并在需要时锁紧。
- 使用 IAM Policy、IAM Role（EC2 角色）给实例最小权限，避免把凭证写进代码。

5.

存储与数据库部署要点

- EBS 卷：生产服务器使用 gp3 或 io2，根据 IOPS 需求选择；创建启动模板或 AMI 并指定加密（使用 KMS）。
- RDS：选择 Multi-AZ 部署，开启自动备份与备份保留期；确保数据库子网组覆盖两个可用区。
- S3：创建存储桶并启用版本控制、默认加密（SSE-KMS），设置适当的 Bucket Policy 以限制访问。

6.

负载均衡、弹性伸缩与高可用

- 使用 Application Load Balancer（ALB）做七层负载均衡，设置健康检查（/health）和目标组。
- 配置 Auto Scaling Group（ASG）：定义最小/期望/最大实例数、伸缩策略（基于 CloudWatch 指标如 CPU 或自定义指标）。
- 测试故障转移：手动停止可用区内实例，验证 ALB 与 ASG 能够自动恢复。

7.

日志、监控与告警

- 启用 CloudWatch 指标与日志，给关键实例安装 CloudWatch Agent。
- 开启 VPC Flow Logs（写入 CloudWatch 或 S3）以供流量审计；启用 CloudTrail 全域日志并设置集中日志桶（加密且禁止公开）。
- 配置报警：CloudWatch Alarm + SNS 通知到团队；关键事件写入运维值班流程。

8.

加密与密钥管理（KMS）

- 在 ap-southeast-1 创建 KMS CMK，用于 EBS、S3、RDS 的默认加密。
- 为 KMS 设置 IAM 条件（例如限制密钥使用的 IAM 角色与来源 IP）；启用密钥轮换（自动或手动策略）。
- 记录密钥别名与 ARN，确保备份与灾备过程中密钥可用（跨账号使用时建立 Key Policy 与 Grant）。

9.

合规性检查要点（PDPA 与行业监管）

- 数据驻留：确认个人资料或敏感数据确实存放在 ap-southeast-1，若法律或合同要求，禁止跨区域复制或需加密并有明确审批。
- PDPA（新加坡个人数据保护法）：确保收集/储存/使用有合法基础，访问控制与数据最小化，保留期策略明确并能导出/删除记录。
- 行业监管（如金融机构需遵循 MAS 指引）：检查日志保留期、灾备计划、加密与关键负责人岗位职责（可参考 MAS TRM）。

10.

审计、渗透测试与上线前检查清单

- 上线前完整清单：IAM 权限审计、开放端口检查（仅开放必要端口）、默认密码/密钥更换、S3 公开检查、MFA 强制。
- 进行漏洞扫描与授权渗透测试（遵循 AWS 渗透测试政策并提前提交申请）。
- 演练恢复：模拟实例故障、RDS 恢复、从备份恢复 S3（版本回滚）、验证监控告警触发与运维响应。

11.

问：在新加坡 region 上部署，如何保证数据不被复制到其它 region？

- 答：在 S3 创建存储桶时不要启用跨区域复制（CRR）；在服务配置中关闭自动跨区复制选项（例如 RDS 读副本不要创建于别的 region）；使用 IAM 与组织策略在组织单位层面阻止特定服务跨区域复制。额外地，在 CloudTrail 与 S3 策略中添加条件限制数据访问来源为 ap-southeast-1。

12.

问：需要满足新加坡 PDPA，关键合规设置有哪些？

- 答：必须实现访问控制与最小权限、数据分类与分级、加密（传输与静态）、日志与审计（CloudTrail、VPC Flow Logs）、数据保留与删除流程。制定并记录数据处理同意流程，定期进行隐私影响评估（PIA），并在发生数据泄露时按 PDPA 要求通知监管机构与受影响个人。

13.

问：部署过程中常见容易忽略的风险有哪些？

- 答：常见遗漏包括忘记启用 S3 默认加密或误将桶设为公开、未限制 IAM 权限导致横向访问、NAT/IGW 配置错误导致私有实例出网异常、没有启用 VPC Flow Logs 与 CloudTrail 造成审计缺失、KMS 密钥策略配置不当导致备份恢复失败。上线前用清单逐项核对并做一次完整故障演练可以显著降低风险。

来源：新加坡aws机房部署流程与合规性检查要点说明