# Identity Access Management (IAM)

__IAM__ é um serviço que ajuda no acesso seguro aos serviços da AWS. É usado para autenticação e autorização para a utilização dos recursos.
Há dois conceitos importantes _Autenticação_ e _Autorização_ , ambos de diferem segundo o usuario.

* __User, Group and Role__ --> _Autenticação_
* __Policy Document__ --> _Autorização_

* __User__ --> Refere-se ao operador, pode ser um humano, uma maquina ou outro serviço da aws
* __Group__ --> Coleção de usuarios
* __Role__ --> Também é um operador e também pode ser um humano ou serviço aws. A diferença para os demais está no fato de que para _Users e Groups_ a autenticação é permanente, para _Role_ é temporária

Uma vez que um user/role são autenticados pela AWS, é gerado um documento de permissão (autorização) baseado no "document policy" que estão ligados a ele.
Policy Documents (Json) podem ser ligadas a users, groups e role. Se uma policy é ligada a um grupo, um user que se junte ao grupo herdará a mesma policy.

# VPC

Amazon __Virtual Private Cloud__ permite utilizar os recursos da AWS em uma network privada que o usuario define. Uma Virtual network é similar a network tradicional que permite operar no seu proprio data center, o principal benecifio é que transpondo isso para a aws toda a infraestrutura torna-se escalável. Basicamente podemos dizer que ao utilizar uma VPC estamos realocando o data center local para a insfraestrutura de cloud da AWS.


__Caracteristicas e Terminologias:__
* VPC é uma network dedicada para a sua conta AWS
* _Subnet_ é o alcance do endereço IP da sua VPC
* _Route table_ contém um conjunto de rules, chamados __routes__, que são usados para determinar onde o trafego de rede é direcionado
* Um _gateway_ de internet permite a comunicação das suas instancias com a internet

__OBS:__ _Muito semelhante ao conceito de Network empregado em containers docker!_

__Exemplo:__

![](vpc.png)

* Temos nossa seção da aws logada em uma seção (N. Virginia)
* Definimos uma VPC com uma única subnet publica (10.0.0.0/16
* Agora instanciamos maquinas (EC2) em duas _availiability zones_ diferentes (AZ-1 e AZ-2)
* A comunicação entre as duas Instancias EC2 (entre as AZ) dentro da VPC é feito pelo __Router__ gerenciado pela AWS
* A comunicação das instancias com o mundo externo a VPC é feita pelo __Internet Gateway__
    * Internet Gataway gerenciado o trafego para fora da vpc, alterando o ip interno para um ip publico, e faz o contrário quando o sentido de comunicação muda (Route Table).

# Elastic Compute Cloud (EC2)

Amazon __EC2__ fornece a capacidade de computação escalável na AWS Cloud. Cada ambiente de computação virtual são chamados de instancias.
_Amazon Machine Images (AMIs)_ estão disponíveis em templates pré-configurados de instancias EC2

__Terminologias:__

* Instance types --> diferentes configurações de CPU, memoria, armazenamento e capacidade de rede
* Secure Login em instancias EC2 com _key pair_ --> Você armazena a private key e a AWS armazena a public key
* É possível adicionar volumes de armazenamentos (attach storage volumes) para uma instancia EC2 (instance storage volumes) - É um armazenamento efemero.
* Volumes de armazenamento persistente estão disponíveis através do __Elastic Block Storage (EBS) - Amazon EBS Volumes__
* É possível armazenar os dados em multiplas regiões (Regions and AZs)
* Podemos definir uma segurança basica usando __AWS built-in firewall- security group__ com protocolos, portas, fontes de IPs que podemos permitir ou negar o alcance das instancias EC2
* __Elastic IP address__ --> Endereço publico de IPv4 estático que podemos "ligar" a uma instancia EC2 (ex: Website)
* É possível criar e ligar a tags(labels) as nossas instancias EC2

__Algumas outras caracteristicas:__

* Quando criamos uma instancia EC2, primeiramente devemos selecionar uma _AMI - Amazon Machine Image_ , que basicamente representará o software 
    * Todas as _AMIs_ são categorizadas e suportados pelo Amazon EBS ou por uma instancia de armazenamento
    * Para AMIs com o volume principal suportado por um EBS, os dados são deletados quando a instancia é encerrada, se o suporte for de um volume de armazenamento os dados serão persistidos
 
 
* Em seguida devemos escolhar o tipo de hardware
    * Cada tipo de instancia oferece diferentes tipos de configurações
    
    
* Um outro aspecto importante é o gasto, há 4 maneiras de pagas instancias EC2: __On-Demand, Reserved, Spot e Dedicated Hosts__
    * _On-Demand_ --> Pagamento feito pelos recursos computacionais utilizados por hora ou segundos, dependendo da instancia em execução
    * _Spot_ --> Permite poupar até 90% do valor de um modelo On-Demand, é aplicável para:
        * Aplicações que tenham inicio e fim flexiveis
        * Aplicações que sejam factiveis com baixo comsumo computacional, resultando em baixo custo
        * Urgencia por mais capacidade ou capacidade adicional
    * _Reserve_ --> Oferece uma economia de até 75% se comparado ao On-Demand
        * Recomendável para aplicações cuja capacidade computacional é previsível
    * _Dedicate Host_ --> Trata-se de um servidor EC2 fisico, dedicado ao usuario
        * Ajuda na redução de custos, permitindo que o usuario utilize seu propio server

![](amis.png)

# Security  Groups - Basics

__AWS security groups__ atuam como um _firewall_ para a instancia EC2, para controlar o tráfego de entrada e saída, ou seja, fornecem uma segurança reforçada para a instancia, porem não vale para as _subnets_. Diferentes instancias EC2 podem ter diferentes security groups aplicados.
Em uma __SG__ podemos adicionar _rules_ que controlaram o tráfego interno das instancias e _rules_ separadas para controlar o trafego externo.

Quando criamos uma nova SG, não há regras para o tráfego interno, logo não será permitido tráfego para a EC2, e por padrão todo o tráfego externo é permitido.

* __Inbound Rules__
    * Protocol
    * Port Range (number)
    * Source IP Address - de onde o trafego virá
        * 0.0.0.0 --> Permite trafego de qualquer lugar da internet
        
* __Outbound Rules__
    * Protocol
    * Port Range
    * Destination

# Elastic Block Storage - EBS

__AWS EBS__ fornece blocos de _storage volumes_ - igual ao docker - para ser usados em uma instancia EC2. São altamente disponíveis e confiavies storage volumes que podem ser inseridos em qualquer execução de instancia que esteja na mesma _AZ_, tais storage volumes quando inseridos numa instancia EC2 são volumes persistentes e por isso possuem um ciclo de vida independente da "vida" da instancia.
AWS EBS fornece dois tipos de volumes que diferem em perfomance e preços:

* __SSD volumes__ --> alta IOPS (input and output operations per secunds)
    * Indicado para alta performance
    * Há dois tipos de SSD volumes:
        * General Purpose SSD (gp2): Balanceado entre performance e preço
        * Provisioned IOPS SSD (iol): Alta performance
    
    
* __HDD volumes__ --> Taxa de transferencia sobre IOPS
    * Indicado para storage
    * Há dois tipos de HDD volumes:
        * Taxa de transferencia otimizada HDD (stl): Baixo custo, para acessos frequentes e transferencias intensivas
        * Cold HDD (scl): Baixo custo, para menor frequencia de acessos

__OBS de segurança:__

* Os dados armazenados em volumes EBS precisam ser encriptados.
    * Se isso ocorrer os dados armazenados e os snapshots serão encriptados ("at rest")
* Com os dados encriptados os volumes EBS garantes a segurança dos dados _em transito_


## Snapshots

Podemos ter snapshots de tempos especificos dos dados em um aws EBS, ou seja, podemos ter uma visão dos dados a cada instante e podemos ainda armazenas essas " _fotos dos dados_ " em um __S3.__
Portanto _snapshots_ são backups incrementais dos dados, isto significa na pratica que qualquer dado dentro de um EBS só é modificado após o seu snapshot ser salvo

## EBS Princing

AWS EBS princing depende dos seguintes aspectos:

* Volumes:
    * Armazenamento total de todos os volumes EBS, medido em GB/month
    
* Snalshots:
    * Total de snapshots armazenado e consumido no AWS S3
    * EBS snapshot copiado entre regioẽs
    
* Dados transferidos
    * Inbound é __free__
    * Outbound é cobrado!

# Simple Storage Service - S3

__AWS S3__ fornece um objeto de armazenamento através de uma interface web. Com o AWS S3 é possível armazenar qualquer tipo de dados de qualquer lugar da internet. 

__Conceitos:__

* _Bucket_ --> É um container para objetos armazenados no S3
    * Os nomes dos buckets são _globalmente únicos_
* Todo objeto do S3 está contido em um bucket
* Ex. de URL: _https://s3.__< bucket_name >.__amazonaws.com/__object_name___


* _Objects_ são as estruturas fundamentais do AWS S3, consistem de dados e metadados.
    * Ao criar um objeto especificamos um _key name_ que será o identificador unico do objeto no bucket

__Modelo de Consistencia de dados:__

* AWS S3 fornece consistência de _reads-after-write_ para __PUTS__ de novos objetos em um bucket s3 em todas as regiões, ou seja, podemos acessar o objeto imediatamente após copia-los (PUT) em um bucket s3

* AWS S3 oferece consistência eventual para sobreescrita PUTS e DELETES para todas as regiões, ou seja, se atualizarmos ou deletarmos um objeto de um bucket s3, a mudança será eventualemente propagada e será visível em qualquer lugar

__Storage Classes:__

AWS s3 oferece uma gama de classes para armazenamento de objetos, podemos escolher um classes dependendo do nosso cenario e performance dos requisitos, todas as classes de armazenamento possuem alta durabilidade. Cada objeto do aws s3 possui uma _storage class_ associada a ele.

__Classes:__

* _Standard:_ Classe default
    * Indicado em casos de acessos frequente aos dados com latencia de milissegundos
    * Possui duas categorias: Ambas indicadas para acessos pouco frequentes e é considerado um armazenamento de "longa vida", além disso é cobrado uma taxa para recuperação desses objetos. Tais classes estão disponiveis para objetos maiores que 128KB e que permaneceram armazenados pelo menos 30 dias
        * Standard_IA: Objetos armazenados de maneira redundante através de multiplas AZs geograficamente separadas, sendo assim resilientes a um perda de AZ
        * Onezone_IA: Objetos armazenados em apenas uma AZ, entretanto o dado não é resiliente à uma perda fisica da AZ
        
        
* _Glacier:_ Baixo custo
    * Dados armazenados com duração minima de 90 dias e podem ser acessados em 1-5min usando recuperação acelerada
    

* _Deep_Archive:_ Baixo custo
    * Armazenamento minimo por um periodo de 180 dias e tempo de recuparação de 12h

## Bucket Policies

_Bucket policies_ são permissões e fornecem um controle centralizado de acessos ao bucket e objetos, beseados em uma variedade de condições. Apenas o dono do bucket possui permissão para associar uma policy com um bucket.

__Features:__

* __AWS S3 Transfer Acceleration:__ habilita transferencias rapidas, fáceis e seguras de arquivos ao longo de grandes distâncias entre o cliente e o bucket s3, usando o __AWS CloudFront's__ destribuidos globalmente em __edge locations.__
![](transfer.png)

* __Croos-region replication:__ habilita, automaticamente, a copia assincrona de objetos entre buckets em diferentes regiões

## Princing

Você paga apenas pelo tanto que armazenar, sem taxa minima. O preço final dependerá de:
* Storage Class
* Storage
    * Depende do numero e tamanho dos objetos
* Requests
    * GET requests são passiveis de cobranças
* Data Transfer
    * Todos os dados transferidos para fora de uma AWS S3 Region