Amazon Web Services - 一般参考 · Amazon Cognito 联合身份限制 ..... 183 Amazon Cognito Sync 限制

Amazon Web Services一般参考版本 1.0

Amazon Web Services 一般参考

Amazon Web Services: 一般参考


Table of ContentsAWS 一般参考 ................................................................................................................................... 1AWS 区域和终端节点 .......................................................................................................................... 2

Alexa for Business ...................................................................................................................... 2Amazon API Gateway ................................................................................................................. 2Application Auto Scaling .............................................................................................................. 3Amazon AppStream 2.0 ............................................................................................................... 5AWS IoT 1-Click ......................................................................................................................... 5

AWS IoT 1-Click 项目 API ................................................................................................... 5AWS IoT 1-Click 设备 API ................................................................................................... 5

AWS AppSync ........................................................................................................................... 6AWS AppSync 控制层面 ...................................................................................................... 6AWS AppSync 数据层面 ...................................................................................................... 6

Athena ...................................................................................................................................... 7Amazon Aurora .......................................................................................................................... 8

Amazon Aurora 与 MySQL 的兼容性 ..................................................................................... 8与 PostgreSQL 兼容的 Amazon Aurora .................................................................................. 9

AWS Auto Scaling ...................................................................................................................... 9Amazon EC2 Auto Scaling ......................................................................................................... 10AWS Batch .............................................................................................................................. 11AWS Billing and Cost Management ............................................................................................. 12

AWS 成本管理器 ............................................................................................................... 12AWS Budgets ................................................................................................................... 12AWS 价目表服务 ............................................................................................................... 12

AWS Certificate Manager ........................................................................................................... 13AWS Certificate Manager Private Certificate Authority ..................................................................... 14AWS Cloud9 ............................................................................................................................ 14Amazon Cloud Directory ............................................................................................................ 15AWS CloudFormation ................................................................................................................ 15Amazon CloudFront .................................................................................................................. 16AWS CloudHSM ....................................................................................................................... 17AWS CloudHSM Classic ............................................................................................................ 17Amazon CloudSearch ................................................................................................................ 18AWS CloudTrail ........................................................................................................................ 19Amazon CloudWatch ................................................................................................................. 20Amazon CloudWatch Events ...................................................................................................... 21Amazon CloudWatch Logs ......................................................................................................... 22AWS CodeBuild ........................................................................................................................ 23AWS CodeCommit .................................................................................................................... 24AWS CodeDeploy ..................................................................................................................... 25AWS CodePipeline .................................................................................................................... 26AWS CodeStar ......................................................................................................................... 27Amazon Cognito 身份 ................................................................................................................ 27

Amazon Cognito 您的用户池 ............................................................................................... 28Amazon Cognito 联合身份 .................................................................................................. 28

Amazon Cognito Sync ............................................................................................................... 29AWS Config ............................................................................................................................. 30

...................................................................................................................................... 30AWS Config 规则 ...................................................................................................................... 30Amazon Connect ...................................................................................................................... 32AWS Data Pipeline ................................................................................................................... 32AWS Device Farm .................................................................................................................... 32Amazon DevPay ....................................................................................................................... 32AWS Direct Connect ................................................................................................................. 33AWS Directory Service .............................................................................................................. 33

版本 1.0iii


Amazon DynamoDB .................................................................................................................. 36DynamoDB Accelerator (DAX) .................................................................................................... 37Amazon DynamoDB Streams ..................................................................................................... 37AWS Elastic Beanstalk .............................................................................................................. 38AWS Elastic Beanstalk Health Service ......................................................................................... 39Amazon Elastic Compute Cloud (Amazon EC2) ............................................................................. 40Amazon Elastic Container Registry .............................................................................................. 42Amazon Elastic Container Service ............................................................................................... 43Amazon Elastic Container Service for Kubernetes (Amazon EKS) ..................................................... 44Amazon Elastic File System ....................................................................................................... 44Elastic Load Balancing .............................................................................................................. 45Amazon Elastic Transcoder ........................................................................................................ 46Amazon ElastiCache ................................................................................................................. 47Amazon Elasticsearch Service .................................................................................................... 48Amazon EMR ........................................................................................................................... 49AWS Firewall Manager .............................................................................................................. 50Amazon GameLift ..................................................................................................................... 50Amazon Glacier ........................................................................................................................ 51AWS Glue ............................................................................................................................... 52AWS Greengrass ...................................................................................................................... 52Amazon GuardDuty ................................................................................................................... 54AWS Identity and Access Management (IAM) ............................................................................... 55AWS Import/Export .................................................................................................................... 56

AWS Import/Export Disk .................................................................................................... 56Amazon Inspector ..................................................................................................................... 56AWS IoT ................................................................................................................................. 57AWS Key Management Service .................................................................................................. 58Amazon Kinesis Data Analytics ................................................................................................... 60Amazon Kinesis Data Firehose ................................................................................................... 60Amazon Kinesis Data Streams .................................................................................................... 61Amazon Kinesis 视频流 ............................................................................................................. 62AWS Lambda ........................................................................................................................... 62Amazon Lex ............................................................................................................................. 63

模型构建终端节点 .............................................................................................................. 63运行时终端节点 ................................................................................................................. 63

Amazon Lightsail ...................................................................................................................... 64Amazon Macie ......................................................................................................................... 64Amazon Machine Learning ......................................................................................................... 65AWS Elemental MediaConvert .................................................................................................... 65AWS Elemental MediaLive ......................................................................................................... 66AWS Elemental MediaPackage ................................................................................................... 66AWS Elemental MediaStore ....................................................................................................... 67AWS Elemental MediaTailor ....................................................................................................... 67Amazon Mechanical Turk ........................................................................................................... 68AWS Migration Hub .................................................................................................................. 68Amazon Mobile Analytics ........................................................................................................... 68Amazon MQ ............................................................................................................................. 68AWS OpsWorks ........................................................................................................................ 69

AWS OpsWorks CM .......................................................................................................... 69AWS OpsWorks 堆栈 ........................................................................................................ 70

AWS Organizations ................................................................................................................... 71Amazon Pinpoint ....................................................................................................................... 72Amazon Polly ........................................................................................................................... 72Amazon QuickSight ................................................................................................................... 73Amazon Redshift ...................................................................................................................... 73Amazon Rekognition ................................................................................................................. 74Amazon Relational Database Service (Amazon RDS) ..................................................................... 75

版本 1.0iv


AWS Resource Groups .............................................................................................................. 76Amazon Route 53 ..................................................................................................................... 77AWS Secrets Manager .............................................................................................................. 77AWS Server Migration Service .................................................................................................... 78Amazon SageMaker .................................................................................................................. 79AWS Security Token Service (AWS STS) ..................................................................................... 80AWS Serverless Application Repository ........................................................................................ 81AWS Service Catalog ................................................................................................................ 82AWS Shield Advanced ............................................................................................................... 83Amazon Simple Email Service (Amazon SES) ............................................................................... 83Amazon Simple Notification Service (Amazon SNS) ....................................................................... 84Amazon Simple Queue Service (Amazon SQS) ............................................................................. 85

Amazon SQS 传统终端节点 ................................................................................................ 86Amazon Simple Storage Service (Amazon S3) .............................................................................. 87

Amazon Simple Storage Service 网站终端节点 ...................................................................... 90Amazon Simple Workflow Service (Amazon SWF) ......................................................................... 91Amazon SimpleDB .................................................................................................................... 92AWS Snowball ......................................................................................................................... 93AWS Step Functions ................................................................................................................. 94AWS Storage Gateway .............................................................................................................. 95AWS Support ........................................................................................................................... 96AWS Systems Manager ............................................................................................................. 96Amazon VPC ........................................................................................................................... 97AWS WAF ............................................................................................................................... 98Amazon WorkDocs .................................................................................................................... 99Amazon WorkMail ..................................................................................................................... 99Amazon WorkSpaces ............................................................................................................... 100中国（北京）区域终端节点 ...................................................................................................... 101中国 (宁夏) 区域终端节点 ......................................................................................................... 104

AWS 安全凭证 ................................................................................................................................ 107AWS 账户根用户凭证与 IAM 用户凭证 ....................................................................................... 107

需要 AWS 账户根用户的 AWS 任务 .................................................................................. 107了解并获取您的安全凭证 ........................................................................................................... 108

电子邮件和密码 (根用户) ................................................................................................... 108IAM 用户名和密码 ........................................................................................................... 109Multi-Factor Authentication (MFA) ...................................................................................... 109访问密钥 (访问密钥 ID 和秘密访问密钥) .............................................................................. 109密钥对 ........................................................................................................................... 110

AWS 账户标识符 ..................................................................................................................... 110查找 AWS 账户 ID .......................................................................................................... 110查找账户的规范用户 ID ..................................................................................................... 111

有关管理 AWS 访问密钥的最佳实践 ........................................................................................... 112删除 (或不生成) 账户访问密钥 ........................................................................................... 112使用临时安全凭证（IAM 角色）代替长期访问密钥 ................................................................. 112正确管理 IAM 用户访问密钥 .............................................................................................. 113更多资源 ........................................................................................................................ 114

管理 AWS 账户的访问密钥 ....................................................................................................... 114创建、禁用和删除 AWS 账户的访问密钥 ............................................................................. 114

AWS 安全审查指南 .................................................................................................................. 115您应该什么时候执行安全审查？ ......................................................................................... 115审查的一般准则 ............................................................................................................... 116查看您的 AWS 账户凭证 ................................................................................................... 116查看 IAM 用户 ................................................................................................................ 116查看 IAM 组 ................................................................................................................... 116查看 IAM 角色 ................................................................................................................ 116查看您的 SAML 和 OpenID Connect (OIDC) 的 IAM 提供商 ................................................... 117查看移动应用程序 ............................................................................................................ 117

版本 1.0v


查看 Amazon EC2 安全配置 ............................................................................................. 117查看其他服务中的 AWS 策略 ............................................................................................ 117监控 AWS 账户中的活动 ................................................................................................... 118有关查看 IAM 策略的提示 ................................................................................................. 118更多信息 ........................................................................................................................ 119

Amazon 资源名称 (ARN) 和 AWS 服务命名空间 .................................................................................. 120ARN 格式 ............................................................................................................................... 120示例 ARN ............................................................................................................................... 121

Alexa for Business .......................................................................................................... 123Amazon API Gateway ...................................................................................................... 123AWS AppSync ................................................................................................................ 123AWS Artifact ................................................................................................................... 123Amazon EC2 Auto Scaling ............................................................................................... 124AWS Certificate Manager ................................................................................................. 124AWS Certificate Manager 私有证书颁发机构 ........................................................................ 124AWS Cloud9 .................................................................................................................. 124Amazon Cloud Directory ................................................................................................... 125AWS CloudFormation ...................................................................................................... 125Amazon CloudFront ......................................................................................................... 125Amazon CloudSearch ...................................................................................................... 125AWS CloudTrail .............................................................................................................. 126Amazon CloudWatch ....................................................................................................... 126Amazon CloudWatch Events ............................................................................................. 126Amazon CloudWatch Logs ............................................................................................... 126AWS CodeBuild .............................................................................................................. 127AWS CodeCommit .......................................................................................................... 127AWS CodeDeploy ........................................................................................................... 127Amazon Cognito 您的用户池 ............................................................................................. 127Amazon Cognito 联合身份 ................................................................................................ 128Amazon Cognito Sync ..................................................................................................... 128AWS Config ................................................................................................................... 128AWS CodePipeline .......................................................................................................... 128AWS CodeStar ............................................................................................................... 128AWS Direct Connect ........................................................................................................ 129AWS Directory Service ..................................................................................................... 129Amazon DynamoDB ........................................................................................................ 129AWS Elastic Beanstalk ..................................................................................................... 129Amazon Elastic Compute Cloud (Amazon EC2) ................................................................... 130Amazon Elastic Container Registry (Amazon ECR) ............................................................... 130Amazon Elastic Container Service (Amazon ECS) ................................................................ 131Amazon Elastic Container Service for Kubernetes (Amazon EKS) ........................................... 131Amazon Elastic File System ............................................................................................. 131Elastic Load Balancing (应用程序负载均衡器) ...................................................................... 131Elastic Load Balancing (网络负载均衡器) ............................................................................ 132Elastic Load Balancing (传统负载均衡器) ............................................................................ 132Amazon Elastic Transcoder .............................................................................................. 132Amazon ElastiCache ........................................................................................................ 133Amazon Elasticsearch Service .......................................................................................... 133Amazon Glacier .............................................................................................................. 133Amazon GuardDuty ......................................................................................................... 133AWS Health / Personal Health Dashboard ........................................................................... 134AWS Identity and Access Management (IAM) ...................................................................... 134AWS IoT ........................................................................................................................ 134AWS Key Management Service (AWS KMS) ....................................................................... 135Amazon Kinesis Data Firehose (Kinesis Data Firehose) ........................................................ 135Amazon Kinesis Data Streams (Kinesis Data Streams) ......................................................... 135Amazon Kinesis Data Analytics (Kinesis Data Analytics) ........................................................ 135

版本 1.0vi


Amazon Kinesis Video Streams (Kinesis 视频流) .................................................................. 136AWS Lambda (Lambda) ................................................................................................... 136Amazon Macie ................................................................................................................ 136Amazon Machine Learning (Amazon ML) ............................................................................ 136AWS Elemental MediaConvert .......................................................................................... 137AWS Elemental MediaLive ............................................................................................... 137AWS Elemental MediaPackage ......................................................................................... 137AWS Elemental MediaStore .............................................................................................. 138AWS Elemental MediaTailor ............................................................................................. 138AWS Mobile Hub ............................................................................................................ 138Amazon MQ ................................................................................................................... 138AWS Organizations ......................................................................................................... 138Amazon Pinpoint ............................................................................................................. 139Amazon Polly ................................................................................................................. 139Amazon Redshift ............................................................................................................. 139Amazon Relational Database Service (Amazon RDS) ........................................................... 140Amazon Route 53 ............................................................................................................ 140AWS Secrets Manager ..................................................................................................... 141AWS Serverless Application Repository .............................................................................. 141Amazon Simple Email Service (Amazon SES) ..................................................................... 141Amazon Simple Notification Service (Amazon SNS) .............................................................. 141Amazon Simple Queue Service (Amazon SQS) ................................................................... 142Amazon Simple Storage Service (Amazon S3) .................................................................... 142Amazon Simple Workflow Service (Amazon SWF) ................................................................ 142AWS Step Functions ....................................................................................................... 142AWS Storage Gateway .................................................................................................... 143AWS Systems Manager ................................................................................................... 143AWS Trusted Advisor ...................................................................................................... 144AWS WAF ..................................................................................................................... 144

ARN 中的路径 ........................................................................................................................ 144AWS 服务命名空间 .................................................................................................................. 145

签署 AWS API 请求 ......................................................................................................................... 150您何时需要签署请求？ .............................................................................................................. 150为什么签署请求 ....................................................................................................................... 150签名请求 ................................................................................................................................ 150签名版本 ................................................................................................................................ 151Signature Version 4 签名流程 ................................................................................................... 152

签署 AWS 请求 ............................................................................................................... 152处理日期 ........................................................................................................................ 163说明如何派生签名密钥的示例 ............................................................................................. 163签名示例 (Python) ........................................................................................................... 166测试套件 ........................................................................................................................ 173故障排除 ........................................................................................................................ 175服务特定的参考 ............................................................................................................... 177

签名版本 2 签名流程 ................................................................................................................ 178受支持的区域和服务 ......................................................................................................... 178签名版本 2 的查询请求组件 ............................................................................................. 179如何为查询请求生成签名版本 2 .......................................................................................... 180

AWS 服务限制 ................................................................................................................................ 185Amazon API Gateway 限制 ...................................................................................................... 185Application Auto Scaling 限制 ................................................................................................... 186AWS Application Discovery Service 限制 .................................................................................... 186Amazon AppStream 2.0 限制 .................................................................................................... 186AWS AppSync 限制 ................................................................................................................. 186Amazon Athena 限制 ............................................................................................................... 187AWS Auto Scaling 限制 ........................................................................................................... 187Auto Scaling 限制 ................................................................................................................... 187

版本 1.0vii


AWS Batch 限制 ..................................................................................................................... 188AWS Certificate Manager (ACM) 限制 ........................................................................................ 188AWS Certificate Manager 私有证书颁发机构 (ACM PCA) 限制 ........................................................ 188AWS Cloud9 限制 ................................................................................................................... 189AWS CloudFormation 限制 ....................................................................................................... 189Amazon CloudFront 限制 ......................................................................................................... 189AWS CloudHSM 限制 .............................................................................................................. 190AWS CloudHSM Classic 限制 ................................................................................................... 190Amazon CloudSearch 限制 ....................................................................................................... 191AWS CloudTrail 限制 ............................................................................................................... 191Amazon CloudWatch 限制 ........................................................................................................ 191Amazon CloudWatch Events 限制 .............................................................................................. 192Amazon CloudWatch Logs 限制 ................................................................................................ 192AWS CodeBuild 限制 ............................................................................................................... 193AWS CodeCommit 限制 ........................................................................................................... 193AWS CodeDeploy 限制 ............................................................................................................ 194AWS CodePipeline 限制 ........................................................................................................... 194Amazon Cognito 用户池限制 ..................................................................................................... 195Amazon Cognito 联合身份限制 .................................................................................................. 195Amazon Cognito Sync 限制 ...................................................................................................... 195Amazon Comprehend 限制 ....................................................................................................... 196AWS Config 限制 .................................................................................................................... 196Amazon Connect 限制 ............................................................................................................. 196AWS Data Pipeline 限制 .......................................................................................................... 197AWS Database Migration Service 限制 ....................................................................................... 198AWS Device Farm 限制 ........................................................................................................... 198AWS Direct Connect 限制 ........................................................................................................ 198AWS Directory Service 限制 ..................................................................................................... 198Amazon DynamoDB 限制 ......................................................................................................... 199AWS Elastic Beanstalk 限制 ..................................................................................................... 199Amazon Elastic Block Store (Amazon EBS) 限制 ......................................................................... 199Amazon Elastic Compute Cloud (Amazon EC2) 限制 .................................................................... 200Amazon Elastic Container Registry (Amazon ECR) 限制 ............................................................... 201Amazon Elastic Container Service (Amazon ECS) 限制 ................................................................. 201Amazon Elastic Container Service for Kubernetes (Amazon EKS) 限制 ............................................ 201Amazon Elastic File System 限制 .............................................................................................. 202Elastic Load Balancing 限制 ..................................................................................................... 202Amazon Elastic Transcoder 限制 ............................................................................................... 203Amazon ElastiCache 限制 ........................................................................................................ 204Amazon Elasticsearch Service 限制 ........................................................................................... 204AWS Firewall Manager 限制 ..................................................................................................... 205Amazon GameLift 限制 ............................................................................................................ 205Amazon Glacier 限制 ............................................................................................................... 206AWS Glue 限制 ...................................................................................................................... 206AWS Greengrass 限制 ............................................................................................................. 207

AWS Greengrass Cloud API 限制 ...................................................................................... 207AWS Greengrass 核心限制 ............................................................................................... 207

Amazon GuardDuty 限制 .......................................................................................................... 208AWS Identity and Access Management (IAM) 限制 ....................................................................... 208AWS Import/Export 限制 ........................................................................................................... 209

AWS Snowball (Snowball) ................................................................................................ 209Amazon Inspector 限制 ............................................................................................................ 209AWS IoT 限制 ........................................................................................................................ 209

物联网对象限制 ............................................................................................................... 209消息代理限制 .................................................................................................................. 210协议限制 ........................................................................................................................ 212Device Shadow 限制 ....................................................................................................... 213

版本 1.0viii


安全和身份限制 ............................................................................................................... 213AWS IoT 限制 ................................................................................................................ 213AWS IoT Rules Engine 限制 ............................................................................................. 215AWS IoT 作业限制 .......................................................................................................... 216AWS IoT 队列索引限制 .................................................................................................... 217AWS IoT 批量事物注册限制 .............................................................................................. 218

AWS IoT Analytics 限制 ........................................................................................................... 218AWS Key Management Service (AWS KMS) 限制 ........................................................................ 219Amazon Kinesis Data Firehose 限制 .......................................................................................... 219Amazon Kinesis Data Streams 限制 ........................................................................................... 220Amazon Kinesis Data Analytics 限制 .......................................................................................... 220Amazon Kinesis Video Streams 限制 ......................................................................................... 220

控制层面 API 限制 ........................................................................................................... 220数据层面 API 限制 ........................................................................................................... 221

AWS Lambda 限制 .................................................................................................................. 222Amazon Lightsail 限制 ............................................................................................................. 223Amazon Macie 限制 ................................................................................................................ 223Amazon Machine Learning (Amazon ML) 限制 ............................................................................. 224AWS Elemental MediaConvert 限制 ........................................................................................... 224AWS Elemental MediaLive 限制 ................................................................................................ 225AWS Elemental MediaPackage 限制 .......................................................................................... 225AWS Elemental MediaStore 限制 ............................................................................................... 225AWS Elemental MediaTailor 限制 .............................................................................................. 226Amazon MQ 限制 .................................................................................................................... 226Amazon Neptune 限制 ............................................................................................................. 226AWS OpsWorks for Chef Automate 和 AWS OpsWorks for Puppet Enterprise 限制 ............................ 226AWS OpsWorks 堆栈限制 ........................................................................................................ 227AWS Organizations 限制 .......................................................................................................... 227Amazon Pinpoint 限制 .............................................................................................................. 227Amazon Polly 限制 .................................................................................................................. 228Amazon Redshift 限制 ............................................................................................................. 228Amazon Rekognition 限制 ........................................................................................................ 229Amazon Relational Database Service (Amazon RDS) 限制 ............................................................ 230AWS 资源组限制 ..................................................................................................................... 231Amazon Route 53 限制 ............................................................................................................ 231Amazon SageMaker 限制 ......................................................................................................... 231AWS Secrets Manager 限制 ..................................................................................................... 235AWS Server Migration Service 限制 ........................................................................................... 235AWS Serverless Application Repository 限制 ............................................................................... 235AWS Service Catalog 限制 ....................................................................................................... 236AWS Shield Advanced 限制 ...................................................................................................... 236Amazon Simple Email Service (Amazon SES) 限制 ...................................................................... 236Amazon Simple Notification Service (Amazon SNS) 限制 .............................................................. 237

Amazon SNS 资源限制 .................................................................................................... 237Amazon SNS API 限制 .................................................................................................... 237

Amazon Simple Queue Service (Amazon SQS) ........................................................................... 239Amazon Simple Storage Service (Amazon S3) 限制 ..................................................................... 239Amazon Simple Workflow Service (Amazon SWF) 限制 ................................................................ 239Amazon SimpleDB 限制 ........................................................................................................... 240AWS Step Functions 限制 ........................................................................................................ 240AWS Storage Gateway 限制 ..................................................................................................... 240Amazon Sumerian 限制 ............................................................................................................ 240AWS Systems Manager 限制 .................................................................................................... 240Amazon Transcribe 限制 .......................................................................................................... 242Amazon Translate 限制 ............................................................................................................ 243Amazon Virtual Private Cloud (Amazon VPC) 限制 ....................................................................... 243Amazon VPC DNS 限制 ........................................................................................................... 245

版本 1.0ix


AWS WAF 限制 ...................................................................................................................... 245Amazon WorkMail 限制 ............................................................................................................ 246Amazon WorkSpaces 限制 ....................................................................................................... 246AWS X-Ray 限制 .................................................................................................................... 246

AWS 的 IP 地址范围 ........................................................................................................................ 247下载 ...................................................................................................................................... 247语法 ...................................................................................................................................... 247筛选 JSON 文件 ...................................................................................................................... 248

Windows ........................................................................................................................ 249Linux ............................................................................................................................. 249

实施出口控制 .......................................................................................................................... 250的 AWS 工具 .................................................................................................................. 250jq .................................................................................................................................. 250Python ........................................................................................................................... 251

AWS IP 地址范围通知 .............................................................................................................. 252API 重试 ........................................................................................................................................ 254AWS 软件开发工具包支持 Amazon S3 客户端加密 ............................................................................... 256

用于 Amazon S3 客户端加密的 AWS 软件开发工具包功能 ............................................................. 256Amazon S3 加密客户端加密算法 ................................................................................................ 257

AWS 中的 Markdown ....................................................................................................................... 258段落、行间距和水平线 .............................................................................................................. 258标题 ...................................................................................................................................... 258文本格式设置 .......................................................................................................................... 259Links ..................................................................................................................................... 259清单 ...................................................................................................................................... 259表和按钮 (CloudWatch 控制面板) ............................................................................................... 260

文档惯例 ........................................................................................................................................ 261AWS 词汇表 ................................................................................................................................... 263

版本 1.0x


AWS 一般参考这是 Amazon Web Services 一般参考。

内容

• AWS 区域和终端节点 (p. 2)• AWS 安全凭证 (p. 107)• Amazon 资源名称 (ARN) 和 AWS 服务命名空间 (p. 120)• 签署 AWS API 请求 (p. 150)• AWS 服务限制 (p. 185)• AWS 的 IP 地址范围 (p. 247)• AWS 中的错误重试和指数退避 (p. 254)• AWS 软件开发工具包支持 Amazon S3 客户端加密 (p. 256)• 需要 AWS 账户根用户的 AWS 任务 (p. 107)• AWS 词汇表 (p. 263)

版本 1.01

Amazon Web Services 一般参考Alexa for Business

AWS 区域和终端节点为缩短应用程序中的数据延迟，大多数 Amazon Web Services 都提供区域终端节点来发出您的请求。终端节点是作为 Web 服务入口点的 URL。例如，https://dynamodb.us-west-2.amazonaws.com 是Amazon DynamoDB 服务的入口点。

某些服务（如 IAM）不支持区域；因此其终端节点不包括区域。某些服务（如 Amazon EC2）允许您指定不包括特定区域的终端节点，例如 https://ec2.amazonaws.com。在这种情况下，AWS 将终端节点路由到 us-east-1。

如果服务支持区域，则每个区域中的资源都是独立的。例如，如果您在一个区域中创建 Amazon EC2 实例或Amazon SQS 队列，则该实例或队列独立于另一个区域中的实例或队列。

可从以下来源查找区域和终端节点信息：

• 有关在中国（北京）区域单独区域中可用的 AWS 服务和终端节点的信息，请参阅中国（北京）区域终端节点 (p. 101)。

有关在中国 (宁夏) 区域单独区域中可用的 AWS 服务和终端节点的信息，请参阅中国 (宁夏) 区域终端节点 (p. 104)。

• 有关每个服务所支持区域以及终端节点的信息，请参阅以下各表。

Alexa for BusinessRegionName

Region Endpoint Protocol

美国东部 (弗吉尼亚北部)

us-east-1 a4b.us-east-1.amazonaws.com HTTPS

Amazon API Gateway区域名称区域终端节点协议 Amazon

Route 53托管区域ID*

美国东部（俄亥俄州）

us-east-2 apigateway.us-east-2.amazonaws.com HTTPS ZOJJZC49E0EPZ

美国东部（弗吉尼亚北部）

us-east-1 apigateway.us-east-1.amazonaws.com HTTPS Z1UJRXOUMOOFQ8

美国西部（加利福尼亚北部）

us-west-1 apigateway.us-west-1.amazonaws.com HTTPS Z2MUQ32089INYE

版本 1.02

Amazon Web Services 一般参考Application Auto Scaling

区域名称区域终端节点协议 AmazonRoute 53托管区域ID*

美国西部（俄勒冈）

us-west-2 apigateway.us-west-2.amazonaws.com HTTPS Z2OJLYMUO9EFXC

亚太地区（孟买）

ap-south-1 apigateway.ap-south-1.amazonaws.com HTTPS Z3VO1THU9YC4UR

亚太区域（首尔）

ap-northeast-2

apigateway.ap-northeast-2.amazonaws.com HTTPS Z20JF4UZKIW1U8

亚太区域(大阪当地)

ap-northeast-3

apigateway.ap-northeast-3.amazonaws.com HTTPS Z2YQB5RD63NC85

亚太区域（新加坡）

ap-southeast-1

apigateway.ap-southeast-1.amazonaws.com HTTPS ZL327KTPIQFUL

亚太区域（悉尼）

ap-southeast-2

apigateway.ap-southeast-2.amazonaws.com HTTPS Z2RPCDW04V8134

亚太区域（东京）

ap-northeast-1

apigateway.ap-northeast-1.amazonaws.com HTTPS Z1YSHQZHG15GKL

加拿大 (中部)

ca-central-1

apigateway.ca-central-1.amazonaws.com HTTPS Z19DQILCV0OWEC

中国（北京）

cn-north-1 apigateway.cn-north-1.amazonaws.com.cn HTTPS 无

欧洲（法兰克福）

eu-central-1

apigateway.eu-central-1.amazonaws.com HTTPS Z1U9ULNL0V5AJ3

欧洲（爱尔兰）

eu-west-1 apigateway.eu-west-1.amazonaws.com HTTPS ZLY8HYME6SFDD

欧洲 (伦敦) eu-west-2 apigateway.eu-west-2.amazonaws.com HTTPS ZJ5UAJN8Y3Z2Q

欧洲 (巴黎) eu-west-3 apigateway.eu-west-3.amazonaws.com HTTPS Z3KY65QIEKYHQQ

南美洲（圣保罗）

sa-east-1 apigateway.sa-east-1.amazonaws.com HTTPS ZCMLWB8V5SYIT

* Route 53 托管区域 ID 列显示 API 网关区域终端节点的 Route 53 托管区域 ID。对于边缘优化的终端节点，所有区域的 Route 53 托管区域 ID 均为 Z2FDTNDATAQYW2。

Application Auto Scaling

RegionName


美国东部 (俄亥俄)

us-east-2 autoscaling.us-east-2.amazonaws.com HTTP andHTTPS

版本 1.03

Amazon Web Services 一般参考Application Auto Scaling

RegionName




美国西部 (加利福尼亚北部)

us-west-1 autoscaling.us-west-1.amazonaws.com HTTP andHTTPS

美国西部 (俄勒冈)


亚太地区 (东京)

ap-northeast-1

autoscaling.ap-northeast-1.amazonaws.com HTTP andHTTPS

亚太区域 (首尔)

ap-northeast-2


亚太区域(大阪本地)

ap-northeast-3


亚太区域 (孟买)

ap-south-1 autoscaling.ap-south-1.amazonaws.com HTTP andHTTPS

亚太地区 (新加坡)

ap-southeast-1

autoscaling.ap-southeast-1.amazonaws.com HTTP andHTTPS

亚太地区 (悉尼)

ap-southeast-2


加拿大（中部)

ca-central-1 autoscaling.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 autoscaling.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

autoscaling.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS

欧洲 (法兰克福)

eu-central-1 autoscaling.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 autoscaling.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 autoscaling.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 autoscaling.eu-west-3.amazonaws.com HTTP andHTTPS

南美洲 (圣保罗)

sa-east-1 autoscaling.sa-east-1.amazonaws.com HTTP andHTTPS

版本 1.04

Amazon Web Services 一般参考Amazon AppStream 2.0

Amazon AppStream 2.0

RegionName



us-east-1 appstream2.us-east-1.amazonaws.com HTTPS


us-west-2 appstream2.us-west-2.amazonaws.com HTTPS


ap-northeast-1

appstream2.ap-northeast-1.amazonaws.com HTTPS


ap-southeast-1

appstream2.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

appstream2.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 appstream2.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 appstream2.eu-west-1.amazonaws.com HTTPS

AWS IoT 1-ClickAWS IoT 1-Click 项目 API

区域名称区域终端节点协议


us-east-1 projects.iot1click.us-east-1.amazonaws.com

HTTPS

美国东部（俄亥俄州） us-east-2 projects.iot1click.us-east-2.amazonaws.com

HTTPS

美国西部（俄勒冈） us-west-2 projects.iot1click.us-west-2.amazonaws.com

HTTPS

欧洲（法兰克福） eu-central-1 projects.iot1click.eu-central-1.amazonaws.com

HTTPS

欧洲（爱尔兰） eu-west-1 projects.iot1click.eu-west-1.amazonaws.com

HTTPS

欧洲 (伦敦) eu-west-2 projects.iot1click.eu-west-2.amazonaws.com

HTTPS

亚太区域（东京） ap-northeast-1 projects.iot1click.ap-northeast-1.amazonaws.com

HTTPS

版本 1.05

http://docs.amazonaws.cn/iot-1-click/latest/projects-apireference/

Amazon Web Services 一般参考AWS IoT 1-Click 设备 API

AWS IoT 1-Click 设备 API


美国西部（俄勒冈） us-west-2 devices.iot1click.us-west-2.amazonaws.com

HTTPS

AWS AppSyncAWS AppSync 控制层面



us-east-2 appsync.us-east-2.amazonaws.com HTTPS


us-east-1 appsync.us-east-1.amazonaws.com HTTPS


us-west-2 appsync.us-west-2.amazonaws.com HTTPS


ap-south-1 appsync.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

appsync.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

appsync.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

appsync.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 appsync.eu-central-1.amazonaws.com HTTPS


eu-west-1 appsync.eu-west-1.amazonaws.com HTTPS

AWS AppSync 数据层面



us-east-2 <unique-id>。appsync.us-east-2.amazonaws.com HTTPS

版本 1.06

http://docs.amazonaws.cn/iot-1-click/1.0/devices-apireference/

Amazon Web Services 一般参考Athena



us-east-1 <unique-id>。appsync.us-east-1.amazonaws.com HTTPS


us-west-2 <unique-id>。appsync.us-west-2.amazonaws.com HTTPS


ap-south-1 <unique-id>。appsync.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

<unique-id>。appsync.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

<unique-id>。appsync.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

<unique-id>。appsync.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 <unique-id>。appsync.eu-central-1.amazonaws.com HTTPS


eu-west-1 <unique-id>。appsync.eu-west-1.amazonaws.com HTTPS

Athena



us-east-2 athena.us-east-2.amazonaws.com HTTPS


us-east-1 athena.us-east-1.amazonaws.com HTTPS


us-west-2 athena.us-west-2.amazonaws.com HTTPS

亚太地区（孟买） ap-south-1 athena.ap-south-1.amazonaws.com HTTPS

亚太区域（首尔） ap-northeast-2 athena.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1 athena.ap-southeast-1.amazonaws.com HTTPS

亚太区域（悉尼） ap-southeast-2 athena.ap-southeast-2.amazonaws.com HTTPS

亚太区域（东京） ap-northeast-1 athena.ap-northeast-1.amazonaws.com HTTPS

欧洲（法兰克福） eu-central-1 athena.eu-central-1.amazonaws.com HTTPS

欧洲（爱尔兰） eu-west-1 athena.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 athena.eu-west-2.amazonaws.com HTTPS

版本 1.07

Amazon Web Services 一般参考Amazon Aurora

Note

要通过 JDBC (Java 数据库连接) 驱动程序 2.x 版连接到服务，请使用 JDBC 驱动程序安装和配置指南中的 URL 连接字符串格式。要通过 JDBC 驱动程序 1.x 版连接到服务，请使用将 Athena 与 JDBC 驱动程序的早期版本结合使用中的连接字符串格式。要通过 ODBC (开放式数据库连接) 驱动程序连接到服务，请使用 Athena ODBC 驱动程序安装和配置指南中的 URL 连接字符串格式。

Amazon AuroraAmazon Aurora 与 MySQL 的兼容性



us-east-1 rds.us-east-1.amazonaws.com HTTPS




us-west-1 rds.us-west-1.amazonaws.com HTTPS



加拿大 (中部)

ca-central-1 rds.ca-central-1.amazonaws.com HTTPS


ap-south-1 rds.ap-south-1.amazonaws.com HTTPS


ap-northeast-1

rds.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-southeast-1

rds.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2



eu-central-1 rds.eu-central-1.amazonaws.com HTTPS


eu-west-1 rds.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 rds.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 rds.eu-west-3.amazonaws.com HTTPS

版本 1.08

https://s3.amazonaws.com/athena-downloads/drivers/JDBC/SimbaAthenaJDBC_2.0.2/docs/Simba+Athena+JDBC+Driver+Install+and+Configuration+Guide.pdf

https://s3.amazonaws.com/athena-downloads/drivers/JDBC/SimbaAthenaJDBC_2.0.2/docs/Simba+Athena+JDBC+Driver+Install+and+Configuration+Guide.pdf

http://docs.amazonaws.cn/athena/latest/ug/connect-with-previous-jdbc.html

http://docs.amazonaws.cn/athena/latest/ug/connect-with-previous-jdbc.html

https://s3.amazonaws.com/athena-downloads/drivers/ODBC/Simba+Athena+ODBC+Install+and+Configuration+Guide.pdf

https://s3.amazonaws.com/athena-downloads/drivers/ODBC/Simba+Athena+ODBC+Install+and+Configuration+Guide.pdf

Amazon Web Services 一般参考与 PostgreSQL 兼容的 Amazon Aurora

与 PostgreSQL 兼容的 Amazon Aurora










加拿大 (中部)





ap-northeast-1



ap-northeast-2



ap-southeast-1



ap-southeast-2







欧洲 (巴黎) eu-west-3 rds.eu-west-3.amazonaws.com HTTPS

AWS Auto Scaling



us-east-2 autoscaling.us-east-2.amazonaws.com HTTP 和HTTPS

版本 1.09

Amazon Web Services 一般参考Amazon EC2 Auto Scaling



us-east-1 autoscaling.us-east-1.amazonaws.com HTTP 和HTTPS


us-west-2 autoscaling.us-west-2.amazonaws.com HTTP 和HTTPS


ap-southeast-1

autoscaling.ap-southeast-1.amazonaws.com HTTP 和HTTPS


eu-west-1 autoscaling.eu-west-1.amazonaws.com HTTP 和HTTPS

Amazon EC2 Auto Scaling

RegionName











ap-northeast-1



ap-northeast-2



ap-northeast-3



ap-south-1 autoscaling.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1



ap-southeast-2


加拿大（中部)

ca-central-1 autoscaling.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 autoscaling.cn-north-1.amazonaws.com.cn HTTP andHTTPS

版本 1.010

Amazon Web Services 一般参考AWS Batch

RegionName


China(Ningxia)

cn-northwest-1

autoscaling.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 autoscaling.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 autoscaling.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 autoscaling.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 autoscaling.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 autoscaling.sa-east-1.amazonaws.com HTTP andHTTPS

如果您只指定通用终端节点 (autoscaling.amazonaws.com)，Amazon EC2 Auto Scaling 会将您的请求转至us-east-1 终端节点。

AWS Batch区域名称区域终端节点协议


us-west-2 batch.us-west-2.amazonaws.com HTTPS


us-west-1 batch.us-west-1.amazonaws.com HTTPS


us-east-2 batch.us-east-2.amazonaws.com HTTPS


us-east-1 batch.us-east-1.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 batch.ca-central-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 batch.eu-west-2.amazonaws.com HTTPS


eu-west-1 batch.eu-west-1.amazonaws.com HTTPS


eu-central-1 batch.eu-central-1.amazonaws.com HTTPS


ap-northeast-1

batch.ap-northeast-1.amazonaws.com HTTPS

版本 1.011

Amazon Web Services 一般参考AWS Billing and Cost Management



ap-northeast-2

batch.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 batch.ap-south-1.amazonaws.com HTTPS


ap-southeast-2

batch.ap-southeast-2.amazonaws.com HTTPS


ap-southeast-1

batch.ap-southeast-1.amazonaws.com HTTPS

AWS Billing and Cost ManagementAWS Billing and Cost Management 包括 AWS 成本管理器 API、AWS Budgets API 以及 AWS 价目表API。

AWS 成本管理器



us-east-1 https://ce.us-east-1.amazonaws.com HTTPS

AWS Budgets



us-east-1 https://budgets.us-east-1.amazonaws.com HTTPS

AWS 价目表服务

RegionName



us-east-1 api.pricing.us-east-1.amazonaws.com HTTPS


ap-south-1 api.pricing.ap-south-1.amazonaws.com HTTPS

版本 1.012

Amazon Web Services 一般参考AWS Certificate Manager

AWS Certificate Manager

RegionName



us-east-2 acm.us-east-2.amazonaws.com HTTPS


us-east-1 acm.us-east-1.amazonaws.com HTTPS


us-west-1 acm.us-west-1.amazonaws.com HTTPS


us-west-2 acm.us-west-2.amazonaws.com HTTPS


ap-northeast-1

acm.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 acm.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

acm.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

acm.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 acm.ca-central-1.amazonaws.com HTTPS


eu-central-1 acm.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 acm.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 acm.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 acm.eu-west-3.amazonaws.com HTTPS


sa-east-1 acm.sa-east-1.amazonaws.com HTTPS

版本 1.013

Amazon Web Services 一般参考AWS Certificate Manager Private Certificate Authority

AWS Certificate Manager Private CertificateAuthority



us-east-1 acm-pca.us-east-1.amazonaws.com HTTPS


us-east-2 acm-pca.us-east-2.amazonaws.com HTTPS


us-west-2 acm-pca.us-west-2.amazonaws.com HTTPS


ap-northeast-1

acm-pca.ap-northeast-1.amazonaws.com HTTPS


ap-southeast-1

acm-pca.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

acm-pca.ap-southeast-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 acm-pca.ca-central-1.amazonaws.com HTTPS


eu-west-1 acm-pca.eu-west-1.amazonaws.com HTTPS


eu-central-1 acm-pca.eu-central-1.amazonaws.com HTTPS

AWS Cloud9RegionName



us-east-2 cloud9.us-east-2.amazonaws.com HTTPS


us-east-1 cloud9.us-east-1.amazonaws.com HTTPS


us-west-2 cloud9.us-west-2.amazonaws.com HTTPS


ap-southeast-1

cloud9.ap-southeast-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cloud9.eu-west-1.amazonaws.com HTTPS

版本 1.014

Amazon Web Services 一般参考Amazon Cloud Directory

Amazon Cloud Directory



us-east-2 clouddirectory.us-east-2.amazonaws.com HTTPS


us-east-1 clouddirectory.us-east-1.amazonaws.com HTTPS


us-west-2 clouddirectory.us-west-2.amazonaws.com HTTPS


ap-southeast-1

clouddirectory.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

clouddirectory.ap-southeast-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 clouddirectory.ca-central-1.amazonaws.com HTTPS


eu-central-1 clouddirectory.eu-central-1.amazonaws.com HTTPS


eu-west-1 clouddirectory.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 clouddirectory.eu-west-2.amazonaws.com HTTPS

AWS CloudFormation



us-east-1 cloudformation.us-east-1.amazonaws.com

cloudformation-fips.us-east-1.amazonaws.com

HTTPS


us-east-2 cloudformation.us-east-2.amazonaws.com

cloudformation-fips.us-east-2.amazonaws.com

HTTPS


us-west-1 cloudformation.us-west-1.amazonaws.com

cloudformation-fips.us-west-1.amazonaws.com

HTTPS


us-west-2 cloudformation.us-west-2.amazonaws.com

cloudformation-fips.us-west-2.amazonaws.com

HTTPS


ap-northeast-1

cloudformation.ap-northeast-1.amazonaws.com HTTPS

版本 1.015

Amazon Web Services 一般参考Amazon CloudFront



ap-northeast-2


亚太区域 (大阪当地)

ap-northeast-3



ap-south-1 cloudformation.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

cloudformation.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cloudformation.ap-southeast-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 cloudformation.ca-central-1.amazonaws.com HTTPS

中国（北京）

cn-north-1 cloudformation.cn-north-1.amazonaws.com.cn HTTPS

中国 (宁夏) cn-northwest-1

cloudformation.cn-northwest-1.amazonaws.com.cn HTTPS


eu-west-1 cloudformation.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 cloudformation.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 cloudformation.eu-west-3.amazonaws.com HTTPS


eu-central-1 cloudformation.eu-central-1.amazonaws.com HTTPS


sa-east-1 cloudformation.sa-east-1.amazonaws.com HTTPS

AWSGovCloud(US)

us-gov-west-1

cloudformation.us-gov-west-1.amazonaws.com HTTPS

Amazon CloudFrontAmazon CloudFront 分配有单个终端节点 (cloudfront.amazonaws.com)，只支持 HTTPS 请求。当您以编程方式向 CloudFront 提交请求时，请指定美国东部（弗吉尼亚北部）地区的 us-east-1。

CloudFront 托管区域 ID 值为 Z2FDTNDATAQYW2。

版本 1.016

Amazon Web Services 一般参考AWS CloudHSM

AWS CloudHSMRegionName



us-east-2 cloudhsmv2.us-east-2.amazonaws.com HTTPS


us-east-1 cloudhsmv2.us-east-1.amazonaws.com HTTPS


us-west-1 cloudhsmv2.us-west-1.amazonaws.com HTTPS


us-west-2 cloudhsmv2.us-west-2.amazonaws.com HTTPS


ap-northeast-1

cloudhsmv2.ap-northeast-1.amazonaws.com HTTPS


ap-south-1 cloudhsmv2.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

cloudhsmv2.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cloudhsmv2.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 cloudhsmv2.ca-central-1.amazonaws.com HTTPS


eu-central-1 cloudhsmv2.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cloudhsmv2.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 cloudhsmv2.eu-west-2.amazonaws.com HTTPS

AWS CloudHSM ClassicRegionName



us-east-2 cloudhsm.us-east-2.amazonaws.com HTTPS


us-east-1 cloudhsm.us-east-1.amazonaws.com HTTPS


us-west-1 cloudhsm.us-west-1.amazonaws.com HTTPS

版本 1.017

Amazon Web Services 一般参考Amazon CloudSearch

RegionName



us-west-2 cloudhsm.us-west-2.amazonaws.com HTTPS


ap-northeast-1

cloudhsm.ap-northeast-1.amazonaws.com HTTPS


ap-southeast-1

cloudhsm.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cloudhsm.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 cloudhsm.ca-central-1.amazonaws.com HTTPS


eu-central-1 cloudhsm.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cloudhsm.eu-west-1.amazonaws.com HTTPS

Amazon CloudSearch

RegionName



us-east-1 cloudsearch.us-east-1.amazonaws.com HTTPS


us-west-1 cloudsearch.us-west-1.amazonaws.com HTTPS


us-west-2 cloudsearch.us-west-2.amazonaws.com HTTPS


ap-northeast-1

cloudsearch.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

cloudsearch.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

cloudsearch.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cloudsearch.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 cloudsearch.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cloudsearch.eu-west-1.amazonaws.com HTTPS

版本 1.018

Amazon Web Services 一般参考AWS CloudTrail

RegionName



sa-east-1 cloudsearch.sa-east-1.amazonaws.com HTTPS

AWS CloudTrailRegionName



us-east-2 cloudtrail.us-east-2.amazonaws.com HTTPS


us-east-1 cloudtrail.us-east-1.amazonaws.com HTTPS


us-west-1 cloudtrail.us-west-1.amazonaws.com HTTPS


us-west-2 cloudtrail.us-west-2.amazonaws.com HTTPS


ap-northeast-1

cloudtrail.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 cloudtrail.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

cloudtrail.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cloudtrail.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 cloudtrail.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 cloudtrail.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

cloudtrail.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 cloudtrail.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cloudtrail.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 cloudtrail.eu-west-2.amazonaws.com HTTPS

版本 1.019

Amazon Web Services 一般参考Amazon CloudWatch

RegionName


欧盟 (巴黎) eu-west-3 cloudtrail.eu-west-3.amazonaws.com HTTPS


sa-east-1 cloudtrail.sa-east-1.amazonaws.com HTTPS

Amazon CloudWatch

RegionName



us-east-2 monitoring.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 monitoring.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 monitoring.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 monitoring.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

monitoring.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 monitoring.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

monitoring.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

monitoring.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 monitoring.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 monitoring.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

monitoring.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 monitoring.eu-central-1.amazonaws.com HTTP andHTTPS

版本 1.020

Amazon Web Services 一般参考Amazon CloudWatch Events

RegionName


欧洲 (爱尔兰)

eu-west-1 monitoring.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 monitoring.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 monitoring.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 monitoring.sa-east-1.amazonaws.com HTTP andHTTPS

Amazon CloudWatch Events

RegionName



us-east-2 events.us-east-2.amazonaws.com HTTPS


us-east-1 events.us-east-1.amazonaws.com HTTPS


us-west-1 events.us-west-1.amazonaws.com HTTPS


us-west-2 events.us-west-2.amazonaws.com HTTPS


ap-northeast-1

events.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 events.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

events.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

events.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 events.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 events.cn-north-1.amazonaws.com.cn HTTPS

版本 1.021

Amazon Web Services 一般参考Amazon CloudWatch Logs

RegionName


China(Ningxia)

cn-northwest-1

events.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 events.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 events.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 events.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 events.eu-west-3.amazonaws.com HTTPS


sa-east-1 events.sa-east-1.amazonaws.com HTTPS

Amazon CloudWatch LogsRegionName



us-east-2 logs.us-east-2.amazonaws.com HTTPS


us-east-1 logs.us-east-1.amazonaws.com HTTPS


us-west-1 logs.us-west-1.amazonaws.com HTTPS


us-west-2 logs.us-west-2.amazonaws.com HTTPS


ap-northeast-1

logs.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 logs.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

logs.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

logs.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 logs.ca-central-1.amazonaws.com HTTPS

版本 1.022

Amazon Web Services 一般参考AWS CodeBuild

RegionName


中国 (北京) cn-north-1 logs.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

logs.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 logs.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 logs.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 logs.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 logs.eu-west-3.amazonaws.com HTTPS


sa-east-1 logs.sa-east-1.amazonaws.com HTTPS

AWS CodeBuild区域名称区域终端节点协议


us-east-1 codebuild.us-east-1.amazonaws.com

codebuild-fips.us-east-1.amazonaws.com

HTTPS


us-east-2 codebuild.us-east-2.amazonaws.com

codebuild-fips.us-east-2.amazonaws.com

HTTPS


us-west-1 codebuild.us-west-1.amazonaws.com

codebuild-fips.us-west-1.amazonaws.com

HTTPS


us-west-2 codebuild.us-west-2.amazonaws.com

codebuild-fips.us-west-2.amazonaws.com

HTTPS


ap-northeast-1

codebuild.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

codebuild.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 codebuild.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

codebuild.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

codebuild.ap-southeast-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 codebuild.ca-central-1.amazonaws.com HTTPS

版本 1.023

Amazon Web Services 一般参考AWS CodeCommit



eu-west-1 codebuild.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 codebuild.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 codebuild.eu-west-3.amazonaws.com HTTPS


eu-central-1 codebuild.eu-central-1.amazonaws.com HTTPS


sa-east-1 codebuild.sa-east-1.amazonaws.com HTTPS

AWS CodeCommitRegionName



us-east-2 codecommit.us-east-2.amazonaws.com HTTPS


us-east-1 codecommit.us-east-1.amazonaws.com HTTPS


us-west-1 codecommit.us-west-1.amazonaws.com HTTPS


us-west-2 codecommit.us-west-2.amazonaws.com HTTPS


ap-northeast-1

codecommit.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

codecommit.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 codecommit.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

codecommit.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

codecommit.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 codecommit.ca-central-1.amazonaws.com HTTPS


eu-central-1 codecommit.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 codecommit.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 codecommit.eu-west-2.amazonaws.com HTTPS

版本 1.024

Amazon Web Services 一般参考AWS CodeDeploy

RegionName


欧盟 (巴黎) eu-west-3 codecommit.eu-west-3.amazonaws.com HTTPS


sa-east-1 codecommit.sa-east-1.amazonaws.com HTTPS

有关 Git 连接终端节点的信息，包括 SSH 和 HTTPS 信息，请参阅适用于 AWS CodeCommit 的区域和 Git连接终端节点。

AWS CodeDeploy

RegionName



us-east-2 codedeploy.us-east-2.amazonaws.com HTTPS


us-east-1 codedeploy.us-east-1.amazonaws.com HTTPS


us-west-1 codedeploy.us-west-1.amazonaws.com HTTPS


us-west-2 codedeploy.us-west-2.amazonaws.com HTTPS


ap-northeast-1

codedeploy.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 codedeploy.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

codedeploy.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

codedeploy.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 codedeploy.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 codedeploy.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

codedeploy.cn-northwest-1.amazonaws.com.cn HTTPS

版本 1.025

http://docs.amazonaws.cn/codecommit/latest/userguide/regions.html

http://docs.amazonaws.cn/codecommit/latest/userguide/regions.html

Amazon Web Services 一般参考AWS CodePipeline

RegionName



eu-central-1 codedeploy.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 codedeploy.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 codedeploy.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 codedeploy.eu-west-3.amazonaws.com HTTPS


sa-east-1 codedeploy.sa-east-1.amazonaws.com HTTPS

AWS CodePipelineRegionName



us-east-2 codepipeline.us-east-2.amazonaws.com HTTPS


us-east-1 codepipeline.us-east-1.amazonaws.com HTTPS


us-west-1 codepipeline.us-west-1.amazonaws.com HTTPS


us-west-2 codepipeline.us-west-2.amazonaws.com HTTPS


ap-northeast-1

codepipeline.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

codepipeline.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 codepipeline.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

codepipeline.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

codepipeline.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 codepipeline.ca-central-1.amazonaws.com HTTPS


eu-central-1 codepipeline.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 codepipeline.eu-west-1.amazonaws.com HTTPS

版本 1.026

Amazon Web Services 一般参考AWS CodeStar

RegionName


欧洲 (伦敦) eu-west-2 codepipeline.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 codepipeline.eu-west-3.amazonaws.com HTTPS


sa-east-1 codepipeline.sa-east-1.amazonaws.com HTTPS

AWS CodeStar

RegionName



us-east-2 codestar.us-east-2.amazonaws.com


us-east-1 codestar.us-east-1.amazonaws.com


us-west-1 codestar.us-west-1.amazonaws.com


us-west-2 codestar.us-west-2.amazonaws.com


ap-northeast-1

codestar.ap-northeast-1.amazonaws.com


ap-northeast-2

codestar.ap-northeast-2.amazonaws.com


ap-southeast-1

codestar.ap-southeast-1.amazonaws.com


ap-southeast-2

codestar.ap-southeast-2.amazonaws.com

加拿大（中部)

ca-central-1 codestar.ca-central-1.amazonaws.com


eu-central-1 codestar.eu-central-1.amazonaws.com

欧洲 (爱尔兰)

eu-west-1 codestar.eu-west-1.amazonaws.com

欧洲 (伦敦) eu-west-2 codestar.eu-west-2.amazonaws.com

Amazon Cognito 身份Amazon Cognito 身份包括 Amazon Cognito 您的用户池和 Amazon Cognito 联合身份。

版本 1.027

Amazon Web Services 一般参考Amazon Cognito 您的用户池

Amazon Cognito 您的用户池



us-east-2 cognito-idp.us-east-2.amazonaws.com HTTPS


us-east-1 cognito-idp.us-east-1.amazonaws.com HTTPS


us-west-2 cognito-idp.us-west-2.amazonaws.com HTTPS


ap-south-1 cognito-idp.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

cognito-idp.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

cognito-idp.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cognito-idp.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

cognito-idp.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 cognito-idp.eu-central-1.amazonaws.com HTTPS


eu-west-1 cognito-idp.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 cognito-idp.eu-west-2.amazonaws.com HTTPS

Amazon Cognito 联合身份

RegionName



us-east-2 cognito-identity.us-east-2.amazonaws.com HTTPS


us-east-1 cognito-identity.us-east-1.amazonaws.com HTTPS


us-west-2 cognito-identity.us-west-2.amazonaws.com HTTPS


ap-northeast-1

cognito-identity.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

cognito-identity.ap-northeast-2.amazonaws.com HTTPS

版本 1.028

Amazon Web Services 一般参考Amazon Cognito Sync

RegionName



ap-south-1 cognito-identity.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

cognito-identity.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cognito-identity.ap-southeast-2.amazonaws.com HTTPS

中国 (北京) cn-north-1 cognito-identity.cn-north-1.amazonaws.com.cn HTTPS


eu-central-1 cognito-identity.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cognito-identity.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 cognito-identity.eu-west-2.amazonaws.com HTTPS

Amazon Cognito SyncRegionName



us-east-2 cognito-sync.us-east-2.amazonaws.com HTTPS


us-east-1 cognito-sync.us-east-1.amazonaws.com HTTPS


us-west-2 cognito-sync.us-west-2.amazonaws.com HTTPS


ap-northeast-1

cognito-sync.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

cognito-sync.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 cognito-sync.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

cognito-sync.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

cognito-sync.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 cognito-sync.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 cognito-sync.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 cognito-sync.eu-west-2.amazonaws.com HTTPS

版本 1.029

Amazon Web Services 一般参考AWS Config

AWS Config

RegionName



us-east-2 config.us-east-2.amazonaws.com HTTPS


us-east-1 config.us-east-1.amazonaws.com HTTPS


us-west-1 config.us-west-1.amazonaws.com HTTPS


us-west-2 config.us-west-2.amazonaws.com HTTPS


ap-northeast-1

config.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

config.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 config.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

config.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

config.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 config.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 config.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

config.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 config.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 config.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 config.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 config.eu-west-3.amazonaws.com HTTPS


sa-east-1 config.sa-east-1.amazonaws.com HTTPS

版本 1.030

Amazon Web Services 一般参考AWS Config 规则

AWS Config 规则您可以使用 AWS Config 规则来评估您在下列区域中的 AWS 资源配置。



us-east-2 configrules.us-east-2.amazonaws.com HTTPS


us-east-1 configrules.us-east-1.amazonaws.com HTTPS


us-west-1 configrules.us-west-1.amazonaws.com HTTPS


us-west-2 configrules.us-west-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 configrules.ca-central-1.amazonaws.com HTTPS


ap-south-1 configrules.ap-south-1.amazonaws.com HTTPS

中国（北京）

cn-north-1 configrules.cn-north-1.amazonaws.com.cn HTTPS


ap-northeast-2

configrules.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

configrules.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

configrules.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

configrules.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 configrules.eu-central-1.amazonaws.com HTTPS


eu-west-1 configrules.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 configrules.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 configrules.eu-west-3.amazonaws.com HTTPS


sa-east-1 configrules.sa-east-1.amazonaws.com HTTPS

版本 1.031

Amazon Web Services 一般参考Amazon Connect

Amazon Connect区域名称区域终端节点协议


us-east-1 connect.us-east-1.amazonaws.com

HTTPS

美国西部（俄勒冈） us-west-2 connect.us-west-2.amazonaws.com

HTTPS

亚太区域（悉尼） ap-southeast-2 connect.ap-southeast-2.amazonaws.com

HTTPS

欧洲（法兰克福） eu-central-1 connect.eu-central-1.amazonaws.com

HTTPS

AWS Data PipelineRegionName



us-east-1 datapipeline.us-east-1.amazonaws.com HTTPS


us-west-2 datapipeline.us-west-2.amazonaws.com HTTPS


ap-northeast-1

datapipeline.ap-northeast-1.amazonaws.com HTTPS


ap-southeast-2

datapipeline.ap-southeast-2.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 datapipeline.eu-west-1.amazonaws.com HTTPS

AWS Device FarmRegionName



us-west-2 devicefarm.us-west-2.amazonaws.com HTTPS

Amazon DevPay区域名称区域终端节点协议

不适用不适用 ls.amazonaws.com.cn HTTPS

版本 1.032

Amazon Web Services 一般参考AWS Direct Connect

AWS Direct ConnectRegionName



us-east-2 directconnect.us-east-2.amazonaws.com HTTPS


us-east-1 directconnect.us-east-1.amazonaws.com HTTPS


us-west-1 directconnect.us-west-1.amazonaws.com HTTPS


us-west-2 directconnect.us-west-2.amazonaws.com HTTPS


ap-northeast-1

directconnect.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

directconnect.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 directconnect.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

directconnect.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

directconnect.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 directconnect.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 directconnect.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

directconnect.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 directconnect.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 directconnect.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 directconnect.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 directconnect.eu-west-3.amazonaws.com HTTPS


sa-east-1 directconnect.sa-east-1.amazonaws.com HTTPS

AWS Directory Service下表列出了各 AWS Directory Service 目录类型的区域特定终端节点。

版本 1.033

http://docs.amazonaws.cn/directoryservice/latest/admin-guide/what_is.html

Amazon Web Services 一般参考AWS Directory Service

AWS Directory Service for Microsoft Active Directory

RegionName



us-east-2 ds.us-east-2.amazonaws.com HTTPS




us-west-1 ds.us-west-1.amazonaws.com HTTPS




ap-northeast-1

ds.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-south-1 ds.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

ds.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2


加拿大（中部)

ca-central-1 ds.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 ds.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

ds.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 ds.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 ds.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 ds.eu-west-2.amazonaws.com HTTPS


sa-east-1 ds.sa-east-1.amazonaws.com HTTPS

AD Connector

版本 1.034

http://docs.amazonaws.cn/directoryservice/latest/admin-guide/directory_microsoft_ad.html

http://docs.amazonaws.cn/directoryservice/latest/admin-guide/directory_ad_connector.html

Amazon Web Services 一般参考AWS Directory Service







ap-southeast-1



ap-southeast-2



ap-northeast-1



eu-central-1 ds.eu-central-1.amazonaws.com HTTPS



欧洲 (伦敦) eu-west-2 ds.eu-west-2.amazonaws.com HTTPS


sa-east-1 ds.sa-east-1.amazonaws.com HTTPS

Simple AD







ap-southeast-1



ap-southeast-2



ap-northeast-1




版本 1.035

http://docs.amazonaws.cn/directoryservice/latest/admin-guide/directory_simple_ad.html

Amazon Web Services 一般参考Amazon DynamoDB

Amazon DynamoDBRegionName



us-east-2 dynamodb.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 dynamodb.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 dynamodb.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 dynamodb.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

dynamodb.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 dynamodb.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

dynamodb.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

dynamodb.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 dynamodb.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 dynamodb.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

dynamodb.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 dynamodb.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 dynamodb.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 dynamodb.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 dynamodb.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 dynamodb.sa-east-1.amazonaws.com HTTP andHTTPS

版本 1.036

Amazon Web Services 一般参考DynamoDB Accelerator (DAX)

DynamoDB Accelerator (DAX)RegionName



us-east-2 dax.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 dax.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 dax.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 dax.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

dax.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-south-1 dax.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

dax.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

dax.ap-southeast-2.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 dax.eu-west-1.amazonaws.com HTTP andHTTPS


sa-east-1 dax.sa-east-1.amazonaws.com HTTP andHTTPS

Amazon DynamoDB StreamsRegionName



us-east-2 streams.dynamodb.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 streams.dynamodb.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 streams.dynamodb.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 streams.dynamodb.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

streams.dynamodb.ap-northeast-1.amazonaws.com HTTP andHTTPS

版本 1.037

Amazon Web Services 一般参考AWS Elastic Beanstalk

RegionName



ap-northeast-2



ap-northeast-3



ap-south-1 streams.dynamodb.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

streams.dynamodb.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

streams.dynamodb.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 streams.dynamodb.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 streams.dynamodb.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

streams.dynamodb.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 streams.dynamodb.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 streams.dynamodb.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 streams.dynamodb.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 streams.dynamodb.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 streams.dynamodb.sa-east-1.amazonaws.com HTTP andHTTPS

AWS Elastic Beanstalk

区域名称区域终端节点协议 Route 53 托管区域ID


us-east-2 elasticbeanstalk.us-east-2.amazonaws.com

HTTPS Z14LCN19Q5QHIC


us-east-1 elasticbeanstalk.us-east-1.amazonaws.com

HTTPS Z117KPS5GTRQ2G

版本 1.038

Amazon Web Services 一般参考AWS Elastic Beanstalk Health Service

区域名称区域终端节点协议 Route 53 托管区域ID


us-west-1 elasticbeanstalk.us-west-1.amazonaws.com

HTTPS Z1LQECGX5PH1X


us-west-2 elasticbeanstalk.us-west-2.amazonaws.com

HTTPS Z38NKT9BP95V3O

加拿大 (中部)

ca-central-1 elasticbeanstalk.ca-central-1.amazonaws.com

HTTPS ZJFCZL7SSZB5I


ap-south-1 elasticbeanstalk.ap-south-1.amazonaws.com

HTTPS Z18NTBI3Y7N9TZ


ap-northeast-2

elasticbeanstalk.ap-northeast-2.amazonaws.com

HTTPS Z3JE5OI70TWKCP


ap-northeast-3


HTTPS ZNE5GEY1TIAGY


ap-southeast-1

elasticbeanstalk.ap-southeast-1.amazonaws.com

HTTPS Z16FZ9L249IFLT


ap-southeast-2

elasticbeanstalk.ap-southeast-2.amazonaws.com

HTTPS Z2PCDNR3VC2G1N


ap-northeast-1


HTTPS Z1R25G3KIG2GBW


elasticbeanstalk.cn-northwest-1.amazonaws.com.cn

HTTPS 无


eu-central-1 elasticbeanstalk.eu-central-1.amazonaws.com

HTTPS Z1FRNW7UH4DEZJ


eu-west-1 elasticbeanstalk.eu-west-1.amazonaws.com

HTTPS Z2NYPWQ7DFZAZH

欧洲 (伦敦) eu-west-2 elasticbeanstalk.eu-west-2.amazonaws.com

HTTPS Z1GKAAAUGATPF1

欧洲 (巴黎) eu-west-3 elasticbeanstalk.eu-west-3.amazonaws.com

HTTPS Z5WN6GAYWG5OB


sa-east-1 elasticbeanstalk.sa-east-1.amazonaws.com

HTTPS Z10X7K2B4QSOFV

AWS Elastic Beanstalk Health Service



us-east-2 elasticbeanstalk-health.us-east-2.amazonaws.com HTTPS

版本 1.039

Amazon Web Services 一般参考Amazon Elastic Compute Cloud (Amazon EC2)



us-east-1 elasticbeanstalk-health.us-east-1.amazonaws.com HTTPS


us-west-1 elasticbeanstalk-health.us-west-1.amazonaws.com HTTPS


us-west-2 elasticbeanstalk-health.us-west-2.amazonaws.com HTTPS


ap-south-1 elasticbeanstalk-health.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

elasticbeanstalk-health.ap-northeast-2.amazonaws.com HTTPS


ap-northeast-3



ap-southeast-1

elasticbeanstalk-health.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

elasticbeanstalk-health.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1


加拿大 (中部)

ca-central-1 elasticbeanstalk-health.ca-central-1.amazonaws.com HTTPS


eu-central-1 elasticbeanstalk-health.eu-central-1.amazonaws.com HTTPS


eu-west-1 elasticbeanstalk-health.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 elasticbeanstalk-health.eu-west-2.amazonaws.com HTTPS


sa-east-1 elasticbeanstalk-health.sa-east-1.amazonaws.com HTTPS

Amazon Elastic Compute Cloud (Amazon EC2)

RegionName



us-east-2 ec2.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 ec2.us-east-1.amazonaws.com HTTP andHTTPS

版本 1.040


RegionName



us-west-1 ec2.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 ec2.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

ec2.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 ec2.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

ec2.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

ec2.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 ec2.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 ec2.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

ec2.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 ec2.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 ec2.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 ec2.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 ec2.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 ec2.sa-east-1.amazonaws.com HTTP andHTTPS

版本 1.041

Amazon Web Services 一般参考Amazon Elastic Container Registry

Amazon Elastic Container Registry

RegionName



us-east-2 ecr.us-east-2.amazonaws.com HTTPS


us-east-1 ecr.us-east-1.amazonaws.com HTTPS


us-west-1 ecr.us-west-1.amazonaws.com HTTPS


us-west-2 ecr.us-west-2.amazonaws.com HTTPS


ap-northeast-1

ecr.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

ecr.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 ecr.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

ecr.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

ecr.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 ecr.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 ecr.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

ecr.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 ecr.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 ecr.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 ecr.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 ecr.eu-west-3.amazonaws.com HTTPS


sa-east-1 ecr.sa-east-1.amazonaws.com HTTPS

版本 1.042

Amazon Web Services 一般参考Amazon Elastic Container Service

Amazon Elastic Container Service

RegionName



us-east-2 ecs.us-east-2.amazonaws.com HTTPS


us-east-1 ecs.us-east-1.amazonaws.com HTTPS


us-west-1 ecs.us-west-1.amazonaws.com HTTPS


us-west-2 ecs.us-west-2.amazonaws.com HTTPS


ap-northeast-1

ecs.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

ecs.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 ecs.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

ecs.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

ecs.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 ecs.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 ecs.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

ecs.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 ecs.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 ecs.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 ecs.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 ecs.eu-west-3.amazonaws.com HTTPS


sa-east-1 ecs.sa-east-1.amazonaws.com HTTPS

版本 1.043

Amazon Web Services 一般参考Amazon Elastic Container Service

for Kubernetes (Amazon EKS)

Amazon Elastic Container Service for Kubernetes(Amazon EKS)



us-east-1 eks.us-east-1.amazonaws.com HTTPS


us-west-2 eks.us-west-2.amazonaws.com HTTPS

Amazon Elastic File System



us-east-2 elasticfilesystem.us-east-2.amazonaws.com HTTPS


us-east-1 elasticfilesystem.us-east-1.amazonaws.com HTTPS


us-west-1 elasticfilesystem.us-west-1.amazonaws.com HTTPS


us-west-2 elasticfilesystem.us-west-2.amazonaws.com HTTPS


ap-northeast-2

elasticfilesystem.ap-northeast-2.amazonaws.com HTTPS


eu-central-1 elasticfilesystem.eu-central-1.amazonaws.com HTTPS


eu-west-1 elasticfilesystem.eu-west-1.amazonaws.com HTTPS


ap-southeast-2

elasticfilesystem.ap-southeast-2.amazonaws.com HTTPS

版本 1.044

Amazon Web Services 一般参考Elastic Load Balancing

Elastic Load Balancing

区域名称区域终端节点协议 Route 53 托管区域 ID (应用程序负载均衡器、传统负载均衡器)

Route 53 托管区域 ID (网络负载均衡器)


us-east-2 elasticloadbalancing.us-east-2.amazonaws.com

HTTPS Z3AADJGX6KTTL2ZLMOA37VPKANP


us-east-1 elasticloadbalancing.us-east-1.amazonaws.com

HTTPS Z35SXDOTRQ7X7KZ26RNL4JYFTOTI


us-west-1 elasticloadbalancing.us-west-1.amazonaws.com

HTTPS Z368ELLRRE2KJ0Z24FKFUX50B4VW


us-west-2 elasticloadbalancing.us-west-2.amazonaws.com

HTTPS Z1H1FL5HABSF5 Z18D5FSROUN65G

加拿大 (中部)

ca-central-1

elasticloadbalancing.ca-central-1.amazonaws.com

HTTPS ZQSVJUPU6J1EYZ2EPGBW3API2WT


ap-south-1

elasticloadbalancing.ap-south-1.amazonaws.com

HTTPS ZP97RAFLXTNZK ZVDDRBQ08TROA


ap-northeast-2

elasticloadbalancing.ap-northeast-2.amazonaws.com

HTTPS ZWKZPGTI48KDXZIBE1TIR4HY56

亚太区域(大阪当地)

ap-northeast-3


HTTPS Z5LXEXXYW11ES无


ap-southeast-1

elasticloadbalancing.ap-southeast-1.amazonaws.com

HTTPS Z1LMS91P8CMLE5ZKVM4W9LS7TM


ap-southeast-2

elasticloadbalancing.ap-southeast-2.amazonaws.com

HTTPS Z1GM3OXH4ZPM65ZCT6FZBF4DROD


ap-northeast-1


HTTPS Z14GRHDCWA56QTZ31USIVHYNEOWT

中国（北京）

cn-north-1 elasticloadbalancing.cn-north-1.amazonaws.com.cn

HTTPS 无无

中国 (宁夏)

cn-northwest-1

elasticloadbalancing.cn-northwest-1.amazonaws.com.cn

HTTPS 无无


eu-central-1

elasticloadbalancing.eu-central-1.amazonaws.com

HTTPS Z215JYRZR1TBD5Z3F0SRJ5LGBH90


eu-west-1 elasticloadbalancing.eu-west-1.amazonaws.com

HTTPS Z32O12XQLNTSW2Z2IFOLAFXWLO4F

版本 1.045

Amazon Web Services 一般参考Amazon Elastic Transcoder

区域名称区域终端节点协议 Route 53 托管区域 ID (应用程序负载均衡器、传统负载均衡器)

Route 53 托管区域 ID (网络负载均衡器)

欧洲 (伦敦)


HTTPS ZHURV8PSTC4K8ZD4D7Y8KGAS4G

欧洲 (巴黎)


HTTPS Z3Q77PNBQS71R4Z1CMS0P5QUZ6D5


sa-east-1 elasticloadbalancing.sa-east-1.amazonaws.com

HTTPS Z2P70J7HTTTPLUZTK26PT1VY4CU

如果您只指定通用终端节点 (elasticloadbalancing.amazonaws.com)，Elastic Load Balancing 会将您的请求转至 us-east-1 终端节点。

Amazon Elastic Transcoder



us-east-1 elastictranscoder.us-east-1.amazonaws.com HTTPS


us-west-1 elastictranscoder.us-west-1.amazonaws.com HTTPS


us-west-2 elastictranscoder.us-west-2.amazonaws.com HTTPS


ap-south-1 elastictranscoder.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

elastictranscoder.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

elastictranscoder.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

elastictranscoder.ap-northeast-1.amazonaws.com HTTPS


eu-west-1 elastictranscoder.eu-west-1.amazonaws.com HTTPS

版本 1.046

Amazon Web Services 一般参考Amazon ElastiCache

Amazon ElastiCache

RegionName



us-east-2 elasticache.us-east-2.amazonaws.com HTTPS


us-east-1 elasticache.us-east-1.amazonaws.com HTTPS


us-west-1 elasticache.us-west-1.amazonaws.com HTTPS


us-west-2 elasticache.us-west-2.amazonaws.com HTTPS


ap-northeast-1

elasticache.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 elasticache.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

elasticache.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

elasticache.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 elasticache.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 elasticache.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

elasticache.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 elasticache.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 elasticache.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 elasticache.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 elasticache.eu-west-3.amazonaws.com HTTPS


sa-east-1 elasticache.sa-east-1.amazonaws.com HTTPS

附加信息:

版本 1.047

Amazon Web Services 一般参考Amazon Elasticsearch Service

亚太区域 (大阪当地) 是一个可供选择请求访问的 AWS 客户的本地区域。希望使用亚太区域 (大阪当地) 的客户应联系其销售代表。亚太区域 (大阪当地) 支持单个可用区。

Amazon Elasticsearch Service

RegionName



us-east-2 es.us-east-2.amazonaws.com HTTPS


us-east-1 es.us-east-1.amazonaws.com HTTPS


us-west-1 es.us-west-1.amazonaws.com HTTPS


us-west-2 es.us-west-2.amazonaws.com HTTPS


ap-northeast-1

es.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

es.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 es.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

es.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

es.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 es.ca-central-1.amazonaws.com HTTPS

China(Ningxia)

cn-northwest-1

es.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 es.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 es.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 es.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 es.eu-west-3.amazonaws.com HTTPS


sa-east-1 es.sa-east-1.amazonaws.com HTTPS

版本 1.048

Amazon Web Services 一般参考Amazon EMR

Amazon EMRRegionName



us-east-2 elasticmapreduce.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 elasticmapreduce.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 elasticmapreduce.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 elasticmapreduce.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

elasticmapreduce.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 elasticmapreduce.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

elasticmapreduce.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

elasticmapreduce.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 elasticmapreduce.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 elasticmapreduce.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

elasticmapreduce.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 elasticmapreduce.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 elasticmapreduce.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 elasticmapreduce.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 elasticmapreduce.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 elasticmapreduce.sa-east-1.amazonaws.com HTTP andHTTPS

版本 1.049

Amazon Web Services 一般参考AWS Firewall Manager

如果您指定了通用终端节点 (elasticmapreduce.amazonaws.com)，Amazon EMR 会将您的请求转至默认区域的终端节点。对于 2013 年 3 月 8 日或之后创建的账户而言，默认区域是 us-west-2；对于老账户而言，默认区域是 us-east-1。

AWS Firewall Manager区域名称区域终端节点协议


us-east-1 fms.us-east-1.amazonaws.com HTTPS


us-west-2 fms.us-west-2.amazonaws.com HTTPS

Amazon GameLift区域名称区域终端节点协议


us-east-2 gamelift.us-east-2.amazonaws.com HTTPS


us-east-1 gamelift.us-east-1.amazonaws.com HTTPS


us-west-1 gamelift.us-west-1.amazonaws.com HTTPS


us-west-2 gamelift.us-west-2.amazonaws.com HTTPS


ap-south-1 gamelift.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

gamelift.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

gamelift.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

gamelift.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

gamelift.ap-northeast-1.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 gamelift.ca-central-1.amazonaws.com HTTPS


eu-central-1 gamelift.eu-central-1.amazonaws.com HTTPS

版本 1.050

Amazon Web Services 一般参考Amazon Glacier



eu-west-1 gamelift.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 gamelift.eu-west-2.amazonaws.com HTTPS


sa-east-1 gamelift.sa-east-1.amazonaws.com HTTPS

Amazon GlacierRegionName



us-east-2 glacier.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 glacier.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 glacier.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 glacier.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

glacier.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 glacier.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

glacier.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

glacier.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 glacier.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 glacier.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

glacier.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 glacier.eu-central-1.amazonaws.com HTTP andHTTPS

版本 1.051

Amazon Web Services 一般参考AWS Glue

RegionName


欧洲 (爱尔兰)

eu-west-1 glacier.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 glacier.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 glacier.eu-west-3.amazonaws.com HTTP andHTTPS

AWS Glue

RegionName



us-east-2 glue.us-east-2.amazonaws.com HTTPS


us-east-1 glue.us-east-1.amazonaws.com HTTPS


us-west-2 glue.us-west-2.amazonaws.com HTTPS


ap-northeast-1

glue.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

glue.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 glue.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

glue.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

glue.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 glue.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 glue.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 glue.eu-west-2.amazonaws.com HTTPS

AWS Greengrass下表提供了 AWS Greengrass 支持用于组管理的特定于区域的终端节点列表。

版本 1.052

Amazon Web Services 一般参考AWS Greengrass



us-east-1 greengrass.us-east-1.amazonaws.com HTTPS


us-west-2 greengrass.us-west-2.amazonaws.com HTTPS


eu-central-1 greengrass.eu-central-1.amazonaws.com HTTPS


ap-southeast-2 greengrass.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1 greengrass.ap-northeast-1.amazonaws.com HTTPS

下表提供了 AWS Greengrass 将其用于执行 AWS IoT 操作的区域特定终端节点的列表。要查找特定于您的账户的前缀，请使用 describe-endpoint 命令。



us-east-1 前缀.iot.us-east-1.amazonaws.com HTTPS、MQTT


us-west-2 前缀.iot.us-west-2.amazonaws.com HTTPS、MQTT


eu-central-1 前缀.iot.eu-central-1.amazonaws.com HTTPS、MQTT


ap-southeast-2 前缀.iot.ap-southeast-2.amazonaws.com HTTPS、MQTT


ap-northeast-1 前缀.iot.ap-northeast-1.amazonaws.com HTTPS、MQTT

下表提供了区域特定的终端节点列表，AWS Greengrass 支持将这些终端节点用于 AWS Greengrass 特定运行时操作，例如 AWS Greengrass Device Discovery 功能。



us-east-1 greengrass.iot.us-east-1.amazonaws.com HTTPS


us-west-2 greengrass.iot.us-west-2.amazonaws.com HTTPS


eu-central-1 greengrass.iot.eu-central-1.amazonaws.com HTTPS


ap-southeast-2 greengrass.iot.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1 greengrass.iot.ap-northeast-1.amazonaws.com HTTPS

版本 1.053

http://docs.amazonaws.cn/cli/latest/reference/iot/describe-endpoint.html

Amazon Web Services 一般参考Amazon GuardDuty

Amazon GuardDuty



ap-south-1 guardduty.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

guardduty.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

guardduty.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

guardduty.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

guardduty.ap-northeast-1.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 guardduty.ca-central-1.amazonaws.com HTTPS


eu-central-1 guardduty.eu-central-1.amazonaws.com HTTPS


eu-west-1 guardduty.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 guardduty.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 guardduty.eu-west-3.amazonaws.com HTTPS


us-east-1 guardduty.us-east-1.amazonaws.com HTTPS


us-east-2 guardduty.us-east-2.amazonaws.com HTTPS


us-west-1 guardduty.us-west-1.amazonaws.com HTTPS


us-west-2 guardduty.us-west-2.amazonaws.com HTTPS


sa-east-1 guardduty.sa-east-1.amazonaws.com HTTPS

版本 1.054

Amazon Web Services 一般参考AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM)

RegionName



us-east-2 iam.amazonaws.com HTTPS


us-east-1 iam.amazonaws.com HTTPS


us-west-1 iam.amazonaws.com HTTPS


us-west-2 iam.amazonaws.com HTTPS


ap-northeast-1

iam.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 iam.amazonaws.com HTTPS


ap-southeast-1



ap-southeast-2


加拿大（中部)

ca-central-1 iam.amazonaws.com HTTPS

中国 (北京) cn-north-1 iam.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

iam.cn-north-1.amazonaws.com.cn HTTPS


eu-central-1 iam.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 iam.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 iam.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 iam.amazonaws.com HTTPS


sa-east-1 iam.amazonaws.com HTTPS

版本 1.055

Amazon Web Services 一般参考AWS Import/Export

AWS Import/ExportAWS Snowball 现在是一个独立服务。有关该服务的区域信息，请参阅AWS Snowball (p. 93)。

AWS Import/Export DiskAWS Import/Export Disk 对所有区域都有单个终端节点。

终端节点协议

importexport.amazonaws.com.cn HTTPS

Amazon Inspector



us-east-1 inspector.us-east-1.amazonaws.com HTTPS


us-east-2 inspector.us-east-2.amazonaws.com HTTPS


us-west-1 inspector.us-west-1.amazonaws.com HTTPS


us-west-2 inspector.us-west-2.amazonaws.com HTTPS


ap-south-1 inspector.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

inspector.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-2

inspector.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

inspector.ap-northeast-1.amazonaws.com HTTPS


eu-west-1 inspector.eu-west-1.amazonaws.com HTTPS


eu-central-1 inspector.eu-central-1.amazonaws.com HTTPS

AWSGovCloud(US)

us-gov-west-1

inspector.us-gov-west-1.amazonaws.com

inspector-fips.us-gov-west-1.amazonaws.com

HTTPS

版本 1.056

Amazon Web Services 一般参考AWS IoT

有关在 AWS GovCloud (US) 区域中使用 Amazon Inspector 的信息，请参阅 AWS GovCloud (US) 终端节点。

AWS IoT下表提供了 AWS IoT 支持使用规则、证书和策略的特定于区域的终端节点列表。



us-east-2 iot.us-east-2.amazonaws.com HTTPS


us-east-1 iot.us-east-1.amazonaws.com HTTPS


us-west-2 iot.us-west-2.amazonaws.com HTTPS


ap-south-1 iot.ap-south-1.amazonaws.com HTTPS


ap-southeast-1 iot.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2 iot.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1 iot.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2 iot.ap-northeast-2.amazonaws.com HTTPS


eu-central-1 iot.eu-central-1.amazonaws.com HTTPS


eu-west-1 iot.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 iot.eu-west-2.amazonaws.com HTTPS

中国（北京） cn-north-1 iot.cn-north-1.amazonaws.com.cn HTTPS

下表提供了 AWS IoT 支持使用 Device Shadow 的特定于区域的终端节点列表。要查找特定于您的账户的前缀，请使用 describe-endpoint 命令。







us-west-2 前缀.iot.us-west-2.amazonaws.com HTTPS、MQTT

版本 1.057

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

http://docs.amazonaws.cn/cli/latest/reference/iot/describe-endpoint.html

Amazon Web Services 一般参考AWS Key Management Service



ap-south-1 前缀.iot.ap-south-1.amazonaws.com HTTPS、MQTT










eu-central-1 前缀.iot.eu-central-1.amazonaws.com HTTPS、MQTT

欧洲（爱尔兰） eu-west-1 前缀.iot.eu-west-1.amazonaws.com HTTPS、MQTT

欧洲 (伦敦) eu-west-2 前缀.iot.eu-west-2.amazonaws.com HTTPS、MQTT

中国（北京） cn-north-1 前缀.iot.cn-north-1.amazonaws.com.cn HTTPS、MQTT

AWS IoT 支持多种用于访问消息代理和 Thing Shadows 服务的协议。下表列出了每种协议使用的端口。

端口协议身份验证机制

443 HTTPS Signature Version 4

443 通过 WebSocket的 MQTT

Signature Version 4

8443 HTTPS TLS 客户端身份验证，使用证书

8883 MQTT TLS 客户端身份验证，使用证书

AWS Key Management Service



us-east-1 kms.us-east-1.amazonaws.com

kms-fips.us-east-1.amazonaws.com

HTTPS


us-east-2 kms.us-east-2.amazonaws.com

kms-fips.us-east-2.amazonaws.com

HTTPS


us-west-1 kms.us-west-1.amazonaws.com

kms-fips.us-west-1.amazonaws.com

HTTPS

版本 1.058

Amazon Web Services 一般参考AWS Key Management Service



us-west-2 kms.us-west-2.amazonaws.com

kms-fips.us-west-2.amazonaws.com

HTTPS


ap-northeast-1

kms.ap-northeast-1.amazonaws.com

kms-fips.ap-northeast-1.amazonaws.com

HTTPS


ap-northeast-2



HTTPS


ap-northeast-3



HTTPS


ap-south-1 kms.ap-south-1.amazonaws.com

kms-fips.ap-south-1.amazonaws.com

HTTPS


ap-southeast-1

kms.ap-southeast-1.amazonaws.com

kms-fips.ap-southeast-1.amazonaws.com

HTTPS


ap-southeast-2

kms.ap-southeast-2.amazonaws.com

kms-fips.ap-southeast-2.amazonaws.com

HTTPS

加拿大 (中部)

ca-central-1 kms.ca-central-1.amazonaws.com

kms-fips.ca-central-1.amazonaws.com

HTTPS


eu-central-1 kms.eu-central-1.amazonaws.com

kms-fips.eu-central-1.amazonaws.com

HTTPS


eu-west-1 kms.eu-west-1.amazonaws.com

kms-fips.eu-west-1.amazonaws.com

HTTPS

欧洲 (伦敦) eu-west-2 kms.eu-west-2.amazonaws.com


HTTPS

欧洲 (巴黎) eu-west-3 kms.eu-west-3.amazonaws.com


HTTPS


sa-east-1 kms.sa-east-1.amazonaws.com

kms-fips.sa-east-1.amazonaws.com

HTTPS

AWSGovCloud(US)

us-gov-west-1

kms.us-gov-west-1.amazonaws.com

kms-fips.us-gov-west-1.amazonaws.com

HTTPS

版本 1.059

Amazon Web Services 一般参考Amazon Kinesis Data Analytics

Amazon Kinesis Data Analytics



us-east-1 kinesisanalytics.us-east-1.amazonaws.com HTTPS


us-west-2 kinesisanalytics.us-west-2.amazonaws.com HTTPS


eu-west-1 kinesisanalytics.eu-west-1.amazonaws.com HTTPS

Amazon Kinesis Data Firehose



us-east-1 firehose.us-east-1.amazonaws.com HTTPS


us-east-2 firehose.us-east-2.amazonaws.com HTTPS


us-west-1 firehose.us-west-1.amazonaws.com HTTPS


us-west-2 firehose.us-west-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 firehose.ca-central-1.amazonaws.com HTTPS


eu-west-1 firehose.eu-west-1.amazonaws.com HTTPS


eu-central-1 firehose.eu-central-1.amazonaws.com HTTPS


ap-northeast-1

firehose.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

firehose.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

firehose.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

firehose.ap-southeast-2.amazonaws.com HTTPS

版本 1.060

Amazon Web Services 一般参考Amazon Kinesis Data Streams

Amazon Kinesis Data Streams

RegionName



us-east-2 kinesis.us-east-2.amazonaws.com HTTPS


us-east-1 kinesis.us-east-1.amazonaws.com HTTPS


us-west-1 kinesis.us-west-1.amazonaws.com HTTPS


us-west-2 kinesis.us-west-2.amazonaws.com HTTPS


ap-northeast-1

kinesis.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 kinesis.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

kinesis.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

kinesis.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 kinesis.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 kinesis.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

kinesis.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 kinesis.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 kinesis.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 kinesis.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 kinesis.eu-west-3.amazonaws.com HTTPS


sa-east-1 kinesis.sa-east-1.amazonaws.com HTTPS

版本 1.061

Amazon Web Services 一般参考Amazon Kinesis 视频流

Amazon Kinesis 视频流RegionName



us-east-1 kinesisvideo.us-east-1.amazonaws.com HTTPS


us-west-2 kinesisvideo.us-west-2.amazonaws.com HTTPS


ap-northeast-1

kinesisvideo.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 kinesisvideo.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 kinesisvideo.eu-west-1.amazonaws.com HTTPS

AWS LambdaRegionName



us-east-2 lambda.us-east-2.amazonaws.com HTTPS


us-east-1 lambda.us-east-1.amazonaws.com HTTPS


us-west-1 lambda.us-west-1.amazonaws.com HTTPS


us-west-2 lambda.us-west-2.amazonaws.com HTTPS


ap-northeast-1

lambda.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

lambda.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 lambda.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

lambda.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

lambda.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 lambda.ca-central-1.amazonaws.com HTTPS

版本 1.062

Amazon Web Services 一般参考Amazon Lex

RegionName


中国 (北京) cn-north-1 lambda.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

lambda.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 lambda.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 lambda.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 lambda.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 lambda.eu-west-3.amazonaws.com HTTPS


sa-east-1 lambda.sa-east-1.amazonaws.com HTTPS

Amazon Lex模型构建终端节点



us-east-1 models.lex.us-east-1.amazonaws.com HTTPS


us-west-2 models.lex.us-west-2.amazonaws.com HTTPS


eu-west-1 models.lex.eu-west-1.amazonaws.com HTTPS

运行时终端节点



us-east-1 runtime.lex.us-east-1.amazonaws.com HTTPS


us-west-2 runtime.lex.us-west-2.amazonaws.com HTTPS


eu-west-1 runtime.lex.eu-west-1.amazonaws.com HTTPS

版本 1.063

Amazon Web Services 一般参考Amazon Lightsail

Amazon Lightsail



us-east-2 lightsail.us-east-2.amazonaws.com HTTPS


us-east-1 lightsail.us-east-1.amazonaws.com HTTPS


us-west-2 lightsail.us-west-2.amazonaws.com HTTPS


eu-central-1 lightsail.eu-central-1.amazonaws.com HTTPS


eu-west-1 lightsail.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 lightsail.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 lightsail.eu-west-3.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 lightsail.ca-central-1.amazonaws.com HTTPS


ap-south-1 lightsail.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

lightsail.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

lightsail.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

lightsail.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

lightsail.ap-northeast-1.amazonaws.com HTTPS

Amazon Macie



us-east-1 macie.us-east-1.amazonaws.com HTTPS


us-west-2 macie.us-west-2.amazonaws.com HTTPS

版本 1.064

Amazon Web Services 一般参考Amazon Machine Learning

Amazon Machine Learning



us-east-1 machinelearning.us-east-1.amazonaws.com HTTPS


eu-west-1 machinelearning.eu-west-1.amazonaws.com HTTPS

AWS Elemental MediaConvert

RegionName



us-east-2 mediaconvert.us-east-2.amazonaws.com HTTPS


us-east-1 mediaconvert.us-east-1.amazonaws.com HTTPS


us-west-1 mediaconvert.us-west-1.amazonaws.com HTTPS


us-west-2 mediaconvert.us-west-2.amazonaws.com HTTPS


ap-northeast-1

mediaconvert.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

mediaconvert.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 mediaconvert.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

mediaconvert.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

mediaconvert.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 mediaconvert.ca-central-1.amazonaws.com HTTPS


eu-central-1 mediaconvert.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 mediaconvert.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 mediaconvert.eu-west-2.amazonaws.com HTTPS

版本 1.065

Amazon Web Services 一般参考AWS Elemental MediaLive

RegionName



sa-east-1 mediaconvert.sa-east-1.amazonaws.com HTTPS

AWS Elemental MediaLiveRegionName



us-east-1 medialive.us-east-1.amazonaws.com HTTPS


us-west-2 medialive.us-west-2.amazonaws.com HTTPS


ap-northeast-1

medialive.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

medialive.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

medialive.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

medialive.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 medialive.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 medialive.eu-west-1.amazonaws.com HTTPS


sa-east-1 medialive.sa-east-1.amazonaws.com HTTPS

AWS Elemental MediaPackage区域名称区域终端节点协议


us-east-1 mediapackage.us-east-1.amazonaws.com HTTPS


us-west-2 mediapackage.us-west-2.amazonaws.com HTTPS


ap-southeast-1

mediapackage.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

mediapackage.ap-southeast-2.amazonaws.com HTTPS

版本 1.066

Amazon Web Services 一般参考AWS Elemental MediaStore



ap-northeast-1

mediapackage.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 mediapackage.eu-central-1.amazonaws.com HTTPS


eu-west-1 mediapackage.eu-west-1.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 mediapackage.eu-west-3.amazonaws.com HTTPS

AWS Elemental MediaStore



us-east-1 mediastore.us-east-1.amazonaws.com HTTPS


us-west-2 mediastore.us-west-2.amazonaws.com HTTPS


ap-southeast-2

mediastore.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

mediastore.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 mediastore.eu-central-1.amazonaws.com HTTPS


eu-west-1 mediastore.eu-west-1.amazonaws.com HTTPS

AWS Elemental MediaTailor



us-east-1 mediatailor.us-east-1.amazonaws.com HTTPS


ap-southeast-1

mediatailor.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

mediatailor.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

mediatailor.ap-northeast-1.amazonaws.com HTTPS

版本 1.067

Amazon Web Services 一般参考Amazon Mechanical Turk



eu-west-1 mediatailor.eu-west-1.amazonaws.com HTTPS

Amazon Mechanical Turk

区域终端节点协议

Amazon MechanicalTurk 操作的沙盒终端节点。

mturk-requester-sandbox.us-east-1.amazonaws.com.cn HTTPS

Amazon MechanicalTurk 操作的生产终端节点。

mturk-requester.us-east-1.amazonaws.com.cn HTTPS

AWS Migration HubAWS Migration Hub 可帮助您监控所有 AWS 公共区域中的迁移状态，前提是您的迁移工具在该地区可用。与迁移中心集成的迁移工具将迁移状态发送到美国西部 (俄勒冈) 的迁移中心。在那里，状态将会聚合并显示在一个位置。



us-west-2 mgh.us-west-2.amazonaws.com HTTPS

Amazon Mobile Analytics



us-east-1 mobileanalytics.us-east-1.amazonaws.com HTTPS

Amazon MQ



us-east-2 mq.us-east-2.amazonaws.com HTTPS

版本 1.068

Amazon Web Services 一般参考AWS OpsWorks



us-east-1 mq.us-east-1.amazonaws.com HTTPS


us-west-2 mq.us-west-2.amazonaws.com HTTPS


ap-southeast-2

mq.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 mq.eu-central-1.amazonaws.com HTTPS


eu-west-1 mq.eu-west-1.amazonaws.com HTTPS

AWS OpsWorksAWS OpsWorks 使用以下区域终端节点。

AWS OpsWorks CM您可在以下区域创建和管理 AWS OpsWorks for Chef Automate 和 AWS OpsWorks for Puppet Enterprise服务器。只能在创建资源的区域中对资源进行管理。在一个区域终端节点中创建的资源对其他区域终端节点不可用，也不能克隆到其他区域终端节点中。


美国东部（弗吉尼亚北部）地区

us-east-1 opsworks-cm.us-east-1.amazonaws.com HTTPS

美国东部（俄亥俄）区域

us-east-2 opsworks-cm.us-east-2.amazonaws.com HTTPS

美国西部（加利福利亚北部）区域

us-west-1 opsworks-cm.us-west-1.amazonaws.com HTTPS

美国西部（俄勒冈）区域

us-west-2 opsworks-cm.us-west-2.amazonaws.com HTTPS


ap-northeast-1

opsworks-cm.ap-northeast-1.amazonaws.com HTTPS


ap-southeast-1

opsworks-cm.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

opsworks-cm.ap-southeast-2.amazonaws.com HTTPS

版本 1.069

Amazon Web Services 一般参考AWS OpsWorks 堆栈


欧洲（法兰克福）区域

eu-central-1 opsworks-cm.eu-central-1.amazonaws.com HTTPS

欧洲（爱尔兰）区域

eu-west-1 opsworks-cm.eu-west-1.amazonaws.com HTTPS

AWS OpsWorks 堆栈您可以在除 AWS GovCloud（美国）和中国（北京）区域之外的所有区域中创建并管理 AWS OpsWorks 资源。加拿大 (中部) 区域区域只能使用 API；您不能使用 AWS 管理控制台在加拿大 (中部) 区域中创建堆栈。只能在创建资源的区域中对资源进行管理。在一个区域终端节点中创建的资源对其他区域终端节点不可用，也不能克隆到其他区域终端节点中。

RegionName



us-east-2 opsworks.us-east-2.amazonaws.com HTTPS


us-east-1 opsworks.us-east-1.amazonaws.com HTTPS


us-west-1 opsworks.us-west-1.amazonaws.com HTTPS


us-west-2 opsworks.us-west-2.amazonaws.com HTTPS


ap-northeast-1

opsworks.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

opsworks.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 opsworks.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

opsworks.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

opsworks.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 opsworks.ca-central-1.amazonaws.com HTTPS


eu-central-1 opsworks.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 opsworks.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 opsworks.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 opsworks.eu-west-3.amazonaws.com HTTPS

版本 1.070

Amazon Web Services 一般参考AWS Organizations

RegionName



sa-east-1 opsworks.sa-east-1.amazonaws.com HTTPS

AWS Organizations

RegionName



us-east-2 organizations.us-east-1.amazonaws.com HTTPS


us-east-1 organizations.us-east-1.amazonaws.com HTTPS


us-west-1 organizations.us-east-1.amazonaws.com HTTPS


us-west-2 organizations.us-east-1.amazonaws.com HTTPS


ap-northeast-1

organizations.us-east-1.amazonaws.com HTTPS


ap-northeast-2



ap-south-1 organizations.us-east-1.amazonaws.com HTTPS


ap-southeast-1



ap-southeast-2


加拿大（中部)

ca-central-1 organizations.us-east-1.amazonaws.com HTTPS


eu-central-1 organizations.us-east-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 organizations.us-east-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 organizations.us-east-1.amazonaws.com HTTPS


sa-east-1 organizations.us-east-1.amazonaws.com HTTPS

版本 1.071

Amazon Web Services 一般参考Amazon Pinpoint

Amazon Pinpoint



us-east-1 pinpoint.us-east-1.amazonaws.com HTTPS

Amazon Polly



us-east-1 polly.us-east-1.amazonaws.com HTTPS


us-east-2 polly.us-east-2.amazonaws.com HTTPS


us-west-1 polly.us-west-1.amazonaws.com HTTPS


us-west-2 polly.us-west-2.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 polly.ca-central-1.amazonaws.com HTTPS


eu-west-1 polly.eu-west-1.amazonaws.com HTTPS


eu-central-1 polly.eu-central-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 polly.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 polly.eu-west-3.amazonaws.com HTTPS


ap-southeast-1

polly.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

polly.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-2

polly.ap-northeast-2.amazonaws.com HTTPS


ap-northeast-1

polly.ap-northeast-1.amazonaws.com HTTPS


ap-south-1 polly.ap-south-1.amazonaws.com HTTPS

版本 1.072

Amazon Web Services 一般参考Amazon QuickSight



sa-east-1 polly.sa-east-1.amazonaws.com HTTPS

Amazon QuickSight



us-east-2 us-east-2.quicksight.amazonaws.com HTTPS


us-east-1 us-east-1.quicksight.amazonaws.com HTTPS


us-west-2 us-west-2.quicksight.aws.amazon.com HTTPS


ap-southeast-1

ap-southeast-1.quicksight.aws.amazon.com HTTPS


ap-southeast-2

ap-southeast-2.quicksight.aws.amazon.com HTTPS


ap-northeast-1

ap-northeast-1.quicksight.aws.amazon.com HTTPS


eu-west-1 eu-west-1.quicksight.aws.amazon.com HTTPS

Amazon Redshift

RegionName



us-east-2 redshift.us-east-2.amazonaws.com HTTPS


us-east-1 redshift.us-east-1.amazonaws.com HTTPS


us-west-1 redshift.us-west-1.amazonaws.com HTTPS


us-west-2 redshift.us-west-2.amazonaws.com HTTPS


ap-northeast-1

redshift.ap-northeast-1.amazonaws.com HTTPS

版本 1.073

Amazon Web Services 一般参考Amazon Rekognition

RegionName



ap-northeast-2



ap-northeast-3



ap-south-1 redshift.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

redshift.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

redshift.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 redshift.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 redshift.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

redshift.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 redshift.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 redshift.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 redshift.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 redshift.eu-west-3.amazonaws.com HTTPS


sa-east-1 redshift.sa-east-1.amazonaws.com HTTPS

Amazon RekognitionAmazon Rekognition Video 流式处理 API 在美国东部 (俄亥俄) 区域不可用。



us-east-2 rekognition.us-east-2.amazonaws.com HTTPS


us-east-1 rekognition.us-east-1.amazonaws.com HTTPS


us-west-2 rekognition.us-west-2.amazonaws.com HTTPS


ap-southeast-2

rekognition.ap-southeast-2.amazonaws.com HTTPS

版本 1.074

Amazon Web Services 一般参考Amazon Relational Database Service (Amazon RDS)



ap-northeast-1

rekognition.ap-northeast-1.amazonaws.com HTTPS


eu-west-1 rekognition.eu-west-1.amazonaws.com HTTPS

Amazon Relational Database Service (AmazonRDS)

RegionName











ap-northeast-1



ap-northeast-2



ap-northeast-3





ap-southeast-1



ap-southeast-2


加拿大（中部)


中国 (北京) cn-north-1 rds.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

rds.cn-northwest-1.amazonaws.com.cn HTTPS



版本 1.075

Amazon Web Services 一般参考AWS Resource Groups

RegionName


欧洲 (爱尔兰)



欧盟 (巴黎) eu-west-3 rds.eu-west-3.amazonaws.com HTTPS


sa-east-1 rds.sa-east-1.amazonaws.com HTTPS

AWS Resource GroupsAWS Resource Groups 在所有商业 AWS 区域提供。



us-east-2 resource-groups.us-east-2.amazonaws.com

resource-groups-fips.us-east-2.amazonaws.com

HTTPS


us-east-1 resource-groups.us-east-1.amazonaws.com

resource-groups-fips.us-east-1.amazonaws.com

HTTPS


us-west-1 resource-groups.us-west-1.amazonaws.com

resource-groups-fips.us-west-1.amazonaws.com

HTTPS


us-west-2 resource-groups.us-west-2.amazonaws.com

resource-groups-fips.us-west-2.amazonaws.com

HTTPS


ap-south-1 resource-groups.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

resource-groups.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

resource-groups.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

resource-groups.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

resource-groups.ap-northeast-1.amazonaws.com HTTPS

加拿大 (中部)

ca-central-1 resource-groups.ca-central-1.amazonaws.com HTTPS


eu-central-1 resource-groups.eu-central-1.amazonaws.com HTTPS


eu-west-1 resource-groups.eu-west-1.amazonaws.com HTTPS

版本 1.076

Amazon Web Services 一般参考Amazon Route 53


欧洲 (伦敦) eu-west-2 resource-groups.eu-west-2.amazonaws.com HTTPS


sa-east-1 resource-groups.sa-east-1.amazonaws.com HTTPS

Amazon Route 53您使用的终端节点取决于您要执行的操作。

针对托管区域、资源记录集、运行状况检查和成本分配标签的请求均使用以下终端节点：



us-east-1 route53.amazonaws.com.cn HTTPS

域注册请求使用以下终端节点：



us-east-1 route53domains.us-east-1.amazonaws.com.cn HTTPS

自动命名请求使用以下终端节点：


欧洲（爱尔兰） eu-west-1 servicediscovery.eu-west-1.amazonaws.com.cn HTTPS


us-east-1 servicediscovery.us-east-1.amazonaws.com.cn HTTPS


us-east-2 servicediscovery.us-east-2.amazonaws.com.cn HTTPS


us-west-2 servicediscovery.us-west-2.amazonaws.com.cn HTTPS

AWS Secrets ManagerRegionName



us-east-2 secretsmanager.us-east-2.amazonaws.com HTTPS


us-east-1 secretsmanager.us-east-1.amazonaws.com HTTPS

版本 1.077

Amazon Web Services 一般参考AWS Server Migration Service

RegionName



us-west-1 secretsmanager.us-west-1.amazonaws.com HTTPS


us-west-2 secretsmanager.us-west-2.amazonaws.com HTTPS


ap-northeast-1

secretsmanager.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

secretsmanager.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 secretsmanager.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

secretsmanager.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

secretsmanager.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 secretsmanager.ca-central-1.amazonaws.com HTTPS


eu-central-1 secretsmanager.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 secretsmanager.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 secretsmanager.eu-west-2.amazonaws.com HTTPS


sa-east-1 secretsmanager.sa-east-1.amazonaws.com HTTPS

AWS Server Migration Service

RegionName



us-east-2 sms.us-east-2.amazonaws.com HTTPS


us-east-1 sms.us-east-1.amazonaws.com HTTPS


us-west-1 sms.us-west-1.amazonaws.com HTTPS


us-west-2 sms.us-west-2.amazonaws.com HTTPS

版本 1.078

Amazon Web Services 一般参考Amazon SageMaker

RegionName



ap-northeast-1

sms.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

sms.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 sms.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

sms.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

sms.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 sms.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 sms.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

sms.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 sms.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 sms.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 sms.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 sms.eu-west-3.amazonaws.com HTTPS


sa-east-1 sms.sa-east-1.amazonaws.com HTTPS

Amazon SageMaker下表提供了 Amazon SageMaker 支持培训和部署模型的特定于区域的终端节点列表。这包括创建和管理笔记本实例、训练作业、模型、终端节点配置和终端节点。



us-east-1 sagemaker.us-east-1.amazonaws.com

HTTPS

美国东部（俄亥俄州） us-east-2 sagemaker.us-east-2.amazonaws.com

HTTPS

美国西部（俄勒冈） us-west-2 sagemaker.us-west-2.amazonaws.com

HTTPS

亚太区域（东京） ap-northeast-1 sagemaker.ap-northeast-1.amazonaws.com

HTTPS

版本 1.079

Amazon Web Services 一般参考AWS Security Token Service (AWS STS)


欧洲（爱尔兰） eu-west-1 sagemaker.eu-west-1.amazonaws.com

HTTPS

下表提供了 Amazon SageMaker 支持针对在 Amazon SageMaker 中托管的模型发出推理请求的特定于区域的终端节点列表。



us-east-1 runtime.sagemaker.us-east-1.amazonaws.com HTTPS


us-east-2 runtime.sagemaker.us-east-2.amazonaws.com HTTPS


us-west-2 runtime.sagemaker.us-west-2.amazonaws.com HTTPS


ap-northeast-1

runtime.sagemaker.ap-northeast-1.amazonaws.com HTTPS


eu-west-1 runtime.sagemaker.eu-west-1.amazonaws.com HTTPS

AWS Security Token Service (AWS STS)AWS Security Token Service 的默认终端节点为 https://sts.amazonaws.com.cn，它为全球请求提供服务。您还可对为您的 AWS 账户激活的其他区域终端节点进行调用。默认情况下将激活所有区域，但您可停用不打算使用的区域。如果您停用某个区域，则必须先在 AWS 管理控制台中为您的账户重新激活它，然后才能使用此区域的终端节点。

有关更多信息，请参阅 IAM 用户指南中的在 AWS 区域中激活和停用 AWS STS。


--服务全球-- --服务全球-- sts.amazonaws.com.cn HTTPS


us-east-2 sts.us-east-2.amazonaws.com HTTPS


us-east-1 sts.us-east-1.amazonaws.com HTTPS


us-west-1 sts.us-west-1.amazonaws.com HTTPS


us-west-2 sts.us-west-2.amazonaws.com HTTPS

版本 1.080

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

Amazon Web Services 一般参考AWS Serverless Application Repository


加拿大 (中部)

ca-central-1 sts.ca-central-1.amazonaws.com HTTPS


ap-south-1 sts.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

sts.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

sts.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

sts.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

sts.ap-northeast-1.amazonaws.com HTTPS


eu-central-1 sts.eu-central-1.amazonaws.com HTTPS


eu-west-1 sts.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 sts.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 sts.eu-west-3.amazonaws.com HTTPS


sa-east-1 sts.sa-east-1.amazonaws.com HTTPS

AWS Serverless Application Repository

RegionName



us-east-2 serverlessrepo.us-east-2.amazonaws.com HTTPS


us-east-1 serverlessrepo.us-east-1.amazonaws.com HTTPS


us-west-1 serverlessrepo.us-west-1.amazonaws.com HTTPS


us-west-2 serverlessrepo.us-west-2.amazonaws.com HTTPS


ap-northeast-1

serverlessrepo.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

serverlessrepo.ap-northeast-2.amazonaws.com HTTPS

版本 1.081

Amazon Web Services 一般参考AWS Service Catalog

RegionName



ap-south-1 serverlessrepo.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

serverlessrepo.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

serverlessrepo.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 serverlessrepo.ca-central-1.amazonaws.com HTTPS


eu-central-1 serverlessrepo.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 serverlessrepo.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 serverlessrepo.eu-west-2.amazonaws.com HTTPS


sa-east-1 serverlessrepo.sa-east-1.amazonaws.com HTTPS

AWS Service Catalog区域名称区域终端节点协议


us-east-2 servicecatalog.us-east-2.amazonaws.com HTTPS


us-east-1 servicecatalog.us-east-1.amazonaws.com HTTPS


us-west-1 servicecatalog.us-west-1.amazonaws.com HTTPS


us-west-2 servicecatalog.us-west-2.amazonaws.com HTTPS


ap-south-1 servicecatalog.ap-south-1.amazonaws.com HTTPS


ap-northeast-2

servicecatalog.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

servicecatalog.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

servicecatalog.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

servicecatalog.ap-northeast-1.amazonaws.com HTTPS

版本 1.082

Amazon Web Services 一般参考AWS Shield Advanced


加拿大 (中部) ca-central-1 servicecatalog.ca-central-1.amazonaws.com HTTPS


eu-central-1 servicecatalog.eu-central-1.amazonaws.com HTTPS


eu-west-1 servicecatalog.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 servicecatalog.eu-west-2.amazonaws.com HTTPS

欧洲 (巴黎) eu-west-3 servicecatalog.eu-west-3.amazonaws.com HTTPS


sa-east-1 servicecatalog.sa-east-1.amazonaws.com HTTPS

AWS Shield AdvancedAWS Shield Advanced 有以下终端节点：



us-east-1 shield.us-east-1.amazonaws.com。 HTTPS

Amazon Simple Email Service (Amazon SES)

区域名称区域 API (HTTPS) 终端节点

SMTP 终端节点电子邮件发送或接收


us-east-1 email.us-east-1.amazonaws.com

email-smtp.us-east-1.amazonaws.com

电子邮件发送


us-west-2 email.us-west-2.amazonaws.com

email-smtp.us-west-2.amazonaws.com

电子邮件发送

欧洲（爱尔兰） eu-west-1 email.eu-west-1.amazonaws.com

email-smtp.eu-west-1.amazonaws.com

电子邮件发送


us-east-1 不适用 inbound-smtp.us-east-1.amazonaws.com

电子邮件接收


us-west-2 不适用 inbound-smtp.us-west-2.amazonaws.com

电子邮件接收

欧洲（爱尔兰） eu-west-1 不适用 inbound-smtp.eu-west-1.amazonaws.com

电子邮件接收

版本 1.083

Amazon Web Services 一般参考Amazon Simple Notification Service (Amazon SNS)

Amazon Simple Notification Service (Amazon SNS)RegionName



us-east-2 sns.us-east-2.amazonaws.com HTTP andHTTPS


us-east-1 sns.us-east-1.amazonaws.com HTTP andHTTPS


us-west-1 sns.us-west-1.amazonaws.com HTTP andHTTPS


us-west-2 sns.us-west-2.amazonaws.com HTTP andHTTPS


ap-northeast-1

sns.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 sns.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

sns.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

sns.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 sns.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 sns.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

sns.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 sns.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 sns.eu-west-1.amazonaws.com HTTP andHTTPS

欧洲 (伦敦) eu-west-2 sns.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 sns.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 sns.sa-east-1.amazonaws.com HTTP andHTTPS

版本 1.084

Amazon Web Services 一般参考Amazon Simple Queue Service (Amazon SQS)

Amazon Simple Queue Service (Amazon SQS)

RegionName



us-east-2 sqs.us-east-2.amazonaws.com

sqs-fips.us-east-2.amazonaws.com

HTTP andHTTPS

HTTPS


us-east-1 sqs.us-east-1.amazonaws.com

sqs-fips.us-east-1.amazonaws.com

HTTP andHTTPS

HTTPS


us-west-1 sqs.us-west-1.amazonaws.com

sqs-fips.us-west-1.amazonaws.com

HTTP andHTTPS

HTTPS


us-west-2 sqs.us-west-2.amazonaws.com

sqs-fips.us-west-2.amazonaws.com

HTTP andHTTPS

HTTPS


ap-northeast-1

sqs.ap-northeast-1.amazonaws.com HTTP andHTTPS


ap-northeast-2



ap-northeast-3



ap-south-1 sqs.ap-south-1.amazonaws.com HTTP andHTTPS


ap-southeast-1

sqs.ap-southeast-1.amazonaws.com HTTP andHTTPS


ap-southeast-2

sqs.ap-southeast-2.amazonaws.com HTTP andHTTPS

加拿大（中部)

ca-central-1 sqs.ca-central-1.amazonaws.com HTTP andHTTPS

中国 (北京) cn-north-1 sqs.cn-north-1.amazonaws.com.cn HTTP andHTTPS

China(Ningxia)

cn-northwest-1

sqs.cn-northwest-1.amazonaws.com.cn HTTP andHTTPS


eu-central-1 sqs.eu-central-1.amazonaws.com HTTP andHTTPS

欧洲 (爱尔兰)

eu-west-1 sqs.eu-west-1.amazonaws.com HTTP andHTTPS

版本 1.085

Amazon Web Services 一般参考Amazon SQS 传统终端节点

RegionName


欧洲 (伦敦) eu-west-2 sqs.eu-west-2.amazonaws.com HTTP andHTTPS

欧盟 (巴黎) eu-west-3 sqs.eu-west-3.amazonaws.com HTTP andHTTPS


sa-east-1 sqs.sa-east-1.amazonaws.com HTTP andHTTPS

Amazon SQS 传统终端节点如果您使用 AWS CLI 或 SDK for Python，您可以使用下面的传统终端节点。


美国东部（俄亥俄州） us-east-2 us-east-2.queue.amazonaws.com.cn

HTTP 和 HTTPS


us-east-1 queue.amazonaws.com.cnHTTP 和 HTTPS


us-west-1 us-west-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

美国西部（俄勒冈） us-west-2 us-west-2.queue.amazonaws.com.cn

HTTP 和 HTTPS

亚太区域（东京） ap-northeast-1 ap-northeast-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

亚太区域（首尔） ap-northeast-2 ap-northeast-2.queue.amazonaws.com.cn

HTTP 和 HTTPS

亚太区域 (大阪当地) ap-northeast-3 ap-northeast-3.queue.amazonaws.com.cn

HTTP 和 HTTPS

亚太地区（孟买） ap-south-1 ap-south-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

亚太区域（新加坡） ap-southeast-1 ap-southeast-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

亚太区域（悉尼） ap-southeast-2 ap-southeast-2.queue.amazonaws.com.cn

HTTP 和 HTTPS

加拿大 (中部) ca-central-1 ca-central-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

中国（北京） cn-north-1 cn-north-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

中国 (宁夏) cn-northwest-1 cn-northwest-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

版本 1.086

Amazon Web Services 一般参考Amazon Simple Storage Service (Amazon S3)


欧洲（法兰克福） eu-central-1 eu-central-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

欧洲（爱尔兰） eu-west-1 eu-west-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

欧洲 (伦敦) eu-west-2 eu-west-2.queue.amazonaws.com.cn

HTTP 和 HTTPS

欧洲 (巴黎) eu-west-3 eu-west-3.queue.amazonaws.com.cn

HTTP 和 HTTPS

南美洲（圣保罗） sa-east-1 sa-east-1.queue.amazonaws.com.cn

HTTP 和 HTTPS

Amazon Simple Storage Service (Amazon S3)当使用 REST API 向这些终端节点发送请求时，您可以使用虚拟托管类型和路径类型方法。有关更多信息，请参阅存储桶的虚拟托管。

区域名称区域终端节点位置约束协议签名版本

支持


us-east-2 此区域的有效终端节点名称：

• s3.us-east-2.amazonaws.com• s3-us-east-2.amazonaws.com• s3.dualstack.us-

east-2.amazonaws.com

us-east-2 HTTP 和HTTPS

仅版本 4


us-east-1 此区域的有效终端节点名称：

• s3.amazonaws.com• s3.us-east-1.amazonaws.com• s3-external-1.amazonaws.com• s3.dualstack.us-

east-1.amazonaws.com**

（不需要） HTTP 和HTTPS

版本 2 和 4


us-west-1 此区域的有效终端节点名称：

• s3.us-west-1.amazonaws.com• s3-us-west-1.amazonaws.com• s3.dualstack.us-

west-1.amazonaws.com**

us-west-1 HTTP 和HTTPS

版本 2 和 4


us-west-2 此区域的有效终端节点名称：

• s3.us-west-2.amazonaws.com• s3-us-west-2.amazonaws.com• s3.dualstack.us-


us-west-2 HTTP 和HTTPS

版本 2 和 4

版本 1.087

http://docs.amazonaws.cn/AmazonS3/latest/dev/VirtualHosting.html



支持

加拿大 (中部)

ca-central-1 此区域的有效终端节点名称：

• s3.ca-central-1.amazonaws.com

• s3-ca-central-1.amazonaws.com

• s3.dualstack.ca-central-1.amazonaws.com**

ca-central-1 HTTP 和HTTPS

仅版本 4


ap-south-1 此区域的有效终端节点名称：

• s3.ap-south-1.amazonaws.com• s3-ap-south-1.amazonaws.com• s3.dualstack.ap-

south-1.amazonaws.com**

ap-south-1 HTTP 和HTTPS

仅版本 4


ap-northeast-2

此区域的有效终端节点名称：

• s3.ap-northeast-2.amazonaws.com

• s3-ap-northeast-2.amazonaws.com

• s3.dualstack.ap-northeast-2.amazonaws.com**

ap-northeast-2

HTTP 和HTTPS

仅版本 4

亚太区域(大阪当地)***

ap-northeast-3





ap-northeast-3

HTTP 和HTTPS

仅版本 4


ap-southeast-1


• s3.ap-southeast-1.amazonaws.com

• s3-ap-southeast-1.amazonaws.com

• s3.dualstack.ap-southeast-1.amazonaws.com**

ap-southeast-1

HTTP 和HTTPS

版本 2 和 4


ap-southeast-2


• s3.ap-southeast-2.amazonaws.com

• s3-ap-southeast-2.amazonaws.com

• s3.dualstack.ap-southeast-2.amazonaws.com**

ap-southeast-2

HTTP 和HTTPS

版本 2 和 4

版本 1.088



支持


ap-northeast-1





ap-northeast-1

HTTP 和HTTPS

版本 2 和 4

中国（北京）

cn-north-1 此区域的有效终端节点名称：

• s3.cn-north-1.amazonaws.com.cn

cn-north-1 HTTP 和HTTPS

仅版本 4



• s3.cn-northwest-1.amazonaws.com.cn

cn-northwest-1

HTTP 和HTTPS

仅版本 4


eu-central-1 此区域的有效终端节点名称：

• s3.eu-central-1.amazonaws.com

• s3-eu-central-1.amazonaws.com

• s3.dualstack.eu-central-1.amazonaws.com**

eu-central-1 HTTP 和HTTPS

仅版本 4


eu-west-1 此区域的有效终端节点名称：

• s3.eu-west-1.amazonaws.com• s3-eu-west-1.amazonaws.com• s3.dualstack.eu-


EU 或 eu-west-1

HTTP 和HTTPS

版本 2 和 4

欧洲 (伦敦) eu-west-2 此区域的有效终端节点名称：



eu-west-2 HTTP 和HTTPS

仅版本 4

欧洲 (巴黎) eu-west-3 此区域的有效终端节点名称：


west-3.amazonaws.com

eu-west-3 HTTP 和HTTPS

仅版本 4

版本 1.089

Amazon Web Services 一般参考Amazon Simple Storage Service 网站终端节点


支持


sa-east-1 此区域的有效终端节点名称：

• s3.sa-east-1.amazonaws.com• s3-sa-east-1.amazonaws.com• s3.dualstack.sa-

east-1.amazonaws.com**

sa-east-1 HTTP 和HTTPS

版本 2 和 4

**Amazon S3 双堆栈终端节点支持通过 IPv6 和 IPv4 向 S3 存储桶发出请求。有关更多信息，请参阅使用双堆栈终端节点。

***亚太区域 (大阪当地) 区域只能与亚太区域（东京）区域结合使用。要请求访问亚太区域 (大阪当地) 区域，请联系您的销售代表。

使用上述终端节点时，还适用以下注意事项：

• Amazon S3 已将“美国标准区域”重命名为“美国东部（弗吉尼亚北部）地区”以与 AWS 区域命名约定保持一致。终端节点没有变化，您也无需对应用程序做出任何更改。

• 如果您使用美国东部 (弗吉尼亚北部) 终端节点之外的区域来创建存储桶，则必须将 LocationConstraint 存储桶参数设置为同一区域。适用于 Java 的 AWS 开发工具包和适用于 .NET 的 AWS 开发工具包均使用枚举来设置位置约束 (Region 用于 Java，S3Region 用于 .NET)。有关更多信息，请参阅 Amazon SimpleStorage Service API Reference 中的 PUT 存储桶。

Amazon Simple Storage Service 网站终端节点当您配置存储桶作为网站时，该网站在使用以下特定于区域的网站终端节点时可用。请注意，网站终端节点与上表中列出的 REST API 终端节点不同。有关在 Amazon S3 上托管网站的更多信息，请参阅 AmazonSimple Storage Service 开发人员指南中的在 Amazon S3 上托管网站。当使用 Amazon Route 53 API 向托管区域添加别名记录时，需要托管区域 ID。

Note

网站终端节点不支持 https。

区域名称网站终端节点 Route 53 托管区域 ID


s3-website.us-east-2.amazonaws.com Z2O1EMRO9K5GLX


s3-website-us-east-1.amazonaws.com Z3AQBSTGFYJSTF


s3-website-us-west-1.amazonaws.com Z2F56UZL2M1ACD


s3-website-us-west-2.amazonaws.com Z3BJ6K6RIION7M

加拿大 (中部) s3-website.ca-central-1.amazonaws.com Z1QDHH18159H29


s3-website.ap-south-1.amazonaws.com Z11RGJOFQNVJUP

版本 1.090

http://docs.amazonaws.cn/AmazonS3/latest/dev/dual-stack-endpoints.html

http://docs.amazonaws.cn/AmazonS3/latest/dev/dual-stack-endpoints.html

http://docs.amazonaws.cn/AmazonS3/latest/API/RESTBucketPUT.html

http://docs.amazonaws.cn/AmazonS3/latest/dev/WebsiteHosting.html

Amazon Web Services 一般参考Amazon Simple Workflow Service (Amazon SWF)

区域名称网站终端节点 Route 53 托管区域 ID


s3-website.ap-northeast-2.amazonaws.com Z3W03O7B5YMIYP


s3-website.ap-northeast-3.amazonaws.com Z2YQB5RD63NC85


s3-website-ap-southeast-1.amazonaws.com Z3O0J2DXBE1FTB


s3-website-ap-southeast-2.amazonaws.com Z1WCIGYICN2BYD


s3-website-ap-northeast-1.amazonaws.com Z2M4EHUR26P7ZW

中国 (宁夏) s3-website.cn-northwest-1.amazonaws.com.cn 不支持


s3-website.eu-central-1.amazonaws.com Z21DNDUVLTQW6Q

欧洲（爱尔兰） s3-website-eu-west-1.amazonaws.com Z1BKCTXD74EZPE

欧洲 (伦敦) s3-website.eu-west-2.amazonaws.com Z3GKZC51ZF0DB4

欧洲 (巴黎) s3-website.eu-west-3.amazonaws.com Z3R1K369G5AVDG


s3-website-sa-east-1.amazonaws.com Z7KQH4QJS55SO

Amazon Simple Workflow Service (Amazon SWF)

RegionName



us-east-2 swf.us-east-2.amazonaws.com HTTPS


us-east-1 swf.us-east-1.amazonaws.com HTTPS


us-west-1 swf.us-west-1.amazonaws.com HTTPS


us-west-2 swf.us-west-2.amazonaws.com HTTPS


ap-northeast-1

swf.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3


版本 1.091

Amazon Web Services 一般参考Amazon SimpleDB

RegionName



ap-south-1 swf.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

swf.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

swf.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 swf.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 swf.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

swf.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 swf.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 swf.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 swf.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 swf.eu-west-3.amazonaws.com HTTPS


sa-east-1 swf.sa-east-1.amazonaws.com HTTPS

Amazon SimpleDB



us-east-1 sdb.amazonaws.com.cn HTTP 和HTTPS


us-west-1 sdb.us-west-1.amazonaws.com HTTP 和HTTPS


us-west-2 sdb.us-west-2.amazonaws.com HTTP 和HTTPS


ap-southeast-1

sdb.ap-southeast-1.amazonaws.com HTTP 和HTTPS


ap-southeast-2

sdb.ap-southeast-2.amazonaws.com HTTP 和HTTPS


ap-northeast-1

sdb.ap-northeast-1.amazonaws.com HTTP 和HTTPS

版本 1.092

Amazon Web Services 一般参考AWS Snowball



eu-west-1 sdb.eu-west-1.amazonaws.com HTTP 和HTTPS


sa-east-1 sdb.sa-east-1.amazonaws.com HTTP 和HTTPS

AWS Snowball和标准 Snowball 设备一起使用的 AWS Snowball 在以下区域中可用且包含这些终端节点。


美国东部（俄亥俄州） us-east-2 snowball.us-east-2.amazonaws.com

HTTPS


us-east-1 snowball.us-east-1.amazonaws.com

HTTPS


us-west-1 snowball.us-west-1.amazonaws.com

HTTPS

美国西部（俄勒冈） us-west-2 snowball.us-west-2.amazonaws.com

HTTPS

加拿大 (中部) ca-central-1 snowball.ca-central-1.amazonaws.com

HTTPS

亚太地区（孟买） ap-south-1 snowball.ap-south-1.amazonaws.com

HTTPS

亚太区域（新加坡） ap-southeast-1 snowball.ap-southeast-1.amazonaws.com

HTTPS

亚太区域（悉尼） ap-southeast-2 snowball.ap-southeast-2.amazonaws.com

HTTPS

亚太区域（东京） ap-northeast-1 snowball.ap-northeast-1.amazonaws.com

HTTPS

欧洲（法兰克福） eu-central-1 snowball.eu-central-1.amazonaws.com

HTTPS

欧洲（爱尔兰） eu-west-1 snowball.eu-west-1.amazonaws.com

HTTPS

欧洲 (伦敦) eu-west-2 snowball.eu-west-2.amazonaws.com

HTTPS

欧洲 (巴黎) eu-west-3 snowball.eu-west-3.amazonaws.com

HTTPS

南美洲（圣保罗） sa-east-1 snowball.sa-east-1.amazonaws.com

HTTPS

和 AWS Snowball Edge appliance 一起使用的 AWS Snowball 在以下区域中可用且包含这些终端节点。

版本 1.093

Amazon Web Services 一般参考AWS Step Functions


美国东部（俄亥俄州） us-east-2 snowball.us-east-2.amazonaws.com

HTTPS


us-east-1 snowball.us-east-1.amazonaws.com

HTTPS


us-west-1 snowball.us-west-1.amazonaws.com

HTTPS

美国西部（俄勒冈） us-west-2 snowball.us-west-2.amazonaws.com

HTTPS

加拿大 (中部) ca-central-1 snowball.ca-central-1.amazonaws.com

HTTPS

亚太区域（悉尼） ap-southeast-2 snowball.ap-southeast-2.amazonaws.com

HTTPS

亚太区域（东京） ap-northeast-1 snowball.ap-northeast-1.amazonaws.com

HTTPS

欧洲（法兰克福） eu-central-1 snowball.eu-central-1.amazonaws.com

HTTPS

欧洲（爱尔兰） eu-west-1 snowball.eu-west-1.amazonaws.com

HTTPS

欧洲 (伦敦) eu-west-2 snowball.eu-west-2.amazonaws.com

HTTPS

欧洲 (巴黎) eu-west-3 snowball.eu-west-3.amazonaws.com

HTTPS

南美洲（圣保罗） sa-east-1 snowball.sa-east-1.amazonaws.com

HTTPS

AWS Step Functions

RegionName



us-east-2 states.us-east-2.amazonaws.com HTTPS


us-east-1 states.us-east-1.amazonaws.com HTTPS


us-west-1 states.us-west-1.amazonaws.com HTTPS


us-west-2 states.us-west-2.amazonaws.com HTTPS

版本 1.094

Amazon Web Services 一般参考AWS Storage Gateway

RegionName



ap-northeast-1

states.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

states.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

states.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

states.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 states.ca-central-1.amazonaws.com HTTPS


eu-central-1 states.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 states.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 states.eu-west-2.amazonaws.com HTTPS

AWS Storage Gateway

RegionName



us-east-2 storagegateway.us-east-2.amazonaws.com HTTPS


us-east-1 storagegateway.us-east-1.amazonaws.com HTTPS


us-west-1 storagegateway.us-west-1.amazonaws.com HTTPS


us-west-2 storagegateway.us-west-2.amazonaws.com HTTPS


ap-northeast-1

storagegateway.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

storagegateway.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 storagegateway.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

storagegateway.ap-southeast-1.amazonaws.com HTTPS

版本 1.095

Amazon Web Services 一般参考AWS Support

RegionName



ap-southeast-2

storagegateway.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 storagegateway.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 storagegateway.cn-north-1.amazonaws.com.cn HTTPS


eu-central-1 storagegateway.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 storagegateway.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 storagegateway.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 storagegateway.eu-west-3.amazonaws.com HTTPS


sa-east-1 storagegateway.sa-east-1.amazonaws.com HTTPS

AWS SupportAWS Support 具有单个终端节点 support.us-east-1.amazonaws.com (HTTPS)。

AWS Systems Manager

RegionName



us-east-2 ssm.us-east-2.amazonaws.com HTTPS


us-east-1 ssm.us-east-1.amazonaws.com HTTPS


us-west-1 ssm.us-west-1.amazonaws.com HTTPS


us-west-2 ssm.us-west-2.amazonaws.com HTTPS


ap-northeast-1

ssm.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

ssm.ap-northeast-2.amazonaws.com HTTPS


ap-south-1 ssm.ap-south-1.amazonaws.com HTTPS

版本 1.096

Amazon Web Services 一般参考Amazon VPC

RegionName



ap-southeast-1

ssm.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

ssm.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 ssm.ca-central-1.amazonaws.com HTTPS

中国 (北京) cn-north-1 ssm.cn-north-1.amazonaws.com.cn HTTPS

China(Ningxia)

cn-northwest-1

ssm.cn-northwest-1.amazonaws.com.cn HTTPS


eu-central-1 ssm.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 ssm.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 ssm.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 ssm.eu-west-3.amazonaws.com HTTPS


sa-east-1 ssm.sa-east-1.amazonaws.com HTTPS

Amazon VPC

RegionName



us-east-2 ec2.us-east-2.amazonaws.com HTTPS


us-east-1 ec2.us-east-1.amazonaws.com HTTPS


us-west-1 ec2.us-west-1.amazonaws.com HTTPS


us-west-2 ec2.us-west-2.amazonaws.com HTTPS


ap-northeast-1

ec2.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2



ap-northeast-3


版本 1.097

Amazon Web Services 一般参考AWS WAF

RegionName



ap-south-1 ec2.ap-south-1.amazonaws.com HTTPS


ap-southeast-1

ec2.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

ec2.ap-southeast-2.amazonaws.com HTTPS

加拿大（中部)

ca-central-1 ec2.ca-central-1.amazonaws.com HTTPS


eu-central-1 ec2.eu-central-1.amazonaws.com HTTPS

欧洲 (爱尔兰)

eu-west-1 ec2.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 ec2.eu-west-2.amazonaws.com HTTPS

欧盟 (巴黎) eu-west-3 ec2.eu-west-3.amazonaws.com HTTPS


sa-east-1 ec2.sa-east-1.amazonaws.com HTTPS

如果您指定了通用终端节点 (ec2.amazonaws.com.cn)，Amazon VPC 会将您的请求转至 us-east-1 终端节点。

AWS WAF适用于 CloudFront 的 AWS WAF 分配具有单个终端节点：waf.amazonaws.com。仅支持 HTTPS 请求。

适用于应用程序负载均衡器的 AWS WAF 具有以下终端节点：



us-east-1 waf-regional.us-east-1.amazonaws.com HTTPS


us-east-2 waf-regional.us-east-2.amazonaws.com HTTPS


us-west-1 waf-regional.us-west-1.amazonaws.com HTTPS


us-west-2 waf-regional.us-west-2.amazonaws.com HTTPS


eu-central-1 waf-regional.eu-central-1.amazonaws.com HTTPS

版本 1.098

Amazon Web Services 一般参考Amazon WorkDocs



eu-west-1 waf-regional.eu-west-1.amazonaws.com HTTPS


ap-northeast-1

waf-regional.ap-northeast-1.amazonaws.com HTTPS


ap-southeast-2

waf-regional.ap-southeast-2.amazonaws.com HTTPS

Amazon WorkDocs



us-east-1 workdocs.us-east-1.amazonaws.com HTTPS


us-west-2 workdocs.us-west-2.amazonaws.com HTTPS


ap-southeast-1

workdocs.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

workdocs.ap-southeast-2.amazonaws.com HTTPS


ap-northeast-1

workdocs.ap-northeast-1.amazonaws.com HTTPS


eu-west-1 workdocs.eu-west-1.amazonaws.com HTTPS

Amazon WorkMail

区域名称区域服务终端节点


us-east-1 Amazon WorkMailSDK

https://workmail.us-east-1.amazonaws.com


us-east-1 Autodiscover autodiscover-service.mail.us-east-1.awsapps.com


us-east-1 Exchange WebService

ews.mail.us-east-1.awsapps.com


us-east-1 Exchange ActiveSync

mobile.mail.us-east-1.awsapps.com


us-east-1 MAPI 代理 outlook.mail.us-east-1.awsapps.com

版本 1.099

Amazon Web Services 一般参考Amazon WorkSpaces

区域名称区域服务终端节点


us-east-1 IMAPS imap.mail.us-east-1.awsapps.com


us-east-1 通过 TLS 的 SMTP(端口 465)

smtp.mail.us-east-1.awsapps.com

美国西部（俄勒冈） us-west-2 Amazon WorkMailSDK

https://workmail.us-west-2.amazonaws.com

美国西部（俄勒冈） us-west-2 Autodiscover autodiscover-service.mail.us-west-2.awsapps.com

美国西部（俄勒冈） us-west-2 Exchange WebService

ews.mail.us-west-2.awsapps.com

美国西部（俄勒冈） us-west-2 Exchange ActiveSync

mobile.mail.us-west-2.awsapps.com

美国西部（俄勒冈） us-west-2 MAPI 代理 outlook.mail.us-west-2.awsapps.com

美国西部（俄勒冈） us-west-2 IMAPS imap.mail.us-west-2.awsapps.com

美国西部（俄勒冈） us-west-2 通过 TLS 的 SMTP(端口 465)

smtp.mail.us-west-2.awsapps.com

欧洲（爱尔兰） eu-west-1 Amazon WorkMailSDK

https://workmail.eu-west-1.amazonaws.com

欧洲（爱尔兰） eu-west-1 Autodiscover autodiscover-service.mail.eu-west-1.awsapps.com

欧洲（爱尔兰） eu-west-1 Exchange WebService

ews.mail.eu-west-1.awsapps.com

欧洲（爱尔兰） eu-west-1 Exchange ActiveSync

mobile.mail.eu-west-1.awsapps.com

欧洲（爱尔兰） eu-west-1 MAPI 代理 outlook.mail.eu-west-1.awsapps.com

欧洲（爱尔兰） eu-west-1 IMAPS imap.mail.eu-west-1.awsapps.com

欧洲（爱尔兰） eu-west-1 通过 TLS 的 SMTP(端口 465)

smtp.mail.eu-west-1.awsapps.com

Amazon WorkSpaces



us-east-1 workspaces.us-east-1.amazonaws.com HTTPS


us-west-2 workspaces.us-west-2.amazonaws.com HTTPS

版本 1.0100

Amazon Web Services 一般参考中国（北京）区域终端节点


加拿大 (中部)

ca-central-1 workspaces.ca-central-1.amazonaws.com HTTPS


ap-northeast-1

workspaces.ap-northeast-1.amazonaws.com HTTPS


ap-northeast-2

workspaces.ap-northeast-2.amazonaws.com HTTPS


ap-southeast-1

workspaces.ap-southeast-1.amazonaws.com HTTPS


ap-southeast-2

workspaces.ap-southeast-2.amazonaws.com HTTPS


eu-central-1 workspaces.eu-central-1.amazonaws.com HTTPS


eu-west-1 workspaces.eu-west-1.amazonaws.com HTTPS

欧洲 (伦敦) eu-west-2 workspaces.eu-west-2.amazonaws.com HTTPS


sa-east-1 workspaces.sa-east-1.amazonaws.com HTTPS

中国（北京）区域终端节点下表中包含有关中国（北京） Region 中可用的终端节点和协议的信息。

Note

要在中国（北京） Region 中使用以下服务和终端节点，您必须申请一个账户。有关更多信息，请参阅 AWS 中国。

有关这些服务及其在中国（北京）区域的差异的更多信息，请参阅 Amazon AWS 入门指南。

AWS Service 中国 (北京) Endpoint Protocol

Amazon API Gateway apigateway.cn-north-1.amazonaws.com.cn

HTTPS

AWS Config config.cn-north-1.amazonaws.com.cn

HTTPS

AWS IoT-Data data.iot.cn-north-1.amazonaws.com.cn

HTTPS

AWS 管理控制台 cn-north-1.console.amazonaws.cn

HTTPS

AWS Resource Groups TaggingAPI

tagging.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Elastic Compute CloudSimple Systems Manager

ssm.cn-north-1.amazonaws.com.cn

HTTPS

版本 1.0101

https://www.amazonaws.cn/en/about-aws/china/

http://docs.amazonaws.cn/aws/latest/userguide/introduction.html



Application Auto Scaling autoscaling.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon EC2 Auto Scaling autoscaling.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

AWS CloudFormation cloudformation.cn-north-1.amazonaws.com.cn

HTTPS

AWS CloudTrail cloudtrail.cn-north-1.amazonaws.com.cn

HTTPS

Amazon CloudWatch monitoring.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon CloudWatch Events events.cn-north-1.amazonaws.com.cn

HTTPS

Amazon CloudWatch Logs logs.cn-north-1.amazonaws.com.cn

HTTPS

AWS CodeDeploy codedeploy.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Cognito cognito-identity.cn-north-1.amazonaws.com.cn

HTTPS

AWS Direct Connect directconnect.cn-north-1.amazonaws.com.cn

HTTPS

AWS Directory Service ds.cn-north-1.amazonaws.com.cn

HTTPS

Amazon DynamoDB dynamodb.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon DynamoDB Streams streams.dynamodb.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Elastic Compute CloudContainer Registry

ecr.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Elastic Compute CloudContainer Service

ecs.cn-north-1.amazonaws.com.cn

HTTPS

EC2 Instance ConsoleScreenshot

ICS.cn-north-1.amazonaws.com.cn

HTTPS

EC2 Message Delivery Service ec2messages.cn-north-1.amazonaws.com.cn

HTTPS

Amazon ElastiCache elasticache.cn-north-1.amazonaws.com.cn

HTTPS

AWS Elastic Beanstalk elasticbeanstalk.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Elastic Block Store ec2.cn-north-1.amazonaws.com.cn

HTTPS

版本 1.0102



Amazon Elastic Compute Cloud ec2.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Elastic Load Balancing elasticloadbalancing.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Elastic MapReduce (EMR) elasticmapreduce.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Glacier glacier.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

AWS Identity and AccessManagement

iam.cn-north-1.amazonaws.com.cn

HTTPS

Import/Export Snowball snowball.cn-north-1.amazonaws.com.cn

AWS IoT iot.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Kinesis Data Streams kinesis.cn-north-1.amazonaws.com.cn

HTTPS

AWS Lambda lambda.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Redshift redshift.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Relational DatabaseService

rds.cn-north-1.amazonaws.com.cn

HTTPS

AWS Security Token Service sts.cn-north-1.amazonaws.com.cn

HTTPS

AWS Server Migration Service sms.cn-north-1.amazonaws.com.cn

HTTPS

Amazon Simple NotificationService

sns.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Simple Queue Service sqs.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Simple Storage Service s3.cn-north-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Simple WorkflowService

swf.cn-north-1.amazonaws.com.cn

HTTPS

AWS Storage Gateway storagegateway.cn-north-1.amazonaws.com.cn

HTTPS

Amazon VPC Console vpcconsole.cn-north-1.amazonaws.com.cn

HTTPS

版本 1.0103

Amazon Web Services 一般参考中国 (宁夏) 区域终端节点

Important

Amazon S3 s3.cn-north-1.amazonaws.com.cn 区域在请求身份验证中仅支持签名版本 4。

中国 (宁夏) 区域终端节点下表中包含有关中国 (宁夏) Region 中可用的终端节点和协议的信息。

Note

要在中国 (宁夏) Region 中使用以下服务和终端节点，您必须申请一个账户。有关更多信息，请参阅 AWS 中国。

有关这些服务及其在中国 (宁夏) 区域的差异的更多信息，请参阅 Amazon AWS 入门指南。

AWS Service China (Ningxia) Endpoint Protocol

Amazon API Gateway apigateway.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS Config config.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS 管理控制台 cn-northwest-1.console.amazonaws.cn

HTTPS

AWS Resource Groups TaggingAPI

tagging.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Elastic Compute CloudSimple Systems Manager

ssm.cn-northwest-1.amazonaws.com.cn

HTTPS

Application Auto Scaling autoscaling.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon EC2 Auto Scaling autoscaling.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

AWS CloudFormation cloudformation.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS CloudTrail cloudtrail.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon CloudWatch monitoring.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon CloudWatch Events events.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon CloudWatch Logs logs.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS CodeDeploy codedeploy.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS Direct Connect directconnect.cn-northwest-1.amazonaws.com.cn

HTTPS

版本 1.0104

https://www.amazonaws.cn/en/about-aws/china/

http://docs.amazonaws.cn/aws/latest/userguide/introduction.html



AWS Directory Service ds.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon DynamoDB dynamodb.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon DynamoDB Streams streams.dynamodb.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Elastic Compute CloudContainer Registry

ecr.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Elastic Compute CloudContainer Service

ecs.cn-northwest-1.amazonaws.com.cn

HTTPS

EC2 Message Delivery Service ec2messages.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon ElastiCache elasticache.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS Elastic Beanstalk elasticbeanstalk.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Elastic Block Store ec2.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Elastic Compute Cloud ec2.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Elastic Load Balancing elasticloadbalancing.cn-northwest-1.amazonaws.com.cn

HTTPS

Elastic MapReduce (EMR) elasticmapreduce.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Elasticsearch Service es.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Glacier glacier.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Kinesis Data Streams kinesis.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS Lambda lambda.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Redshift redshift.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon Relational DatabaseService

rds.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS Security Token Service sts.cn-northwest-1.amazonaws.com.cn

HTTPS

AWS Server Migration Service sms.cn-northwest-1.amazonaws.com.cn

HTTPS

版本 1.0105



Sign-In Portal cn-northwest-1.signin.amazonaws.cn

HTTPS

Amazon Simple NotificationService

sns.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Simple Queue Service sqs.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Simple Storage Service s3.cn-northwest-1.amazonaws.com.cn

HTTP and HTTPS

Amazon Simple WorkflowService

swf.cn-northwest-1.amazonaws.com.cn

HTTPS

Amazon VPC Console vpcconsole.cn-northwest-1.amazonaws.com.cn

HTTPS

Important

Amazon S3 s3.cn-northwest-1。amazonaws.com.cn 区域在请求身份验证中仅支持签名版本 4。

版本 1.0106

Amazon Web Services 一般参考AWS 账户根用户凭证与 IAM 用户凭证

AWS 安全凭证在与 AWS 交互时，指定 AWS 安全凭证以验证您的身份以及您是否有权访问所请求的资源。AWS 使用安全凭证来对您的请求进行验证和授权。

例如，如果要从 Amazon Simple Storage Service (Amazon S3) 存储桶下载特定文件，则您的凭证必须允许该访问。如果您的凭证无权下载该文件，AWS 会拒绝您的请求。

Note

在某些情况下，例如下载在 Amazon S3 存储桶中公开共享的文件时，您可以调用 AWS 而无需使用安全凭证。

主题• AWS 账户根用户凭证与 IAM 用户凭证 (p. 107)• 了解并获取您的安全凭证 (p. 108)• AWS 账户标识符 (p. 110)• 有关管理 AWS 访问密钥的最佳实践 (p. 112)• 管理 AWS 账户的访问密钥 (p. 114)• AWS 安全审查指南 (p. 115)

AWS 账户根用户凭证与 IAM 用户凭证所有 AWS 账户都具有根用户凭证 (即账户所有者凭证)。这些凭证允许完全访问账户中的所有资源。由于无法限制根用户凭证的权限，建议删除根用户访问密钥。然后创建 AWS Identity and Access Management(IAM) 用户凭证来执行与 AWS 的日常交互工作。有关更多信息，请参阅 IAM 用户指南中的隐藏您的 AWS账户（根）访问密钥。

Note

您可能需要 AWS 账户根用户访问权限才能执行特定任务，如更改 AWS 支持计划或关闭账户。在这些情况下，请使用您的电子邮件地址和密码登录 AWS 管理控制台。请参阅电子邮件和密码 (根用户) (p. 108)。

有关需要根用户访问权限的任务的列表，请参阅需要 AWS 账户根用户的 AWS 任务 (p. 107)。

通过 IAM，您可以安全地控制用户对 AWS 账户中 AWS 服务和资源的访问。例如，如果需要管理员级权限，您可以创建 IAM 用户，为该用户授予完全访问权限，然后使用这些凭证与 AWS 交互。如果需要修改或撤销权限，您可以删除或修改与该 IAM 用户相关联的策略。

如果多个用户需要访问您的 AWS 账户，您可以为每个用户创建唯一的凭证并定义哪些用户有权访问哪些资源。您不必共享凭证。例如，您可以创建对 AWS 账户中的资源具有只读访问权限的 IAM 用户，并将这些凭证分配给您的用户。

Note

与 IAM 用户关联的任何活动或成本均将计入 AWS 账户所有者。

需要 AWS 账户根用户的 AWS 任务下列任务需要以 AWS 账户根用户身份登录。通常，我们建议您使用具有适当权限的标准 IAM 用户来执行所有常规的用户或管理任务。不过，您只能在以账户的根用户身份登录时才能执行下列任务。

• 修改根用户详细信息 (p. 108)。这包括更改根用户密码。• 更改 AWS 支持计划。

版本 1.0107

http://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials




http://docs.amazonaws.cn/awssupport/latest/user/getting-started.html

Amazon Web Services 一般参考了解并获取您的安全凭证

• 更改或删除您的付款选项 – 为 IAM 用户启用账单访问权限后，IAM 用户即可执行此操作。有关更多信息，请参阅激活对账单和成本管理控制台的访问权。

• 查看您的账户的账单信息 – 为 IAM 用户启用账单访问权限后，IAM 用户即可执行此操作。有关更多信息，请参阅激活对账单和成本管理控制台的访问权。

• 就您的账单联系客户支持。• 关闭 AWS 账户。• 注册 GovCloud。• 提交 Amazon EC2 的反向 DNS 请求。该页面上用于提交请求的“此表单”链接仅在使用根用户凭证登录时

才有效。• 创建 CloudFront 密钥对。• 创建由 AWS 创建的 X.509 签名证书。(您仍可为 IAM 用户生成自创建证书。)• 将 Route 53 域传输到另一个 AWS 账户。• 更改较长资源 ID 的 Amazon EC2 设置。以根用户身份更改此设置将影响账户中的所有用户和角色。以

IAM 用户或 IAM 角色身份更改它仅影响该用户或角色。• 使用 Web 表单提交对您的 AWS 基础设施执行渗透测试的请求。也可以通过电子邮件提交您的请求，这样

不需要根用户访问权限。• 请求删除 EC2 实例的端口 25 电子邮件限制。• 查找 AWS 账户的规范用户 ID (p. 111). 只有在以 AWS 账户根用户身份登录后才能从 AWS 管理控制台

中查看您的规范用户 ID。您可以凭 IAM 用户身份通过 AWS API 或 AWS CLI 查看您的规范用户 ID。• 在基于资源的策略 (如 S3 存储桶策略) 中重新分配因显式拒绝 IAM 用户访问而被撤销的权限。根用户s 未

像 IAM 用户那样因显式拒绝而被阻止。

了解并获取您的安全凭证根据与 AWS 交互的方式使用不同类型的安全凭证。例如，您可以使用用户名和密码登录 AWS 管理控制台。您使用访问密钥来以编程方式调用 AWS API 操作。

如果您忘记或丢失了凭证，您无法恢复它们。出于安全考虑，AWS 不允许您检索密码或秘密访问密钥，并且不会存储属于密钥对一部分的私有密钥。但是，您可以创建新的凭证，然后禁用或删除原有的凭证。

Note

安全凭证特定于账户。如果您能够访问多个 AWS 账户，请使用与您希望访问的账户关联的凭证。

获取 AWS 账户根用户凭证与获取 IAM 用户凭证不同。对于根用户凭证，您可以从 AWS 管理控制台的安全凭证页面中获取凭证 (如访问密钥或密钥对)。对于 IAM 用户凭证，您可以从 IAM 控制台中获取凭证。

下面的列表介绍了 AWS 的安全凭证类型、您可能会在什么时候用到它们，以及如何获取 AWS 账户根用户或 IAM 用户的每种类型的凭证。

主题• 电子邮件和密码 (根用户) (p. 108)• IAM 用户名和密码 (p. 109)• Multi-Factor Authentication (MFA) (p. 109)• 访问密钥 (访问密钥 ID 和秘密访问密钥) (p. 109)• 密钥对 (p. 110)

电子邮件和密码 (根用户)注册 AWS 时，您需要提供与您的 AWS 账户关联的电子邮件地址和密码。您可以使用这些 AWS 账户根用户凭证登录 AWS 管理控制台、AWS 开发论坛或 AWS 支持中心等 AWS 网页。账户电子邮件地址和密码为根

版本 1.0108

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/manage-payments.html

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/getting-viewing-bill.html

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/grantaccess.html#ControllingAccessWebsite-Activate

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/billing-get-answers.html

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/close-account.html

http://docs.amazonaws.cn/govcloud-us/latest/UserGuide/getting-started-sign-up.html

http://amazonaws.cn/blogs/aws/reverse-dns-for-ec2s-elastic-ip-addresses/

https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/ec2-email-limit-rdns-request

http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/private-content-trusted-signers.html#private-content-creating-cloudfront-key-pairs

http://docs.amazonaws.cn/AmazonDevPay/latest/DevPayDeveloperGuide/X509Certificates.html#UsingAWSCertificate

http://docs.amazonaws.cn/Route53/latest/DeveloperGuide/domain-transfer-between-aws-accounts.html

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/resource-ids.html#resource-ids-working-with-self

https://aws.amazon.com/premiumsupport/knowledge-center/penetration-testing/

https://aws.amazon.com/premiumsupport/knowledge-center/ec2-port-25-throttle/

http://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-edit.html

https://console.amazonaws.cn/iam/home?#security_credential


https://console.amazonaws.cn/iam/home?#

Amazon Web Services 一般参考IAM 用户名和密码

级凭证，使用这些凭证的任何人对账户中的所有资源均具有完全访问权限。我们建议您使用 IAM 用户名和密码来登录 AWS 网页。有关更多信息，请参阅 AWS 账户根用户凭证与 IAM 用户凭证 (p. 107)。

您可以前往 Security Credentials 页面更改电子邮件地址和密码。您还可以选择 AWS 登录页面上的 Forgotpassword? 来重置您的密码。

IAM 用户名和密码当多个用户或应用程序需要访问您的 AWS 账户时，AWS Identity and Access Management (IAM) 允许您创建具有唯一性的 IAM 用户身份。用户可以使用自己的用户名和密码登录 AWS 管理控制台、AWS 开发论坛或 AWS 支持中心。有时，使用某项服务（如使用 Amazon Simple Email Service (Amazon SES) 通过SMTP 发送电子邮件）需要 IAM 用户名和密码。

有关 IAM 用户的更多信息，请参阅 IAM 用户指南中的身份（用户、组和角色）。

您可以在创建时指定用户名。创建用户之后，您可以为每个用户创建密码。有关更多信息，请参阅 IAM 用户指南中的管理 IAM 用户的密码。

Note

IAM 用户可以管理自己的密码，但前提是他们已获得相应的权限。有关更多信息，请参阅 IAM 用户指南中的允许 IAM 用户更改自己的密码。

Multi-Factor Authentication (MFA)多重验证 (MFA) 提供了额外的安全级别，可以应用于您的 AWS 账户。为了提高安全性，建议对 AWS 账户根用户凭证和高特权 IAM 用户启用 MFA。有关更多信息，请参阅 IAM 用户指南中的在 AWS 中使用 Multi-Factor Authentication (MFA)。

启用 MFA 后，当您登录 AWS 网站时，系统会提示您输入用户名和密码以及来自 MFA 设备的身份验证代码。这些结合起来将为您的 AWS 账户设置和资源提供更高的安全保护。

默认情况下不启用 MFA（多重身份验证）。您可以前往安全凭证页面或 AWS 管理控制台中的 IAM 控制面板，为 AWS 账户根用户启用和管理 MFA 设备。有关为 IAM 用户启用 MFA 的更多信息，请参阅 IAM 用户指南中的启用 MFA 设备。

访问密钥 (访问密钥 ID 和秘密访问密钥)访问密钥包含访问密钥 ID（例如 AKIAIOSFODNN7EXAMPLE）和秘密访问密钥（例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）。如果您使用的是 AWS 软件开发工具包、REST 或查询 API 操作，则要使用访问密钥来签署对 AWS 发出的编程请求。AWS 开发工具包使用访问密钥为您签署请求，因此您不必处理签署过程。您也可以手动签署请求。有关更多信息，请参阅签署 AWS API 请求 (p. 150)。

Important

请不要向第三方提供访问密钥，甚至是为了帮助找到您的规范用户 ID (p. 111)也是如此。如果您这样做，可能会向某人提供对您的账户的完全访问权限。

访问密钥也可以与命令行界面 (CLI) 一起使用。在使用 CLI 时，您发出的命令由您的访问密钥签署。您可以随命令传送这些密钥，也可以将其存储为计算机上的配置设置。

您还可以创建和使用临时访问密钥（称为临时安全凭证）。除了访问密钥 ID 和秘密访问密钥外，临时安全凭证还包括您在使用临时安全凭证时必须发送给 AWS 的安全令牌。临时安全凭证的优点是它们是短期使用的。在过期后，这些凭证将不再有效。在不太安全的环境中可以使用临时访问密钥，或者可以分配临时访问密钥以便向用户授予对您的 AWS 账户中资源的临时访问权限。例如，您可以授权其他 AWS 账户的实体访问您的 AWS 账户中的资源 (跨账户访问)。您也可以授权没有 AWS 安全凭证的用户访问您的 AWS 账户中的资源 (联合访问)。有关更多信息，请参阅 IAM 用户指南中的临时安全凭证。

版本 1.0109


http://docs.amazonaws.cn/IAM/latest/UserGuide/id.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_passwords_enable-user-change.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa.html




http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_enable.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp.html

Amazon Web Services 一般参考密钥对

您一次最多可拥有两个访问密钥（活动密钥或不活动密钥）。有关您的 AWS（根）账户，请参阅管理 AWS账户的访问密钥 (p. 114)。对于 IAM 用户，您可以通过 IAM 控制台创建 IAM 访问密钥。有关更多信息，请参阅 IAM 用户指南中的创建、修改和查看访问密钥 (AWS 管理控制台)。

Important

如果您或您的 IAM 用户忘记或丢失了秘密访问密钥，您可以创建新的访问密钥。

密钥对密钥对由公有密钥和私有密钥构成。您可以使用私有密钥创建数字签名，然后 AWS 会使用相应的公有密钥验证签名。密钥对只用于 Amazon EC2 和 Amazon CloudFront。

对于 Amazon EC2，您可以使用密钥对访问 Amazon EC2 实例（例如，在使用 SSH 登录 Linux 实例时）。有关更多信息，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的连接到您的 Linux 实例。

对于 Amazon CloudFront，您可以使用密钥对为私有内容创建签名 URL（例如，当您要分配某人已付费的限制内容时）。有关更多信息，请参阅 Amazon CloudFront 开发人员指南中的通过 CloudFront 提供私有内容。

AWS 不会为您的账户提供密钥对，您必须自己创建。您可以使用 Amazon EC2 控制台、CLI 或 API 创建Amazon EC2 密钥对。有关更多信息，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的 AmazonEC2 密钥对。

使用 Security Credentials 页面创建 Amazon CloudFront 密钥对。只有 AWS 账户根用户 (非 IAM 用户) 可以创建 CloudFront 密钥对。有关更多信息，请参阅 Amazon CloudFront 开发人员指南中的通过 CloudFront提供私有内容。

AWS 账户标识符AWS 为每个 AWS 账户分配两个唯一 ID：

• 一个 AWS 账户 ID• 一个规范用户 ID

AWS 账户 ID 为 12 位数字，例如 123456789012，您可以利用它来构建 Amazon 资源名称 (ARN)。如果您指的是一个 IAM 用户或一个 Amazon Glacier 文件库等的资源，账户 ID 会区分开您的资源和其他 AWS 账户中的资源。

规范用户 ID 是一个长字符串，例如79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be。

您可以在 Amazon S3 存储桶策略中使用规范用户 ID 实现跨账户访问，这意味着一个 AWS 账户可访问另一个 AWS 账户中的资源。例如，要授权另一个 AWS 账户访问您的存储桶，您需要在存储桶策略中指定账户的规范用户 ID。有关更多信息，请参阅 Amazon Simple Storage Service 开发人员指南中的存储桶策略示例。

查找 AWS 账户 ID您可以从 AWS 管理控制台查找 AWS 账户 ID。用于查找账户 ID 的方法取决于您登录控制台的方式。

以 AWS 账户根用户身份登录时查看 AWS 账户 ID

1. 使用您的 AWS 账户电子邮件地址和密码以根用户身份登录 AWS 管理控制台。

版本 1.0110


http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/AccessingInstances.html

http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/PrivateContent.html


http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-key-pairs.html

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-key-pairs.html




http://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html

http://docs.amazonaws.cn/AmazonS3/latest/dev/example-bucket-policies.html

http://docs.amazonaws.cn/AmazonS3/latest/dev/example-bucket-policies.html

https://console.amazonaws.cn/console/home

Amazon Web Services 一般参考查找账户的规范用户 ID

Important

如果您已使用 IAM 用户凭证登录到 AWS 管理控制台，则必须注销后以根用户身份登录。如果您看到特定于账户的 IAM 用户登录页面，请选择页面底部附近的 Sign in using root accountcredentials 以返回主登录页面。在该页面中，您可以键入 AWS 账户电子邮件地址和密码以根用户身份登录。

2. 在控制台的右上角，选择您的账户名或账号。然后选择 My Security Credentials。3. 如有必要，请在对话框中选择 Continue to Security Credentials。您可以选中 Don’t show me this

message again 旁边的框以阻止该对话框再次出现。4. 展开 Account Identifiers 部分以查看您的 AWS 账户 ID。

在以联合用户身份或 IAM 用户身份登录时查看 AWS 账户 ID

1. 作为联合身份用户登录 AWS 管理控制台。2. 选择控制台右上角的 Support，然后选择 Support Center。如有必要，请在对话框中选择 Continue to

Security Credentials。您可以选中 Don’t show me this message again 旁边的框以阻止该对话框再次出现。

3. 您的 AWS 账户 ID 显示在右上角。对于 AWS 账户根用户及其 IAM 用户而言，AWS 账户的账户 ID 相同。有关更多信息，请参阅 AWS 账户 ID 及其别名。

查找账户的规范用户 ID当以 AWS 账户根用户身份登录时，可以从 AWS 管理控制台查看您的规范用户 ID；当以 IAM 用户身份登录时，可使用 AWS API 或 AWS CLI 查看。要了解根用户凭证与 IAM 用户凭证之间的区别，请参阅the sectioncalled “AWS 账户根用户凭证与 IAM 用户凭证” (p. 107)。

要使用 AWS API 或 AWS CLI，IAM 用户必须有权执行 s3:ListAllMyBuckets 操作。有关权限的更多信息，请参阅 Amazon Simple Storage Service 开发人员指南中的与存储桶相关的权限和管理 Amazon S3 资源的访问权限。

Important

请不要向第三方提供访问密钥 (访问密钥 ID 和秘密访问密钥) (p. 109)来帮助查找您的规范用户ID。如果您这样做，可能会向他们提供对您的账户的完全访问权限。

以 AWS 账户根用户 (控制台) 身份登录后查看规范用户 ID

1. 使用 AWS 账户电子邮件地址和密码以根用户身份登录。

Important

如果您已使用 IAM 用户凭证登录到 AWS 管理控制台，则必须注销，然后以根用户身份登录。如果您看到特定于账户的 IAM 用户登录页面，请选择页面底部附近的 Sign in using rootaccount credentials 以返回主登录页面。在该页面中，您可以键入 AWS 账户电子邮件地址和密码以根用户身份登录。

2. 在控制台的右上角，选择您的账户名或账号。然后选择 My Security Credentials。3. 如有必要，请在对话框中选择 Continue to Security Credentials。您可以选中 Don’t show me this

message again 旁边的框以阻止该对话框再次出现。4. 展开 Account Identifiers 部分以查看您的规范用户 ID。

Note

如果看不到 Account Identifiers 部分，说明您未以根用户身份登录。请返回上面的步骤 1。如果您无权访问根用户凭证，请联系您的 AWS 账户管理员，请其检索规范用户 ID。

版本 1.0111


http://docs.amazonaws.cn/IAM/latest/UserGuide/console_account-alias.html

http://docs.amazonaws.cn/AmazonS3/latest/dev/using-with-s3-actions.html#using-with-s3-actions-related-to-buckets

http://docs.amazonaws.cn/AmazonS3/latest/dev/s3-access-control.html



Amazon Web Services 一般参考有关管理 AWS 访问密钥的最佳实践

作为 IAM 用户查看您的规范用户 ID (API)

• 您可以将 Amazon S3 ListBuckets API 与您的 IAM 用户凭证结合使用来返回 AWS 账户所有者 ID，这是规范用户 ID。有关更多信息，请参阅 Amazon Simple Storage Service API Reference 中的 GET 服务响应元素。

作为 IAM 用户查看您的规范用户 ID (CLI)

• 您可以将 list-buckets 命令与您的 IAM 用户凭证结合使用来返回 AWS 账户所有者 ID，这是规范用户 ID。有关更多信息，请参阅 AWS CLI Command Reference 中的 s3api list-buckets。

有关管理 AWS 访问密钥的最佳实践在以编程方式访问 AWS 时，使用访问密钥验证您的身份和应用程序的身份。访问密钥包含访问密钥 ID（例如 AKIAIOSFODNN7EXAMPLE）和秘密访问密钥（例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）。

拥有您的访问密钥的任何人将与您拥有相同的 AWS 资源访问权限级别。因此，AWS 全力保护您的访问密钥并确保符合我们的分担责任模型，您也应当如此。

下述步骤可以帮助您保护访问密钥。有关一般说明，请参阅 AWS 安全凭证 (p. 107)。Note

贵组织的安全要求和策略可能与本主题中介绍的有所不同。此处提供的建议旨在用作一般准则。

删除 (或不生成) 账户访问密钥在使用 AWS 命令行工具、AWS 软件开发工具包或直接的 API 调用来签署您发出的请求时，都需要使用访问密钥。拥有您的 AWS 账户根用户访问密钥的任何人都可以无限制地访问您账户中的所有资源，包括账单信息。您无法限制您的 AWS 账户根用户的权限。

保护账户的最佳方法之一是不为您的 AWS 账户根用户设置访问密钥。除非必须具有根用户访问密钥 (这种情况很少见)，否则最好不要生成根用户访问密钥。建议的最佳实践是创建一个或多个 AWS Identity andAccess Management (IAM) 用户，向他们授予必要的权限，并通过 IAM 用户与 AWS 进行日常交互。

如果您的账户已有访问密钥，建议您：找到当前在应用程序中使用该密钥 (如果有) 的位置，使用 IAM 用户访问密钥替换根用户访问密钥，然后禁用并删除根用户访问密钥。有关如何使用一个访问密钥替代另一个访问密钥的详细信息，请参阅 AWS 安全博客上的博文如何轮换 IAM 用户的访问密钥。

默认情况下，AWS 不会为新账户生成访问密钥。

有关如何创建具有管理权限的 IAM 用户的信息，请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。

使用临时安全凭证（IAM 角色）代替长期访问密钥在许多情况下，您并不需要永不过期的长期访问密钥（如 IAM 用户访问密钥）。相反，您可以创建 IAM 角色并生成临时安全凭证。临时安全凭证包括访问密钥 ID 和秘密访问密钥，以及一个指示凭证何时到期的安全令牌。

长期访问密钥 (如与 IAM 用户和 AWS 账户根用户关联的访问密钥) 将保持有效，直至手动撤销。但是，通过IAM 角色获取的临时安全凭证和 AWS Security Token Service 的其他功能将在短时间内过期。凭证意外泄漏时，使用临时安全凭证可帮助降低您的风险。

在以下这些情况下使用 IAM 角色和临时安全凭证：

版本 1.0112

http://docs.amazonaws.cn/AmazonS3/latest/API/RESTServiceGET.html#RESTServiceGET-responses

http://docs.amazonaws.cn/AmazonS3/latest/API/RESTServiceGET.html#RESTServiceGET-responses

http://docs.amazonaws.cn/cli/latest/reference/s3api/list-buckets.html

http://amazonaws.cn/compliance/shared-responsibility-model/

http://amazonaws.cn/tools/#cli

http://amazonaws.cn/tools/#sdk

http://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html

http://amazonaws.cn/blogs/security/how-to-rotate-access-keys-for-iam-users/

http://docs.amazonaws.cn/IAM/latest/UserGuide/getting-started_create-admin-group.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/getting-started_create-admin-group.html

Amazon Web Services 一般参考正确管理 IAM 用户访问密钥

• 您在 Amazon EC2 实例上运行一个应用程序或 AWS CLI 脚本。请勿向应用程序传递访问密钥、将密钥嵌入应用程序或让应用程序从 Amazon S3 存储桶等源读取密钥（即使存储桶已加密）。相反，请定义对应用程序具有适当权限的 IAM 角色，并启动具有用于 EC2 的角色的 Amazon EC2 实例。这会将 IAM 角色与Amazon EC2 实例相关联，应用程序也将获得进而可用于进行 AWS 调用的临时安全凭证。AWS 软件开发工具包和 AWS CLI 可以自动获得角色的临时凭证。

• 您需要授予跨账户访问权限。使用 IAM 角色建立账户之间的信任，然后向用户授予有限的账户权限来访问可信账户。有关更多信息，请参阅 IAM 用户指南中的教程：使用 IAM 角色委派跨 AWS 账户的访问权限。

• 您拥有一个移动应用程序。请勿将访问密钥嵌入应用程序，即使是嵌入加密存储也不允许。而应使用 Amazon Cognito 管理应用程序中的用户身份。此服务可让您使用 Login withAmazon、Facebook、Google 或任何兼容 OpenID Connect (OIDC) 的身份提供商对用户进行身份验证。然后，您可以使用 Amazon Cognito 凭证提供程序来管理应用程序用于向 AWS 发出请求的凭证。有关更多信息，请参阅 AWS 移动博客上的使用 Amazon Cognito 凭证提供程序。

• 您希望向 AWS 进行联合身份验证且贵组织支持 SAML 2.0。如果您为拥有支持 SAML 2.0 的身份提供商的组织工作，配置提供商以使用 SAML 与 AWS 交换身份验证信息并取回一组临时安全凭证。有关更多信息，请参阅 IAM 用户指南中的关于基于 SAML 2.0 的联合身份验证。

• 您希望向 AWS 进行联合身份验证且贵组织拥有本地身份存储。如果用户可以在组织内部进行身份验证，您可以编写一个可向他们颁发用于访问 AWS 资源的临时安全凭证的应用程序。有关更多信息，请参阅IAM 用户指南中的创建一个使联合身份用户能够访问 AWS 管理控制台 (自定义联合代理) 的 URL。

正确管理 IAM 用户访问密钥如果您需要创建用于以编程方式访问 AWS 的访问密钥，请创建 IAM 用户并仅授予该用户所需的权限。然后为该用户生成一个访问密钥。有关详细信息，请参阅 IAM 用户指南中的管理 IAM 用户的访问密钥。

Note

请记住，如果您正在 Amazon EC2 实例上运行一个应用程序，并且该应用程序需要访问 AWS 资源，则您应该使用适用于 EC2 的 IAM 角色，正如前一部分所述。

使用访问密钥时，请遵守这些预防措施：

• 请勿直接将访问密钥嵌入代码中。使用 AWS 软件开发工具包和 AWS 命令行工具，可以将访问密钥放置在已知位置，这样就不必将其保留在代码中。

在以下任一位置中放置访问密钥：• AWS 凭证文件。AWS 软件开发工具包和 AWS CLI 自动使用您存储在 AWS 凭证文件中的凭证。

有关使用 AWS 凭证文件的信息，请参阅软件开发工具包文档。在 AWS SDK for Java Developer Guide中的设置用于开发的 AWS 凭证和区域和 AWS Command Line Interface 用户指南中的配置和凭证文件中可找到示例。

Note

要存储适用于 .NET 的 AWS 软件开发工具包和适用于 Windows PowerShell 的 AWS 工具的凭证，建议您使用软件开发工具包存储。有关更多信息，请参阅适用于 .NET 的 AWS 开发工具包开发人员指南中的使用软件开发工具包存储。

• 环境变量。在多租户系统上，选择用户环境变量，而不是系统环境变量。

有关使用环境变量存储凭证的更多信息，请参阅 AWS Command Line Interface 用户指南中的环境变量。

• 对不同应用程序使用不同的访问密钥。这样您就可以在访问密钥泄露时隔离权限并撤消单个应用程序的访问密钥。通过让不同应用程序拥有独立的访问密钥，还可以在 AWS CloudTrail 日志文件中生成不同的条目，使您能够更轻松地确定执行特定操作的应用程序。

• 定期轮换访问密钥。定期更改访问密钥。有关详细信息，请参阅 IAM 用户指南中的轮换访问密钥 (AWSCLI、Windows PowerShell 工具和 AWS API) 以及 AWS 安全博客上的如何轮换 IAM 用户的访问密钥。

版本 1.0113

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

http://amazonaws.cn/cognito/

http://amazonaws.cn/blogs/mobile/using-the-amazon-cognito-credentials-provider/

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_saml.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html


http://amazonaws.cn/tools/#cli

http://docs.amazonaws.cn/sdk-for-java/v1/developer-guide/setup-credentials.html

http://docs.amazonaws.cn/cli/latest/userguide/cli-chap-getting-started.html#cli-config-files


http://docs.amazonaws.cn/sdk-for-net/latest/developer-guide/net-dg-config-creds.html#sdk-store

http://docs.amazonaws.cn/cli/latest/userguide/cli-chap-getting-started.html#cli-environment

http://docs.amazonaws.cn/cli/latest/userguide/cli-chap-getting-started.html#cli-environment

http://amazonaws.cn/cloudtrail/

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey

http://amazonaws.cn/blogs/security/how-to-rotate-access-keys-for-iam-users/

Amazon Web Services 一般参考更多资源

• 删除未使用的访问密钥。如果某个用户离开了贵组织，请删除相应的 IAM 用户，以便删除该用户对您的资源的访问。要找出上次使用访问密钥的时间，请使用 GetAccessKeyLastUsed API（AWS CLI 命令：aws iam get-access-key-last-used）。

• 为最敏感的操作配置多重验证。有关详细信息，请参阅 IAM 用户指南中的在 AWS 中使用 Multi-FactorAuthentication (MFA)。

更多资源有关确保 AWS 账户安全的最佳实践的更多信息，请参阅以下资源：

• IAM 最佳实践。本主题提供了一系列有关使用 AWS Identity and Access Management (IAM) 服务帮助保护 AWS 资源安全的建议。

• 以下页面为设置 AWS 软件开发工具包和 AWS CLI 以使用访问密钥提供了相关指导。• AWS SDK for Java Developer Guide 中的设置用于开发的 AWS 凭证和区域。• 适用于 .NET 的 AWS 开发工具包开发人员指南中的使用软件开发工具包存储。• 适用于 PHP 的 AWS 开发工具包 Developer Guide中的为软件开发工具包提供凭证。• Boto 3 (适用于 Python 的 AWS 开发工具包) 文档中的配置。• 适用于 Windows PowerShell 的 AWS 工具指南中的使用 AWS 凭证。• AWS Command Line Interface 用户指南中的配置和凭证文件。

• 使用 IAM 角色授予访问权限。本演练讨论使用 .NET 软件开发工具包编写的程序在 Amazon EC2 实例上运行时如何自动获得临时安全凭证。提供了有关适用于 Java 的 AWS 开发工具包的类似主题。

管理 AWS 账户的访问密钥您可以创建、轮换、禁用或删除 AWS 账户根用户访问密钥 (访问密钥 ID 和秘密访问密钥)。拥有您的 AWS账户访问密钥的任何人都可以无限制地访问您账户中的所有资源，包括账单信息。

建议不要为您的 AWS 账户创建访问密钥并删除任何存在的访问密钥。相反，在 AWS Identity and AccessManagement (IAM) 中创建用户并选择 Programmatic access 来为用户创建访问密钥。有关更多信息，请参阅 IAM 用户指南中的隐藏您的 AWS 账户根用户访问密钥。

在创建访问密钥时，AWS 仅允许您查看和下载秘密访问密钥一次。如果您未下载或丢失了访问密钥，则可删除访问密钥，然后创建新的访问密钥。

新创建的访问密钥的状态为已激活，这意味着，您可以使用访问密钥进行 API 调用。您最多可以拥有 AWS账户的两个访问密钥，这在您需要轮换访问密钥 (p. 113)时很有用。在禁用访问密钥时，不能使用访问密钥进行 API 调用。

您随时可以创建或删除访问密钥。不过，当您删除访问密钥时，意味着永久删除且无法恢复。

创建、禁用和删除 AWS 账户的访问密钥执行以下步骤可管理 AWS 账户的访问密钥。有关管理 IAM 用户的访问密钥的信息，请参阅 IAM 用户指南中的管理 IAM 用户的访问密钥。

创建、禁用或删除 AWS 账户根用户访问密钥

1. 使用您的 AWS 账户电子邮件地址和密码以 AWS 账户根用户身份登录 AWS 管理控制台。Note

如果您之前已使用 IAM 用户凭证登录控制台，则您的浏览器可能会记住此首选项，并打开您的账户特定的登录页。您不能在 IAM 用户登录页面使用 AWS 账户根用户凭证进行登录。如果您

版本 1.0114

http://docs.amazonaws.cn/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html

http://docs.amazonaws.cn/cli/latest/reference/iam/get-access-key-last-used.html



http://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html

http://docs.amazonaws.cn/sdk-for-java/v1/developer-guide/setup-credentials.html

http://docs.amazonaws.cn/sdk-for-net/latest/developer-guide/net-dg-config-creds.html#sdk-store

http://docs.amazonaws.cn/aws-sdk-php/v2/guide/credentials.html

http://boto3.readthedocs.org/en/latest/guide/quickstart.html#configuration

http://docs.amazonaws.cn/powershell/latest/userguide/specifying-your-aws-credentials.html


http://docs.amazonaws.cn/sdk-for-net/latest/developer-guide/net-dg-hosm.html

http://docs.amazonaws.cn/sdk-for-java/v1/developer-guide/java-dg-roles.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_create.html#id_users_create_console

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_create.html#id_users_create_console


http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_access-keys.html

https://console.amazonaws.cn/

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_users.html

Amazon Web Services 一般参考AWS 安全审查指南

看到 IAM 用户登录页面，请选择页面底部附近的 Sign-in using 根用户 credentials 以返回到主登录页面。在此处，您可以键入您的 AWS 账户电子邮件地址和密码。

2. 在 IAM Dashboard 页面的导航栏上，选择您的账户名，然后选择 My Security Credentials。3. 如果看到有关访问您的 AWS 账户的安全凭证的警告，选择 Continue to Security Credentials。4. 展开 Access keys (access key ID and secret access key) 部分。5. 选择首选操作：

创建访问密钥

选择 Create New Access Key。然后，选择 Download Key File 以将访问密钥 ID 和秘密访问密钥保存到计算机上的文件中。在关闭对话框后，您无法再次检索此秘密访问密钥。

禁用现有访问密钥

选择要禁用的访问密钥旁边的 Make Inactive。要重新启用非活动访问密钥，请选择 Make Active。删除现有访问密钥

在删除访问密钥前，请确保它不再使用。有关更多信息，请参阅 IAM 用户指南中的查找未使用的访问密钥。删除访问密钥后，无法将其恢复。要删除访问密钥，请选择要删除的访问密钥旁边的Delete。

AWS 安全审查指南您应该定期审查安全配置，以确保它满足您当前的业务需求。审核可以为您提供删除不需要的 IAM 用户、角色、组和策略的机会，以确保用户和软件仅拥有必需的权限。

以下是有关系统地查看和监控 AWS 资源的准则，以便获得安全最佳实践。

主题• 您应该什么时候执行安全审查？ (p. 115)• 审查的一般准则 (p. 116)• 查看您的 AWS 账户凭证 (p. 116)• 查看 IAM 用户 (p. 116)• 查看 IAM 组 (p. 116)• 查看 IAM 角色 (p. 116)• 查看您的 SAML 和 OpenID Connect (OIDC) 的 IAM 提供商 (p. 117)• 查看移动应用程序 (p. 117)• 查看 Amazon EC2 安全配置 (p. 117)• 查看其他服务中的 AWS 策略 (p. 117)• 监控 AWS 账户中的活动 (p. 118)• 有关查看 IAM 策略的提示 (p. 118)• 更多信息 (p. 119)

您应该什么时候执行安全审查？在以下情况下，您应该审核您的安全配置：

• 定期。作为一项安全最佳实践，您应该定期执行本文档中介绍的步骤。• 如果组织中发生变动，比如有人离职。• 如果您停止使用一个或多个独立的 AWS 服务。这对于删除账户中用户不再需要的权限非常重要。

版本 1.0115

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_finding-unused.html#finding-unused-access-keys

http://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_finding-unused.html#finding-unused-access-keys

Amazon Web Services 一般参考审查的一般准则

• 如果您在账户中添加或删除了软件，比如 Amazon EC2 实例、AWS OpsWorks 堆栈、AWSCloudFormation 模板等内容上的应用程序。

• 如果您怀疑某个未授权人员可能访问了您的账户。

审查的一般准则查看您账户的安全配置时，请遵循这些准则：

• 全面周祥。查看安全配置的各个方面，包括您可能不经常使用的那些方面。• 请勿假设。如果您对安全配置的某些方面（例如，特定策略背后的理由或角色存在情况）不太熟悉，请调

查业务需求，直到您感到满意。• 让事情变得简单。为了使审核（和管理）变得更简单，请使用 IAM 组、一致的命名方案和简单的策略。

查看您的 AWS 账户凭证当审核您的 AWS 账户凭证时，执行以下步骤：

1. 如果您的账户没有使用根访问密钥，请删除它们。我们强烈建议您创建 IAM 用户，而不是使用根访问密钥来完成 AWS 日常工作。

2. 如果您的确需要保留账户的访问密钥，请定期轮换它们。

查看 IAM 用户当您审核您的现有 IAM 用户时，请执行以下步骤：

1. 删除未激活的用户。2. 从组中删除不必属于该组的用户。3. 查看附加到用户所在的组的策略。请参阅有关查看 IAM 策略的提示 (p. 118)。4. 删除用户不需要或者可能已经公开的安全凭证。例如，用于应用程序的 IAM 用户无需密码（只有登录

AWS 网站才需要密码）。同样，如果用户不使用访问密钥，则不必拥有访问密钥。有关更多信息，请参阅 IAM 用户指南中的管理 IAM 用户的密码和管理 IAM 用户的访问密钥。

您可以生成和下载列出您账户中所有 IAM 用户及其各个凭证状态（包括密码、访问密钥和 MFA 设备）的凭证报告。对于密码和访问密钥，凭证报告将显示多久前使用了密码或访问密钥。最近未使用的凭证可能适合做删除处理。有关更多信息，请参阅 IAM 用户指南中的获取 AWS 账户的凭证报告。

5. 定期轮换（更改）用户安全凭证，如果您已与未授权人员共享它们，请立即执行此操作。有关更多信息，请参阅 IAM 用户指南中的管理 IAM 用户的密码和管理 IAM 用户的访问密钥。

查看 IAM 组当您审核您的 IAM 组时，请执行以下步骤：

1. 删除未使用的组。2. 查看每个组中的用户并删除不属于这些组的用户。请参阅之前的查看 IAM 用户 (p. 116)。3. 查看附加到组的策略。请参阅有关查看 IAM 策略的提示 (p. 118)。

查看 IAM 角色当您审核您的 IAM 角色时，请执行以下步骤：

版本 1.0116

http://docs.amazonaws.cn/general/latest/gr/managing-aws-access-keys.html

http://docs.amazonaws.cn/general/latest/gr/aws-access-keys-best-practices.html#root-password

http://docs.amazonaws.cn/IAM/latest/UserGuide/ManagingCredentials.html#Using_RotateAccessKey

http://docs.amazonaws.cn/IAM/latest/UserGuide/Using_DeletingUserFromAccount.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/Using_AddOrRemoveUsersFromGroup.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/credentials-add-pwd-for-user.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/ManagingCredentials.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/credential-reports.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/credentials-add-pwd-for-user.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/ManagingCredentials.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/Using_DeleteGroup.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/Using_AddOrRemoveUsersFromGroup.html

Amazon Web Services 一般参考查看您的 SAML 和 OpenID Connect (OIDC) 的 IAM 提供商

1. 删除未使用的角色。2. 查看角色的信任策略。确保您知道委托人是谁，并且了解为什么账户或用户需要能够担任该角色。3. 要查看角色的访问策略，以确保其向担任该角色的人授予了合适的权限，请参阅有关查看 IAM 策略的提

示 (p. 118)。

查看您的 SAML 和 OpenID Connect (OIDC) 的 IAM 提供商如果您已经创建了 IAM 身份来与 SAML 或 OIDC 身份提供商建立信任关系，请执行以下步骤：

1. 删除未使用的提供商。2. 下载并查看每个 SAML 提供商的 AWS 元数据文档，并确保这些文档反映了您当前的业务需求。或者，从

您想与之建立信任关系的 SAML IdP 那里获取最新元数据文档，并在 IAM 中更新提供商。

查看移动应用程序如果您已经创建了向 AWS 提出请求的移动应用程序，请执行以下步骤：

1. 确保移动应用程序不包含嵌入式访问密钥（即使它们位于加密存储中）。2. 通过使用为该目的设计的 API 来获取应用程序的临时凭证。我们建议您使用 Amazon Cognito 来管理应

用程序中的用户身份。此服务可让您使用 Login with Amazon、Facebook、Google 或任何兼容 OpenIDConnect (OIDC) 的身份提供商对用户进行身份验证。然后，您可以使用 Amazon Cognito 凭证提供程序来管理应用程序用于向 AWS 发出请求的凭证。

如果您的移动应用程序不支持使用 Login with Amazon、Facebook、Google 或任何其他兼容 OIDC 的身份提供商进行身份验证，则可以创建代理服务器来将临时凭证分配给您的应用程序。

查看 Amazon EC2 安全配置针对每个 AWS 区域执行以下步骤：

1. 删除未使用的或可能已经为组织之外的人员所知的 Amazon EC2 密钥对。2. 查看 Amazon EC2 安全组：

• 删除不再满足需求的安全组。• 删除不再满足需求的安全组规则。确保您知道为什么支持它们允许的端口、协议和 IP 地址范围。

3. 终止不满足业务需求，或者可能已经由组织外的人员出于未批准的目的而启动的实例。请记住，如果已通过某一角色启动实例，则在该实例上运行的应用程序可以使用该角色授予的权限来访问 AWS 资源。

4. 取消不满足业务需求或者可能由组织外的人员提出的 Spot 实例请求。5. 查看 Auto Scaling 组和配置。关闭任何不再满足您的需求或者可能由组织外的某个人配置的设置。

查看其他服务中的 AWS 策略查看使用基于资源的策略或支持其他安全机制的服务的权限。在每种情况下，确保只有具有当前业务需求的用户和角色可以访问服务资源，并且针对资源授予的权限是满足业务需求的最低要求。

• 查看 Amazon S3 存储桶策略和 ACL。• 查看 Amazon SQS 队列策略。• 查看 Amazon SNS 主题策略。

版本 1.0117

http://docs.amazonaws.cn/IAM/latest/UserGuide/roles-managingrole-deleting.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/roles-managingrole-editing.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/roles-managingrole-editing.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/identity-providers.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/identity-providers-saml.html

http://amazonaws.cn/cognito/

http://mobile.awsblog.com/post/TxR1UCU80YEJJZ/Using-the-Amazon-Cognito-Credentials-Provider

http://docs.amazonaws.cn/STS/latest/UsingSTS/STSUseCases.html#IdentityBrokerApplication

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#using-regions-availability-zones-setup

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-key-pairs.html#delete-key-pair

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-network-security.html

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/spot-requests.html

http://docs.amazonaws.cn/autoscaling/latest/userguide/WorkingWithASG.html

http://docs.amazonaws.cn/autoscaling/latest/userguide/as-process-shutdown.html


http://docs.amazonaws.cn/AWSSimpleQueueService/latest/SQSDeveloperGuide/UsingIAM.html

http://docs.amazonaws.cn/sns/latest/dg/UsingIAMwithSNS.html

Amazon Web Services 一般参考监控 AWS 账户中的活动

• 查看 AWS OpsWorks 权限。• 查看 AWS KMS 密钥策略。

监控 AWS 账户中的活动请遵循以下监控 AWS 活动的指导原则：

• 打开每个账户中的 AWS CloudTrail，并在每个支持的区域中使用它。• 定期检查 CloudTrail 日志文件。（CloudTrail 有许多合作伙伴，他们会提供用于读取和分析日志文件的工

具。）• 启用 Amazon S3 存储桶日志记录，以监控向每个存储桶提出的请求。• 如果您认为账户遭到未授权使用，请特别注意已颁发的临时凭证。如果颁发了您无法识别的临时凭证，

请禁用其权限。• 启用每个账户中的账单警报，并设置成本阈值，以便您了解费用是否超出正常使用额度。

有关查看 IAM 策略的提示策略功能强大且非常细微，因此，学习并了解每个策略授予的权限很重要。查看策略时请使用以下准则：

• 作为最佳实践，请将策略附加到组，而不是单个用户。如果单个用户拥有策略，请确保您了解为什么该用户需要策略。

• 确保 IAM 用户、组及角色仅拥有所需的权限。• 使用 IAM Policy Simulator 测试附加到用户或组的策略。• 请记住，用户的权限是所有适用策略的结果，这些策略包括用户策略、组策略、基于资源的策略（针对

Amazon S3 存储桶、Amazon SQS 队列、Amazon SNS 主题和 AWS KMS 密钥）。检查应用于用户的所有策略以及了解授予单个用户的一整套权限很重要。

• 请注意，通过允许用户创建 IAM 用户、组、角色或策略，并将策略附加到委托人实体，可以有效地向用户授予针对账户中所有资源的权限。也就是说，可创建策略并将其附加到用户、组或角色的用户可以为自己授予任何权限。通常，不会向您不信任的用户或角色授予可以完全访问账户中资源的 IAM 权限。以下列表中包含您应仔细检查的 IAM 权限：• iam:PutGroupPolicy

• iam:PutRolePolicy

• iam:PutUserPolicy

• iam:CreatePolicy

• iam:CreatePolicyVersion

• iam:AttachGroupPolicy

• iam:AttachRolePolicy

• iam:AttachUserPolicy

• 确保策略没有向您未使用的服务授予权限。例如，如果使用 AWS 托管策略，请确保您账户中正在使用的 AWS 托管策略是针对您实际使用的服务的。要找出您账户中正在使用哪些 AWS 托管策略，请使用 IAM GetAccountAuthorizationDetails API（AWS CLI 命令：aws iam get-account-authorization-details）。

• 如果策略授予用户启动 Amazon EC2 实例的权限，则可能还允许 iam:PassRole 操作，但如果是这样，它应该明确列出用户可以传递给 Amazon EC2 实例的角色。

• 请谨慎地检查包括 * 的 Action 或 Resource 元素的任何值。这是仅授予用户需要的个人操作和资源的Allow 访问权限的最佳实践。但是，以下是可能适合在策略中使用 * 的原因：• 策略旨在授予管理级权限。• 为方便起见，通配符用于一组相似的操作（例如，Describe*），您会因为以这种方式引用的操作的完

整列表而感到轻松。

版本 1.0118

http://docs.amazonaws.cn/opsworks/latest/userguide/opsworks-security-users.html

http://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html

http://amazonaws.cn/cloudtrail/

http://amazonaws.cn/cloudtrail/partners/

http://docs.amazonaws.cn/AmazonS3/latest/dev/ServerLogs.html

http://docs.amazonaws.cn/STS/latest/UsingSTS/DisablingTokenPermissions.html

http://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/monitor-charges.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/IAMBestPractices.html#use-groups-for-permissions

http://docs.amazonaws.cn/IAM/latest/UsingPolicySimulatorGuide/

http://docs.amazonaws.cn/IAM/latest/UserGuide/policies-managed-vs-inline.html#aws-managed-policies

http://docs.amazonaws.cn/IAM/latest/APIReference/API_GetAccountAuthorizationDetails.html

http://docs.amazonaws.cn/cli/latest/reference/iam/get-account-authorization-details.html

http://docs.amazonaws.cn/cli/latest/reference/iam/get-account-authorization-details.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/roles-usingrole-ec2instance.html#roles-usingrole-ec2instance-passrole

Amazon Web Services 一般参考更多信息

• 通配符用于表示一类资源或一个资源路径（例如，arn:aws:iam::account-id:users/division_abc/*），您可以很方便地授予针对该类别或路径中所有资源的访问权限。

• 服务操作不支持资源级权限，资源的唯一选择是 *。• 检查策略名称以确保其反映了策略的功能。例如，尽管策略名称可能包括“只读”，但策略可能实际还授予

了写入或更改权限。

更多信息有关管理 IAM 资源的信息，请参阅以下内容：

• IAM 用户指南中的 IAM 用户和组。• IAM 用户指南中的权限和策略。• IAM 用户指南中的 IAM 角色 (委托和联合)。• 使用 IAM 策略模拟器指南中的 IAM Policy Simulator。

有关 Amazon EC2 安全性的更多信息，请参阅以下内容：

• Amazon EC2 用户指南（适用于 Linux 实例）中的网络与安全性。• AWS 安全博客上的揭秘 EC2 资源级权限。

有关监控 AWS 账户的更多信息，请参阅 re:Invent 2013 演示文稿“云中的入侵检测”（视频、幻灯片演示PDF）。您也可以下载介绍如何自动执行安全审查功能的示例 Python 程序。

版本 1.0119

http://docs.amazonaws.cn/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/PermissionsAndPolicies.html

http://docs.amazonaws.cn/IAM/latest/UserGuide/roles-toplevel.html

http://docs.amazonaws.cn/IAM/latest/UsingPolicySimulatorGuide/

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/EC2_Network_and_Security.html

http://amazonaws.cn/blogs/security/demystifying-ec2-resource-level-permissions/

//www.youtube.com/watch?v=aGfKCmnmh5g

https://awsmedia.s3.amazonaws.com.cn/SEC402.pdf

https://awsmedia.s3.amazonaws.com.cn/SEC402.pdf

https://s3.amazonaws.com.cn/reinvent2013-sec402/SecConfig.py

Amazon Web Services 一般参考ARN 格式

Amazon 资源名称 (ARN) 和 AWS 服务命名空间

Amazon 资源名称 (ARN) 唯一标识 AWS 资源。当您需要在 AWS 全局环境中（比如 IAM 策略、AmazonRelational Database Service (Amazon RDS) 标签和 API 调用中）明确指定一项资源时，我们要求使用ARN。

内容• ARN 格式 (p. 120)• 示例 ARN (p. 121)• ARN 中的路径 (p. 144)• AWS 服务命名空间 (p. 145)

ARN 格式下面是一些示例 ARN：

arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironment

arn:aws:iam::123456789012:user/David

arn:aws:rds:eu-west-1:123456789012:db:mysql-db

arn:aws:s3:::my_corporate_bucket/exampleobject.png

以下是 ARN 的一般格式；所用的具体组成部分和值取决于 AWS 服务。

arn:partition:service:region:account-id:resourcearn:partition:service:region:account-id:resourcetype/resourcearn:partition:service:region:account-id:resourcetype:resource

分分

资源所处的分区。对于标准 AWS 区域，分区是 aws。如果资源位于其他分区，则分区是aws-partitionname。例如，位于中国（北京）区域的资源的分区为 aws-cn。

service

标识 AWS 产品（例如，Amazon S3、IAM 或 Amazon RDS）的服务命名空间。有关命名空间的列表，请参阅 AWS 服务命名空间 (p. 145)。

分分

资源所在的区域。请注意，一些资源的 ARN 不需要区域，因此，该组成部分可能会被省略。分分

拥有资源的 AWS 账户 ID (p. 110) 不含连字符。例如，123456789012。请注意，一些资源的 ARN 不需要账号，因此，该组成部分可能会被省略。

版本 1.0120

Amazon Web Services 一般参考示例 ARN

resource、resourcetype:resource 或 resourcetype/resource

ARN 这部分的内容因服务而异。它通常包括资源类型（例如，IAM 用户或 Amazon RDS 数据库）的指示符，后跟一个斜杠 (/) 或冒号 (:)，后跟资源名称本身。如 ARN 中的路径 (p. 144) 中所述，有些服务允许为资源名称指定路径。

示例 ARN以下部分针对不同的服务提供了 ARN 的语法和示例。有关在特定 AWS 服务中使用 ARN 的更多信息，请参阅针对该服务的文档。

某些服务支持 IAM 资源级权限。有关更多信息，请参阅与 IAM 配合使用的 AWS 服务。

服务• Alexa for Business (p. 123)• Amazon API Gateway (p. 123)• AWS AppSync (p. 123)• AWS Artifact (p. 123)• Amazon EC2 Auto Scaling (p. 124)• AWS Certificate Manager (p. 124)• AWS Certificate Manager 私有证书颁发机构 (p. 124)• AWS Cloud9 (p. 124)• Amazon Cloud Directory (p. 125)• AWS CloudFormation (p. 125)• Amazon CloudFront (p. 125)• Amazon CloudSearch (p. 125)• AWS CloudTrail (p. 126)• Amazon CloudWatch (p. 126)• Amazon CloudWatch Events (p. 126)• Amazon CloudWatch Logs (p. 126)• AWS CodeBuild (p. 127)• AWS CodeCommit (p. 127)• AWS CodeDeploy (p. 127)• Amazon Cognito 您的用户池 (p. 127)• Amazon Cognito 联合身份 (p. 128)• Amazon Cognito Sync (p. 128)• AWS Config (p. 128)• AWS CodePipeline (p. 128)• AWS CodeStar (p. 128)• AWS Direct Connect (p. 129)• AWS Directory Service (p. 129)• Amazon DynamoDB (p. 129)• AWS Elastic Beanstalk (p. 129)• Amazon Elastic Compute Cloud (Amazon EC2) (p. 130)• Amazon Elastic Container Registry (Amazon ECR) (p. 130)• Amazon Elastic Container Service (Amazon ECS) (p. 131)• Amazon Elastic Container Service for Kubernetes (Amazon EKS) (p. 131)

版本 1.0121

http://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

Amazon Web Services 一般参考示例 ARN

• Amazon Elastic File System (p. 131)• Elastic Load Balancing (应用程序负载均衡器) (p. 131)• Elastic Load Balancing (网络负载均衡器) (p. 132)• Elastic Load Balancing (传统负载均衡器) (p. 132)• Amazon Elastic Transcoder (p. 132)• Amazon ElastiCache (p. 133)• Amazon Elasticsearch Service (p. 133)• Amazon Glacier (p. 133)• Amazon GuardDuty (p. 133)• AWS Health / Personal Health Dashboard (p. 134)• AWS Identity and Access Management (IAM) (p. 134)• AWS IoT (p. 134)• AWS Key Management Service (AWS KMS) (p. 135)• Amazon Kinesis Data Firehose (Kinesis Data Firehose) (p. 135)• Amazon Kinesis Data Streams (Kinesis Data Streams) (p. 135)• Amazon Kinesis Data Analytics (Kinesis Data Analytics) (p. 135)• Amazon Kinesis Video Streams (Kinesis 视频流) (p. 136)• AWS Lambda (Lambda) (p. 136)• Amazon Macie (p. 136)• Amazon Machine Learning (Amazon ML) (p. 136)• AWS Elemental MediaConvert (p. 137)• AWS Elemental MediaLive (p. 137)• AWS Elemental MediaPackage (p. 137)• AWS Elemental MediaStore (p. 138)• AWS Elemental MediaTailor (p. 138)• AWS Mobile Hub (p. 138)• Amazon MQ (p. 138)• AWS Organizations (p. 138)• Amazon Pinpoint (p. 139)• Amazon Polly (p. 139)• Amazon Redshift (p. 139)• Amazon Relational Database Service (Amazon RDS) (p. 140)• Amazon Route 53 (p. 140)• AWS Secrets Manager (p. 141)• AWS Serverless Application Repository (p. 141)• Amazon Simple Email Service (Amazon SES) (p. 141)• Amazon Simple Notification Service (Amazon SNS) (p. 141)• Amazon Simple Queue Service (Amazon SQS) (p. 142)• Amazon Simple Storage Service (Amazon S3) (p. 142)• Amazon Simple Workflow Service (Amazon SWF) (p. 142)• AWS Step Functions (p. 142)• AWS Storage Gateway (p. 143)• AWS Systems Manager (p. 143)• AWS Trusted Advisor (p. 144)• AWS WAF (p. 144)

版本 1.0122

Amazon Web Services 一般参考Alexa for Business

Alexa for Business语法：

arn:aws:a4b:region:accountid:resourcetype/resource

例如：

arn:aws:a4b:us-east-1:123456789012:room/7315ffdf0eeb874dc4ab8a546e8b70ec/5f90e5d608b6baa9c88db56654aef158

Amazon API Gateway语法：

arn:aws:apigateway:region::resource-patharn:aws:execute-api:region:account-id:api-id/stage-name/HTTP-VERB/resource-path

示例：

arn:aws:apigateway:us-east-1::/restapis/a123456789012bc3de45678901f23a45/*arn:aws:apigateway:us-east-1::a123456789012bc3de45678901f23a45:/test/mydemoresource/*arn:aws:apigateway:*::a123456789012bc3de45678901f23a45:/*/petstorewalkthrough/petsarn:aws:execute-api:us-east-1:123456789012:qsxrty/test/GET/mydemoresource/*

AWS AppSync语法：

arn:aws:appsync:your-region:account-id:apis/AppSyncEndpointName/types/Query/fields/field-namearn:aws:appsync:your-region:account-id:apis/AppSyncEndpointName/types/Mutation/fields/field-namearn:aws:appsync:your-region:account-id:apis/AppSyncEndpointName/types/Subscription/fields/field-name

示例：

arn:aws:appsync:us-west-2:123456789012:apis/AppSyncEndpointName/types/Query/fields/postsarn:aws:appsync:us-west-2:123456789012:apis/AppSyncEndpointName/types/Mutation/fields/addPostarn:aws:appsync:us-west-2:123456789012:apis/AppSyncEndpointName/types/Query/fields/my-subscription

AWS Artifact语法：

arn:aws:artifact:::report-package/document-type/report-type

示例：

arn:aws:artifact:::report-package/Certifications and Attestations/SOC/*

版本 1.0123

Amazon Web Services 一般参考Amazon EC2 Auto Scaling

arn:aws:artifact:::report-package/Certifications and Attestations/ISO/*arn:aws:artifact:::report-package/Certifications and Attestations/PCI/*

Amazon EC2 Auto Scaling语法：

arn:aws:autoscaling:region:account-id:scalingPolicy:policyid:autoScalingGroupName/groupfriendlyname:policyname/policyfriendlynamearn:aws:autoscaling:region:account-id:autoScalingGroup:groupid:autoScalingGroupName/groupfriendlyname

例如：

arn:aws:autoscaling:us-east-1:123456789012:scalingPolicy:c7a27f55-d35e-4153-b044-8ca9155fc467:autoScalingGroupName/my-test-asg1:policyName/my-scaleout-policy

AWS Certificate Manager语法：

arn:aws:acm:region:account-id:certificate/certificate-id

例如：

arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012

AWS Certificate Manager 私有证书颁发机构语法 (私有证书颁发机构)：

arn:aws:acm-pca:region:account-id:certificate-authority/ca-id

例如：

arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012

语法 (私有证书)：

arn:aws:acm-pca:region:account-id:certificate-authority/ca-id/certificate/certificate-id

例如：

arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/e8cbd2bedb122329f97706bcfec990f8

AWS Cloud9语法：

版本 1.0124

Amazon Web Services 一般参考Amazon Cloud Directory

arn:aws:cloud9:region:account-id:environment:environment-id

例如：

arn:aws:cloud9:us-west-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX

Amazon Cloud Directory语法：

arn:aws:clouddirectory:region:account-id:directory/directoryID

例如：

arn:aws:clouddirectory:us-west-2:123456789012:directory/ARIqk1HD-UjdtmcIrJHEvPI

AWS CloudFormation语法：

arn:aws:cloudformation:region:account-id:stack/stackname/additionalidentifier

arn:aws:cloudformation:region:account-id:changeSet/changesetname/additionalidentifier

示例：

arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c

arn:aws:cloudformation:us-east-1:123456789012:changeSet/MyProductionChangeSet/abc9dbf0-43c2-11e3-a6e8-50fa526be49c

Amazon CloudFront语法：

arn:aws:cloudfront::account-id:*

例如：

arn:aws:cloudfront::123456789012:*

Amazon CloudSearch语法：

arn:aws:cloudsearch:region:account-id:domain/domainname

例如：

版本 1.0125

Amazon Web Services 一般参考AWS CloudTrail

arn:aws:cloudsearch:us-east-1:123456789012:domain/imdb-movies

AWS CloudTrail语法：

arn:aws:cloudtrail:region:account-id:trail/trailname

例如：

arn:aws:cloudtrail:us-east-1:123456789012:trail/mytrailname

Amazon CloudWatch语法：

arn:aws:cloudwatch:region:account-id:alarm:alarm-name

arn:aws:cloudwatch::account-id:dashboard/dashboard-name

示例：

arn:aws:cloudwatch:us-east-1:123456789012:alarm:*arn:aws:cloudwatch:us-east-1:123456789012:alarm:MyAlarmName

arn:aws:cloudwatch::123456789012:dashboard/MyDashboardName

Amazon CloudWatch Events语法：

arn:aws:events:region:*:*

示例：

arn:aws:events:us-east-1:*:*arn:aws:events:us-east-1:123456789012:*arn:aws:events:us-east-1:123456789012:rule/my-rule

Amazon CloudWatch Logs语法：

arn:aws:logs:region:*:*

示例：

arn:aws:logs:us-east-1:*:*arn:aws:logs:us-east-1:123456789012:*

版本 1.0126

Amazon Web Services 一般参考AWS CodeBuild

arn:aws:logs:us-east-1:123456789012:log-group:my-log-grouparn:aws:logs:us-east-1:123456789012:log-group:my-log-group:*arn:aws:logs:us-east-1:123456789012:log-group:my-log-group*arn:aws:logs:us-east-1:123456789012:log-group:my-log-group:log-stream:my-log-streamarn:aws:logs:us-east-1:123456789012:log-group:my-log-group:log-stream:my-log-stream*arn:aws:logs:us-east-1:123456789012:log-group:my-log-group*:log-stream:my-log-stream*

AWS CodeBuild语法：

arn:aws:codebuild:region:account-id:resourcetype/resource

示例：

arn:aws:codebuild:us-east-1:123456789012:project/my-demo-projectarn:aws:codebuild:us-east-1:123456789012:build/my-demo-project:7b7416ae-89b4-46cc-8236-61129df660ad

AWS CodeCommit语法：

arn:aws:codecommit:region:account-id:resource-specifier

例如：

arn:aws:codecommit:us-east-1:123456789012:MyDemoRepo

AWS CodeDeploy语法：

arn:aws:codedeploy:region:account-id:resource-type:resource-specifierarn:aws:codedeploy:region:account-id:resource-type/resource-specifier

例如：

arn:aws:codedeploy:us-east-1:123456789012:application:WordPress_Apparn:aws:codedeploy:us-east-1:123456789012:instance/AssetTag*

Amazon Cognito 您的用户池语法：

arn:aws:cognito-idp:region:account-id:userpool/user-pool-id

例如：

arn:aws:cognito-idp:us-east-1:123456789012:userpool/us-east-1:1a1a1a1a-ffff-1111-9999-12345678

版本 1.0127

Amazon Web Services 一般参考Amazon Cognito 联合身份

Amazon Cognito 联合身份语法：

arn:aws:cognito-identity:region:account-id:identitypool/identity-pool-id

例如：

arn:aws:cognito-identity:us-east-1:123456789012:/identitypool/us-east-1:1a1a1a1a-ffff-1111-9999-12345678

Amazon Cognito Sync语法：

arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id

arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id/identity/identity-id

arn:aws:cognito-sync:region:account-id:identitypool/identity-pool-id/identity/identity-id/dataset/dataset-name

例如：

arn:aws:cognito-sync:us-east-1:123456789012:identitypool/us-east-1:1a1a1a1a-ffff-1111-9999-12345678

AWS Config语法：

arn:aws:config:region:account-id:config-rule/config-rule-id

例如：

arn:aws:config:us-east-1:123456789012:config-rule/config-rule-8fngan

AWS CodePipeline语法：

arn:aws:codepipeline:region:account-id:resource-specifier

例如：

arn:aws:codepipeline:us-east-1:123456789012:MyDemoPipeline

AWS CodeStar语法：

版本 1.0128

Amazon Web Services 一般参考AWS Direct Connect

arn:aws:codestar:region:account-id:resource-specifier

例如：

arn:aws:codestar:us-east-1:123456789012:my-first-project

AWS Direct Connect语法：

arn:aws:directconnect:region:account-id:dxcon/connection-idarn:aws:directconnect:region:account-id:dxlag/lag-id arn:aws:directconnect:region:account-id:dxvif/virtual-interface-id

示例：

arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-fgase048arn:aws:directconnect:us-east-1:123456789012:dxlag/dxlag-ffy7zraqarn:aws:directconnect:us-east-1:123456789012:dxvif/dxvif-fgrb110x

AWS Directory Service语法：

arn:aws:ds:region:account-id:directory/directoryId

例如：

arn:aws:ds:us-west-2:123456789012:directory/ARIqk1HD-UjdtmcIrJHEvPI

Amazon DynamoDB语法：

arn:aws:dynamodb:region:account-id:table/tablenamearn:aws:dynamodb:region:account-id:table/tablename/stream/label

例如：

arn:aws:dynamodb:us-east-1:123456789012:table/books_tablearn:aws:dynamodb:us-east-1:123456789012:table/books_table/stream/2015-05-11T21:21:33.291

AWS Elastic Beanstalk语法：

arn:aws:elasticbeanstalk:region:account-id:application/applicationnamearn:aws:elasticbeanstalk:region:account-id:applicationversion/applicationname/versionlabelarn:aws:elasticbeanstalk:region:account-id:environment/applicationname/environmentnamearn:aws:elasticbeanstalk:region::solutionstack/solutionstacknamearn:aws:elasticbeanstalk:region:account-id:configurationtemplate/applicationname/templatename

版本 1.0129


示例：

arn:aws:elasticbeanstalk:us-east-1:123456789012:application/My Apparn:aws:elasticbeanstalk:us-east-1:123456789012:applicationversion/My App/My Versionarn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironmentarn:aws:elasticbeanstalk:us-east-1::solutionstack/32bit Amazon Linux running Tomcat 7arn:aws:elasticbeanstalk:us-east-1:123456789012:configurationtemplate/My App/My Template

Amazon Elastic Compute Cloud (Amazon EC2)语法：

arn:aws:ec2:region:account-id:customer-gateway/cgw-idarn:aws:ec2:region:account-id:dedicated-host/host_idarn:aws:ec2:region:account-id:dhcp-options/dhcp-options-idarn:aws:ec2:region:account-id:egress-only-internet-gateway/eigw-idarn:aws:ec2:region:account-id:elastic-gpu/elastic-gpu-idarn:aws:ec2:region::image/image-idarn:aws:ec2:region:account-id:instance/instance-idarn:aws:iam::account:instance-profile/instance-profile-namearn:aws:ec2:region:account-id:internet-gateway/igw-idarn:aws:ec2:region:account-id:key-pair/key-pair-name arn:aws:ec2:region:account-id:launch-template/launch-template-idarn:aws:ec2:region:account-id:natgateway/natgateway-idarn:aws:ec2:region:account-id:network-acl/nacl-idarn:aws:ec2:region:account-id:network-interface/eni-idarn:aws:ec2:region:account-id:placement-group/placement-group-namearn:aws:ec2:region:account-id:reserved-instances/reservation-idarn:aws:ec2:region:account-id:route-table/route-table-idarn:aws:ec2:region:account-id:security-group/security-group-idarn:aws:ec2:region:account-id:snapshot/snapshot-idarn:aws:ec2:region:account-id:spot-instances-request/spot-instance-request-idarn:aws:ec2:region:account-id:subnet/subnet-idarn:aws:ec2:region:account-id:volume/volume-idarn:aws:ec2:region:account-id:vpc/vpc-idarn:aws:ec2:region:account-id:vpc-peering-connection/vpc-peering-connection-idarn:aws:ec2:region:account-id:vpn-connection/vpn-idarn:aws:ec2:region:account-id:vpn-gateway/vgw-id

示例：

arn:aws:ec2:us-east-1:123456789012:dedicated-host/h-12345678arn:aws:ec2:us-east-1::image/ami-1a2b3c4darn:aws:ec2:us-east-1:123456789012:instance/*arn:aws:ec2:us-east-1:123456789012:volume/*arn:aws:ec2:us-east-1:123456789012:volume/vol-1a2b3c4d

Amazon Elastic Container Registry (Amazon ECR)语法：

arn:aws:ecr:region:account-id:repository/repository-name

例如：

arn:aws:ecr:us-east-1:123456789012:repository/my-repository

版本 1.0130

Amazon Web Services 一般参考Amazon Elastic Container Service (Amazon ECS)

Amazon Elastic Container Service (Amazon ECS)语法：

arn:aws:ecs:region:account-id:cluster/cluster-namearn:aws:ecs:region:account-id:container-instance/container-instance-idarn:aws:ecs:region:account-id:task-definition/task-definition-family-name:task-definition-revision-numberarn:aws:ecs:region:account-id:service/service-namearn:aws:ecs:region:account-id:task/task-idarn:aws:ecs:region:account-id:container/container-id

示例：

arn:aws:ecs:us-east-1:123456789012:cluster/my-clusterarn:aws:ecs:us-east-1:123456789012:container-instance/403125b0-555c-4473-86b5-65982db28a6darn:aws:ecs:us-east-1:123456789012:task-definition/hello_world:8arn:aws:ecs:us-east-1:123456789012:service/sample-webapparn:aws:ecs:us-east-1:123456789012:task/1abf0f6d-a411-4033-b8eb-a4eed3ad252aarn:aws:ecs:us-east-1:123456789012:container/476e7c41-17f2-4c17-9d14-412566202c8a

Amazon Elastic Container Service for Kubernetes(Amazon EKS)语法：

arn:aws:eks:region:account-id:cluster/cluster-name

示例：

arn:aws:eks:us-east-1:123456789012:cluster/my-cluster

Amazon Elastic File System语法：

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

例如：

arn:aws:elasticfilesystem:us-east-1:123456789012:file-system-id/fs12345678

Elastic Load Balancing (应用程序负载均衡器)语法：

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-idarn:aws:elasticloadbalancing:region:account-id:listener/app/load-balancer-name/load-balancer-id/listener-idarn:aws:elasticloadbalancing:region:account-id:listener-rule/app/load-balancer-name/load-balancer-id/listener-id/rule-id

版本 1.0131

Amazon Web Services 一般参考Elastic Load Balancing (网络负载均衡器)

arn:aws:elasticloadbalancing:region:account-id:targetgroup/target-group-name/target-group-id

示例：

arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/app/my-load-balancer/50dc6c495c0c9188arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/50dc6c495c0c9188/f2f7dc8efc522ab2arn:aws:elasticloadbalancing:us-east-1:123456789012:listener-rule/app/my-load-balancer/50dc6c495c0c9188/f2f7dc8efc522ab2/9683b2d02a6cabeearn:aws:elasticloadbalancing:us-east-1:123456789012:targetgroup/my-targets/73e2d6bc24d8a067

Elastic Load Balancing (网络负载均衡器)语法：

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/net/load-balancer-name/load-balancer-idarn:aws:elasticloadbalancing:region:account-id:listener/net/load-balancer-name/load-balancer-id/listener-idarn:aws:elasticloadbalancing:region:account-id:listener-rule/net/load-balancer-name/load-balancer-id/listener-id/rule-idarn:aws:elasticloadbalancing:region:account-id:targetgroup/target-group-name/target-group-id

示例：

arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/net/my-load-balancer/50dc6c495c0c9188arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/net/my-load-balancer/50dc6c495c0c9188/f2f7dc8efc522ab2arn:aws:elasticloadbalancing:us-east-1:123456789012:listener-rule/net/my-load-balancer/50dc6c495c0c9188/f2f7dc8efc522ab2/9683b2d02a6cabeearn:aws:elasticloadbalancing:us-east-1:123456789012:targetgroup/my-targets/73e2d6bc24d8a067

Elastic Load Balancing (传统负载均衡器)语法：

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/name

例如：

arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/my-load-balancer

Amazon Elastic Transcoder语法：

arn:aws:elastictranscoder:region:account-id:resource/id

例如：

arn:aws:elastictranscoder:us-east-1:123456789012:preset/*

版本 1.0132

Amazon Web Services 一般参考Amazon ElastiCache

Amazon ElastiCache语法：

arn:aws:elasticache:region:account-id:resourcetype:resourcename

示例：

arn:aws:elasticache:us-west-2:123456789012:cluster:myClusterarn:aws:elasticache:us-west-2:123456789012:snapshot:mySnapshot

Amazon Elasticsearch Service语法：

arn:aws:es:region:account-id:domain/domain-name

例如：

arn:aws:es:us-east-1:123456789012:domain/streaming-logs

Amazon Glacier语法：

arn:aws:glacier:region:account-id:vaults/vaultname

示例：

arn:aws:glacier:us-east-1:123456789012:vaults/examplevaultarn:aws:glacier:us-east-1:123456789012:vaults/example*arn:aws:glacier:us-east-1:123456789012:vaults/*

Amazon GuardDuty语法：

arn:aws:guardduty:region:account-id:detector/detector-id

arn:aws:guardduty:region:account-id:ipset/ipset-id

arn:aws:guardduty:region:account-id:threatintelset/threatintelset-id

示例：

arn:aws:guardduty:us-east-1:123456789012:detector/12abc34d567e8fa901bc2d34e56789f0

arn:aws:guardduty:us-east-1:123456789012:ipset/0cb0141ab9fbde177613ab9436212e90

版本 1.0133

Amazon Web Services 一般参考AWS Health / Personal Health Dashboard

arn:aws:guardduty:us-east-1:123456789012:threatintelset/12a34567890bc1de2345f67ab8901234

AWS Health / Personal Health Dashboard语法：

arn:aws:health:region::event/event-idarn:aws:health:region:account-id:entity/entity-id

示例：

arn:aws:health:us-east-1::event/AWS_EC2_EXAMPLE_IDarn:aws:health:us-east-1:123456789012:entity/AVh5GGT7ul1arKr1sE1K

AWS Identity and Access Management (IAM)语法：

arn:aws:iam::account-id:rootarn:aws:iam::account-id:user/user-namearn:aws:iam::account-id:group/group-namearn:aws:iam::account-id:role/role-namearn:aws:iam::account-id:policy/policy-namearn:aws:iam::account-id:instance-profile/instance-profile-namearn:aws:sts::account-id:federated-user/user-namearn:aws:sts::account-id:assumed-role/role-name/role-session-namearn:aws:iam::account-id:mfa/virtual-device-namearn:aws:iam::account-id:server-certificate/certificate-namearn:aws:iam::account-id:saml-provider/provider-namearn:aws:iam::account-id:oidc-provider/provider-name

示例：

arn:aws:iam::123456789012:rootarn:aws:iam::123456789012:user/Bobarn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bobarn:aws:iam::123456789012:group/Developersarn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developersarn:aws:iam::123456789012:role/S3Accessarn:aws:iam::123456789012:role/application_abc/component_xyz/S3Accessarn:aws:iam::123456789012:policy/UsersManageOwnCredentialsarn:aws:iam::123456789012:policy/division_abc/subdivision_xyz/UsersManageOwnCredentialsarn:aws:iam::123456789012:instance-profile/Webserverarn:aws:sts::123456789012:federated-user/Bobarn:aws:sts::123456789012:assumed-role/Accounting-Role/Maryarn:aws:iam::123456789012:mfa/BobJonesMFAarn:aws:iam::123456789012:server-certificate/ProdServerCertarn:aws:iam::123456789012:server-certificate/division_abc/subdivision_xyz/ProdServerCertarn:aws:iam::123456789012:saml-provider/ADFSProviderarn:aws:iam::123456789012:oidc-provider/GoogleProvider

有关 IAM ARN 的更多信息，请参阅 IAM 用户指南中的 IAM ARN。

AWS IoT语法：

版本 1.0134

http://docs.amazonaws.cn/IAM/latest/UserGuide/Using_Identifiers.html#Identifiers_ARNs

Amazon Web Services 一般参考AWS Key Management Service (AWS KMS)

arn:aws:iot:your-region:account-id:cert/cert-IDarn:aws:iot:your-region:account-id:policy/policy-namearn:aws:iot:your-region:account-id:rule/rule-namearn:aws:iot:your-region:account-id:client/client-id/rule-name

示例：

arn:aws:iot:your-region:123456789012:cert/123a456b789c123d456e789f123a456b789c123d456e789f123a456b789c123c456d7arn:aws:iot:your-region:123456789012:policy/MyIoTPolicyarn:aws:iot:your-region:123456789012:rule/MyIoTRulearn:aws:iot:your-region:123456789012:client/client101

AWS Key Management Service (AWS KMS)语法：

arn:aws:kms:region:account-id:key/key-idarn:aws:kms:region:account-id:alias/alias

示例：

arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012arn:aws:kms:us-east-1:123456789012:alias/example-alias

Amazon Kinesis Data Firehose (Kinesis DataFirehose)语法：

arn:aws:firehose:region:account-id:deliverystream/delivery-stream-name

例如：

arn:aws:firehose:us-east-1:123456789012:deliverystream/example-stream-name

Amazon Kinesis Data Streams (Kinesis Data Streams)语法：

arn:aws:kinesis:region:account-id:stream/stream-name

例如：

arn:aws:kinesis:us-east-1:123456789012:stream/example-stream-name

Amazon Kinesis Data Analytics (Kinesis DataAnalytics)语法：

版本 1.0135

Amazon Web Services 一般参考Amazon Kinesis Video Streams (Kinesis 视频流)

arn:aws:kinesisanalytics:region:account-id:application/application-name

例如：

arn:aws:kinesisanalytics:us-east-1:123456789012:application/example-application-name

Amazon Kinesis Video Streams (Kinesis 视频流)语法：

arn:aws:kinesisvideo:region:account-id:application/stream-name/code

例如：

arn:aws:kinesisvideo:us-east-1:123456789012:stream/example-stream-name/0123456789012

AWS Lambda (Lambda)语法：

arn:aws:lambda:region:account-id:function:function-namearn:aws:lambda:region:account-id:function:function-name:alias-namearn:aws:lambda:region:account-id:function:function-name:versionarn:aws:lambda:region:account-id:event-source-mappings:event-source-mapping-id

示例：

arn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecordsarn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords:your aliasarn:aws:lambda:us-east-1:123456789012:function:ProcessKinesisRecords:1.0arn:aws:lambda:us-east-1:123456789012:event-source-mappings:kinesis-stream-arn

Amazon Macie语法：

arn:aws:macie:region:account-id:trigger/triggerIDarn:aws:macie:region:account-id:trigger/triggerID/alert/alertID

示例：

arn:aws:macie:us-east-1:123456789012:trigger/example61b3df36bff1dafaf1aa304b0ef1a975arn:aws:macie:us-east-1:123456789012:trigger/example61b3df36bff1dafaf1aa304b0ef1a975/alert/example8780e9ca227f98dae37665c3fd22b585arn:aws:macie:us-east-1:123456789012:trigger/behavioral/alert/example8780e9ca227f98dae37665c3fd22b585

Amazon Machine Learning (Amazon ML)语法：

arn:aws:machinelearning:region:account-id:datasource/datasourceID

版本 1.0136

Amazon Web Services 一般参考AWS Elemental MediaConvert

arn:aws:machinelearning:region:account-id:mlmodel/mlmodelIDarn:aws:machinelearning:region:account-id:batchprediction/batchpredictionlIDarn:aws:machinelearning:region:account-id:evaluation/evaluationID

示例：

arn:aws:machinelearning:us-east-1:123456789012:datasource/my-datasource-1arn:aws:machinelearning:us-east-1:123456789012:mlmodel/my-mlmodelarn:aws:machinelearning:us-east-1:123456789012:batchprediction/my-batchpredictionarn:aws:machinelearning:us-east-1:123456789012:evaluation/my-evaluation

AWS Elemental MediaConvert语法：

arn:aws:mediaconvert:region:account-id:jobs/jobIDarn:aws:mediaconvert:region:account-id:jobTemplates/jobTemplateIDarn:aws:mediaconvert:region:account-id:presets/presetIDarn:aws:mediaconvert:region:account-id:queues/queueID

示例：

arn:aws:mediaconvert:us-east-1:111111111111:jobs/0123456789012-abc123arn:aws:mediaconvert:us-east-1:111111111111:jobTemplates/2345678arn:aws:mediaconvert:us-east-1:111111111111:presets/System-169_WIFI_1080parn:aws:mediaconvert:us-east-1:111111111111:queues/default

AWS Elemental MediaLive语法：

arn:aws:medialive:region:account-id:inputSecurityGroup:inputSecurityGroupIDarn:aws:medialive:region:account-id:input:inputIDarn:aws:medialive:region:account-id:channel:channelID

示例：

arn:aws:medialive:us-east-1:111111111111:inputSecurityGroup:1234567arn:aws:medialive:us-east-1:111111111111:input:2345678arn:aws:medialive:us-east-1:111111111111:channel:3456789

AWS Elemental MediaPackage语法：

arn:aws:mediapackage:region:account-id:channels/channelIDarn:aws:mediapackage:region:account-id:origin_endpoints/originEndpointID

示例：

arn:aws:mediapackage:eu-west-1:111122223333:channels/0a1234bc567890d12efghi3j456k789marn:aws:mediapackage:eu-west-1:111122223333:origin_endpoints/1b2345cd678901e34fghij4k567m890n

版本 1.0137

Amazon Web Services 一般参考AWS Elemental MediaStore

AWS Elemental MediaStore语法：

arn:aws:mediastore:region:account-id:resourceType/resourceID

示例：

arn:aws:mediastore:us-east-1:111111111111:container/ExampleName/example-folder/folder-segment.ts

AWS Elemental MediaTailor语法：

arn:aws:mediatailor:region:account-id:configurations/configurationID

示例：

arn:aws:mediatailor:us-east-1:111111111111:configurations/2c3456de789012f34ghijk5m678n901o

AWS Mobile Hub语法：

arn:aws:mobilehub:region:account-id:project/projectID

示例：

arn:aws:mobilehub:us-east-1:123456789012:project/a01234567-b012345678-123c-d013456789abc

Amazon MQ语法：

arn:aws:mq:region:account-id:broker:broker-name:broker-idarn:aws:mq:region:account-id:configuration:configuration-name:configuration-id

示例：

arn:aws:mq:us-east-1:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9arn:aws:mq:us-east-1:123456789012:configuration:MyConfiguration:c-1234a5b6-78cd-901e-2fgh-3i45j6k178l9

AWS Organizations语法：

arn:aws-cn:organizations:region:master-account-id:organization/o-organization-idarn:aws-cn:organizations:region:master-account-id:root/o-organization-id/r-root-idarn:aws-cn:organizations:region:master-account-id:account/o-organization-id/account-id

版本 1.0138

Amazon Web Services 一般参考Amazon Pinpoint

arn:aws-cn:organizations:region:master-account-id:ou/o-organization-id/ou-organizational-unit-idarn:aws-cn:organizations:region:master-account-id:policy/o-organization-id/policy-type/p-policy-idarn:aws-cn:organizations:region:master-account-id:handshake/o-organization-id/handshake-type/h-handshake-id

例如：

arn:aws-cn:organizations:us-east-1:123456789012:organization/o-a1b2c3d4e5examplearn:aws-cn:organizations:us-east-1:123456789012:root/o-a1b2c3d4e5/r-f6g7h8i9j0examplearn:aws-cn:organizations:us-east-1:123456789012:account/o-a1b2c3d4e5/123456789012arn:aws-cn:organizations:us-east-1:123456789012:ou/o-a1b2c3d4e5/ou-1a2b3c-k9l8m7n6o5examplearn:aws-cn:organizations:us-east-1:123456789012:policy/o-a1b2c3d4e5/service_control_policy/p-p4q3r2s1t0examplearn:aws-cn:organizations:us-east-1:123456789012:handshake/o-a1b2c3d4e5/h-u2v4w5x8y0example

Amazon Pinpoint语法：

arn:aws:mobiletargeting:us-east-1:account-id:apps/appIdarn:aws:mobiletargeting:us-east-1:account-id:apps/appId/campaigns/campaignIdarn:aws:mobiletargeting:us-east-1:account-id:apps/appId/segments/segmentId

示例：

arn:aws:mobiletargeting:us-east-1:123456789012:apps/0d72ff0905e7f8b2b879fe7744d4952a9barn:aws:mobiletargeting:us-east-1:123456789012:apps/0d72ff0905e7f8b2b879fe7744d4952a9b/campaigns/8c95f63b24089f85819443be7c92d7arn:aws:mobiletargeting:us-east-1:123456789012:apps/0d72ff0905e7f8b2b879fe7744d4952a9b/segments/6cdc025ba495672bb0aea4983afebf

Amazon Polly语法：

arn:aws:polly:region:account-id:lexicon/LexiconName

例如：

arn:aws:polly:us-east-1:123456789012:lexicon/myLexicon

Amazon Redshift语法：

arn:aws:redshift:region:account-id:cluster:cluster-namearn:aws:redshift:region:account-id:dbname:cluster-name/database-namearn:aws:redshift:region:account-id:dbuser:cluster-name/database-user-namearn:aws:redshift:region:account-id:dbgroup:cluster-name/database-group-namearn:aws:redshift:region:account-id:parametergroup:parameter-group-namearn:aws:redshift:region:account-id:securitygroup:security-group-namearn:aws:redshift:region:account-id:snapshot:cluster-name/snapshot-namearn:aws:redshift:region:account-id:subnetgroup:subnet-group-name

版本 1.0139

Amazon Web Services 一般参考Amazon Relational Database Service (Amazon RDS)

示例：

arn:aws:redshift:us-east-1:123456789012:cluster:my-clusterarn:aws:redshift:us-east-1:123456789012:dbname:my-cluster/my-databasearn:aws:redshift:us-east-1:123456789012:dbuser:my-cluster/my-database-userarn:aws:redshift:us-east-1:123456789012:dbgroup:my-cluster/my-database-grouparn:aws:redshift:us-east-1:123456789012:parametergroup:my-parameter-grouparn:aws:redshift:us-east-1:123456789012:securitygroup:my-public-grouparn:aws:redshift:us-east-1:123456789012:snapshot:my-cluster/my-snapshot20130807arn:aws:redshift:us-east-1:123456789012:subnetgroup:my-subnet-10

Amazon Relational Database Service (Amazon RDS)仅在数据库实例具有标签时，才能在 Amazon RDS 中使用 ARN。有关更多信息，请参阅 Amazon RDS 用户指南中的为数据库实例添加标签。

语法：

arn:aws:rds:region:account-id:db:db-instance-namearn:aws:rds:region:account-id:snapshot:snapshot-namearn:aws:rds:region:account-id:cluster:db-cluster-namearn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-namearn:aws:rds:region:account-id:og:option-group-namearn:aws:rds:region:account-id:pg:parameter-group-namearn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-namearn:aws:rds:region:account-id:secgrp:security-group-namearn:aws:rds:region:account-id:subgrp:subnet-group-namearn:aws:rds:region:account-id:es:subscription-name

示例：

arn:aws:rds:us-east-1:123456789012:db:mysql-db-instance1arn:aws:rds:us-east-1:123456789012:snapshot:my-snapshot2arn:aws:rds:us-east-1:123456789012:cluster:my-cluster1arn:aws:rds:us-east-1:123456789012:cluster-snapshot:cluster1-snapshot7arn:aws:rds:us-east-1:123456789012:og:mysql-option-group1arn:aws:rds:us-east-1:123456789012:pg:mysql-repl-pg1arn:aws:rds:us-east-1:123456789012:cluster-pg:aurora-pg3arn:aws:rds:us-east-1:123456789012:secgrp:dev-secgrp2arn:aws:rds:us-east-1:123456789012:subgrp:prod-subgrp1arn:aws:rds:us-east-1:123456789012:es:monitor-events2

Amazon Route 53语法：

arn:aws:route53:::hostedzone/zoneidarn:aws:route53:::change/change-idarn:aws:route53::account-id:domain/domain-namearn:aws:servicediscovery:region:account-id:namespace/namespace-idarn:aws:servicediscovery:region:account-id:service/service-id

Amazon Route 53 的 ARN 不需要账号或区域。

示例：

arn:aws:route53:::hostedzone/Z148QEXAMPLE8Varn:aws:route53:::change/C2RDJ5EXAMPLE2

版本 1.0140

http://docs.amazonaws.cn/AmazonRDS/latest/UserGuide/USER_Tagging.html

Amazon Web Services 一般参考AWS Secrets Manager

arn:aws:route53:::change/*arn:aws:route53::123456789012:domain:example.com

AWS Secrets Manager语法：

arn:aws-cn:secretsmanager:region:account_id:secret:path/friendly_secret_name-uniqueness_code

每个密钥都包括一个可选路径、由用户提供的密钥友好名称，最后是一个短横线，后跟一个由 AWS 生成的6 字符随机代码。

例如：

arn:aws-cn:secretsmanager:us-east-1:123456789012:secret:myfolder/MyFirstSecret-ocq1Wq

AWS Serverless Application Repository语法：

arn:aws:serverlessrepo:region:account-id:applications/application-namearn:aws:serverlessrepo:region:account-id:applications/application-name/versions/symantic-version

示例：

arn:aws:serverlessrepo:us-east-1:123456789012:applications/myApparn:aws:serverlessrepo:us-east-1:123456789012:applications/myApp/versions/1.0.0

Amazon Simple Email Service (Amazon SES)在 Amazon SES 中，ARN 最常见的用途是用于设置发送授权。有关更多信息，请参阅 Amazon SimpleEmail Service 开发人员指南中的使用 Amazon SES 的发送授权。

语法：

arn:aws:ses:region:account-id:identity/identity

示例：

arn:aws:ses:us-east-1:123456789012:identity/example.comarn:aws:ses:us-east-1:123456789012:identity/[email protected]

Amazon Simple Notification Service (Amazon SNS)语法：

arn:aws:sns:region:account-id:topicnamearn:aws:sns:region:account-id:topicname:subscriptionid

示例：

版本 1.0141

http://docs.amazonaws.cn/ses/latest/DeveloperGuide/sending-authorization.html


arn:aws:sns:*:123456789012:my_corporate_topicarn:aws:sns:us-east-1:123456789012:my_corporate_topic:02034b43-fefa-4e07-a5eb-3be56f8c54ce

Amazon Simple Queue Service (Amazon SQS)语法：

arn:aws:sqs:region:account-id:queuename

例如：

arn:aws:sqs:us-east-1:123456789012:queue1

Amazon Simple Storage Service (Amazon S3)语法：

arn:aws:s3:::bucket_namearn:aws:s3:::bucket_name/key_name

Note

Amazon S3 的 ARN 不需要账号或区域。如果您为某一策略指定 ARN，您也可在 ARN 的相对 ID段使用通配符 “*” 字符。

示例：

arn:aws:s3:::my_corporate_bucketarn:aws:s3:::my_corporate_bucket/exampleobject.pngarn:aws:s3:::my_corporate_bucket/*arn:aws:s3:::my_corporate_bucket/Development/*

有关更多信息，请参阅在策略中指定资源，位于 Amazon Simple Storage Service 开发人员指南中。

Amazon Simple Workflow Service (Amazon SWF)语法：

arn:aws:swf:region:account-id:/domain/domain_name

示例：

arn:aws:swf:us-east-1:123456789012:/domain/department1arn:aws:swf:*:123456789012:/domain/*

AWS Step Functions语法：

arn:aws:states:region:account-id:activity:activityNamearn:aws:states:region:account-id:stateMachine:stateMachineName arn:aws:states:region:account-id:execution:stateMachineName:executionName

版本 1.0142

http://docs.amazonaws.cn/AmazonS3/latest/dev/s3-arn-format.html

Amazon Web Services 一般参考AWS Storage Gateway

示例：

arn:aws:states:us-east-1:123456789012:activity:HelloActivityarn:aws:states:us-east-1:123456789012:stateMachine:HelloStateMachinearn:aws:states:us-east-1:123456789012:execution:HelloStateMachine:HelloStateMachineExecution

AWS Storage Gateway语法：

arn:aws:storagegateway:region:account-id:gateway/gateway-idarn:aws:storagegateway:region:account-id:share/share-id arn:aws:storagegateway:region:account-id:gateway/gateway-id/volume/volume-id arn:aws:storagegateway:region:account-id:tape/tapebarcodearn:aws:storagegateway:region:account-id:gateway/gateway-id/target/iSCSItargetarn:aws:storagegateway:region:account-id:gateway/gateway-id/device/vtldevice

示例：

arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456Barn:aws:storagegateway:us-east-1:123456789012:share/share-17A34572arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/volume/vol-1122AABBarn:aws:storagegateway:us-east-1:123456789012:tape/AMZNC8A26Darn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/target/iqn.1997-05.com.amazon:vol-1122AABBarn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-12A3456B/device/AMZN_SGW-FF22CCDD_TAPEDRIVE_00010

Note

对于每种 AWS Storage Gateway 资源可以指定一个通配符 (*)。

AWS Systems Manager语法：

arn:aws:ssm:region:account-id:document/document_namearn:aws:ssm:region:account-id:parameter/parameter_namearn:aws:ssm:region:account-id:patchbaseline/baseline_idarn:aws:ssm:region:account-id:maintenancewindow/window_idarn:aws:ssm:region:account-id:automation-execution/execution_idarn:aws:ssm:region:account-id:automation-Activity/activity_namearn:aws:ssm:region:account-id:automation-definition/definitionName:versionarn:aws:ssm:region:account-id:managed-instance/instance_idarn:aws:ssm:region:account-id:managed-instance-inventory/instance_id

示例：

arn:aws:ssm:us-east-1:123456789012:document/highAvailabilityServerSetuparn:aws:ssm:us-east-1:123456789012:parameter/myParameterNamearn:aws:ssm:us-east-1:123456789012:patchbaseline/pb-12345678901234567arn:aws:ssm:us-east-1:123456789012:maintenancewindow/mw-12345678901234567arn:aws:ssm:us-east-1:123456789012:automation-execution/123456-6789-1a2b3-c4d5-e1a2b3c4darn:aws:ssm:us-east-1:123456789012:automation-activity/myActivityNamearn:aws:ssm:us-east-1:123456789012:automation-definition/myDefinitionName:1arn:aws:ssm:us-east-1:123456789012:managed-instance/mi-12345678901234567arn:aws:ssm:us-east-1:123456789012:managed-instance-inventory/i-12345661

版本 1.0143

Amazon Web Services 一般参考AWS Trusted Advisor

AWS Trusted Advisor语法：

arn:aws:trustedadvisor:*:account-id:checks/categorycode/checkid

例如：

arn:aws:trustedadvisor:*:123456789012:checks/fault_tolerance/BueAdJ7NrP

AWS WAF语法，全局 WAF (用于 CloudFront)：

arn:aws:waf::account-id:resource-type/resource-id

语法，区域性 WAF (用于应用程序负载均衡器)：

arn:aws:waf-regional::account-id:resource-type/resource-id

示例：

arn:aws:waf::123456789012:rule/41b5b052-1e4a-426b-8149-3595be6342c2arn:aws:waf-regional:us-east-1:123456789012:rule/41b5b052-1e4a-426b-8149-3595be6342c2arn:aws:waf::123456789012:webacl/3bffd3ed-fa2e-445e-869f-a6a7cf153fd3arn:aws:waf-regional:us-east-1:123456789012:webacl/3bffd3ed-fa2e-445e-869f-a6a7cf153fd3arn:aws:waf::123456789012:ipset/3f74bd8c-f046-4970-a1a7-41aa52e05480arn:aws:waf-regional:us-east-1:123456789012:ipset/3f74bd8c-f046-4970-a1a7-41aa52e05480arn:aws:waf::123456789012:bytematchset/d131bc0b-57be-4536-af1d-4894fd28acc4arn:aws:waf-regional:us-east-1:123456789012:bytematchset/d131bc0b-57be-4536-af1d-4894fd28acc4

ARN 中的路径一些服务允许您为资源名称指定路径。例如，在 Amazon S3 中，资源标识符是一个对象名称，它可以包含斜杠 (/) 来形成路径。同样，IAM 用户名称和组名也可以包含路径。

在某些情况下，路径可以包含一个通配符，即星号 (*)。例如，当您在编写 IAM 策略时，如果希望在Resource 元素中指定包含路径 product_1234 的所有 IAM 用户，则可以使用通配符，如下所示：

arn:aws:iam::123456789012:user/Development/product_1234/*

同样，在 IAM 策略的 Resource 元素中，您可以在 ARN 的末尾指定 user/* 来表示所有用户或者指定group/* 来表示所有组，如以下示例所示：

"Resource":"arn:aws:iam::123456789012:user/*""Resource":"arn:aws:iam::123456789012:group/*"

在基于资源的策略或角色信任策略的 Principal 元素中，您不能使用通配符指定所有用户。任何策略都不支持将组作为委托人。

版本 1.0144

Amazon Web Services 一般参考AWS 服务命名空间

以下示例显示了 Amazon S3 存储桶的 ARN，其中的资源名称包含一个路径：

arn:aws:s3:::my_corporate_bucket/*arn:aws:s3:::my_corporate_bucket/Development/*

您不能在 ARN 指定资源类型的部分使用通配符，比如 IAM ARN 中的 user 一词。

禁止执行下列操作：

arn:aws:iam::123456789012:u*

AWS 服务命名空间当创建 IAM 策略或使用 Amazon 资源名称 (ARN) 时，可以使用命名空间来标识 AWS 服务。例如，Amazon S3 的命名空间是 s3，Amazon EC2 的命名空间是 ec2。您可以使用命名空间来标识操作和资源。

以下示例显示了 IAM 策略中 Action 元素的值，以及 Resource 和 Condition 元素中的值使用命名空间来针对操作和资源标识服务。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": [ "arn:aws:ec2:us-west-2:123456789012:customer-gateway/*", "arn:aws:ec2:us-west-2:123456789012:dhcp-options/*", "arn:aws:ec2:us-west-2::image/*", "arn:aws:ec2:us-west-2:123456789012:instance/*", "arn:aws:iam::123456789012:instance-profile/*", "arn:aws:ec2:us-west-2:123456789012:internet-gateway/*", "arn:aws:ec2:us-west-2:123456789012:key-pair/*", "arn:aws:ec2:us-west-2:123456789012:network-acl/*", "arn:aws:ec2:us-west-2:123456789012:network-interface/*", "arn:aws:ec2:us-west-2:123456789012:placement-group/*", "arn:aws:ec2:us-west-2:123456789012:route-table/*", "arn:aws:ec2:us-west-2:123456789012:security-group/*", "arn:aws:ec2:us-west-2::snapshot/*", "arn:aws:ec2:us-west-2:123456789012:subnet/*", "arn:aws:ec2:us-west-2:123456789012:volume/*", "arn:aws:ec2:us-west-2:123456789012:vpc/*", "arn:aws:ec2:us-west-2:123456789012:vpc-peering-connection/*" ] }, { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::example_bucket/marketing/*" }, { "Effect": "Allow", "Action": "s3:ListBucket*", "Resource": "arn:aws:s3:::example_bucket", "Condition": {"StringLike": {"s3:prefix": "marketing/*"}} } ]}

版本 1.0145


下表包含各 AWS 服务的命名空间。

服务命名空间

API 网关 apigateway

Amazon AppStream appstream

AWS AppSync appsync

AWS Artifact artifact

Amazon EC2 Auto Scaling autoscaling

AWS Billing and Cost Management aws-portal

AWS Certificate Manager (ACM) acm

AWS Cloud9 cloud9

Amazon Cloud Directory clouddirectory

AWS CloudFormation cloudformation

Amazon CloudFront cloudfront

AWS CloudHSM cloudhsm

Amazon CloudSearch cloudsearch

AWS CloudTrail cloudtrail

Amazon CloudWatch cloudwatch

Amazon CloudWatch Events events

Amazon CloudWatch Logs logs

AWS CodeBuild codebuild

AWS CodeCommit codecommit

AWS CodeDeploy codedeploy

AWS CodePipeline codepipeline

AWS CodeStar codestar

Amazon Cognito 您的用户池 cognito-idp

Amazon Cognito 联合身份 cognito-identity

Amazon Cognito Sync cognito-sync

AWS Config config

AWS Data Pipeline datapipeline

AWS Database Migration Service (AWS DMS) dms

AWS Device Farm devicefarm

AWS Direct Connect directconnect

版本 1.0146


服务命名空间

AWS Directory Service ds

Amazon DynamoDB dynamodb

Amazon Elastic Compute Cloud (Amazon EC2) ec2

Amazon Elastic Container Registry (Amazon ECR) ecr

Amazon Elastic Container Service (Amazon ECS) ecs

Amazon Elastic Container Service for Kubernetes(Amazon EKS)

eks

Amazon EC2 Systems Manager (SSM) ssm

AWS Elastic Beanstalk elasticbeanstalk

Amazon Elastic File System (Amazon EFS) elasticfilesystem

Elastic Load Balancing elasticloadbalancing

Amazon EMR elasticmapreduce

Amazon Elastic Transcoder elastictranscoder

Amazon ElastiCache elasticache

Amazon Elasticsearch Service (Amazon ES) es

AWS Firewall Manager fms

Amazon GameLift gamelift

Amazon Glacier glacier

AWS Glue glue

Amazon GuardDuty guardduty

AWS Health / Personal Health Dashboard health

AWS Identity and Access Management (IAM) iam

AWS Import/Export importexport

Amazon Inspector inspector

AWS IoT iot

AWS Key Management Service (AWS KMS) kms

Amazon Kinesis Data Analytics kinesisanalytics

Amazon Kinesis Data Firehose firehose

Amazon Kinesis Data Streams kinesis

AWS Lambda lambda

Amazon Lightsail lightsail

版本 1.0147


服务命名空间

Amazon Macie macie

Amazon Machine Learning machinelearning

AWS Marketplace aws-marketplace

AWS Marketplace Management Portal aws-marketplace-management

AWS Elemental MediaConvert mediaconvert

AWS Elemental MediaLive medialive

AWS Elemental MediaPackage mediapackage

AWS Elemental MediaStore mediastore

AWS Elemental MediaTailor mediatailor

Amazon Mobile Analytics mobileanalytics

AWS Mobile Hub mobilehub

Amazon MQ Service (Amazon MQ) mq

AWS OpsWorks opsworks

AWS OpsWorks for Chef Automate opsworks-cm

AWS Organizations organizations

Amazon Pinpoint mobiletargeting

Amazon Polly polly

Amazon Redshift redshift

Amazon Relational Database Service (AmazonRDS)

rds

Amazon Route 53 route53

Amazon Route 53 自动命名 servicediscovery

Amazon Route 53 域 route53domains

AWS Secrets Manager secretsmanager

AWS Security Token Service (AWS STS) sts

AWS Serverless Application Repository serverlessrepo

AWS Service Catalog servicecatalog

AWS Shield Advanced DDoSProtection

Amazon Simple Email Service (Amazon SES) ses

Amazon Simple Notification Service (Amazon SNS) sns

Amazon Simple Queue Service (Amazon SQS) sqs

版本 1.0148


服务命名空间

Amazon Simple Storage Service (Amazon S3) s3

Amazon Simple Workflow Service (Amazon SWF) swf

Amazon SimpleDB sdb

AWS Step Functions states

AWS Storage Gateway storagegateway

AWS Support support

AWS Trusted Advisor trustedadvisor

Amazon Virtual Private Cloud (Amazon VPC) ec2

AWS WAF waf

Amazon WorkDocs workdocs

Amazon WorkMail workmail

Amazon WorkSpaces workspaces

版本 1.0149

Amazon Web Services 一般参考您何时需要签署请求？

签署 AWS API 请求当您将 HTTP 请求发送到 AWS 时，您需要签署请求，以便 AWS 能够识别发送它们的用户。您将使用您的AWS 访问密钥来签署请求，该访问密钥包含访问密钥 ID 和秘密访问密钥。一些请求不需要签署，例如发送到 Amazon Simple Storage Service (Amazon S3) 的匿名请求以及 AWS Security Token Service (AWS STS)中的一些 API 操作（例如 AssumeRoleWithWebIdentity）。

Note

仅当您手动创建 HTTP 请求时，您才需要了解如何签署这些请求。当您使用 AWS Command LineInterface (AWS CLI) 或其中一个 AWS 开发工具包来向 AWS 发出请求时，这些工具会自动使用您在配置工具时指定的访问密钥为您签署请求。当您使用这些工具时，您不必了解如何亲自签署这些请求。

您何时需要签署请求？当您编写自定义代码来将 HTTP 请求发送到 AWS 时，就需要包含用于签署请求的代码。您可能出于以下原因来执行该操作：

• 您正在使用的编程语言没有对应的 AWS 开发工具包。• 您希望完全控制将请求发送到 AWS 的方式。

在使用 AWS Command Line Interface (AWS CLI) 或其中一个 AWS 开发工具包时，您不需要签署请求。这些工具会管理连接详细信息，例如计算签名、处理请求重试和错误处理。在大多数情况下，它们还包含示例代码、教程和其他资源，可帮助您开始编写与 AWS 交互的应用程序。

为什么签署请求签名过程通过以下方式帮助保护请求：

• 验证请求者的身份

签名可以确保请求是由某个具有有效访问密钥的用户发送的。有关更多信息，请参阅了解并获取您的安全凭证 (p. 108)。

• 保护传输中的数据

为了防止传输时请求被篡改，一些请求元素将用于计算请求的哈希（摘要），得到的哈希值将包括在请求中。在 AWS 服务收到请求时，它将使用相同信息计算哈希，并将其与您的请求中包括的哈希值进行匹配。如果值不匹配，AWS 将拒绝请求。

• 防止潜在的反演攻击

在大多数情况下，请求必须在请求中的时间戳的 5 分钟内到达 AWS。否则，AWS 将拒绝该请求。

签名请求要对请求签名，请先计算请求的哈希 (摘要)。然后，您使用哈希值、来自请求的其他一些信息以及您的私密访问密钥，计算另一个称为签名的哈希。接下来，您可以通过以下方式之一将签名添加到请求：

版本 1.0150

http://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html

http://amazonaws.cn/cli/


http://amazonaws.cn/tools/



Amazon Web Services 一般参考签名版本

• 使用 HTTP Authorization 标头。• 将查询字符串值添加到请求中。在本例中，由于签名是 URL 的一部分，因此这类 URL 被称为预签名

URL。

签名版本AWS 支持两个签名版本：Signature Version 4 和签名版本 2。您应使用Signature Version 4。除需要签名版本 2 的 Amazon SimpleDB 之外，所有 AWS 服务均支持Signature Version 4。对于同时支持这两个版本的AWS 服务，建议您使用Signature Version 4。

所有 AWS 区域均支持Signature Version 4。

版本 1.0151

Amazon Web Services 一般参考Signature Version 4 签名流程

Signature Version 4 签名流程Signature Version 4 是将身份验证信息添加到 AWS 请求的过程。出于安全考虑，大多数 AWS 请求都必须使用访问密钥（包括访问密钥 ID 和秘密访问密钥）进行签名。

Important

当您使用 AWS Command Line Interface (AWS CLI) 或其中一个 AWS 开发工具包来向 AWS 发出请求时，这些工具会自动使用您在配置工具时指定的访问密钥为您签署请求。当您使用这些工具时，您不必了解如何亲自签署这些请求。不过，当您手动创建发送到 AWS 的 HTTP 请求时，您必须自行签署请求。

Signature Version 4 的工作原理

1. 您创建一个规范请求。2. 您使用规范请求和一些其他信息来创建要签署的字符串。3. 您使用自己的 AWS 秘密访问密钥来生成一个签名密钥，并使用该签名密钥以及要签署的字符串来创建

签名。4. 您将生成的签名添加到 HTTP 请求的标头中或者作为查询字符串参数添加。

AWS 收到请求后，将执行您完成的相同步骤来计算签名。之后 AWS 会将计算得到的签名与您在请求中发送的签名进行比较。如果签名匹配，则处理请求。如果签名不匹配，则拒绝请求。

有关详细信息，请参阅以下资源：

• 若要开始签名过程，请参阅利用签名版本 4 对 AWS 请求进行签名 (p. 152)。• 有关已签名请求的示例，请参阅完整版本 4 签名过程的示例 (Python) (p. 166)。• 如果您有关于Signature Version 4 的问题，请在 AWS Identity and Access Management 论坛中发布您的

问题。

利用签名版本 4 对 AWS 请求进行签名本节介绍如何创建签名并将其添加到请求中。

主题• 请求中的签署过程是什么样 (p. 152)• 查询 API 中的 GET 和 POST 请求 (p. 153)• 签名步骤的摘要 (p. 154)• 任务 1：针对签名版本 4 创建规范请求 (p. 154)• 任务 2：创建签名版本 4 的待签字符串 (p. 159)• 任务 3：为 AWS Signature 版本 4 计算签名 (p. 160)• 任务 4：将签名信息添加到请求 (p. 161)

请求中的签署过程是什么样以下示例演示了 HTTPS 请求（不带任何签名信息）从您的客户端发送到 AWS 时可能的样子。

GET https://iam.cn-north-1.amazonaws.com.cn.cn/?Action=ListUsers&Version=2010-05-08 HTTP/1.1Content-Type: application/x-www-form-urlencoded; charset=utf-8Host: iam.cn-north-1.amazonaws.com.cn.cnX-Amz-Date: 20150830T123600Z

版本 1.0152



https://forums.aws.csdn.net/forum.jspa?forumID=76

Amazon Web Services 一般参考签署 AWS 请求

在完成签名任务之后，请将身份验证信息添加到请求中。您可通过两种方式添加身份验证信息：

Authorization 标头

您可使用 Authorization 标头将身份验证信息添加到请求中。尽管该 HTTP 标头名为 Authorization，但签名信息实际上是用于身份验证的，目的是确定请求方。

Authorization 标头包含以下信息：

• 用于签名的算法 (AWS4-HMAC-SHA256)• 凭证范围（包含您的访问密钥 ID）• 已签名标头的列表• 计算签名。该签名基于您的请求信息，由您使用 AWS 秘密访问密钥生成。该签名用于向 AWS 确认您的

身份。

下面的示例说明在您创建签名信息并将它添加到请求的 Authorization 标头之后，前面的请求看起来是什么样。

请注意，在实际请求中，Authorization 标头显示为一行连续的文本。为便于阅读，下面的版本已经过格式编排。

POST https://iam.cn-north-1.amazonaws.com.cn.cn/?Action=ListUsers&Version=2010-05-08 HTTP/1.1Authorization: AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/cn-north-1/iam/aws4_request, SignedHeaders=content-type;host;x-amz-date, Signature=d37af66cc90dc26bb2e27d2a97316b729b82589b5e4648f1ae34cb83a3f546cdcontent-type: application/x-www-form-urlencoded; charset=utf-8host: iam.cn-north-1.amazonaws.com.cn.cnx-amz-date: 20150830T123600Z

查询字符串

作为一种将身份验证信息添加到 HTTP 请求标头中的替代方法，您可以将它包含在查询字符串中。查询字符串包含请求的所有部分，包括操作的名称和参数、日期以及身份验证信息。

以下示例为您演示如何通过查询字符串中的操作和身份验证信息来构造 GET 请求。

（在实际请求中，查询字符串显示为一行连续的文本。为便于阅读，下面的版本已经用换行符编排过格式。）

GET https://iam.cn-north-1.amazonaws.com.cn?Action=ListUsers&Version=2010-05-08&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fcn-north-1%2Fiam%2Faws4_request&X-Amz-Date=20150830T123600Z&X-Amz-Expires=60&X-Amz-SignedHeaders=content-type%3Bhost&X-Amz-Signature=bbb7890b2172f0cccc6d1d5cded4e690f3e1dac299599547f3d1ceb50567e83d HTTP/1.1content-type: application/x-www-form-urlencoded; charset=utf-8host: iam.cn-north-1.amazonaws.com.cn.cn

查询 API 中的 GET 和 POST 请求许多 AWS 服务支持的查询 API 可用来通过 HTTP GET 或 POST 发送请求。（在查询 API 中，即使您提交更改状态的请求，即查询 API 本身并非 RESTful，您也可以使用 GET。）因为 GET 请求通过查询字符串传递参数，所以它们的长度限制为 URL 的最大长度。如果请求包含大型负载（例如，您可能以 JSON 格式为DynamoDB 请求上传大型 IAM 策略或发送大量参数），则通常使用 POST 请求。

版本 1.0153


两种类型的请求的签名过程相同。

签名步骤的摘要要创建已签名的请求，请完成以下操作：

• 任务 1：针对签名版本 4 创建规范请求 (p. 154)

将请求的内容（主机、操作、标头等）组织为标准（规范）格式。规范请求是用于创建待签字符串的输入之一。

• 任务 2：创建签名版本 4 的待签字符串 (p. 159)

使用规范请求和额外信息（例如算法、请求日期、凭证范围和规范请求的摘要（哈希））创建待签字符串。

• 任务 3：为 AWS Signature 版本 4 计算签名 (p. 160)

使用 AWS 秘密访问密钥作为初始哈希操作的密钥，对请求日期、区域和服务执行一系列加密哈希操作（HMAC 操作），从而派生签名密钥。在派生签名密钥后，通过对待签字符串执行加密哈希操作来计算签名。使用派生的签名密钥作为此操作的哈希密钥。

• 任务 4：将签名信息添加到请求 (p. 161)

在计算签名后，将其添加到请求的 HTTP 标头或查询字符串中。

Note

AWS 开发工具包可以为您处理签名计算过程，因此您无需手动完成签名过程。有关更多信息，请参阅用于 Amazon Web Services 的工具。

以下附加资源说明了签名过程的各个方面：

• 说明如何为 Signature 版本 4 派生签名密钥的示例 (p. 163)。此页演示如何使用Java、C#、Python、Ruby 和 JavaScript 派生签名密钥。

• 完整版本 4 签名过程的示例 (Python) (p. 166)。这组用 Python 编写的程序提供了完整的签名过程示例。这些示例演示了如何利用 POST 请求、利用在请求标头中具有签名信息的 GET 请求以及利用在查询字符串中具有签名信息的 GET 请求进行签名。

• Signature Version 4测试套件 (p. 173)。此可下载的程序包中有一组示例，其中包括签名过程中各步骤的签名信息。您可以使用这些示例来验证您的签名代码在这个过程的每一个步骤中是否生成正确的结果。

任务 1：针对签名版本 4 创建规范请求要开始签名过程，请创建一个字符串，其中包含来自标准（规范）格式的请求的信息。这可确保 AWS 在收到请求时计算出的签名与您计算出的签名相同。

按照此处的步骤创建请求的规范版本。否则，您的版本与 AWS 计算得到的版本将不匹配，请求将被拒绝。

以下示例演示了创建规范请求的伪代码。

Example 规范请求伪代码

CanonicalRequest = HTTPRequestMethod + '\n' + CanonicalURI + '\n' + CanonicalQueryString + '\n' + CanonicalHeaders + '\n' + SignedHeaders + '\n' + HexEncode(Hash(RequestPayload))

版本 1.0154



在此伪代码中，Hash 表示生成消息摘要的函数，通常是 SHA-256。（在该过程中的稍后阶段，您将指定要使用的哈希算法。）HexEncode 表示以小写字母形式返回摘要的 base-16 编码的函数。例如，HexEncode("m") 返回值 6d 而不是 6D。输入的每一个字节都必须表示为两个十六进制字符。

签名版本 4 不需要您使用特定字符编码来对规范请求进行编码。不过，一些 AWS 服务可能需要特定编码。有关更多信息，请参阅该服务的文档。

以下示例演示如何构造规范形式的 IAM 请求。原始请求在从客户端发送到 AWS 时可能看上去与此类似，不过此示例还不包括签名信息。

Example 请求

GET https://iam.cn-north-1.amazonaws.com.cn.cn/?Action=ListUsers&Version=2010-05-08 HTTP/1.1Host: iam.cn-north-1.amazonaws.com.cn.cn/Content-Type: application/x-www-form-urlencoded; charset=utf-8X-Amz-Date: 20150830T123600Z

前面的示例请求是一个 GET 请求（方法），它向 AWS Identity and Access Management（主机）发出ListUsers API（操作）调用。此操作采用 Version 参数。

要创建规范请求，请将以下来自每个步骤的部分连接为一个字符串：

1. 首先是 HTTP 请求方法（GET、PUT、POST 等），后跟换行符。

Example 请求方法

GET

2. 添加规范 URI 参数，后跟换行符。规范 URI 是 URI 的绝对路径部分的 URI 编码版本，该版本是 URI 中的一切 - 从 HTTP 主机到开始查询字符串参数（如果有）的问号字符（“?”）。

根据 RFC 3986 标准化 URI 路径。移除冗余和相对路径部分。路径中每个部分都必须为 URI 编码。

Example 使用编码的规范 URI

/documents%20and%20settings/

Note

例外情况是，您没有使用规范的 URI 路径来提出 Amazon S3 请求。例如，如果您拥有包含名为 my-object//example//photo.user 的对象的存储桶，请使用该路径。如果将该路径标准化为 my-object/example/photo.user，则会导致请求失败。有关更多信息，请参阅Amazon Simple Storage Service API Reference中的任务 1：创建规范请求。

如果绝对路径为空，则使用正斜杠 (/)。在示例 IAM 请求中，URI 中的主机后没有任何内容，因此，绝对路径为空。

Example 规范 URI

/

3. 添加规范查询字符串，后跟换行符。如果请求不包括查询字符串，请使用空字符串（实际上是空白行）。示例请求具有以下查询字符串。

版本 1.0155

http://tools.ietf.org/html/rfc3986

http://docs.amazonaws.cn/AmazonS3/latest/API/sig-v4-header-based-auth.html#canonical-request


Example 规范查询字符串

Action=ListUsers&Version=2010-05-08

要构建规范查询字符串，请完成以下步骤：

a. 按字符代码点以升序顺序对参数名称进行排序。例如，以大写字母 F 开头的参数名称排在以小写字母 b 开头的参数名称之前。

b. 根据以下规则对每个参数名称和值进行 URI 编码：

• 请勿对 RFC 3986 定义的任何非预留字符进行 URI 编码，这些字符包括：A-Z、a-z、0-9、连字符 (-)、下划线 (_)、句点 (.) 和波浪符 ( ~ )。

• 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（0-9 和大写字母 A-F）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”），扩展 UTF-8 字符必须采用格式 %XY%ZA%BC。

c. 以排序后的列表中第一个参数名称开头，构造规范查询字符串。d. 对于每个参数，追加 URI 编码的参数名称，后跟等号字符 (=)，再接 URI 编码的参数值。对没有值

的参数使用空字符串。e. 在每个参数值后追加与字符 (&)，列表中最后一个值除外。

查询 API 的一种方案是将所有请求参数放入查询字符串中。例如，对 Amazon S3 这样做可以创建预签名 URL。在这种情况下，规范查询字符串不能只包含请求的参数，还必须包含在签名流程中要使用的参数 - 哈希算法、凭证范围、日期和已签名标头参数。

下面的示例说明包含身份验证信息的查询字符串。该示例中为便于阅读添加了换行符，但在您的代码中，规范查询字符串必须是连续的一行文本。

Example 查询字符串中的身份验证参数

Action=ListUsers&Version=2010-05-08&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fcn-north-1%2Fiam%2Faws4_request&X-Amz-Date=20150830T123600Z&X-Amz-SignedHeaders=content-type%3Bhost%3Bx-amz-date

有关身份验证参数的更多信息，请参阅任务 2：创建签名版本 4 的待签字符串 (p. 159)。

Note

您可以使用 AWS Security Token Service (AWS STS) 提供的临时安全凭证对请求进行签名。其过程与使用长期凭证相同，但在您添加签名信息到查询字符串时，您必须为安全令牌添加额外的查询参数。参数名称为 X-Amz-Security-Token，参数值为 URI 编码的会话令牌（在您获取临时安全凭证时从 AWS STS 收到的字符串）。对于一些服务，您必须在规范（签名）查询字符串中包括 X-Amz-Security-Token 查询参数。对于其他服务，计算签名之后，您需要在末尾添加 X-Amz-Security-Token 参数。有关详细信息，请参阅该服务的 API 参考文档。

4. 添加规范标头，后跟换行符。规范标头包括您要包含在签名请求中的所有 HTTP 标头的列表。

您必须至少包含 host 标头。标准标头（如 content-type）是可选的。不同的服务可能需要其他标头。

版本 1.0156

http://tools.ietf.org/html/rfc3986


Example 规范标头

content-type:application/x-www-form-urlencoded; charset=utf-8\nhost:iam.cn-north-1.amazonaws.com.cn.cn\nx-amz-date:20150830T123600Z\n

要创建规范标头列表，请将所有标头名称转换为小写形式并删除前导空格和尾随空格。将标头值中的连续空格转换为单个空格。

以下伪代码描述如何构造规范标头列表：

CanonicalHeaders =CanonicalHeadersEntry0 + CanonicalHeadersEntry1 + ... + CanonicalHeadersEntryNCanonicalHeadersEntry =Lowercase(HeaderName) + ':' + Trimall(HeaderValue) + '\n'

Lowercase 表示将所有字符转换为小写字母的函数。Trimall 函数删除值前后的多余空格并将连续空格转换为单个空格。

通过按字符代码对（小写）标头排序，然后对标头名称进行迭代操作，来构建规范标头列表。根据以下规则构造每个标头：

• 追加小写标头名称，后跟冒号。• 追加该标头的值的逗号分隔列表。请勿对有多个值的标头进行值排序。• 追加一个新行（“\n”）。

下列示例对更复杂的一组标头及其规范形式进行比较：

Example 原始标头

Host:iam.cn-north-1.amazonaws.com.cncn\nContent-Type:application/x-www-form-urlencoded; charset=utf-8\nMy-header1: a b c \nX-Amz-Date:20150830T123600Z\nMy-Header2: "a b c" \n

Example 规范形式

content-type:application/x-www-form-urlencoded; charset=utf-8\nhost:iam.cn-north-1.amazonaws.cn\nmy-header1:a b c\nmy-header2:"a b c"\nx-amz-date:20150830T123600Z\n

Note

每个标头都后跟换行符，这意味着完整列表以换行符结束。

对于规范形式，进行了下列更改：

• 标头名称已转换为小写字符。• 标头已按字符代码进行排序。• 已从 my-header1 和 my-header2 值中删除前导空格和尾随空格。• 对于 my-header1 和 my-header2 值，已将 a b c 中的连续空格转换为单个空格。版本 1.0

157


Note

您可以使用 AWS Security Token Service (AWS STS) 提供的临时安全凭证对请求进行签名。该过程与使用长期凭证相同，但在 Authorization 标头中包括签名信息时，必须为安全令牌添加额外的 HTTP 标头。标头名称为 X-Amz-Security-Token，标头值是会话令牌（在您获取临时安全凭证时从 AWS STS 收到的字符串）。

5. 添加已签名的标头，后跟换行符。该值是您包含在规范标头中的标头列表。通过添加此标头列表，您可以向 AWS 告知请求中的哪些标头是签名过程的一部分以及在验证请求时 AWS 可以忽略哪些标头（例如，由代理添加的任何附加标头）。

host 标头必须作为已签名标头包括在内。如果包括日期或 x-amz-date 标头，则还必须包括在已签名标头列表中的标头。

要创建已签名标头列表，请将所有标头名称转换为小写形式，按字符代码对其进行排序，并使用分号来分隔这些标头名称。以下伪代码描述如何构建已签名标头的列表。Lowercase 表示将所有字符转换为小写字母的函数。

SignedHeaders =Lowercase(HeaderName0) + ';' + Lowercase(HeaderName1) + ";" + ... + Lowercase(HeaderNameN)

通过对按小写字符代码排序的标头名称集合进行迭代操作，构建已签名标头的列表。对于除最后一个标头外的每个标头名称，请在标头名称后追加分号（“;”），将它与后面的标头名称分隔开。

Example 已签名标头

content-type;host;x-amz-date\n

6. 使用 SHA256 等哈希 (摘要) 函数以基于 HTTP 或 HTTPS 请求正文中的负载创建哈希值。签名版本 4 不需要您使用特定字符编码来对负载中的文本进行编码。不过，一些 AWS 服务可能需要特定编码。有关更多信息，请参阅该服务的文档。

Example 负载结构

HashedPayload = Lowercase(HexEncode(Hash(requestPayload)))

在创建待签字符串后，请指定用于对负载进行哈希处理的签名算法。例如，如果您使用的是 SHA256，则将指定 AWS4-HMAC-SHA256 作为签名算法。经过哈希处理的负载必须以小写十六进制字符串形式表示。

如果负载为空，则使用空字符串作为哈希函数的输入。在此 IAM 示例中，负载为空。

Example 经过哈希处理的负载 (空字符串)

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

7. 要构建完整的规范请求，请将来自每个步骤的所有组成部分组合为单个字符串。如上所述，每个组成部分都以换行符结尾。如果您执行前述规范请求伪代码，生成的规范请求将显示在以下示例中。

Example 规范请求

GET/Action=ListUsers&Version=2010-05-08content-type:application/x-www-form-urlencoded; charset=utf-8

版本 1.0158


host:iam.cn-north-1.amazonaws.com.cnx-amz-date:20150830T123600Z

content-type;host;x-amz-datee3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

8. 使用您对负载进行哈希处理时所使用的相同算法来创建规范请求的摘要（哈希）。Note

在计算摘要之前，签名版本 4 不需要您使用特定字符编码来对规范请求进行编码。不过，一些AWS 服务可能需要特定编码。有关更多信息，请参阅该服务的文档。

经过哈希处理的规范请求必须以小写十六进制字符字符串形式表示。以下示例显示了使用 SHA-256 对示例规范请求进行哈希处理的结果。

Example 经过哈希处理的规范请求

c0f52cbaae2f5c43042257a73d9eafc6d42e3306a4ebab6d9235f391dff4d990

在任务 2：创建签名版本 4 的待签字符串 (p. 159)中，将经过哈希处理的规范请求包括到待签字符串中。

任务 2：创建签名版本 4 的待签字符串待签字符串包含有关您的请求和您在任务 1：针对签名版本 4 创建规范请求 (p. 154)中创建的规范请求的元信息。您将使用待签字符串和稍后在任务 3：为 AWS Signature 版本 4 计算签名 (p. 160)中为计算请求签名而作为输入创建的派生签名密钥。

要创建待签字符串，请如以下伪代码所示，连接算法、日期和时间、凭证范围和规范请求的摘要：

待签字符串结构

StringToSign = Algorithm + \n + RequestDateTime + \n + CredentialScope + \n + HashedCanonicalRequest

以下示例演示如何使用任务 1：创建规范请求 (p. 154)中的相同请求构造待签字符串。

Example HTTPS 请求

GET https://iam.cn-north-1.amazonaws.com.cn.cn/?Action=ListUsers&Version=2010-05-08 HTTP/1.1Host: iam.cn-north-1.amazonaws.com.cn.cn/Content-Type: application/x-www-form-urlencoded; charset=utf-8X-Amz-Date: 20150830T123600Z

创建待签字符串

1. 以算法名称开头，后跟换行符。该值是您用于计算规范请求摘要的哈希算法。对于 SHA256，算法是AWS4-HMAC-SHA256。

AWS4-HMAC-SHA256\n

2. 追加请求日期值，后跟换行符。该日期是使用 ISO8601 基本格式以 YYYYMMDD'T'HHMMSS'Z' 格式在x-amz-date 标头中指定的。此值必须与您在前面所有步骤中使用的值匹配。

版本 1.0159


20150830T123600Z\n

3. 追加凭证范围值，后跟换行符。此值是一个字符串，包含日期、目标区域、所请求的服务和小写字符形式的终止字符串（“aws4_request”）。区域和服务名称字符串必须采用 UTF-8 编码。

20150830/cn-north-1/iam/aws4_request\n

• 日期必须为 YYYYMMDD 格式。请注意，日期不包括时间值。• 请确保您指定的区域是您将请求发送到的目标区域。请参阅AWS 区域和终端节点 (p. 2)。

4. 追加您在任务 1：针对签名版本 4 创建规范请求 (p. 154)中创建的规范请求的哈希。该值后面不跟换行符。如 RFC 4648 第 8 节所定义，经过哈希处理的规范请求必须为 base-16 编码的小写形式。

c0f52cbaae2f5c43042257a73d9eafc6d42e3306a4ebab6d9235f391dff4d990

以下待签字符串是 2015 年 8 月 30 日的对 IAM 的请求。

Example 待签字符串

AWS4-HMAC-SHA25620150830T123600Z20150830/cn-north-1/iam/aws4_requestc0f52cbaae2f5c43042257a73d9eafc6d42e3306a4ebab6d9235f391dff4d990

任务 3：为 AWS Signature 版本 4 计算签名在计算签名之前，从 AWS 秘密访问密钥派生出签名密钥。由于派生签名密钥特定于日期、服务和区域，因此它提供了更高程度的保护。秘密访问密钥不只用于对请求进行签名。然后将签名密钥和您在任务 2：创建签名版本 4 的待签字符串 (p. 159)中创建的待签字符串用作加密哈希函数的输入。加密哈希函数生成的十六进制编码结果就是签名。

签名版本 4 不需要您使用特定字符编码来对待签字符串进行编码。不过，一些 AWS 服务可能需要特定编码。有关更多信息，请参阅该服务的文档。

计算签名

1. 派生您的签名密钥。为此，请使用您的秘密访问密钥创建一系列基于哈希的消息身份验证代码(HMAC)。此代码显示在以下伪代码中，其中 HMAC(key, data) 表示以二进制格式返回输出的HMAC-SHA256 函数。每个哈希函数的结果将成为下一个函数的输入。

用于派生签名密钥的伪代码

kSecret = your secret access keykDate = HMAC("AWS4" + kSecret, Date)kRegion = HMAC(kDate, Region)kService = HMAC(kRegion, Service)kSigning = HMAC(kService, "aws4_request")

请注意，哈希过程中所使用的日期的格式为 YYYYMMDD（例如，20150830），不包括时间。

确保以正确的顺序为您要使用的编程语言指定 HMAC 参数。在此示例中，密钥是第一个参数，数据 (消息) 是第二个参数，但您使用的函数可能以不同顺序指定密钥和数据。

使用摘要 (二进制格式) 来派生密钥。大多数语言都有用来计算二进制格式哈希（通常称为摘要）或十六进制编码哈希（称为十六进制摘要）的函数。派生密钥需要使用二进制格式摘要。

版本 1.0160

http://tools.ietf.org/html/rfc4648#section-8


以下示例显示了用于派生签名密钥的输入以及所生成的输出，其中 kSecret = wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY。

该示例使用与任务 1 和任务 2 中的请求相同的参数 (对 IAM 的请求，位于 cn-north-1 区域，2015 年8 月 30 日)。

示例输入

HMAC(HMAC(HMAC(HMAC("AWS4" + kSecret,"20150830"),"cn-north-1"),"iam"),"aws4_request")

以下示例显示了此 HMAC 哈希操作序列生成的派生签名密钥。这说明了此二进制签名密钥中每个字节的十六进制表示形式。

示例签名密钥

3fa8337361355535220160ce57f4cb5b8e318209aa7bb03ecdcb9aaeec3d07a2

有关如何在不同编程语言中派生签名密钥的更多信息，请参阅说明如何为 Signature 版本 4 派生签名密钥的示例 (p. 163)。

2. 计算签名。要计算签名，请使用派生的签名密钥和待签字符串作为加密哈希函数的输入。在计算签名后，将二进制值转换为十六进制表示形式。

以下伪代码说明如何计算签名。

signature = HexEncode(HMAC(derived signing key, string to sign))

Note

确保以正确的顺序为您要使用的编程语言指定 HMAC 参数。在此示例中，密钥是第一个参数，数据 (消息) 是第二个参数，但您使用的函数可能以不同顺序指定密钥和数据。

以下示例显示了使用与任务 2 中相同的签名密钥和待签字符串会生成的签名：

示例签名

d37af66cc90dc26bb2e27d2a97316b729b82589b5e4648f1ae34cb83a3f546cd

任务 4：将签名信息添加到请求在计算签名后，将它添加到请求。您可以通过以下两种方式之一将签名信息添加到请求：

• 名为 Authorization 的 HTTP 标头• 查询字符串

您不能同时在 Authorization 标头和查询字符串中传递签名信息。

Note

您可以使用 AWS Security Token Service (AWS STS) 提供的临时安全凭证对请求进行签名。此过程与使用长期凭证相同，但是需要安全令牌的额外 HTTP 标头或查询字符串参数。标头的名称或查询字符串参数为 X-Amz-Security-Token，值为会话令牌（在您获取临时安全凭证时从 AWSSTS 收到的字符串）。

版本 1.0161


将 X-Amz-Security-Token 参数添加到查询字符串时，一些服务需要您将此参数包括在规范（签名）请求中。对于其他服务，您在计算签名之后，需要在末尾添加此参数。有关详细信息，请参阅该服务的 API 参考文档。

将签名信息添加到 Authorization 标头

通过将签名信息添加到名为 Authorization 的 HTTP 标头，可以包括签名信息。此标头内容是在按前面的步骤所述计算签名之后创建的，因此 Authorization 标头未包含在已签名标头的列表中。尽管此标头名为Authorization，但签名信息实际上用于身份验证。

以下伪代码说明 Authorization 标头的构造。

Authorization: algorithm Credential=access key ID/credential scope, SignedHeaders=SignedHeaders, Signature=signature

下面的示例说明一个完整的 Authorization 标头。


Authorization: AWS4-HMAC-SHA256Credential=AKIDEXAMPLE/20150830/cn-north-1/iam/aws4_request,SignedHeaders=content-type;host;x-amz-date,Signature=d37af66cc90dc26bb2e27d2a97316b729b82589b5e4648f1ae34cb83a3f546cd

请注意以下几点：

• 算法和 Credential 之间没有逗号。但是，SignedHeaders 和 Signature 使用逗号与之前的值隔开。• Credential 值以访问密钥 ID 开头，后跟正斜杠 (/)，再接您在任务 2：创建签名版本 4 的待签字符

串 (p. 159)中计算得出的凭证值范围。秘密访问密钥用于为签名派生签名密钥，但未包含在通过请求发送的签名信息中。

将签名信息添加到查询字符串

您可以发送请求并在查询字符串中传递所有请求值，包括签名信息。这有时称为预签名 URL，因为它生成单个 URL，其中包含成功调用 AWS 所需要的一切信息。这通常在 Amazon S3 中使用。有关更多，请参阅Amazon Simple Storage Service API Reference 中的使用查询参数对请求进行身份验证（AWS 签名版本4）。

Important

如果您发出一个请求，其中所有参数都包含在查询字符串中，则生成的 URL 表示已经进行了身份验证的 AWS 操作。因此，对待生成的 URL 要像对待实际凭证一样小心。建议您使用 X-Amz-Expires 参数为请求指定较短的过期时间。

如果使用这种方法，所有查询字符串值（签名除外）都将包含在规范查询字符串中，该字符串是您在签名过程第一部分 (p. 154)中构造的规范查询的一部分。

以下伪代码说明包含所有请求参数的查询字符串的构造。

querystring = Action=actionquerystring += &X-Amz-Algorithm=algorithmquerystring += &X-Amz-Credential= urlencode(access_key_ID + '/' + credential_scope)querystring += &X-Amz-Date=datequerystring += &X-Amz-Expires=timeout intervalquerystring += &X-Amz-SignedHeaders=signed_headers

版本 1.0162

http://docs.amazonaws.cn/AmazonS3/latest/API/sigv4-query-string-auth.html

http://docs.amazonaws.cn/AmazonS3/latest/API/sigv4-query-string-auth.html

Amazon Web Services 一般参考处理日期

在计算签名（使用其他查询字符串值作为计算的一部分）后，请将该签名作为 X-Amz-Signature 参数添加到查询字符串中：

querystring += &X-Amz-Signature=signature

下面的示例说明当所有请求参数和签名信息都包括在查询字符串参数中时请求看起来是什么样。


https://iam.cn-north-1.amazonaws.com.cn?Action=ListUsers&Version=2010-05-08&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIDEXAMPLE%2F20150830%2Fcn-north-1%2Fiam%2Faws4_request&X-Amz-Date=20150830T123600Z&X-Amz-Expires=60&X-Amz-SignedHeaders=content-type%3Bhost&X-Amz-Signature=bbb7890b2172f0cccc6d1d5cded4e690f3e1dac299599547f3d1ceb50567e83d

请注意以下几点：

• 为计算签名，查询字符串参数必须按代码点的从低到高的顺序排序，并且其值必须是 URI 编码的值。请参阅任务 1：针对签名版本 4 创建规范请求 (p. 154)中有关创建规范查询字符串的步骤。

• 将超时间隔 (X-Amz-Expires) 设置为您所请求的操作的最短可行时间。

处理签名版本 4 中的日期您在凭证范围中使用的日期必须与您的请求的日期匹配。您可以用多种方法将日期包括在请求中。您可以使用 date 标头或 x-amz-date 标头，或者将 x-amz-date 作为查询参数包含在内。有关示例请求，请参阅完整版本 4 签名过程的示例 (Python) (p. 166)。

时间戳必须采用 UTC 表示，并具有以下 ISO 8601 格式：YYYYMMDD'T'HHMMSS'Z'。例如，20150830T123600Z 是有效时间戳。请勿在时间戳中包含毫秒。

AWS 先检查时间戳的 x-amz-date 标头或参数。如果 AWS 找不到 x-amz-date 的值，它将查找 date 标头。随后，AWS 检查八位数字字符串形式的凭证范围，表示请求的年 (YYYY)、月 (MM) 和日 (DD)。例如，如果 x-amz-date 标头值为 20111015T080000Z，并且凭证范围的日期部分为 20111015，则 AWS 允许身份验证过程继续执行。

如果日期不匹配，则 AWS 拒绝请求，即使时间戳距离凭证范围中的日期仅有数秒之差也是如此。例如，AWS 将拒绝其 x-amz-date 标头值为 20151014T235959Z 且凭证范围包括日期 20151015 的请求。

说明如何为 Signature 版本 4 派生签名密钥的示例本页以多种编程语言说明示例，介绍如何为 Signature 版本 4 派生签名密钥。此页面上的示例仅说明如何派生签名密钥，它只是 AWS 请求签名过程的一部分。有关说明整个过程的示例，请参阅完整版本 4 签名过程的示例 (Python) (p. 166)。

Note

如果使用 AWS 开发工具包之一 (包括适用于 Java 的开发工具包、.NET、Python、Ruby 或JavaScript)，您不必手动执行派生签名密钥和将身份验证信息添加到请求的步骤。这些软件开发工具包将为您执行这些工作。仅当您直接发出 HTTP 或 HTTPS 请求时，才需要您手动签署请求。

主题• 使用 Java 派生签名密钥 (p. 164)• 使用 .NET (C#) 派生签名密钥 (p. 164)

版本 1.0163


Amazon Web Services 一般参考说明如何派生签名密钥的示例

• 使用 Python 派生签名密钥 (p. 164)• 使用 Ruby 派生签名密钥 (p. 165)• 使用 JavaScript 派生签名密钥 (Node.js) (p. 165)• 使用其他语言派生签名密钥 (p. 165)• 常见编码错误 (p. 166)

使用 Java 派生签名密钥static byte[] HmacSHA256(String data, byte[] key) throws Exception { String algorithm="HmacSHA256"; Mac mac = Mac.getInstance(algorithm); mac.init(new SecretKeySpec(key, algorithm)); return mac.doFinal(data.getBytes("UTF8"));}

static byte[] getSignatureKey(String key, String dateStamp, String regionName, String serviceName) throws Exception { byte[] kSecret = ("AWS4" + key).getBytes("UTF8"); byte[] kDate = HmacSHA256(dateStamp, kSecret); byte[] kRegion = HmacSHA256(regionName, kDate); byte[] kService = HmacSHA256(serviceName, kRegion); byte[] kSigning = HmacSHA256("aws4_request", kService); return kSigning;}

使用 .NET (C#) 派生签名密钥static byte[] HmacSHA256(String data, byte[] key){ String algorithm = "HmacSHA256"; KeyedHashAlgorithm kha = KeyedHashAlgorithm.Create(algorithm); kha.Key = key;

return kha.ComputeHash(Encoding.UTF8.GetBytes(data));}

static byte[] getSignatureKey(String key, String dateStamp, String regionName, String serviceName){ byte[] kSecret = Encoding.UTF8.GetBytes(("AWS4" + key).ToCharArray()); byte[] kDate = HmacSHA256(dateStamp, kSecret); byte[] kRegion = HmacSHA256(regionName, kDate); byte[] kService = HmacSHA256(serviceName, kRegion); byte[] kSigning = HmacSHA256("aws4_request", kService);

return kSigning;}

使用 Python 派生签名密钥def sign(key, msg): return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest()

def getSignatureKey(key, dateStamp, regionName, serviceName): kDate = sign(("AWS4" + key).encode("utf-8"), dateStamp) kRegion = sign(kDate, regionName) kService = sign(kRegion, serviceName) kSigning = sign(kService, "aws4_request")

版本 1.0164

Amazon Web Services 一般参考说明如何派生签名密钥的示例

return kSigning

使用 Ruby 派生签名密钥def getSignatureKey key, dateStamp, regionName, serviceName kDate = OpenSSL::HMAC.digest('sha256', "AWS4" + key, dateStamp) kRegion = OpenSSL::HMAC.digest('sha256', kDate, regionName) kService = OpenSSL::HMAC.digest('sha256', kRegion, serviceName) kSigning = OpenSSL::HMAC.digest('sha256', kService, "aws4_request")

kSigningend

使用 JavaScript 派生签名密钥 (Node.js)以下示例使用 crypto-js 库。有关更多信息，请参阅 https://www.npmjs.com/package/crypto-js 和 https://code.google.com/archive/p/crypto-js/。

var crypto = require("crypto-js");

function getSignatureKey(Crypto, key, dateStamp, regionName, serviceName) { var kDate = Crypto.HmacSHA256(dateStamp, "AWS4" + key); var kRegion = Crypto.HmacSHA256(regionName, kDate); var kService = Crypto.HmacSHA256(serviceName, kRegion); var kSigning = Crypto.HmacSHA256("aws4_request", kService); return kSigning;}

使用其他语言派生签名密钥如果您需要用不同编程语言实施此逻辑，我们建议您使用本节中的值来测试密钥派生算法的中间步骤。以下Ruby 示例在算法的每个步骤后使用 hexEncode 函数输出结果。

def hexEncode bindata result="" data=bindata.unpack("C*") data.each {|b| result+= "%02x" % b} resultend

如果使用以下测试输入：

key = 'wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY'dateStamp = '20120215'regionName = 'cn-north-1'serviceName = 'iam'

您的程序将为 getSignatureKey 中的值生成以下值。请注意，这些值是二进制数据的十六进制编码表示形式；密钥本身和中间值应该是二进制格式。

kSecret = '41575334774a616c725855746e46454d492f4b374d44454e472b62507852666943594558414d504c454b4559'kDate = '969fbb94feb542b71ede6f87fe4d5fa29c789342b0f407474670f0c2489e0a0d'kRegion = 'f5e672e58cf132b0a7ac38224ed20013b5f068e4e4de6ebc05d87f724508595e'kService = 'e2569e3d090ed691c9ef28c5fb6afbea3f759699099ad1f884a589aad97bf4ca'kSigning = '2f93fd817068852310c6054f85a5ffe1a23da3e1587e39ba922f1fac469088da'

版本 1.0165

https://www.npmjs.com/package/crypto-js

https://code.google.com/archive/p/crypto-js/

https://code.google.com/archive/p/crypto-js/

Amazon Web Services 一般参考签名示例 (Python)

常见编码错误要简化您的任务，请避免下列常见编码错误。

Tip

使用能显示原始 HTTP 请求的工具检查要发送给 AWS 的 HTTP 请求。这样能帮助您找到代码中并不明显的问题。

• 不要包含多余的换行符，或忘记在必要的位置使用换行符。• 不要在凭证范围中不正确地设置日期格式，如使用时间戳而不是 YYYYMMDD 格式。• 确保规范标头和签名标头中的标头相同。• 不要在计算中间密钥时意外交换密钥和数据 (消息)。上一步的计算结果是密钥，而不是数据。仔细检查文

档中的加密基元，确保以正确顺序放置参数。• 不要忘记在第一步在密钥之前添加字符串“AWS4”。如果使用 for 循环或迭代程序来实施密钥派生，不要

忘记第一次迭代的特殊情况，以便包含“AWS4”字符串。

有关可能的错误的更多信息，请参阅排除 AWS Signature Version 4 错误 (p. 175)。

完整版本 4 签名过程的示例 (Python)本节展示用 Python 编写的示例程序，这些程序阐释如何在 AWS 中使用签名版本 4。我们特意将这些示例程序编写得很简单（仅使用极少 Python 特定功能），便于您更轻松地了解签署 AWS 请求的完整过程。

要使用这些示例程序，您需要：

• 计算机上安装有 Python 2.x，您可以从 Python 站点获取。这些程序已使用 Python 2.7 测试过。• Python 请求库，示例脚本使用此库发出 Web 请求。一种方便的 Python 程序包安装方法是使用 pip，它

可从 Python 程序包索引站点获取程序包。然后，您可以在命令行上运行 pip install requests 来安装 requests。

• 环境变量中名为 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 的访问密钥（访问密钥 ID 和秘密访问密钥）。或者，您也可以在凭证文件中保存这些值，然后从这些文件中读取。作为最佳实践，我们建议您不要在代码中嵌入凭证。有关详细信息，请参阅 Amazon Web Services 一般参考中的管理 AWS 访问密钥的最佳实践。

Note

以下示例使用 UTF-8 对规范请求和待签字符串进行编码，而签名版本 4 不需要您使用特定字符编码。不过，一些 AWS 服务可能需要特定编码。有关更多信息，请参阅该服务的文档。

主题• 结合使用 GET 和 Authorization 标头 (Python) (p. 166)• 使用 POST(Python) (p. 168)• 在查询字符串中结合使用 GET 和身份验证信息 (Python) (p. 171)

结合使用 GET 和 Authorization 标头 (Python)以下示例说明如何使用 Amazon EC2 查询 API 发出请求。该请求发出 GET 请求，并使用 Authorization标头将身份验证信息发送到 AWS。

# AWS Version 4 signing example # EC2 API (DescribeRegions)

版本 1.0166

https://www.python.org/downloads/

https://pypi.python.org/pypi/requests

http://docs.amazonaws.cn/general/latest/gr/aws-access-keys-best-practices.html

http://docs.amazonaws.cn/general/latest/gr/aws-access-keys-best-practices.html


# See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html # This version makes a GET request and passes the signature # in the Authorization header. import sys, os, base64, datetime, hashlib, hmac import requests # pip install requests # ************* REQUEST VALUES ************* method = 'GET' service = 'ec2' host = 'ec2.amazonaws.com' region = 'us-east-1' endpoint = 'https://ec2.amazonaws.com' request_parameters = 'Action=DescribeRegions&Version=2013-10-15' # Key derivation functions. See: # http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-examples-python def sign(key, msg): return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest() def getSignatureKey(key, dateStamp, regionName, serviceName): kDate = sign(('AWS4' + key).encode('utf-8'), dateStamp) kRegion = sign(kDate, regionName) kService = sign(kRegion, serviceName) kSigning = sign(kService, 'aws4_request') return kSigning # Read AWS access key from env. variables or configuration file. Best practice is NOT # to embed credentials in code. access_key = os.environ.get('AWS_ACCESS_KEY_ID') secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY') if access_key is None or secret_key is None: print 'No access key is available.' sys.exit() # Create a date for headers and the credential string t = datetime.datetime.utcnow() amzdate = t.strftime('%Y%m%dT%H%M%SZ') datestamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope # ************* TASK 1: CREATE A CANONICAL REQUEST ************* # http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html # Step 1 is to define the verb (GET, POST, etc.)--already done. # Step 2: Create canonical URI--the part of the URI from domain to query # string (use '/' if no path) canonical_uri = '/' # Step 3: Create the canonical query string. In this example (a GET request), # request parameters are in the query string. Query string values must # be URL-encoded (space=%20). The parameters must be sorted by name. # For this example, the query string is pre-formatted in the request_parameters variable. canonical_querystring = request_parameters # Step 4: Create the canonical headers and signed headers. Header names # must be trimmed and lowercase, and sorted in code point order from # low to high. Note that there is a trailing \n. canonical_headers = 'host:' + host + '\n' + 'x-amz-date:' + amzdate + '\n' # Step 5: Create the list of signed headers. This lists the headers # in the canonical_headers list, delimited with ";" and in alpha order. # Note: The request can include any headers; canonical_headers and # signed_headers lists those that you want to be included in the

版本 1.0167


# hash of the request. "Host" and "x-amz-date" are always required. signed_headers = 'host;x-amz-date' # Step 6: Create payload hash (hash of the request body content). For GET # requests, the payload is an empty string (""). payload_hash = hashlib.sha256('').hexdigest() # Step 7: Combine elements to create canonical request canonical_request = method + '\n' + canonical_uri + '\n' + canonical_querystring + '\n' + canonical_headers + '\n' + signed_headers + '\n' + payload_hash # ************* TASK 2: CREATE THE STRING TO SIGN************* # Match the algorithm to the hashing algorithm you use, either SHA-1 or # SHA-256 (recommended) algorithm = 'AWS4-HMAC-SHA256' credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request' string_to_sign = algorithm + '\n' + amzdate + '\n' + credential_scope + '\n' + hashlib.sha256(canonical_request).hexdigest() # ************* TASK 3: CALCULATE THE SIGNATURE ************* # Create the signing key using the function defined above. signing_key = getSignatureKey(secret_key, datestamp, region, service) # Sign the string_to_sign using the signing_key signature = hmac.new(signing_key, (string_to_sign).encode('utf-8'), hashlib.sha256).hexdigest() # ************* TASK 4: ADD SIGNING INFORMATION TO THE REQUEST ************* # The signing information can be either in a query string value or in # a header named Authorization. This code shows how to use a header. # Create authorization header and add to request headers authorization_header = algorithm + ' ' + 'Credential=' + access_key + '/' + credential_scope + ', ' + 'SignedHeaders=' + signed_headers + ', ' + 'Signature=' + signature # The request can include any headers, but MUST include "host", "x-amz-date", # and (for this scenario) "Authorization". "host" and "x-amz-date" must # be included in the canonical_headers and signed_headers, as noted # earlier. Order here is not significant. # Python note: The 'host' header is added automatically by the Python 'requests' library. headers = {'x-amz-date':amzdate, 'Authorization':authorization_header} # ************* SEND THE REQUEST ************* request_url = endpoint + '?' + canonical_querystring print '\nBEGIN REQUEST++++++++++++++++++++++++++++++++++++' print 'Request URL = ' + request_url r = requests.get(request_url, headers=headers) print '\nRESPONSE++++++++++++++++++++++++++++++++++++' print 'Response code: %d\n' % r.status_code print r.text

使用 POST(Python)以下示例说明如何使用 Amazon DynamoDB 查询 API 发出请求。该请求发出 POST 请求并在请求正文中将值传递给 AWS。身份验证信息是通过 Authorization 请求标头传递的。

# AWS Version 4 signing example

版本 1.0168


# DynamoDB API (CreateTable) # See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html # This version makes a POST request and passes request parameters # in the body (payload) of the request. Auth information is passed in # an Authorization header. import sys, os, base64, datetime, hashlib, hmac import requests # pip install requests # ************* REQUEST VALUES ************* method = 'POST' service = 'dynamodb' host = 'dynamodb.us-west-2.amazonaws.com' region = 'us-west-2' endpoint = 'https://dynamodb.us-west-2.amazonaws.com/' # POST requests use a content type header. For DynamoDB, # the content is JSON. content_type = 'application/x-amz-json-1.0' # DynamoDB requires an x-amz-target header that has this format: # DynamoDB_<API version>.<operationName> amz_target = 'DynamoDB_20120810.CreateTable' # Request parameters for CreateTable--passed in a JSON block. request_parameters = '{' request_parameters += '"KeySchema": [{"KeyType": "HASH","AttributeName": "Id"}],' request_parameters += '"TableName": "TestTable","AttributeDefinitions": [{"AttributeName": "Id","AttributeType": "S"}],' request_parameters += '"ProvisionedThroughput": {"WriteCapacityUnits": 5,"ReadCapacityUnits": 5}' request_parameters += '}' # Key derivation functions. See: # http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-examples-python def sign(key, msg): return hmac.new(key, msg.encode("utf-8"), hashlib.sha256).digest() def getSignatureKey(key, date_stamp, regionName, serviceName): kDate = sign(('AWS4' + key).encode('utf-8'), date_stamp) kRegion = sign(kDate, regionName) kService = sign(kRegion, serviceName) kSigning = sign(kService, 'aws4_request') return kSigning # Read AWS access key from env. variables or configuration file. Best practice is NOT # to embed credentials in code. access_key = os.environ.get('AWS_ACCESS_KEY_ID') secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY') if access_key is None or secret_key is None: print 'No access key is available.' sys.exit() # Create a date for headers and the credential string t = datetime.datetime.utcnow() amz_date = t.strftime('%Y%m%dT%H%M%SZ') date_stamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope # ************* TASK 1: CREATE A CANONICAL REQUEST ************* # http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html # Step 1 is to define the verb (GET, POST, etc.)--already done. # Step 2: Create canonical URI--the part of the URI from domain to query # string (use '/' if no path) canonical_uri = '/'

版本 1.0169


## Step 3: Create the canonical query string. In this example, request # parameters are passed in the body of the request and the query string # is blank. canonical_querystring = '' # Step 4: Create the canonical headers. Header names must be trimmed # and lowercase, and sorted in code point order from low to high. # Note that there is a trailing \n. canonical_headers = 'content-type:' + content_type + '\n' + 'host:' + host + '\n' + 'x-amz-date:' + amz_date + '\n' + 'x-amz-target:' + amz_target + '\n' # Step 5: Create the list of signed headers. This lists the headers # in the canonical_headers list, delimited with ";" and in alpha order. # Note: The request can include any headers; canonical_headers and # signed_headers include those that you want to be included in the # hash of the request. "Host" and "x-amz-date" are always required. # For DynamoDB, content-type and x-amz-target are also required. signed_headers = 'content-type;host;x-amz-date;x-amz-target' # Step 6: Create payload hash. In this example, the payload (body of # the request) contains the request parameters. payload_hash = hashlib.sha256(request_parameters).hexdigest() # Step 7: Combine elements to create canonical request canonical_request = method + '\n' + canonical_uri + '\n' + canonical_querystring + '\n' + canonical_headers + '\n' + signed_headers + '\n' + payload_hash # ************* TASK 2: CREATE THE STRING TO SIGN************* # Match the algorithm to the hashing algorithm you use, either SHA-1 or # SHA-256 (recommended) algorithm = 'AWS4-HMAC-SHA256' credential_scope = date_stamp + '/' + region + '/' + service + '/' + 'aws4_request' string_to_sign = algorithm + '\n' + amz_date + '\n' + credential_scope + '\n' + hashlib.sha256(canonical_request).hexdigest() # ************* TASK 3: CALCULATE THE SIGNATURE ************* # Create the signing key using the function defined above. signing_key = getSignatureKey(secret_key, date_stamp, region, service) # Sign the string_to_sign using the signing_key signature = hmac.new(signing_key, (string_to_sign).encode('utf-8'), hashlib.sha256).hexdigest() # ************* TASK 4: ADD SIGNING INFORMATION TO THE REQUEST ************* # Put the signature information in a header named Authorization. authorization_header = algorithm + ' ' + 'Credential=' + access_key + '/' + credential_scope + ', ' + 'SignedHeaders=' + signed_headers + ', ' + 'Signature=' + signature # For DynamoDB, the request can include any headers, but MUST include "host", "x-amz-date", # "x-amz-target", "content-type", and "Authorization". Except for the authorization # header, the headers must be included in the canonical_headers and signed_headers values, as # noted earlier. Order here is not significant. # # Python note: The 'host' header is added automatically by the Python 'requests' library. headers = {'Content-Type':content_type, 'X-Amz-Date':amz_date, 'X-Amz-Target':amz_target, 'Authorization':authorization_header}

版本 1.0170


# ************* SEND THE REQUEST ************* print '\nBEGIN REQUEST++++++++++++++++++++++++++++++++++++' print 'Request URL = ' + endpoint r = requests.post(endpoint, data=request_parameters, headers=headers) print '\nRESPONSE++++++++++++++++++++++++++++++++++++' print 'Response code: %d\n' % r.status_code print r.text

在查询字符串中结合使用 GET 和身份验证信息 (Python)以下示例说明如何使用 IAM 查询 API 发出请求。该请求发出 GET 请求，并使用查询字符串传递参数和签名信息。

# AWS Version 4 signing example # IAM API (CreateUser) # See: http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html # This version makes a GET request and passes request parameters # and authorization information in the query string import sys, os, base64, datetime, hashlib, hmac, urllib import requests # pip install requests # ************* REQUEST VALUES ************* method = 'GET' service = 'iam' host = 'iam.amazonaws.com' region = 'us-east-1' endpoint = 'https://iam.amazonaws.com' # Key derivation functions. See: # http://docs.aws.amazon.com/general/latest/gr/signature-v4-examples.html#signature-v4-examples-python def sign(key, msg): return hmac.new(key, msg.encode('utf-8'), hashlib.sha256).digest() def getSignatureKey(key, dateStamp, regionName, serviceName): kDate = sign(('AWS4' + key).encode('utf-8'), dateStamp) kRegion = sign(kDate, regionName) kService = sign(kRegion, serviceName) kSigning = sign(kService, 'aws4_request') return kSigning # Read AWS access key from env. variables or configuration file. Best practice is NOT # to embed credentials in code. access_key = os.environ.get('AWS_ACCESS_KEY_ID') secret_key = os.environ.get('AWS_SECRET_ACCESS_KEY') if access_key is None or secret_key is None: print 'No access key is available.' sys.exit() # Create a date for headers and the credential string t = datetime.datetime.utcnow() amz_date = t.strftime('%Y%m%dT%H%M%SZ') # Format date as YYYYMMDD'T'HHMMSS'Z' datestamp = t.strftime('%Y%m%d') # Date w/o time, used in credential scope # ************* TASK 1: CREATE A CANONICAL REQUEST ************* # http://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html # Because almost all information is being passed in the query string,

版本 1.0171


# the order of these steps is slightly different than examples that # use an authorization header. # Step 1: Define the verb (GET, POST, etc.)--already done. # Step 2: Create canonical URI--the part of the URI from domain to query # string (use '/' if no path) canonical_uri = '/' # Step 3: Create the canonical headers and signed headers. Header names # must be trimmed and lowercase, and sorted in code point order from # low to high. Note trailing \n in canonical_headers. # signed_headers is the list of headers that are being included # as part of the signing process. For requests that use query strings, # only "host" is included in the signed headers. canonical_headers = 'host:' + host + '\n' signed_headers = 'host' # Match the algorithm to the hashing algorithm you use, either SHA-1 or # SHA-256 (recommended) algorithm = 'AWS4-HMAC-SHA256' credential_scope = datestamp + '/' + region + '/' + service + '/' + 'aws4_request' # Step 4: Create the canonical query string. In this example, request # parameters are in the query string. Query string values must # be URL-encoded (space=%20). The parameters must be sorted by name. canonical_querystring = 'Action=CreateUser&UserName=NewUser&Version=2010-05-08' canonical_querystring += '&X-Amz-Algorithm=AWS4-HMAC-SHA256' canonical_querystring += '&X-Amz-Credential=' + urllib.quote_plus(access_key + '/' + credential_scope) canonical_querystring += '&X-Amz-Date=' + amz_date canonical_querystring += '&X-Amz-Expires=30' canonical_querystring += '&X-Amz-SignedHeaders=' + signed_headers # Step 5: Create payload hash. For GET requests, the payload is an # empty string (""). payload_hash = hashlib.sha256('').hexdigest() # Step 6: Combine elements to create canonical request canonical_request = method + '\n' + canonical_uri + '\n' + canonical_querystring + '\n' + canonical_headers + '\n' + signed_headers + '\n' + payload_hash # ************* TASK 2: CREATE THE STRING TO SIGN************* string_to_sign = algorithm + '\n' + amz_date + '\n' + credential_scope + '\n' + hashlib.sha256(canonical_request).hexdigest() # ************* TASK 3: CALCULATE THE SIGNATURE ************* # Create the signing key signing_key = getSignatureKey(secret_key, datestamp, region, service) # Sign the string_to_sign using the signing_key signature = hmac.new(signing_key, (string_to_sign).encode("utf-8"), hashlib.sha256).hexdigest() # ************* TASK 4: ADD SIGNING INFORMATION TO THE REQUEST ************* # The auth information can be either in a query string # value or in a header named Authorization. This code shows how to put # everything into a query string. canonical_querystring += '&X-Amz-Signature=' + signature # ************* SEND THE REQUEST ************* # The 'host' header is added automatically by the Python 'request' lib. But it

版本 1.0172

Amazon Web Services 一般参考测试套件

# must exist as a header in the request. request_url = endpoint + "?" + canonical_querystring print '\nBEGIN REQUEST++++++++++++++++++++++++++++++++++++' print 'Request URL = ' + request_url r = requests.get(request_url) print '\nRESPONSE++++++++++++++++++++++++++++++++++++' print 'Response code: %d\n' % r.status_code print r.text

Signature Version 4测试套件为了帮助您支持Signature Version 4的 AWS 客户开发，您可以在测试套件中使用文件确保您的代码是否正确地执行了签名过程的各个步骤。

要获取测试套件，请下载 aws-sig-v4-test-suite.zip。

主题• 凭证范围和私有密钥 (p. 173)• 示例 - 带参数的简单 GET 请求 (p. 173)

每个测试组都包含五个文件，可用来验证Signature Version 4 签名流程 (p. 152)中所述的每个任务。以下列表描述了每个文件的内容。

• file-name.req — 待签名的 Web 请求。• file-name.creq — 生成的规范请求。• file-name.sts — 生成的待签名字符串。• file-name.authz — Authorization 标头。• file-name.sreq — 已签名请求。

Note

这些测试套件示例使用 us-east-1 区域。

凭证范围和私有密钥测试套件中的示例都使用以下凭证范围：

AKIDEXAMPLE/20150830/us-east-1/service/aws4_request

用于签名的示例私有密钥为：

wJalrXUtnFEMI/K7MDENG+bPxRfiCYEXAMPLEKEY

示例 - 带参数的简单 GET 请求以下示例展示了 get-vanilla-query-order-key-case.req 文件中的待签 Web 请求。这是原始请求。

GET /?Param2=value2&Param1=value1 HTTP/1.1Host:example.amazonaws.comX-Amz-Date:20150830T123600Z

版本 1.0173

samples/aws-sig-v4-test-suite.zip

Amazon Web Services 一般参考测试套件

任务 1：创建规范请求

在任务 1：针对签名版本 4 创建规范请求 (p. 154)中概述的步骤中，更改 get-vanilla-query-order-key-case.req 文件中的请求。

GET /?Param2=value2&Param1=value1 HTTP/1.1Host:example.amazonaws.comX-Amz-Date:20150830T123600Z

这将在 get-vanilla-query-order-key-case.creq 文件中创建规范请求。

GET/Param1=value1&Param2=value2host:example.amazonaws.comx-amz-date:20150830T123600Z

host;x-amz-datee3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

备注

• 参数按字母顺序（依据字符代码）进行排序。• 标头名称小写。• 在 x-amz-date 标头与已签名标头之间有一个换行符。• 负载的哈希是空字符串的哈希。

任务 2：创建待签字符串

规范请求的哈希值返回以下值：

816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0

在任务 2：创建签名版本 4 的待签字符串 (p. 159) 内概述的步骤中，请添加算法、请求日期、凭证范围和规范请求哈希以创建待签字符串。

结果是 get-vanilla-query-order-key-case.sts 文件。

AWS4-HMAC-SHA25620150830T123600Z20150830/us-east-1/service/aws4_request816cd5b414d056048ba4f7c5386d6e0533120fb1fcfa93762cf0fc39e2cf19e0

备注

• 第二行的日期与 x-amz-date 标头以及凭证范围的第一个元素匹配。• 最后一行为规范请求的十六进制编码哈希值。

任务 3：计算签名

采用任务 3：为 AWS Signature 版本 4 计算签名 (p. 160) 中概述的步骤，从 get-vanilla-query-order-key-case.sts file 中用您的签名密钥和待签名字符串创建签名。

结果将创建 get-vanilla-query-order-key-case.authz 文件的内容。

版本 1.0174

Amazon Web Services 一般参考故障排除

AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/us-east-1/service/aws4_request, SignedHeaders=host;x-amz-date, Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500

任务 4：将签名信息添加到请求在任务 4：将签名信息添加到请求 (p. 161) 内概述的步骤中，请将任务 3 生成的签名信息添加到原始请求。例如，获取 get-vanilla-query-order-key-case.authz 的内容，并添加至 Authorization标头，然后将结果添加至 get-vanilla-query-order-key-case.req。

这将在 get-vanilla-query-order-key-case.sreq 文件中创建已签名请求。

GET /?Param2=value2&Param1=value1 HTTP/1.1Host:example.amazonaws.comX-Amz-Date:20150830T123600ZAuthorization: AWS4-HMAC-SHA256 Credential=AKIDEXAMPLE/20150830/us-east-1/service/aws4_request, SignedHeaders=host;x-amz-date, Signature=b97d918cfa904a5beff61c982a1b6f458b799221646efd99d3219ec94cdf2500

排除 AWS Signature Version 4 错误主题

• 排除 AWS Signature Version 4 标准化错误 (p. 175)• 排除 AWS 签名版本 4 凭证范围错误 (p. 176)• 排除 AWS 签名版本 4 密钥签名错误 (p. 177)

在开发实施Signature Version 4 的代码时，您可能从您测试的 AWS 产品收到错误。产生这些错误的原因通常是请求的规范化阶段出现错误、错误地派生或使用了签名密钥，或验证随请求发送的特定于签名的参数失败。

排除 AWS Signature Version 4 标准化错误请考虑以下请求：

https://iam.cn-north-1.amazonaws.com.cn.cn/?MaxItems=100&Action=ListGroupsForUser&UserName=Test&Version=2010-05-08&X-Amz-Date=20120223T063000Z&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20120223/cn-north-1/iam/aws4_request&X-Amz-SignedHeaders=host&X-Amz-Signature=<calculated value>

如果您不正确地计算规范请求或待签字符串，则服务执行的签名验证步骤将失败。以下示例是典型的错误响应，包括规范字符串和服务计算的待签字符串。通过将返回的字符串与规范字符串以及您计算得出的待签字符串进行比较，可以排除您的计算错误。

<ErrorResponse xmlns="https://iam.cn-north-1.amazonaws.com.cn.cn/doc/2010-05-08/"> <Error> <Type>Sender</Type> <Code>SignatureDoesNotMatch</Code> <Message>The request signature we calculated does not match the signature you provided. Check your AWS Secret Access Key and signing method. Consult the service documentation for details.

版本 1.0175

Amazon Web Services 一般参考故障排除

The canonical string for this request should have been 'GET / Action=ListGroupsForUser&MaxItems=100&UserName=Test&Version=2010-05-08&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIOSFODNN7EXAMPLE%2F20120223%2Fcn-north-1%2Fiam%2Faws4_request&X-Amz-Date=20120223T063000Z&X-Amz-SignedHeaders=hosthost:iam.cn-north-1.amazonaws.com.cn.cn

host<hashed-value>'

The String-to-Sign should have been'AWS4-HMAC-SHA25620120223T063000Z20120223/cn-north-1/iam/aws4_request<hashed-value>'</Message> </Error> <RequestId>4ced6e96-5de8-11e1-aa78-a56908bdf8eb</RequestId></ErrorResponse>

对于软件开发工具包测试，我们建议通过基于已知的值验证每个派生步骤，从而进行故障排除。有关更多信息，请参阅 Signature Version 4测试套件 (p. 173)。

排除 AWS 签名版本 4 凭证范围错误AWS 产品可验证凭证范围是否正确；凭证参数必须指定正确的服务、区域和日期。例如，以下凭证引用Amazon RDS 服务：

Credential=AKIAIOSFODNN7EXAMPLE/20120224/cn-north-1/rds/aws4_request

如果使用相同的凭证将请求提交到 IAM，您将收到以下错误响应：

<ErrorResponse xmlns="https://iam.cn-north-1.amazonaws.com.cn.cn/doc/2010-05-08/"> <Error> <Type>Sender</Type> <Code>SignatureDoesNotMatch</Code> <Message>Credential should be scoped to correct service: 'iam'. </Message> </Error> <RequestId>aa0da9de-5f2b-11e1-a2c0-c1dc98b6c575</RequestId>

凭证还必须指定正确的区域。例如，IAM 请求的以下凭证错误地指定了美国西部（加利福尼亚北部）区域。

Credential=AKIAIOSFODNN7EXAMPLE/20120224/us-west-1/iam/aws4_request

<ErrorResponse xmlns="https://iam.amazonaws.com.cn/doc/2010-05-08/"> <Error> <Type>Sender</Type> <Code>SignatureDoesNotMatch</Code> <Message>Credential should be scoped to a valid region, not 'us-east-1'. </Message> </Error> <RequestId>8e229682-5f27-11e1-88f2-4b1b00f424ae</RequestId></ErrorResponse>

如果您向不同于凭证范围所指定区域的其他区域提交请求，则您将从多个区域中的 AWS 产品收到相同类型的无效区域响应。

凭证还必须为请求中的服务和操作指定正确的区域。

用作凭证组成部分的日期必须与 x-amz-date 标头中的日期值匹配。例如，以下 x-amz-date 标头值与它之后的 Credential 参数中使用的日期值不匹配。

版本 1.0176

Amazon Web Services 一般参考服务特定的参考

x-amz-date:"20120224T213559Z"Credential=AKIAIOSFODNN7EXAMPLE/20120225/cn-north-1/iam/aws4_request

如果您使用此 x-amz-date 标头和凭证组合，则会收到以下错误响应：

<ErrorResponse xmlns="https://iam.cn-north-1.amazonaws.com.cn.cn/doc/2010-05-08/"> <Error> <Type>Sender</Type> <Code>SignatureDoesNotMatch</Code> <Message>Date in Credential scope does not match YYYYMMDD from ISO-8601 version of date from HTTP: '20120225' != '20120224', from '20120 224T213559Z'.</Message> </Error> <RequestId>9d6ddd2b-5f2f-11e1-b901-a702cd369eb8</RequestId></ErrorResponse>

过期的签名也可能生成错误响应。例如，以下错误响应是由于签名过期产生的。

<ErrorResponse xmlns="https://iam.cn-north-1.amazonaws.com.cn.cn/doc/2010-05-08/"> <Error> <Type>Sender</Type> <Code>SignatureDoesNotMatch</Code> <Message>Signature expired: 20120306T074514Z is now earlier than 20120306T074556Z (20120306T080056Z - 15 min.)</Message> </Error> <RequestId>fcc88440-5dec-11e1-b901-a702cd369eb8</RequestId></ErrorResponse>

排除 AWS 签名版本 4 密钥签名错误由于不正确地派生签名密钥或使用密码术而导致的错误更难排除。错误响应还会告诉您签名不匹配。如果您已验证规范字符串和待签字符串正确，则签名不匹配的原因很可能是以下两个问题之一：

• 秘密访问密钥与您在 Credential 参数中指定的访问密钥 ID 不匹配。• 您的密钥派生代码存在问题。

要检查私有密钥是否与访问密钥 ID 匹配，可将私有密钥和访问密钥 ID 用于已知可工作的实施。一种方法是使用 AWS 开发工具包之一来编写程序，在程序中使用相关访问密钥 ID 和秘密访问密钥向 AWS 发出简单请求。

要检查您的密钥派生代码是否正确，您可将它与我们的示例派生代码进行对比。有关更多信息，请参阅说明如何为 Signature 版本 4 派生签名密钥的示例 (p. 163)。

面向Signature Version 4 的服务特定的参考要了解有关在特定的 AWS 服务上下文中发出 HTTP 请求并对请求进行签名的信息，请参阅以下服务的文档：

• Amazon API Gateway• Amazon CloudSearch• Amazon CloudWatch• AWS Data Pipeline• Amazon Elastic Compute Cloud (Amazon EC2)• Amazon Elastic Transcoder• Amazon Glacier

版本 1.0177

http://docs.amazonaws.cn/apigateway/api-reference/making-http-requests/

http://docs.amazonaws.cn/cloudsearch/latest/developerguide/submitting-configuration-requests.html

http://docs.amazonaws.cn/AmazonCloudWatch/latest/DeveloperGuide/Using_Query_API.html

http://docs.amazonaws.cn/datapipeline/latest/DeveloperGuide/dp-make-http-request.html

http://docs.amazonaws.cn/AWSEC2/latest/APIReference/Query-Requests.html

http://docs.amazonaws.cn/elastictranscoder/latest/developerguide/signing-requests.html

http://docs.amazonaws.cn/amazonglacier/latest/dev/amazon-glacier-signing-requests.html

Amazon Web Services 一般参考签名版本 2 签名流程

• Amazon Mobile Analytics• Amazon Relational Database Service (Amazon RDS)• Amazon Simple Email Service (Amazon SES)• Amazon Simple Queue Service (Amazon SQS)• Amazon Simple Storage Service (Amazon S3)• Amazon Simple Workflow Service (Amazon SWF)• AWS WAF

签名版本 2 签名流程您可以使用签名版本 2 签署 API 请求。但是，我们建议您使用Signature Version 4 签署您的请求。有关更多信息，请参阅 Signature Version 4 签名流程 (p. 152)。

受支持的区域和服务以下区域不支持签名版本 2。您必须在这些区域中使用Signature Version 4 来签署 API 请求：

• 美国东部（俄亥俄）区域• 加拿大 (中部) 区域• 亚太地区（孟买）区域• 亚太区域（首尔）• 欧洲（法兰克福）区域• 欧洲 (伦敦) 区域• 中国（北京）区域

以下服务在所有其他区域中均支持签名版本 2。

支持签名版本 2 的 AWS 服务

Amazon EC2 Auto Scaling Amazon EC2 Auto Scaling API 参考

AWS CloudFormation AWS CloudFormation API Reference

Amazon CloudWatch Amazon CloudWatch API Reference

AWS Elastic Beanstalk AWS Elastic Beanstalk API Reference

Amazon Elastic Compute Cloud (AmazonEC2)

Amazon EC2 API Reference

Elastic Load Balancing Elastic Load Balancing API Reference version2012-06-01

Amazon EMR Amazon EMR API Reference

Amazon ElastiCache Amazon ElastiCache API Reference

AWS Identity and Access Management (IAM) IAM API 参考

AWS Import/Export AWS Import/Export API Reference

Amazon Relational Database Service(Amazon RDS

Amazon RDS API Reference

版本 1.0178

http://docs.amazonaws.cn/mobileanalytics/latest/ug/making-http-requests.html

http://docs.amazonaws.cn/AmazonRDS/latest/UserGuide/Using_the_Query_API.html

http://docs.amazonaws.cn/ses/latest/DeveloperGuide/query-interface.html

http://docs.amazonaws.cn/AWSSimpleQueueService/latest/SQSDeveloperGuide/MakingRequestsArticle.html

http://docs.amazonaws.cn/AmazonS3/latest/API/sig-v4-authenticating-requests.html

http://docs.amazonaws.cn/amazonswf/latest/developerguide/UsingJSON-swf.html

http://docs.amazonaws.cn/waf/latest/developerguide/waf-api-making-requests.html

http://docs.amazonaws.cn/autoscaling/ec2/APIReference/

http://docs.amazonaws.cn/AWSCloudFormation/latest/APIReference/

http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/

http://docs.amazonaws.cn/elasticbeanstalk/latest/api/

http://docs.amazonaws.cn/AWSEC2/latest/APIReference/

http://docs.amazonaws.cn/elasticloadbalancing/2012-06-01/APIReference/

http://docs.amazonaws.cn/elasticloadbalancing/2012-06-01/APIReference/

http://docs.amazonaws.cn/ElasticMapReduce/latest/API/

http://docs.amazonaws.cn/AmazonElastiCache/latest/APIReference/

http://docs.amazonaws.cn/IAM/latest/APIReference/

http://docs.amazonaws.cn/AWSImportExport/latest/DG/

http://docs.amazonaws.cn/AmazonRDS/latest/APIReference/

Amazon Web Services 一般参考签名版本 2 的查询请求组件

Amazon Simple Notification Service (AmazonSNS)

Amazon Simple Notification Service API Reference

Amazon Simple Queue Service (AmazonSQS)

Amazon Simple Queue Service API Reference

Amazon SimpleDB Amazon SimpleDB API 参考

签名版本 2 的查询请求组件AWS 要求采用签名版本 2 格式的每个 HTTP 或 HTTPS 查询请求都包含以下内容：

终端节点

也称为 HTTP 请求的主机部分。这是您发送查询请求的计算机的 DNS 名称。它在每个 AWS 区域是不同的。有关每种服务的终端节点列表，请参阅AWS 区域和终端节点 (p. 2)。

操作

您希望 Web 服务执行的操作。这个值用于确定在请求中使用的参数。AWSAccessKeyId

注册 AWS 账户时由 AWS 分配的值。签名方法

用于计算签名的基于哈希的协议。它可以是适用于签名版本 2 的 HMAC-SHA1 或 HMAC-SHA256。签名版本

AWS 签名协议的版本。时间戳

您发出请求的时间。在查询请求中包含此值有助于防止第三方截取您的请求。必需和可选参数

每个操作都有一组用于定义 API 调用的必需参数和可选参数。签名

计算得出的值，用于确保签名有效和未被篡改。

下面是一个采用 HTTPS GET 请求格式的示例 Amazon EMR 查询请求。

• 终端节点 elasticmapreduce.amazonaws.com.cn 是默认终端节点，它映射到区域 us-east-1。• 操作是 DescribeJobFlows，它请求有关一个或多个任务流程的信息。

Note

实际的查询请求中没有空格或换行符。请求是连续的文本行。下面的版本已经进行了格式设置，便于阅读。

https://elasticmapreduce.amazonaws.com.cn?&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp=2011-10-03T15%3A19%3A30&Version=2009-03-31

版本 1.0179

http://docs.amazonaws.cn/sns/latest/api/

http://docs.amazonaws.cn/AWSSimpleQueueService/latest/APIReference/

http://docs.amazonaws.cn/AmazonSimpleDB/latest/DeveloperGuide/SDB_API.html

Amazon Web Services 一般参考如何为查询请求生成签名版本 2

&Signature=calculated value

如何为查询请求生成签名版本 2Web 服务请求通过 Internet 发送，易被篡改。为了确保请求未被更改，AWS 会计算签名，以确定任何参数或参数值在传输途中是否发生了更改。AWS 要求把签名作为每个请求的一部分。

Note

请确保对该请求进行 URI 编码。例如，您请求中的空白应编码为 %20。虽然 HTTP 协议规范通常允许未编码的空格，但使用未编码的字符会使查询请求中的签名无效。请勿将空格编码为加号 (+)，因为这会导致错误。

以下主题介绍使用 AWS 签名版本 2 计算签名所需的步骤。

任务 1：设置查询请求的格式在对查询请求签名之前，请将请求设置为标准化 (规范) 格式。这是因为采用不同的方式设置查询请求格式会得到不同的 HMAC 签名。在签名前请将请求设置为规范格式。这可以确保您的应用程序和 AWS 将为请求计算出相同的签名。

要创建待签字符串，您需要连接查询请求组件。下面的示例为以下 Amazon EMR API 调用生成待签字符串。

https://elasticmapreduce.amazonaws.com.cn?Action=DescribeJobFlows&Version=2009-03-31&AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&SignatureVersion=2&SignatureMethod=HmacSHA256&Timestamp=2011-10-03T15:19:30

Note

前面请求中的最后四个参数（从 AWSAccessKeyID 到 Timestamp）称为身份验证参数。每个签名版本 2 请求中都需要这些参数。AWS 用它们确定谁发送请求以及是否授予请求的访问权限。

创建要签署的字符串的步骤（签名版本 2）

1. 先是请求方法（GET 或 POST），然后是换行符。为便于阅读，换行符表示为 \n。

GET\n

2. 添加小写的 HTTP 主机标头（终端节点），然后添加换行符。若为协议的标准端口（HTTP 端口 80 和HTTPS 端口 443），可以省略端口信息；若为非标准端口，则需包含端口信息。

elasticmapreduce.amazonaws.com.cn\n

3. 添加 URI 的每个路径分段的 URL 编码版本（指的是 HTTP 主机标头到查询字符串参数开头的问号字符(?) 之间的全部字符），后面加换行符。请勿编码用于划定每个路径分段的正斜杠 (/)。

在本例中，如果绝对路径为空，请使用正斜杠 (/)。

/\n

4. a. 添加查询字符串组件，使用 UTF-8 字符形式，它们应进行了 URL 编码（十六进制字符必须大写）。您没有对请求中的初始问号字符 (?)进行编码。有关更多信息，请参阅 RFC 3986。

版本 1.0180

https://tools.ietf.org/html/rfc3986


b. 按字节顺序对查询字符串组件排序。字节顺序区分大小写。AWS 根据原始字节对这些组件排序。

例如，下面是查询字符串组件的原始顺序。

Action=DescribeJobFlowsVersion=2009-03-31AWSAccessKeyId=AKIAIOSFODNN7EXAMPLESignatureVersion=2SignatureMethod=HmacSHA256Timestamp=2011-10-03T15%3A19%3A30

这些查询字符串组件会重新组织为以下顺序：

AWSAccessKeyId=AKIAIOSFODNN7EXAMPLEAction=DescribeJobFlowsSignatureMethod=HmacSHA256SignatureVersion=2Timestamp=2011-10-03T15%3A19%3A30Version=2009-03-31

c. 使用等号字符 (=) 将参数名称与参数值分离，即使参数值为空也如此。使用与字符 (&) 分隔参数和值对。将参数及其值连接组成一个长字符串，中间没有空格。允许参数值内有空格，但空格必须经URL 编码成 %20。在连接后的字符串中，句点字符 (.) 未进行转义。RFC 3986 将句点字符视为非保留字符，因此未对其进行 URL 编码。

Note

RFC 3986 没有指定对 ASCII 控制字符、扩展的 UTF-8 字符以及 RFC 1738 预留的其他字符作何处理。由于任何值都可能成为字符串值，这些其他字符应该进行百分数编码为%XY，其中 X 和 Y 为大写的十六进制字符。扩展的 UTF-8 字符采用 %XY%ZA... 的形式（可以处理多字节）。

下面的示例介绍查询字符串组件，参数采用与字符 (&) 连接，并按字节顺序排序。

AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp=2011-10-03T15%3A19%3A30&Version=2009-03-3

5. 要构建最终规范请求，请将每个步骤的所有组成部分组合起来。如下所示，每个组成部分都以换行符结尾。

GET\nelasticmapreduce.amazonaws.com.cn\n/\nAWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp=2011-10-03T15%3A19%3A30&Version=2009-03-31

任务 2：计算签名按任务 1：设置查询请求的格式 (p. 180)所述创建规范字符串后，使用 HMAC-SHA1 或 HMAC-SHA256 协议创建基于哈希的消息身份验证代码 (HMAC)，然后计算签名。建议使用 HMAC-SHA256 协议。

在本例中，签名是使用以下规范字符串和私有密钥作为加密哈希函数的输入而计算的：

• 规范查询字符串：

GET\nelasticmapreduce.amazonaws.com.cn\n/\n

版本 1.0181




AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp=2011-10-03T15%3A19%3A30&Version=2009-03-31

• 示例私有密钥：

wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

所得签名必须采用 Base-64 编码。

i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf%2FMj6vPxyYIs%3D

将得到的值作为 Signature 参数添加到查询请求中。在将此参数添加到请求时，您必须像对任何其他参数一样对此参数进行 URI 编码。您可以在 HTTP 或 HTTPS 调用中使用已签名的请求。

https://elasticmapreduce.amazonaws.com.cn?AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE&Action=DescribeJobFlows&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp=2011-10-03T15%3A19%3A30&Version=2009-03-31&Signature=i91nKc4PWAt0JJIdXwz9HxZCJDdiy6cf%2FMj6vPxyYIs%3D

Note

您可以使用 AWS Security Token Service (AWS STS) 提供的临时安全凭证对请求进行签名。此过程与使用长期凭证相同，但是请求需要安全令牌的其他参数。

以下请求使用临时访问密钥 ID 和 SecurityToken 参数。

Example 具有临时安全凭证的示例请求

https://sdb.amazonaws.com.cn/?Action=GetAttributes&AWSAccessKeyId=access-key-from-AWS Security Token Service &DomainName=MyDomain&ItemName=MyItem&SignatureVersion=2&SignatureMethod=HmacSHA256&Timestamp=2010-01-25T15%3A03%3A07-07%3A00&Version=2009-04-15&Signature=signature-calculated-using-the-temporary-access-key&SecurityToken=session-token

有关详细信息，请参阅以下资源：

• Amazon EMR 开发人员指南包含有关 Amazon EMR API 调用的信息。• 各服务的 API 文档中包含有关操作要求和特定参数的信息。• AWS 软件开发工具包提供用以生成查询请求签名的函数。要查看使用 AWS SDK for Java 的示例，请参

阅使用 Java 软件开发工具包签署查询请求 (p. 183)。

问题排查请求签名版本 2本部分描述了您在最初开发代码生成签名以签署查询请求时可能看到的一些错误代码。

Web 服务中的 SignatureDoesNotMatch 签名错误如果 Web 服务尝试通过重新计算签名值来验证请求签名，但生成的值与附加到请求的签名不匹配，将返回以下错误响应。这可能是因为在发送请求和请求到达 Web 服务终端节点的过程中，请求被修改（这就是签

版本 1.0182

http://docs.amazonaws.cn/emr/latest/DeveloperGuide/


名要检测的情况），或者是因为签名计算错误。以下错误消息的常见原因是不恰当地创建了待签字符串，例如，忘记对 Amazon S3 存储桶名称中的一些字符进行 URL 编码，如冒号 (:) 和正斜杠 (/)。

<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com.cn/doc/2009-03-31"> <Error> <Type>Sender</Type> <Code>SignatureDoesNotMatch</Code> <Message>The request signature we calculated does not match the signature you provided. Check your AWS Secret Access Key and signing method. Consult the service documentation for details.</Message> </Error> <RequestId>7589637b-e4b0-11e0-95d9-639f87241c66</RequestId></ErrorResponse>

Web 服务中的 IncompleteSignature 签名错误

以下错误表明该签名缺少信息或格式不正确。

<ErrorResponse xmlns="http://elasticmapreduce.amazonaws.com.cn/doc/2009-03-31"> <Error> <Type>Sender</Type> <Code>IncompleteSignature</Code> <Message>Request must contain a signature that conforms to AWS standards</Message> </Error> <RequestId>7146d0dd-e48e-11e0-a276-bd10ea0cbb74</RequestId></ErrorResponse>

使用 Java 软件开发工具包签署查询请求以下示例使用适用于 Java 的 AWS 开发工具包中的 amazon.webservices.common 软件包来生成 AWS 签名版本 2 查询请求签名。要做到这一点，这个包创建符合 RFC 2104 要求的 HMAC 签名。有关 HMAC 的更多信息，请参阅 HMAC：用于消息身份验证的哈希密钥。

Note

Java 用作示例实现。您可以使用所选的编程语言实施 HMAC 算法以签署查询请求。

import java.security.SignatureException;import javax.crypto.Mac;import javax.crypto.spec.SecretKeySpec;import com.amazonaws.util.*;

/*** This class defines common routines for generating* authentication signatures for AWS Platform requests.*/public class Signature { private static final String HMAC_SHA256_ALGORITHM = "HmacSHA256";

/** * Computes RFC 2104-compliant HMAC signature. * * @param data * The signed data. * @param key * The signing key. * @return

版本 1.0183



* The Base64-encoded RFC 2104-compliant HMAC signature. * @throws * java.security.SignatureException when signature generation fails */ public static String calculateRFC2104HMAC(String data, String key) throws java.security.SignatureException { String result; try {

// Get an hmac_sha256 key from the raw key bytes. SecretKeySpec signingKey = new SecretKeySpec(key.getBytes("UTF8"), HMAC_SHA256_ALGORITHM);

// Get an hmac_sha256 Mac instance and initialize with the signing key. Mac mac = Mac.getInstance(HMAC_SHA256_ALGORITHM); mac.init(signingKey);

// Compute the hmac on input data bytes. byte[] rawHmac = mac.doFinal(data.getBytes("UTF8"));

// Base64-encode the hmac by using the utility in the SDK result = BinaryUtils.toBase64(rawHmac);

} catch (Exception e) { throw new SignatureException("Failed to generate HMAC : " + e.getMessage()); } return result; }}

版本 1.0184

Amazon Web Services 一般参考Amazon API Gateway 限制

AWS 服务限制下表提供了针对 AWS 账户的 AWS 服务默认限制。除非另有说明，否则每个区域都有各自的限制。许多服务包含无法更改的限制。有关特定服务限制的更多信息，请参阅针对该服务的文档。

AWS Trusted Advisor 提供了服务限制检查功能 (在 Performance 类别)，以显示某些服务的某些方面的使用情况和限制。有关更多信息，请参阅 Trusted Advisor 常见问题中的服务限制检查问题。

您可以通过执行以下步骤来请求提高限制。我们不会立即授予这些提高，因此，您的提高请求可能需要几天才能生效。

申请提高限制

1. 打开 AWS Support Center 页面，登录 (如有必要)，然后选择 Create Case。2. 对于 Regarding，选择 Service Limit Increase。3. 填写 Limit Type、Use Case Description 和 Contact method。如果这是紧急请求，请选择 Phone 而不是

Web 作为联系方法。4. 选择 Submit。

Amazon API Gateway 限制在 Amazon API Gateway 中配置和运行 API 时存在以下限制，这些限制可根据请求来增大，以便优化在Amazon API Gateway 中部署的 API 的性能。

资源或操作默认限制

对每区域每账户的限制速率每秒 10000 个请求 (rps)，额外的突增容量由令牌桶算法提供，使用的最大存储桶容量为 5000 个请求。

每个区域每个账户的 API 数 (或RestApi 数)

60

每区域每账户的 API 密钥 500

每个 API 的自定义授权方 10

每区域每账户的客户端证书 60

每个 API 的文档部分 2000

每个 API 的资源 300

每个 API 的阶段 10

每区域每账户的使用计划 300

每个 API 密钥的使用计划 10

每区域每账户的 VPC 链接 5

只能对特定 API 提高所有的每 API 限制。

有关这些限制的更多信息，请参阅 API 网关开发人员指南中的 Amazon API Gateway 中的限制。

版本 1.0185

http://amazonaws.cn/support/trustedadvisor/

http://amazonaws.cn/support-plans/ta-faqs/#service-limits-check-questions

https://console.amazonaws.cn/support/home#/

https://en.wikipedia.org/wiki/Token_bucket

http://docs.amazonaws.cn/apigateway/latest/developerguide/limits.html

Amazon Web Services 一般参考Application Auto Scaling 限制

Application Auto Scaling 限制资源默认限制

可扩展目标 500

每个可扩展目标的扩展策略 50

每个扩展策略的步进调整 20

AWS Application Discovery Service 限制资源默认限制

有检测信号，但未收集数据的不活动代理 10000

正在向服务发送数据的活动代理 250

每天所有代理收集的数据总量 10GB

在清除前的数据存储持续时间 90 天

Amazon AppStream 2.0 限制每账户每区域的默认限制

资源默认限制

堆栈 5

机群 5

流实例 5 *

映像 5

映像生成器 5 †

用户 5

* 这是所有实例系列的总限制。某些实例系列还有额外限制。对于 Graphics Desktop 和 Graphics Pro 实例系列，默认限制为 0。对于 Graphics Design 实例系列，默认限制为 2。

† 这是所有实例系列的总限制。某些实例系列还有额外限制。对于 Graphics Desktop 和 Graphics Pro 实例系列，默认限制为 0。对于 Graphics Design 实例系列，默认限制为 1。

AWS AppSync 限制资源默认限制

每个区域的最大 API 数每个账户 25

版本 1.0186

Amazon Web Services 一般参考Amazon Athena 限制

资源默认限制

最大 API 键数每个 API 50 个

最大架构文档大小 1MB

最大 GraphQL 查询执行时间 10 秒

最大请求/响应映射模板大小 64 KB

最大订阅负载大小 128 KB

映射模板的 #foreach...#end 循环中的最大迭代数量 1000

Amazon Athena 限制资源默认限制

相同类型的并发查询的数量 (DDL 或 SELECT) 20

查询超时 30 分钟

有关数据库、表和分区的限制的信息，请参阅 AWS Glue 限制 (p. 206)。

AWS Auto Scaling 限制资源默认限制

扩展计划 100

每个扩展指令的目标跟踪配置 10

每个扩展计划的目标跟踪配置 500

Auto Scaling 限制资源默认限制

每个区域的启动配置 200

每个区域的 Auto Scaling 组 200

每个 Auto Scaling 组的扩展策略 50

每个 Auto Scaling 组的计划操作 125

每个 Auto Scaling 组的生命周期挂钩 50

每个 Auto Scaling 组的 SNS 主题 10

版本 1.0187

Amazon Web Services 一般参考AWS Batch 限制

资源默认限制

每个 Auto Scaling 组的负载均衡器 50

每个 Auto Scaling 组的目标组 50

每个扩展策略的步进调整 20

有关这些限制的更多信息，请参阅 Amazon EC2 Auto Scaling 用户指南中的 Amazon EC2 Auto Scaling 限制。

AWS Batch 限制AWS Batch 没有任何可提高的默认服务限制。有关 AWS Batch 的服务限制的更多信息，请参阅 AWS Batch用户指南中的服务限制。

AWS Certificate Manager (ACM) 限制

项目默认限制

ACM 证书数量 100

每年的 ACM 证书数量 (最近 365 天) 您的账户限额的两倍

已导入证书的数量 100

每年导入的证书数量 (最近 365 天) 您的账户限额的两倍

每个 ACM 证书的域名数量 10

私有 CA 的数量 10

每个 CA 的私有证书数量 50000

有关这些限制的更多信息，请参阅 AWS Certificate Manager 用户指南中的限制。

AWS Certificate Manager 私有证书颁发机构 (ACMPCA) 限制

项目默认限制

私有 CA 的数量 10

每个 CA 的私有证书数量 50000

有关这些限制的更多信息，请参阅 AWS Certificate Manager 用户指南中的限制。

版本 1.0188

http://docs.amazonaws.cn/autoscaling/latest/userguide/as-account-limits.html

http://docs.amazonaws.cn/autoscaling/latest/userguide/as-account-limits.html

http://docs.amazonaws.cn/batch/latest/userguide/service_limits.html

http://docs.amazonaws.cn/acm/latest/userguide/acm-limits.html

http://docs.amazonaws.cn/acm/latest/userguide/acm-limits.html

Amazon Web Services 一般参考AWS Cloud9 限制

AWS Cloud9 限制项目默认限制

最大 AWS Cloud9 EC2 开发环境数 • 每个 IAM 用户 20 个• 每个 AWS 账户 100 个

最大 SSH 环境数 • 每个 IAM 用户 10 个• 每个 AWS 账户 100 个

环境中成员的最大数量 8

同时打开的环境的最大数量每个 IAM 用户共 10 个，不管环境类型如何 (EC2 或SSH)

有关这些限制的更多信息，请参阅 AWS Cloud9 用户指南中的限制。

AWS CloudFormation 限制资源默认限制

堆栈 200

堆栈集 20

每个堆栈集的堆栈实例 500

有关这些限制的更多信息，请参阅 AWS CloudFormation 用户指南中的 AWS CloudFormation 限制。

Amazon CloudFront 限制一般限制

资源默认限制

每次分发的数据传输速率 40Gbps

每次分发每秒的请求数 100000

每个账户的 Web 分配 200

每个账户的 RTMP 分配 100

每个分配的备用域名 (CNAME) 100

每个分配的源 25

每个分配的缓存行为 25

每个缓存行为的白名单标题 10

每个缓存行为的白名单 Cookie 10

版本 1.0189

https://docs.amazonaws.cn/cloud9/latest/user-guide/limits.html

http://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html

Amazon Web Services 一般参考AWS CloudHSM 限制

资源默认限制

当使用专用 IP 地址提供 HTTPS 请求时每个账户的 SSL 证书（当使用 SNI 提供 HTTPS 请求时没有限制）

2

您可让 Amazon CloudFront 转发给源的自定义标头 10 个名称/值对

每个缓存行为的白名单查询字符串有关更多信息，请参阅 AmazonCloudFront 开发人员指南中的将CloudFront 配置为基于查询字符串参数进行缓存。

每个源的响应超时有关更多信息，请参阅 AmazonCloudFront 开发人员指南中的响应超时。

Lambda@Edge 限制

资源默认限制

您可以为其创建触发器的每个 AWS 账户的分配数 25

每个分配的触发器数 25

每秒请求数 10000

并发执行 1000

有关这些限制的更多信息，请参阅 Amazon CloudFront 开发人员指南中的限制。

AWS CloudHSM 限制资源默认限制

集群 4

HSM 6

有关这些限制的更多信息，请参阅 AWS CloudHSM 用户指南中的限制。

AWS CloudHSM Classic 限制资源默认限制

HSM 设备 3

高可用性分区组 20

有关这些限制的更多信息，请参阅 AWS CloudHSM Classic 用户指南中的限制。

版本 1.0190

http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/QueryStringParameters.html



http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-request-timeout

http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-request-timeout

http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html

http://docs.amazonaws.cn/cloudhsm/latest/userguide/limits.html

http://docs.amazonaws.cn/cloudhsm/classic/userguide/limits.html

Amazon Web Services 一般参考Amazon CloudSearch 限制

Amazon CloudSearch 限制资源默认限制

分区 10

搜索实例 50

有关这些限制的更多信息，请参阅 Amazon CloudSearch 开发人员指南中的了解 Amazon CloudSearch 限制。

AWS CloudTrail 限制CloudTrail 没有可提高的限制。有关更多信息，请参阅 AWS CloudTrail 中的限制。

Amazon CloudWatch 限制资源默认限制注释

警报每月为每个客户免费提供 10 个。每账户每区域 5000 个.

对于每个账户每区域 5000 个的限制，您可以申请提高限制。

DescribeAlarms 每秒 9 个事务 (TPS) 在不受限制的情况下，每秒可发出的操作请求的最大数目。

您可以请求提高限制。

GetMetricData 每秒 50 个事务 (TPS).

如果在 API 中使用的 StartTime小于或等于从当前时间开始 3 小时，则为 180,000 每秒数据点(DPS)。如果 StartTime 大于从当前时间开始 3 小时，则为90,000 DPS。

在不受限制的情况下，每秒可发出的操作请求的最大数目。

这是您可以使用一个或多个 API调用 (而不被限制) 每秒请求的最大数据点数。

对于这两个限制，您可以请求提高限制。

GetMetricStatistics 每秒 400 个事务 (TPS) 在不受限制的情况下，每秒可发出的操作请求的最大数目。


ListMetrics 每秒 25 个事务 (TPS) 在不受限制的情况下，每秒可发出的操作请求的最大数目。


PutMetricAlarm 每秒 3 个事务 (TPS) 在不受限制的情况下，每秒可发出的操作请求的最大数目。


版本 1.0191

http://docs.amazonaws.cn/cloudsearch/latest/developerguide/limits.html

http://docs.amazonaws.cn/cloudsearch/latest/developerguide/limits.html

http://docs.amazonaws.cn/awscloudtrail/latest/userguide/WhatIsCloudTrail-Limits.html

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-amazon-cloudwatch

http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html


http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_GetMetricData.html



http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html


http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_ListMetrics.html


http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html


Amazon Web Services 一般参考Amazon CloudWatch Events 限制

资源默认限制注释

PutMetricData 每秒 150 个事务 (TPS) 在不受限制的情况下，每秒可发出的操作请求的最大数目。


有关这些限制以及其他 CloudWatch 限制的更多信息，请参阅 Amazon CloudWatch 用户指南中的CloudWatch 限制。

Amazon CloudWatch Events 限制


调用每秒 750 个调用 (在达到 750 个调用后，调用会受到限制；即，它们仍将发生，但会延迟)。如果目标的调用由于目标服务、账户限制等问题而失败，则对于特定的调用，会在不超过 24 小时的时间内尝试新的调用。


规则每账户每区域 100 个您可以请求提高限制。

在请求提高限制之前，检查您的规则。您可以具有多个规则，每个规则均匹配极具针对性的事件。考虑通过使用事件和事件模式中的几个标识符来扩大其范围。此外，每次规则匹配事件时都可以调用多个目标。请考虑向规则添加更多目标。

PutEvents 每个请求 10 个条目以及每秒 400请求。每个请求的大小最多为 256KB 字节。


有关这些限制以及其他 CloudWatch Events 限制的更多信息，请参阅 Amazon CloudWatch Events 用户指南中的 CloudWatch Events 限制。

Amazon CloudWatch Logs 限制


CreateLogGroup 5000 个日志组/账户/区域如果超出日志组限制，将会出现ResourceLimitExceeded 异常。


版本 1.0192

http://docs.amazonaws.cn/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html


http://docs.amazonaws.cn/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_limits.html

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-cloudwatch-events


http://docs.amazonaws.cn/AmazonCloudWatch/latest/DeveloperGuide/CloudWatchEventsandEventPatterns.html

http://docs.amazonaws.cn/AmazonCloudWatch/latest/DeveloperGuide/CloudWatchEventsandEventPatterns.html

http://docs.amazonaws.cn/AmazonCloudWatchEvents/latest/APIReference/API_PutEvents.html


http://docs.amazonaws.cn/AmazonCloudWatch/latest/events/cloudwatch_limits_cwe.html

http://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-cloudwatch-logs

Amazon Web Services 一般参考AWS CodeBuild 限制


DescribeLogStreams 每秒 5 个事务 (TPS)/账户/区域如果遇到常见限制，您可以请求提高限制。

FilterLogEvents 每秒 5 个事务 (TPS)/账户/区域只能在特殊情况下更改此限制。如果您遇到常见限制，请联系AWS Support。

GetLogEvents 每秒 10 个事务 (TPS)/账户/区域如果您持续处理新的数据，建议您进行订阅。如果您需要历史数据，建议将您的数据导出到Amazon S3。只能在特殊情况下更改此限制。如果您遇到常见限制，请联系 AWS Support。

PutLogEvents 每区域每账户每秒 800 个事务。您可以请求提高限制。

PutLogEvents 请求的最大批处理大小为 1MB。

每个日志流每秒 5 个请求。额外的请求将被阻止。此限制不能更改。

有关这些限制以及其他 CloudWatch Logs 限制的更多信息，请参阅 Amazon CloudWatch Logs User Guide中的 CloudWatch Logs 限制。

AWS CodeBuild 限制

资源默认限制

最大生成项目数 1000

最大并行运行版本数 * 20

* 最大并发运行生成数的限制因计算类型的不同而有所不同。对于某些计算类型，默认值为 20。如需请求更高的并发生成限制，或者如果您收到“帐户不能有多于 x 个出处于活动状态的生成”错误，请联系 AWS 支持部门。

有关这些限制的更多信息，请参阅 AWS CodeBuild 用户指南中的 AWS CodeBuild 的限制。

AWS CodeCommit 限制

资源默认限制

存储库的数目每个 AWS 账户 1000

有关这些限制的更多信息，请参阅 AWS CodeCommit 用户指南中的 AWS CodeCommit 中的限制。

版本 1.0193

http://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_DescribeLogStreams.html



http://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html

http://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html

http://docs.amazonaws.cn/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html


http://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html

http://docs.amazonaws.cn/codebuild/latest/userguide/limits.html

http://docs.amazonaws.cn/codecommit/latest/userguide/limits.html

Amazon Web Services 一般参考AWS CodeDeploy 限制

AWS CodeDeploy 限制资源默认限制

单个区域中与一个 AWS 账户关联的最大应用程序数量 100

与一个 AWS 账户关联的最大并发部署数量 100

与单个应用程序关联的部署组的最大数量 100

单次部署中的最大实例数量 500

一个部署组中事件通知触发器的最大数量 10

有关这些限制的更多信息，请参阅 AWS CodeDeploy User Guide 中的 AWS CodeDeploy 中的限制。

AWS CodePipeline 限制资源默认限制

AWS 账户中每个区域的最大管道数量美国东部（弗吉尼亚北部） (us-east-1)：40

美国西部（俄勒冈）(us-west-2)：60

欧洲（爱尔兰） (eu-west-1)：60

所有其他支持的区域：20

管道中的阶段数量最小为 2，最大为 10

阶段中的操作数量最小为 1，最大为 20

一个阶段中并行操作的最大数量最大 10

一个阶段中顺序操作的最大数量最大 10

AWS 账户中每个区域的自定义操作数量 50

源阶段中项目的最大大小存储在 Amazon S3 存储桶中的项目：2 GB

存储在 AWSCodeCommit 或 GitHub存储库中的项目：1 GB

例外：如果您使用Amazon EBS 部署应用程序，则最大项目大小始终为 512 MB。

例外：如果您使用 AWSCloudFormation 部署应

版本 1.0194

http://docs.amazonaws.cn/codedeploy/latest/userguide/limits.html

Amazon Web Services 一般参考Amazon Cognito 用户池限制

资源默认限制用程序，则最大项目大小始终为 256 MB。

最长可能需要两周的时间来处理提高限制的请求。

有关这些限制的更多信息，请参阅 AWS CodePipeline 用户指南中的 AWS CodePipeline 中的限制。

Amazon Cognito 用户池限制资源默认限制

每个用户池的最大应用程序数 25

每个账户的最大用户池数 60

每个用户池的最大用户导入作业数 50

每个用户池的最大身份提供商数量 25

每个用户池的最大资源服务器数 25

每个资源服务器的最大范围数 60

有关其他规定的限制的信息，请参阅 Amazon Cognito 开发人员指南中的 Amazon Cognito 中的限制。

Amazon Cognito 联合身份限制资源默认限制

每个账户的最大身份池数 60


Amazon Cognito Sync 限制资源默认限制

每个身份的最大数据集数 20

每个数据集的最大记录数 1024

单个数据集的最大大小 1MB


版本 1.0195

http://docs.amazonaws.cn/codepipeline/latest/userguide/limits.html

http://docs.amazonaws.cn/cognito/latest/developerguide/limits.html



Amazon Web Services 一般参考Amazon Comprehend 限制

Amazon Comprehend 限制资源默认限制

DetectDominantLanguage、DetectEntities、DetectKeyPhrases和 DetectSentiment 操作的每秒事务数

20

BatchDetectDominantLanguage、BatchDetectEntities、BatchDetectKeyPhrases和 BatchDetectSentiment 操作的每秒事务数

10

StartTopicsDetectionJob 操作的每秒事务数 1

DescribeTopicsDetectionJob 和ListTopicDetectionJobs 操作的每秒事务数

10

最大并发任务数 10

您可使用 Amazon Comprehend 服务限制提升表单申请提高任何一项限制。

有关其他规定的限制的信息，请参阅 Amazon Comprehend 开发人员指南中的准则和限制。

AWS Config 限制资源默认限制备注

账户中每个区域的 AWS Config 规则数 50 您可以请求提高限制。

Amazon Connect 限制项目默认限制

每个账户的 Amazon Connect 实例数 5

每个实例的用户数 500

每个实例的电话号码数 10

每个实例的队列数 50

每个路由配置文件的队列数 50

每个实例的路由配置文件数 100

每个实例的操作小时数 100

每个实例快速连接数 100

每个实例的提示数 500

每个实例的代理状态数 50

版本 1.0196

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-comprehend

https://docs.aws.amazon.com/comprehend/latest/dg/guidelines-and-limits.html

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-config-service

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-config-service

Amazon Web Services 一般参考AWS Data Pipeline 限制

项目默认限制

每个实例的安全配置文件数 100

每个实例的联系人流数 100

每个级别的组数 50

每个实例的报告数 500

每个实例的计划报告数 50

每个实例的并发活动调用数 100

此表提供了新 Amazon Connect 实例的默认限制。由于限制已随时间调整，因此，您的帐户的限制可能与此处描述的限制不同。例如，如果您在并发活动调用数的默认限制设置为 10 的期间创建了一个实例，则该实例的限制为 10 个并发活动调用。如果您现在创建一个新的实例，则该实例的限制为 100 个并发活动调用。

您可以为每个 AWS 账户创建 5 个可启动的实例，但是如果您需要更多实例，请求增加数量也十分方便。您还可以使用 Amazon Connect 服务限制提升表单来请求提高任何限制。您必须登录您的 AWS 账户来访问该表单。

AWS Data Pipeline 限制

属性限制可调整

管线数量 100 是

每个管道的对象数量 100 是

每个对象的活动实例数量 5 是

每个对象的字段数量 50 否

每个字段名或标识符的 UTF8 字节数 256 否

每个字段的 UTF8 字节数 10240 否

每个对象的 UTF8 字节数 15360（包括字段名）否

对象的实例创建速率每 5 分钟一个否

管道活动的重试次数每个任务 5 次否

重试之间的最短延迟 2 分钟否

最短计划时间间隔 15 分钟否

单个对象的累计最大数量 32 否

每个 Ec2Resource 对象的最大 EC2 实例数量

1 否

有关其他限制，请参阅 AWS Data Pipeline 开发人员指南中的 AWS Data Pipeline 限制。

版本 1.0197

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-connect

http://docs.amazonaws.cn/datapipeline/latest/DeveloperGuide/dp-limits.html

Amazon Web Services 一般参考AWS Database Migration Service 限制

AWS Database Migration Service 限制资源默认限制

复制实例 20

总存储量 6 TB

复制子网组 20

每个复制子网组的子网 20

终端节点 100

任务 200

每个实例的终端节点 20

AWS Device Farm 限制资源默认限制注释

您可以上传的应用程序文件大小 4GB

AWS Device Farm 在一次运行过程中可以测试的设备的数目 5 此限制可以请求提高至 100。

您可以在一次测试运行中包括的设备的数目无

您可以计划的运行的数目无

远程访问会话的持续时间 60 minutes

AWS Direct Connect 限制有关这些限制的更多信息，请参阅 AWS Direct Connect 用户指南中的 AWS Direct Connect 限制。

AWS Directory Service 限制资源默认限制

AD Connector 目录 10

AWS Directory Service for Microsoft ActiveDirectory（企业版）目录

10

Simple AD 目录 10

手动快照每个 AWS Managed Microsoft AD 5 个

手动快照每个 Simple AD 5 个

版本 1.0198

http://docs.amazonaws.cn/directconnect/latest/UserGuide/Welcome.html#directconnect_limits

Amazon Web Services 一般参考Amazon DynamoDB 限制

有关其他规定的限制 (包括 Amazon Cloud Directory 的限制) 的信息，请参阅 AWS Directory Service 管理指南中的 AWS Directory Service 限制。

Amazon DynamoDB 限制

资源默认限制

美国东部（弗吉尼亚北部）区域：

每个表或全球二级索引的最大容量单位

40000 个读取容量单位和 40000个写入容量单位


每个账户的最大容量单位


所有其他区域：

每个表或全球二级索引的最大容量单位


所有其他区域：

每个账户的最大容量单位


表格的最大数量 256

有关这些限制的更多信息，请参阅 Amazon DynamoDB 开发人员指南中的 Amazon DynamoDB 中的限制。

AWS Elastic Beanstalk 限制

资源默认限制

应用程序 75

应用程序版本 1000

环境 200

Amazon Elastic Block Store (Amazon EBS) 限制

资源默认限制

EBS 快照的数量 10000

单个卷允许的并发快照数 io1、gp2、magnetic 为 5个；st1、sc1 为 1 个

针对单个目标区域的并发快照副本请求数 5

通用型 SSD (gp2) 卷的总卷存储 100 TiB

版本 1.0199

http://docs.amazonaws.cn/directoryservice/latest/admin-guide/limits.html

http://docs.amazonaws.cn/amazondynamodb/latest/developerguide/Limits.html

Amazon Web Services 一般参考Amazon Elastic Compute Cloud (Amazon EC2) 限制

资源默认限制

预配置 IOPS SSD (io1) 卷的总卷存储 100 TiB

吞吐优化 HDD (st1) 的总卷存储 300 TiB

冷数据 HDD (sc1) 的总卷存储 300 TiB

磁卷的总卷存储 (standard) 20 TiB

预配置 IOPS 总量 200,000

有关这些限制的更多信息，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的 Amazon EC2 服务限制。

Amazon Elastic Compute Cloud (Amazon EC2) 限制

资源默认限制

EC2-Classic 的弹性 IP 地址 5

每个实例的 EC2-Classic 安全组 500

EC2-Classic 每个安全组的规则 100

密钥对 5000

置放群组 500

针对可从 Amazon EC2 账户发送的电子邮件的限制已应用的限制

按需实例限制因实例类型而异。有关更多信息，请参阅我可以在 AmazonEC2 中运行多少个实例？

Spot 实例限制因实例类型、区域和账户而异。有关更多信息，请参阅 Spot实例限量。

预留实例每月每个可用区 20 个预留实例，外加 20 个区域预留实例。有关更多信息，请参阅预留实例限制。

专用主机最多可为每个区域的每个实例系列分配两个专用主机。

AMI 副本目标区域限制为一次 50 个并发AMI 副本，并且来自同一个源区域的不能超过 25 个。

启动模板每个区域 1000 个启动模板，每个启动模板 10000 个版本。

有关 EC2-VPC 的相关限制的信息，请参阅 Amazon Virtual Private Cloud (Amazon VPC) 限制 (p. 243)。

版本 1.0200

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-resource-limits.html


http://amazonaws.cn/ec2/faqs/#How_many_instances_can_I_run_in_Amazon_EC2

http://amazonaws.cn/ec2/faqs/#How_many_instances_can_I_run_in_Amazon_EC2

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-spot-limits.html

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-spot-limits.html

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-reserved-instances.html#ri-limits

Amazon Web Services 一般参考Amazon Elastic Container Registry (Amazon ECR) 限制

有关查看当前限制的信息，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的 Amazon EC2 服务限制。

Amazon Elastic Container Registry (Amazon ECR)限制

资源默认限制

每个账户的最大存储库数 1000

每个存储库的最大图像数 1000

有关其他规定的限制的信息，请参阅 Amazon Elastic Container Registry 用户指南中的 Amazon ECR 服务限制。

Amazon Elastic Container Service (Amazon ECS)限制

资源默认限制

每个区域、每个账户的群集数 1000

每个集群的容器数 1000

每个集群的服务数 500

每项服务对应的使用 EC2 启动类型的任务数 (预期数量)

1000

每个区域每个账户对应的使用 Fargate 启动类型的任务数

20

使用 Fargate 启动类型的任务的公有 IP 地址数 20

有关其他规定的限制的信息，请参阅 Amazon Elastic Container Service Developer Guide 中的 AmazonECS 服务限制。

Amazon Elastic Container Service for Kubernetes(Amazon EKS) 限制

资源默认限制

最大 Amazon EKS 集群数 3

版本 1.0201



http://docs.amazonaws.cn/AmazonECR/latest/userguide/service_limits.html

http://docs.amazonaws.cn/AmazonECR/latest/userguide/service_limits.html

http://docs.amazonaws.cn/AmazonECS/latest/developerguide/service_limits.html

http://docs.amazonaws.cn/AmazonECS/latest/developerguide/service_limits.html

Amazon Web Services 一般参考Amazon Elastic File System 限制

有关其他规定的限制的信息，请参阅 Amazon EKS User Guide 中的 Amazon EKS 服务限制。

Amazon Elastic File System 限制以下是可通过联系 AWS Support 提高的 Amazon EFS 限制。

资源默认限制

所有连接客户端的每个文件系统的总吞吐量美国东部（俄亥俄）区域 – 3 GB/s

美国东部（弗吉尼亚北部）地区 – 3 GB/s

美国西部（加利福利亚北部）区域 – 1 GB/s

美国西部（俄勒冈）区域 – 3 GB/s

欧洲（法兰克福）区域 – 1 GB/s

欧洲（爱尔兰）区域 – 3 GB/s

亚太区域（悉尼） – 3 GB/s

有关这些限制的更多信息，请参阅 Amazon Elastic File System 用户指南中的 Amazon EFS 限制。

Elastic Load Balancing 限制Elastic Load Balancing 支持三种负载均衡器：应用程序负载均衡器、网络负载均衡器和 Classic 负载均衡器。

应用程序负载均衡器

资源默认限制

每个区域的负载均衡器 20 †

每个区域的目标组 3000

每个负载均衡器的侦听器 50

每个负载均衡器的目标 1000

各负载均衡器的各可用区的子网 1

各负载均衡器的安全组 5

每个负载均衡器的规则（不计入默认规则） 100

每个负载均衡器的证书 (不计入默认证书) 25

每个负载均衡器可注册目标的次数 100

每个目标组的负载均衡器 1

每个目标组的目标 1000

版本 1.0202

http://docs.amazonaws.cn/eks/latest/userguide/service_limits.html

http://docs.amazonaws.cn/efs/latest/ug//limits.html

Amazon Web Services 一般参考Amazon Elastic Transcoder 限制

† 此限制包括了您的 Application Load Balancer 和 Classic Load Balancer。可以在请求时提高此限制。

Network Load Balancer

资源默认限制

每个区域的网络负载均衡器数 20

每个区域的目标组 3000 *



每个可用区每个负载均衡器的目标数 200

每个目标组的负载均衡器 1

* 此限制由您的应用程序负载均衡器和网络负载均衡器的目标组共享。

传统负载均衡器

资源默认限制

每个区域的负载均衡器 20 †


各负载均衡器的安全组 5


† 此限制包括了您的 Application Load Balancer 和 Classic Load Balancer。可以在请求时提高此限制。

Amazon Elastic Transcoder 限制资源默认限制

每个区域的管道 4

用户定义的预设置 50

每个管线同时处理的最大作业数量美国东部（弗吉尼亚北部）地区 – 20

美国西部（加利福利亚北部）区域 – 12

美国西部（俄勒冈）区域 – 20

亚太地区（孟买）区域 – 12

亚太区域（新加坡） – 12

亚太区域（悉尼） – 12

亚太区域（东京） – 12

欧洲（爱尔兰）区域 – 20

版本 1.0203

Amazon Web Services 一般参考Amazon ElastiCache 限制

最长可能需要两周的时间来处理提高限制的请求。

有关这些限制的更多信息，请参阅 Amazon Elastic Transcoder Developer Guide 中的 Amazon ElasticTranscoder 限制。

Amazon ElastiCache 限制有关 ElastiCache 术语的信息，请参阅 ElastiCache 组件和功能。

资源默认限制说明

每个区域的节点数 100 一个区域中所有群集的最大节点数量。此限制适用于给定区域内的预留节点和非预留节点。您可在同一区域中拥有最多 100 个预留节点和 100 个非预留节点。

每个群集的节点数 (Memcached) 20 单个 Memcached 群集中的最大节点数量。

每个分区的节点数量 (Redis) 6 单个 Redis 分区 (节点组) 中的最大节点数量。其中一个节点是读取/写入主节点。所有其他节点都是只读副本。

每个集群的分区数量 (禁用 Redis集群模式)

1 Redis (禁用集群模式) 集群中的最大分区 (节点组) 数量。

每个集群的分区数量 (启用 Redis集群模式)

15 Redis (启用集群模式) 集群中的最大分区 (节点组) 数量。

每个区域的参数组 20 您可以在区域中创建的最大参数组数量。

每个区域的安全组 50 您可以在区域中创建的最大安全组数量。

每个区域的子网组 50 您可以在区域中创建的最大子网组数量。

每个子网组的子网数 20 您可以为子网组定义的最大子网数量。

这些限制为每个客户账户的全局限制。要超出这些限制，请使用 ElastiCache 节点请求表提交请求。

Amazon Elasticsearch Service 限制

资源默认限制

每个群集的 Amazon ES 实例数 20 (T2 实例类型除外，该类型实例最多只能有 10个)。

版本 1.0204

http://docs.amazonaws.cn/elastictranscoder/latest/developerguide/limits.html

http://docs.amazonaws.cn/elastictranscoder/latest/developerguide/limits.html

http://docs.amazonaws.cn/AmazonElastiCache/latest/UserGuide/WhatIs.Components.html

http://amazonaws.cn/contact-us/elasticache-node-limit-request/

Amazon Web Services 一般参考AWS Firewall Manager 限制

资源默认限制

Note

每个域的默认限制为 20 个实例。要请求将每个域的实例数提高到最多 100 个，请通过 AWS 支持中心创建案例。

AWS Firewall Manager 限制AWS Firewall Manager 对每个账户的实体数施加了默认限制。您可以请求提高这些限制。

资源默认限制

AWS Organizations 中每个组织的账户数可变。发送到账户的邀请将计入此限制。如果受邀账户拒绝邀请、主账户取消邀请或邀请过期，则撤销此计数。

AWS Organizations 中每个组织的 Firewall Manager 策略数 20

每个 Firewall Manager 策略包含或排除的标签数 8

与 Firewall Manager 相关的以下限制无法更改。

资源限制

每个 AWS Firewall Manager 管理员账户的规则组数 3

每个 Firewall Manager 策略的规则组数 1

每个规则组的规则数 10

Amazon GameLift 限制

资源默认限制

别名 20

机群 20

构建 1000

构建的总大小 100GB

每个游戏会话上传的日志大小 200 MB

按需实例限制因实例类型而异。

版本 1.0205


https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-waf

Amazon Web Services 一般参考Amazon Glacier 限制

资源默认限制每个账户：最多 20 个实例，不考虑实例类型。

有关更多信息，请参阅扩展 Amazon ElasticCompute Cloud (Amazon EC2) 实例 (AmazonGameLift)。

每个实例的服务器进程数 GameLift 开发工具包 2.x 版为 1 个

GameLift 开发工具包 3.x 版及更高版本为 50 个

每个游戏会话的玩家会话 200

每个账户的对战匹配器 100

VPC 对等连接有关活动和待定 VPC 对等连接的限制，请参阅Amazon Virtual Private Cloud (Amazon VPC) 限制 (p. 243)。

Amazon GameLift VPC 对等连接的有效时间为 24小时。

Amazon Glacier 限制资源默认限制

每个账户的文件库数量 1000

预配置容量单位的数量 2

AWS Glue 限制资源默认限制

每个账户的数据库数量 10000

每个数据库的表数 100000

每个表的分区数 1000000

每个表的表版本数 100000

每个账户的表数 1000000

每个账户的分区数 10,000,000

每个账户的表版本数 1000000

每个账户的连接数 1000

每个账户的爬网程序数量 25

每个账户的任务数量 25

版本 1.0206

http://docs.amazonaws.cn/gamelift/latest/developerguide/gamelift-ec2-instances.html

http://docs.amazonaws.cn/gamelift/latest/developerguide/gamelift-ec2-instances.html

Amazon Web Services 一般参考AWS Greengrass 限制

资源默认限制

每个账户的触发器数量 25

每个账户的并发任务运行数 30

每个任务的并发任务运行数 3

每个触发器的任务数 10

每个账户的开发终端节点数 2

开发终端节点一次使用的最大 DPU 数 5

角色一次使用的最大 DPU 数 100

AWS Greengrass 限制AWS Greengrass Cloud API 限制

描述 Limit

一个组中的 AWS IoT 设备的最大数量。 200

一个组中的 Lambda 函数的最大数量。 200

每个 Lambda 函数的最大资源数。 10

每个组的最大资源数。 50

AWS Greengrass API 上的每秒最大事务数 (TPS)。 30

每个 AWS Greengrass 组的最大订阅数。 1000

每个 AWS Greengrass 组中指定 Cloud 作为源的最大订阅数。

50

核心物联网对象名称的最大长度。 124 字节（UTF-8 编码的字符）。

AWS Greengrass 核心限制

描述 Limit

指定“Cloud”作为源的路由表条目的最大数量。 50 (与 AWS IoT 订阅限制匹配)

AWS IoT 设备发送的消息的最大大小。 128 KB (与 AWS IoT 消息大小匹配)

Greengrass 核心路由器中的最大消息队列大小。 2.5MB

主题字符串的最大长度 256 字节（UTF-8 编码的字符）。

一个主题或主题筛选条件中的正斜杠“/”的最大数量。

7

运行 Greengrass 核心软件所需的最小磁盘空间 128MB

版本 1.0207

Amazon Web Services 一般参考Amazon GuardDuty 限制

描述 Limit

运行 Greengrass 核心软件所需的最小 RAM 128MB

以下情况下不应使用自动 IP 检测： • IP 地址频繁更改。• 中断 Greengrass 核心服务是不可接受的。• Greengrass 核心是多宿主的，或者 Greengrass

设备无法可靠地确定要使用的 IP 地址。• 向云中报告 Greengrass 核心 IP 地址可能会引发

安全问题。

Greengrass 核心软件提供一项服务来自动检测 Greengrass 核心设备的 IP 地址。它将此信息发送到 AWSGreengrass 云服务，允许 AWS IoT 设备下载所要连接到的 Greengrass 核心的 IP 地址。此功能不应在以下情况下使用：

• Greengrass 核心设备的 IP 地址经常变化。• Greengrass 核心设备必须始终对其组中的 AWS IoT 设备可用。• Greengrass 核心有多个 IP 地址，一个 AWS IoT 设备无法可靠地确定要使用的地址。• 发送 IP 地址到云中会引发安全问题。

Amazon GuardDuty 限制资源默认限制

探测器 1

可信 IP 集 1

威胁情报集 6

GuardDuty 成员账户 1000

GuardDuty 结果保留时间 90 天

有关更多信息，请参阅 Amazon GuardDuty 用户指南。

AWS Identity and Access Management (IAM) 限制资源默认限制

一个 AWS 账户中的客户托管策略数 1500

一个 AWS 账户中的组数 300

一个 AWS 账户中的角色数 1000

一个 AWS 账户中的用户数 5000 (如果您需要添加大量用户，建议您使用临时安全凭证)。

一个 AWS 账户中的实例配置文件数 1000

版本 1.0208

http://docs.amazonaws.cn/guardduty/latest/ug/



Amazon Web Services 一般参考AWS Import/Export 限制

资源默认限制

存储在一个 AWS 账户中的服务器证书数 20

有关这些限制的更多信息，请参阅 IAM 用户指南中的 IAM 实体和对象的限制。

AWS Import/Export 限制AWS Snowball (Snowball)


Snowball 1 要提高此限制，请联系 AWS Support。

Amazon Inspector 限制

资源默认限制

运行的代理数 500

评估运行数 50000

评估模板数 500

评估目标数 50

有关更多信息，请参阅 Amazon Inspector 用户指南。

AWS IoT 限制物联网对象限制

资源限制

事物名称大小 128 字节（UTF-8 编码的字符）。此限制适用于Thing Registry 和 Thing Shadow 服务。

具有物联网对象类型的物联网对象的物联网对象属性的最大数量

50

没有物联网对象类型的物联网对象的物联网对象属性的最大数量

3

与某个物联网对象关联的物联网对象类型数 1

版本 1.0209

http://docs.amazonaws.cn/IAM/latest/UserGuide/LimitationsOnEntities.html

https://docs.amazonaws.cn/inspector/latest/userguide/inspector_introduction.html

Amazon Web Services 一般参考消息代理限制

资源限制

AWS 账户中的物联网对象类型的最大数量无限

消息代理限制

资源说明 Limit 可调整

每个账户的最大并发客户端连接数

每个账户允许的最大并发连接数。

500,000 是

每账户每秒的连接请求数

AWS IoT 对账户每秒的最大 MQTT CONNECT 请求数进行限制。

500 是

每个客户端 ID 每秒的连接请求数

AWS IoT 对从同一 accountId 和clientId 每秒向一个MQTT CONNECT 操作发起的 MQTT CONNECT 请求进行限制。

1 否

每个账户的订阅数 AWS IoT 对账户所有活动连接的最大订阅数进行限制。

500,000 是

每账户每秒的订阅数 AWS IoT 对账户每秒的最大订阅数进行限制。例如，如果 1 秒内发起两次 MQTT SUBSCRIBE请求，并且每次请求包含 3 个订阅 (主题筛选条件)，则 AWS IoT 会针对此限制将其计为 6 个订阅。

500 是

每个连接的订阅数 AWS IoT 支持每个连接50 个订阅。AWS IoT 将拒绝同一连接上此数量之外的订阅请求，并且将关闭该连接。客户端应验证 SUBACK 消息，以确保其订阅请求已成功处理。

50 否

每连接每秒的发布请求数

AWS IoT 对每个客户端连接都有每秒最大入站和出站发布请求数的限制。超出该限制的发布请求将被丢弃。

100 否

每账户每秒入站发布请求数

在将消息路由到订阅的客户端或规则引擎之前，AWS IoT 处理的所有消息的入站发布请求计数。例如，在 $aws/

10000 是

版本 1.0210

https://console.aws.amazon.com/support/v1#/case/create?issueType=service-limit-increase&limitType=service-code-iot





Amazon Web Services 一般参考消息代理限制

资源说明 Limit 可调整things/device/shadow/update 主题上发布的单个消息会导致将另外三个消息发布到 $aws/things/device/shadow/update/accepted、$aws/things/device/shadow/update/documents 和 $aws/things/device/shadow/delta 主题。在此情况下，AWS IoT会针对此限制将其计为4 个入站发布请求。不过，发布到非预留主题(如 a/b) 的单个消息仅计为 1 个入站发布请求。

每账户每秒出站发布请求数

生成匹配客户端订阅或规则引擎订阅的每条消息的出站发布请求计数。例如，将两个客户端订阅到主题筛选条件a/b，并将一个规则订阅到主题筛选条件 a/#。主题 a/b 的入站发布请求会产生总共 3 个出站发布请求。

20000 是

每个连接每秒的吞吐量通过客户端连接接收或发送的数据以最大吞吐率进行处理。超过最大吞吐量的数据将延迟处理。

512 KiB 否

最大入站未确认 QoS 1发布请求

AWS IoT 对每个客户端的未确认入站发布请求数进行限制。达到此限制后，除非服务器返回PUBACK 消息，否则不会从此客户端接受新发布请求。

100 否

最大出站未确认 QoS 1发布请求

AWS IoT 对每个客户端的未确认出站发布请求数进行限制。达到此限制后，除非客户端确认发布请求，否则不会向客户端发送新发布请求。

100 否

版本 1.0211


Amazon Web Services 一般参考协议限制

资源说明 Limit 可调整

QoS 1 消息的最大重试提交间隔

AWS IoT 最多间隔一小时向客户端重试提交未确认服务质量 1 (QoS 1)发布请求。如果 AWSIoT 一小时后未从客户端接收到 PUBACK 消息，则会丢弃这些发布请求。

1 小时否

协议限制

资源说明

连接不活动 (保持连接间隔) 对于 MQTT (或通过 WebSocket 的 MQTT) 连接，客户端可以请求以 30 – 1200 秒的保持连接间隔作为 MQTT CONNECT 消息的组成部分。AWS IoT在发送 CONNACK 响应 CONNECT 消息时为客户端启动保持连接计时器。只要 AWS IoT 从客户端收到 PUBLISH、SUBSCRIBE、PING、或 PUBACK消息，此计时器就会重置。如果客户端的保持连接计时器达到 1.5 倍指定保持连接间隔 (即乘以1.5)，AWS IoT 将断开其连接。默认保持连接间隔为 1200 秒。如果客户端请求的保持连接间隔为零，则使用默认保持连接间隔。如果客户端请求的保持连接间隔大于 1200 秒，则使用默认保持连接间隔。如果客户端请求的保持连接间隔少于 30 秒但大于0，则服务器会当做客户端请求的是 30 秒保持连接间隔。

WebSocket 连接持续时间 WebSocket 连接时间限于 24 小时。如果客户端或服务器在超过此限制后尝试发送消息，则WebSocket 连接会自动关闭。

每个订阅请求的最大订阅数单个 SUBSCRIBE 请求限制为最多 8 个订阅。

消息大小每个发布请求的负载限制为 128 KB。AWS IoT 服务会拒绝超过此大小的发布和连接请求。

客户端 ID 大小 128 字节（UTF-8 编码的字符）。

受限制的客户端 ID 前缀 $ 是为 AWS IoT 生成的客户端 ID 保留的。

主题大小发送发布请求时向 AWS IoT 传递的主题不能超过256 字节 UTF-8 编码字符。

受限制的主题前缀以 $ 开头的主题是为 AWS IoT 预留的，除非使用由 AWS IoT 服务 (即 Thing Shadows) 定义的特定主题名称，否则系统不支持使用它们来进行发布和订阅。

主题和主题筛选条件中斜杠的最大数量发布或订阅请求中的主题限于 7 个正斜杠 (/)。

版本 1.0212

Amazon Web Services 一般参考Device Shadow 限制

Device Shadow 限制

JSON 设备状态文档的最大深度 JSON 设备状态文档的 desired 或 reported 部分的最大级数为 5。例如：

"desired": { "one": { "two": { "three": { "four": { "five":{ } } } } }}

每个事物的最大动态未确认消息数 Thing Shadows 服务对每个事物最多支持 10 个动态未确认消息。达到此限制后，所有新的影子请求都将被拒绝，错误代码为 429。

每个 AWS 账户的最大 JSON 对象数每个 AWS 账户的 JSON 对象数没有限制。

JSON 状态文档的最大大小 8 KB.

事物名称的最大大小 128 字节（UTF-8 编码的字符）。

一个 AWS 账户的最大影子数无限

每个事物每秒的请求数 Thing Shadows 服务对每个事物每秒最多支持 20 个请求。请注意，此限制针对每个事物，而不是每个API。

安全和身份限制

每个区域每个 AWS 账户允许的带相同主题字段的CA 证书的最大数目

10

可以附加到证书或 Amazon Cognito 身份的策略的最大数量

10

命名策略版本的最大数量 5

策略文档的最大大小 2048 个字符 (不包括空格)

每秒可注册的设备证书的最大数量 15

AWS IoT 限制

API 每秒事务数

AcceptCertificateTransfer 10

版本 1.0213

Amazon Web Services 一般参考AWS IoT 限制

API 每秒事务数

AssociateTargetsWithJob 10

AttachPrincipalPolicy 15

AttachPolicy 15

AttachThingPrincipal 15

CancelCertificateTransfer 10

CancelJob 10

CreateCertificateFromCsr 15

CreateJob 10

CreatePolicy 10

CreatePolicyVersion 10

CreateThing 15

CreateThingType 15

DeleteCertificate 10

DeleteCACertificate 10

DeletePolicy 10

DeletePolicyVersion 10

DeleteThing 15

DeleteThingType 15

DeprecateThingType 15

DescribeCertificate 10

DescribeCACertificate 10

DescribeJob 10

DescribeJobExecution 10

DescribeThing 10

DescribeThingType 10

DetachThingPrincipal 15

DetachPrincipalPolicy 15

DeleteRegistrationCode 10

GetJobDocument 10

GetPolicy 10

GetPolicyVersion 15

版本 1.0214

http://docs.amazonaws.cn/iot/latest/apireference/API_DescribeJobExecution.html

Amazon Web Services 一般参考AWS IoT Rules Engine 限制

API 每秒事务数

GetRegistrationCode 10

ListCACertificates 10

ListCertificates 10

ListCertificatesByCA 10

ListJobExecutionsForJob 10

ListJobExecutionsForThing 10

ListJobs 10

ListOutgoingCertificates 10

ListPolicies 10

ListPolicyPrincipals 10

ListPolicyVersions 10

ListPrincipalPolicies 15

ListPrincipalThings 10

ListThings 10

ListThingPrincipals 10

ListThingTypes 10

RegisterCertificate 10

RegisterCACertificate 10

RejectCertificateTransfer 10

SetDefaultPolicyVersion 10

TransferCertificate 10

UpdateCertificate 10

UpdateCACertificate 10

UpdateThing 10

AWS IoT Rules Engine 限制

每个 AWS 账户的规则的最大数量 1000

每个规则的操作数量每个规则最多可定义 10 项操作。

规则大小最多 256 KB（UTF-8 编码的字符，包括空格）。

版本 1.0215

Amazon Web Services 一般参考AWS IoT 作业限制

AWS IoT 作业限制

资源 Min Max 注意

JobId 1 个字符 64 个字符 JobId 长度不得超过 64个字符。

## 不适用 32768 bytes 可以发送到 AWS IoT 设备的文档的最大大小为32 KB。

DocumentSource 不适用 1350 个字符最大作业文档来源大小为 1350 个字符。

## 不适用 2028 个字符最大作业描述大小为2028 个字符。

## 1 100 作业可拥有的目标的数量。

ExpiresInSec 60 秒 3600 秒预签名 URL 的生命周期必须配置为大于 60 秒且小于 1 小时。

## 不适用 2028 个字符最大评论大小为 2028 个字符。

MaxResults 1 250 每页的最大列表结果数为 250。

MaximumJobExecutionsPerMinute1 1000 配置作业的推出速度。

活动快照作业 0 100 活动快照作业的最大数量为 100 (不管活动持续作业数如何)。

活动的持续作业数 0 100 活动持续作业的最大数量为 100 (不管活动快照作业数如何)。

作业文档变量替换 0 10 作业文档中最多允许 10个变量替换，包括预签名 URL。

数据保留不适用 365 天作业数据和作业执行数据将在 365 天后被清除。

StatusDetail 映射键值对

1 个键值对 10 个键值对

StatusDetail 映射键大小

1 个字符 128 个字符

StatusDetail 映射值大小

1 个字符 128 个字符

版本 1.0216

Amazon Web Services 一般参考AWS IoT 队列索引限制

资源 Min Max 注意

DescribeJobExecution和GetPendingJobExectuions

不适用每个账户 200 TPS 如果调用数据层面† 中的一个或多个“读取”API 导致关联的 AWS 账户在总数上超出每秒 200 个读取事务 (TPS)，则违规API 调用将受到限制以保持每个 AWS 账户允许的最多 200 个读取 TPS。请注意，在控制层面†

中，DescribeJobExecution限制为每个调用 10 个TPS。

StartNextPendingJobExecution和UpdateJobExecution

不适用每个账户 200 TPS 如果调用数据层面† 中的一个或多个“写入”API 导致关联的 AWS 账户在总数上超出每秒 200 个写入事务 (TPS)，则违规API 调用将受到限制以保持每个 AWS 账户允许的最多 200 个写入 TPS。

† 有关“数据层面”和“控制层面”的定义，请参阅访问 AWS IoT Core 的方法有哪些？

AWS IoT 队列索引限制

资源限制注意

每个查询中查询术语的最大数量 5 您在每个查询中最多可以有 5 个术语。

最大查询长度 1000 您的查询可长达 1000 字节的UTF-8 编码的字符。

查询结果的最大数量 500 对于每个查询，队列索引服务将最多返回 500 个结果。

每个查询术语中通配符运算符 *的最大数量

2 每个查询术语最多可有 2 个多字符通配符 (*)。

每个查询术语中通配符运算符 ?的最大数量

5 每个查询术语最多可有 5 个单字符通配符 (?)。

每秒最大查询数 15 您可以每秒最多执行 15 个搜索查询。

队列索引中事物的最大数量无限可索引的事物的数量不受限制。

版本 1.0217

http://docs.amazonaws.cn/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html

http://docs.amazonaws.cn/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html

http://docs.amazonaws.cn/iot/latest/apireference/API_DescribeJobExecution.html

http://docs.amazonaws.cn/iot/latest/apireference/API_iot-jobs-data_StartNextPendingJobExecution.html

http://docs.amazonaws.cn/iot/latest/apireference/API_iot-jobs-data_UpdateJobExecution.html

http://amazonaws.cn/iot-core/faqs/

Amazon Web Services 一般参考AWS IoT 批量事物注册限制

AWS IoT 限制

API 每秒最大调用数

UpdateIndexingConfiguration 1

GetIndexingConfiguration 20

DescribeIndex 10

ListIndices 5

SearchIndex 15

AWS IoT 批量事物注册限制

资源限制注意

注册任务终止 30 天任何待处理/未完成的批量注册任务都将在 30 天后终止。

数据保留策略 30 天一旦关联的批量注册任务完成 (可以是长久的)，批量事物注册相关数据将在 30 天后被永久删除。

允许的注册任务 1 对于任何给定的 AWS 账户，一次只能运行一个批量注册任务。

行最大长度 256 K Amazon S3 输入 JSON 文件中每一行的长度不能超过 256K。

AWS IoT Analytics 限制API 限制描述可调整?

SampleChannelData 每个通道每秒 1 个事务是

CreateDatasetContent 每个数据集每秒 1 个事务是

RunPipelineActivity 每秒 1 个事务是

其他管理 API 每秒 20 次交易是

BatchPutMessage 每秒 1000 条消息；每个批处理100 条消息；每条消息 128Kb

是；是；否

资源限制描述可调整?

channel 每个账户 50 是

数据存储每个账户 25 是

版本 1.0218

http://docs.amazonaws.cn/iot/latest/developerguide/bulk-provisioning.html

Amazon Web Services 一般参考AWS Key Management Service (AWS KMS) 限制

资源限制描述可调整?

pipeline 每个账户 100 是

活动每个管道 25 个否

数据集每个账户 100 是

数据集刷新最短间隔 1 小时是

并发数据集内容生成同时 2 个数据集否

AWS Key Management Service (AWS KMS) 限制资源默认限制

客户主密钥 (CMK) 1000

别名 1100

每个 CMK 的授权数 2500

每个 CMK 的指定委托人授权数 500

每秒请求数因 API 操作而异；请参阅 AWS Key ManagementService Developer Guide 中的限制。

上表中的所有限制都是按每个区域、每个 AWS 账户应用的。

有关这些限制的更多信息，请参阅 AWS Key Management Service Developer Guide 中的限制。

Amazon Kinesis Data Firehose 限制资源默认限制

各区域的传送流 50

美国东部（弗吉尼亚北部）、美国西部（俄勒冈）和欧洲（爱尔兰）的传送流容量 †

2,000 个事务/秒

5,000 条记录/秒

5 MB/秒

可以使用 Kinesis Data Firehose 的其他区域的传送流容量 † 1,000 个事务/秒

1,000 条记录/秒

1 MB/秒

† 这三个容量限制成比例扩展。例如，如果在亚太区域（新加坡）中将吞吐量限制增加到 2MB/秒，则其他限制将增加到 2,000 个事务/秒和 2,000 条记录/秒。

有关这些限制的更多信息，请参阅 Amazon Kinesis Data Firehose 开发人员指南中的 Amazon Kinesis DataFirehose 限制。

版本 1.0219

http://docs.amazonaws.cn/kms/latest/developerguide/limits.html

http://docs.amazonaws.cn/kms/latest/developerguide/limits.html

http://docs.amazonaws.cn/firehose/latest/dev/limits.html

http://docs.amazonaws.cn/firehose/latest/dev/limits.html

Amazon Web Services 一般参考Amazon Kinesis Data Streams 限制

Amazon Kinesis Data Streams 限制资源默认限制

各区域的分片美国东部（弗吉尼亚北部）地区 – 500



所有其他支持的区域 – 200

有关这些限制的更多信息，请参阅 Amazon Kinesis Data Streams 开发人员指南中的 Amazon Kinesis DataStreams 限制。

Amazon Kinesis Data Analytics 限制资源默认限制

Kinesis 处理单元 (KPU) 美国东部（弗吉尼亚北部）地区 – 8



输入并行度 64 个输入流

应用程序 50

有关这些限制的更多信息，请参阅 Amazon Kinesis Data Analytics 开发人员指南中的限制。

Amazon Kinesis Video Streams 限制下面的限制是软性限制 [s]（可以通过提交支持票证进行升级）或硬性限制 [h]（不能提高）。

控制层面 API 限制下一节介绍控制层面 API 限制。

达到账户级别请求限制时，会引发 ClientLimitExceededException。

达到账户级别流限制时，或达到流级别限制时，会引发 StreamLimitExceededException。

控制层面 API 限制

API 账户限制：请求账户限制：流流级别限制相关异常和说明

CreateStream 50 TPS [s] 每个账户 100个流 [s]

5 TPS [h] 设备、CLI、SDK 驱动的访问和控制台均可调用此 API。如果流尚不

版本 1.0220

http://docs.amazonaws.cn/streams/latest/dev/service-sizes-and-limits.html

http://docs.amazonaws.cn/streams/latest/dev/service-sizes-and-limits.html

http://docs.amazonaws.cn/kinesisanalytics/latest/dev/limits.html

Amazon Web Services 一般参考数据层面 API 限制

API 账户限制：请求账户限制：流流级别限制相关异常和说明存在，则只有一个 API 调用会成功。

DescribeStream 300 TPS [h] 不适用 5 TPS [h]

UpdateStream 50 TPS [h] 不适用 5 TPS [h]

ListStreams 300 TPS [h] 不适用 5 TPS [h]

DeleteStream 50 TPS [h] 不适用 5 TPS [h]

GetDataEndpoint 300 TPS [h] 不适用 5 TPS [h] 与账户限制结合使用时，意味着最多可以放入以及从中读取 60 个流（4 个使用者）。

数据层面 API 限制下一节介绍控制层面 API 限制。

超出流级别限制时，会引发 StreamLimitExceededException。

达到连接级别限制时，会引发 ConnectionLimitExceededException。

达到片段级别限制时，会引发以下错误或确认：

• 会为低于最低持续时间的片段返回 MIN_FRAGMENT_DURATION_REACHED 确认。• 会为高于最高持续时间的片段返回 MAX_FRAGMENT_DURATION_REACHED 确认。• 会为高于最大数据大小的片段返回 MAX_FRAGMENT_SIZE 确认。• 如果在 GetMediaForFragmentList 操作中达到片段限制，则会引发 FragmentLimitExceeded 异

常。

数据层面 API 限制

API 流级别限制连接级别限制

带宽限制片段级别限制

相关异常和说明

PutMedia 5 TPS [h] 1 [s] 12.5 MB/秒或 100 Mbps[s]

• 最小片段持续时间：1 秒[h]

• 最大片段持续时间：10 秒[h]

• 最大片段大小：50MB [h]

典型 PutMedia 请求将包含几秒钟的数据，因而导致每个流较低的 TPS。对于多个超出限制的并发连接，会接受最后一个连接。

GetMedia 5 TPS [h] 3 [s] 25 MB/秒或200 Mbps [s]

不适用只有三个客户端可在任何时候从媒体流同时接收内容。后续客户端连接将被拒绝。唯一使用客户端应该不需要超过 2 或 3 TPS，因为建立

版本 1.0221

Amazon Web Services 一般参考AWS Lambda 限制

API 流级别限制连接级别限制

带宽限制片段级别限制

相关异常和说明

连接后，我们预计应用程序将持续读取。

如果典型片段大约为 5 MB，则此限制将意味着每个Kinesis 视频流大约 75 MB/秒。此类流将具有流的最大传入比特率 2 倍的传出比特率。

ListFragments 5 TPS [h] 5 [s] 不适用不适用 5 个基于片段的使用应用程序可以根据处理要求同时列出片段。

GetMediaForFragmentList5 TPS [h] 5 [s] 25 MB/秒或200 Mbps [s]

最大片段数：1000 [h]

5 个基于片段的使用应用程序可以同时获取媒体。后续连接将被拒绝。

AWS Lambda 限制资源限制

并发执行 1000

有关这些限制的更多信息，请参阅 AWS Lambda Developer Guide 中的 AWS Lambda 限制。

AWS Lambda 将根据增加的流量动态扩展容量，具体取决于您的账户的并发执行限制。有关更多信息，请参阅管理并发。为了处理突增流量，Lambda 将立即根据预定量增加您的并发执行函数，具体取决于在哪个区域执行 (请参阅下表)。

如果默认的并发立即增加量值 (如下表所示) 不足以适应流量的猛增，Lambda 将继续增加并发函数执行数量(每分钟 500 次)，直到达到账户的安全限制，或并发执行的函数数量足以成功处理增加的负载。

区域并发立即增加量 (函数执行)

亚太区域（东京） 1000

亚太区域（首尔） 500

亚太地区（孟买） 500

亚太区域（新加坡） 500

亚太区域（悉尼） 500

加拿大 (中部) 500

欧洲（法兰克福） 1000

欧洲 (伦敦) 500

欧洲（爱尔兰） 3000

版本 1.0222

http://docs.amazonaws.cn/lambda/latest/dg/limits.html

http://docs.amazonaws.cn/lambda/latest/dg/concurrent-executions.html

Amazon Web Services 一般参考Amazon Lightsail 限制

区域并发立即增加量 (函数执行)

欧洲 (巴黎) 500

美国东部（俄亥俄州） 500

美国西部（加利福尼亚北部） 500

美国西部（俄勒冈） 3000

美国东部（弗吉尼亚北部） 3000

南美洲（圣保罗） 500

中国（北京） 500

AWS GovCloud (US) 500

Amazon Lightsail 限制

资源默认限制评论

实例的数量每个账户 20 不能提高此限制。

静态 IP 地址数每个账户 5 不能提高此限制。

并行 SSH 连接数每个区域每个账户5 个并发 SSH 连接

不能提高此限制。

使用 Web 客户端的并行 RDP 连接数每个账户 1 不能提高此限制。

DNS 区域数每个账户 3 不能提高此限制。

负载均衡器数量每个账户 5 不能提高此限制。

连接的块存储磁盘空间量每个账户 20 TB 不能提高此限制。

证书的数量 (前 365 天) 每个账户 20 不能提高此限制。

Amazon Macie 限制

资源默认限制

完整数据分类每月 3 TB

Macie 成员账户 10

指定用于数据分类的 S3 存储桶/前缀 250 (这是一项硬性限制，无法更改)

有关更多信息，请参阅 Amazon Macie User Guide。

版本 1.0223

http://docs.amazonaws.cn/macie/latest/userguide/

Amazon Web Services 一般参考Amazon Machine Learning (Amazon ML) 限制

Amazon Machine Learning (Amazon ML) 限制资源默认限制

数据文件大小* 100GB

批量预测输入大小 1TB

批量预测输入（记录数） 100 百万

数据文件（架构）中的变量数 1000

配方复杂性（处理的输出变量数） 10000

每个实时预测终端节点的每秒事务数 200

所有实时预测终端节点的每秒交易总数 10000

所有实时预测终端节点的 RAM 总和 10GB

同时运行的作业数 25

任何作业的最长运行时间 7 天

多类别 ML 模型的类别数 100

ML 模型大小 2GB

Note

您的数据文件大小受限，以确保作业能够及时完成。已运行七天以上的作业将自动终止，导致FAILED 状态。

有关这些限制的更多信息，请参阅 Amazon Machine Learning Developer Guide 中的 Amazon ML 限制。

AWS Elemental MediaConvert 限制资源默认限制

每个账户的队列数 10

每个账户所有队列处理的并发作业数因区域而异。

以下区域提供 40个：

• 美国东部 (弗吉尼亚北部)

• 美国西部 (俄勒冈)

• 欧洲 (爱尔兰)

所有其他区域提供20 个

版本 1.0224

http://docs.amazonaws.cn/machine-learning/latest/dg/system-limits.html

Amazon Web Services 一般参考AWS Elemental MediaLive 限制

资源默认限制

每个队列处理的并发作业数所有队列允许的数量，按您创建的队列数平均分配。

自定义输出预设的数量 100

自定义输出作业模板的数量 100

描述每秒终端节点 API 调用率 0.01667 TPS (每60 秒一次，突增零)

聚合作业、队列、预设和模板的 API 调用率

2 TPS (每秒 2 个事务，突增 100)

您可以请求提高这些限制。为此，请转到 AWS 支持中心创建案例。

AWS Elemental MediaLive 限制

资源默认限制

最大输入数 5

最大输入安全组数 5

最大通道数 5

AWS Elemental MediaPackage 限制

资源默认限制

每个账户的最大通道数 10

每个通道的最大终端节点数 10

AWS Elemental MediaStore 限制

资源默认限制

容器 100

有关 AWS Elemental MediaStore 限制 (包括不能增加的限制) 的信息，请参阅 AWS Elemental MediaStore用户指南中的限制。

版本 1.0225

http://amazonaws.cn/support

http://docs.amazonaws.cn/mediastore/latest/ug/limits.html

Amazon Web Services 一般参考AWS Elemental MediaTailor 限制

AWS Elemental MediaTailor 限制

资源默认限制评论

事务跨所有请求类型(例如，清单请求和用于客户端报告的跟踪请求) 的每秒3000 个并发事务。

这是账户级别限制。

您的每秒事务数在很大程度上取决于播放器请求更新清单的频率。例如，一个拥有8 秒分段的播放器可能会每 8 秒更新一次清单。随后，此播放器每秒将生成 0.125个事务。

有关 AWS Elemental MediaTailor 限制 (包括不能增加的限制) 的更多信息，请参阅 AWS ElementalMediaTailor 用户指南中的限制。

Amazon MQ 限制有关这些限制的信息，请参阅 Amazon MQ 开发人员指南中的 Amazon MQ 限制。

Amazon Neptune 限制

资源默认限制


最大实例数

最大实例数为 3。

您可以请求增加此限制的值。有关更多信息，请参阅 http://amazonaws.cn/support。

AWS OpsWorks for Chef Automate 和 AWSOpsWorks for Puppet Enterprise 限制

资源默认限制

Chef 或 Puppet 服务器 5

用户启动 (手动) 的备份生成数 10

自动 (计划) 的备份生成数 30

版本 1.0226

http://docs.amazonaws.cn/mediatailor/latest/ug/limits.html

http://docs.amazonaws.cn/amazon-mq/latest/developer-guide/amazon-mq-limits.html

http://amazonaws.cn/support

Amazon Web Services 一般参考AWS OpsWorks 堆栈限制

AWS OpsWorks 堆栈限制资源默认限制

堆栈 40

每个堆栈的层 40

每个堆栈的实例 40

每个堆栈的应用程序 40

AWS Organizations 限制资源默认限制

每个组织的账户数可变。请联系客户支持。

每天发送的邀请数 20

有关这些限制的更多信息，请参阅 AWS Organizations 用户指南中的 AWS Organizations 限制。

Amazon Pinpoint 限制资源默认限制

每个账户的有效活动数每个账户 200.

Note

有效活动是尚未完成或已失败的活动。有效活动的状态包括SCHEDULED、EXECUTING或PENDING_NEXT_RUN。

每个账户的并行终端节点导入任务数每个账户 2.

每个活动的消息发送数 100 百万.

每个终端节点导入任务的总文件大小每个导入任务 1 GB.

SMS 账户支出阈值每个账户 1.00 USD。

Amazon SNS 主题 (双向 SMS) 的最大数量每个账户 100,000.

每 24 小时周期可发送的电子邮件数 (发送配额) 沙盒环境中的账户每 24 小时可以发送 200 封电子邮件。

每秒可发送的电子邮件数 (发送速率) 沙盒环境中的账户每秒可以发送一封电子邮件。

版本 1.0227

http://docs.amazonaws.cn/organizations/latest/userguide/orgs_reference_limits.html

Amazon Web Services 一般参考Amazon Polly 限制

资源默认限制

电子邮件收件人地址沙盒环境中的账户只能向已验证电子邮件地址或域的收件人发送电子邮件。

要提高以上任何限制，请提交 Amazon Pinpoint 限额提高案例。

有关 Amazon Pinpoint 限制的更多信息 (包括不能提高的限制)，请参阅 Amazon Pinpoint 开发人员指南中的限制。

Amazon Polly 限制• 每个 IP 地址的限制速率：每秒 100 个事务/请求 (tps)，突增限制为 120 tps。• 每个操作的限制率：

每个操作的限制率

操作限制

词典

DeleteLexicon

PutLexicon

GetLexicon

ListLexicons

这些操作组合起来为每秒任意 2 个事务 (tps)。

允许的最大突增为 4 tps。

语音

DescribeVoices 80 rps，突增限制为 100 tps

SynthesizeSpeech 80 rps，突增限制为 100 tps

Amazon Redshift 限制资源默认限制

每个群集的节点 101

节点 200

预留节点 200

快照 20

参数组 20

安全组 20

子网组 20

每个子网组的子网数 20

版本 1.0228

https://console.amazonaws.cn/support/home#/case/create

http://docs.amazonaws.cn/pinpoint/latest/developerguide/limits.html

Amazon Web Services 一般参考Amazon Rekognition 限制

资源默认限制

事件订阅 20

有关这些限制的更多信息，请参阅 Amazon Redshift Cluster Management Guide 中的 Amazon Redshift 中的限制。

Amazon Rekognition 限制Amazon Rekognition 具有以下可以更改的限制。

资源默认限制

图像数据平面操作的每账户每秒的事务数：

• CompareFaces• DetectFaces• DetectLabels• DetectModerationLabels• DetectText• GetCelebrityInfo• IndexFaces• ListFaces• RecognizeCelebrities• SearchFaces• SearchFacesByImage

• 美国东部（弗吉尼亚北部）地区 – 50

• 美国西部（俄勒冈）区域 – 50• 欧洲（爱尔兰）区域 – 50• 美国东部（俄亥俄）区域 – 5• 亚太区域（悉尼） – 5• 亚太区域（东京） – 5• AWS GovCloud（美国） – 5

图像控制平面操作的每账户每秒的事务数：

• CreateCollection• DeleteCollection• DeleteFaces• ListCollections

在 Amazon Rekognition 支持的每个区域 – 5

所有存储的视频 Start 操作的每账户每秒的事务数：

• StartCelebrityRecognition• StartContentModeration• StartFaceDetection• StartFaceSearch• StartLabelDetection• StartPersonTracking


所有存储的视频 Get 操作的每账户每秒的事务数：

• GetCelebrityRecognition• GetContentModeration• GetFaceDetection• GetFaceSearch

• 美国东部（弗吉尼亚北部）地区 – 20

• 美国西部（俄勒冈）区域 – 20• 欧洲（爱尔兰）区域 – 20• 美国东部（俄亥俄）区域 – 5• 亚太区域（悉尼） – 5

版本 1.0229

http://docs.amazonaws.cn/redshift/latest/mgmt/amazon-redshift-limits.html

http://docs.amazonaws.cn/redshift/latest/mgmt/amazon-redshift-limits.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_CompareFaces.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DetectFaces.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DetectLabelshtml

http://docs.amazonaws.cn/rekognition/latest/dg/API_DetectModerationLabels.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DetectText.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetCelebrityInfo.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_IndexFaces.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_ListFaces.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_RecognizeCelebrities.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_SearchFaces.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_SearchFacesByImage.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_CreateCollection.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DeleteCollection.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DeleteFaces.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_ListCollections.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartCelebrityRecognition.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartContentModeration.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartFaceDetection.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartFaceSearch.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartLabelDetection.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartPersonTracking.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetCelebrityRecognition.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetContentModeration.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetFaceDetection.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetFaceSearch.html

Amazon Web Services 一般参考Amazon Relational Database Service (Amazon RDS) 限制

资源默认限制• GetLabelDetection• GetPersonTracking

• 亚太区域（东京） – 5

每个账户最大并发存储视频作业数 20

每个账户可同时存在的最大流式视频流处理器数量在 Amazon Rekognition 支持的每个区域 – 10

所有流式处理视频操作的每账户每秒的事务数：

• CreateStreamProcessor• DeleteStreamProcessor• DescribeStreamProcessor• ListStreamProcessors• StartStreamProcessor• StopStreamProcessor


有关 Amazon Rekognition 限制的更多信息 (包括不能提高的限制)，请参阅 Amazon Rekognition 限制。

Amazon Relational Database Service (AmazonRDS) 限制

资源默认限制

集群 40

集群参数组 50

数据库实例 40

事件订阅 20

手动快照 100

选项组 20

参数组 50

只读副本 (每个主数据) 5

预留实例 40

每个安全组的规则数 20

安全组 25

安全组 (VPC) 5

子网组 50

每个子网组的子网数 20

每个资源的标签 50

版本 1.0230

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetLabelDetection.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_GetPersonTracking.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_CreateStreamProcessor.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DeleteStreamProcessor.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_DescribeStreamProcessor.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_ListStreamProcessors.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StartStreamProcessor.html

http://docs.amazonaws.cn/rekognition/latest/dg/API_StopStreamProcessor.html

http://docs.amazonaws.cn/rekognition/latest/dg/limits.html

Amazon Web Services 一般参考AWS 资源组限制

资源默认限制

所有数据库实例的总存储空间 100 TB

AWS 资源组限制资源默认限制

每个账户的资源组数 100

Amazon Route 53 限制DNS 和域注册

资源默认限制

托管区域 500

域 50

每个托管区域的资源记录集 10000

可重用的委派集 100

可以使用相同可重用委派集的托管区域 100

可以与私有托管区域相关联的 Amazon VPC 100

运行状况检查 200

流量策略 50

流量策略记录 5

自动命名

资源默认限制

每个 AWS 账户的命名空间数每区域 50 个

每个命名空间的实例数每区域 2,000 个

每个服务的实例数每区域 100 个

有关这些限制的更多信息，请参阅 Amazon Route 53 开发人员指南中的 Route 53 限制。

Amazon SageMaker 限制以下各表按组件对 Amazon SageMaker 限制进行分组。

Amazon SageMaker 笔记本电脑

版本 1.0231

http://docs.amazonaws.cn/Route53/latest/DeveloperGuide/DNSLimitations.html

Amazon Web Services 一般参考Amazon SageMaker 限制

资源默认限制

ml.t2.medium 实例 20

ml.t2.large 实例 20

ml.t2.xlarge 实例 20

ml.t2.2xlarge 实例 20

ml.m4.xlarge 实例 20

ml.m4.2xlarge 实例 20




ml.p2.xlarge 实例 1

ml.p2.8xlarge 实例 1





笔记本电脑实例数 100

正在运行的笔记本电脑实例数 20

Amazon SageMaker 自动模型优化

资源默认限制

并发超级参数优化作业数 100

可搜索的超级参数的数量（分类超级参数中的每一个可能值都会计入此限制）

20

每个超级参数优化作业的定义的指标数 20

每个超级参数优化作业的并发训练作业数 10

每个超级参数优化作业的训练作业数 500

Amazon SageMaker 培训

资源默认限制



版本 1.0232


资源默认限制




ml.m5.large 实例 20






ml.c4.xlarge 实例 20

ml.c4.2xlarge 实例 20














训练作业的最长运行时间 5 天

所有训练作业的实例数 20

训练作业的实例数 20

实例的 EBS 卷大小 1TB

Amazon SageMaker 托管

版本 1.0233


资源默认限制

ml.t2.medium 实例 20

ml.t2.large 实例 20

ml.t2.xlarge 实例 20

ml.t2.2xlarge 实例 20






ml.m5.large 实例 20






ml.c4.large 实例 20





ml.c5.large 实例 20











版本 1.0234

Amazon Web Services 一般参考AWS Secrets Manager 限制

资源默认限制


所有活动终端节点的实例数 20

终端节点的实例数 20

所有终端节点的 TPS 总和 10000

终端节点调用的最大负载大小 5MB

AWS Secrets Manager 限制

资源默认限制

一个 AWS 账户中的密钥的最大数量 40000

一个密钥中的版本的最大数量大约 100 个

可附加到版本的标签的最大数量 20

标签可同时附加到的版本的最大数量 1

密钥的最大长度 4096 个字符

AWS Server Migration Service 限制

资源默认限制

并发 VM 迁移数每个账户 50

每个 VM (而非每个账户) 的服务用量的最大持续时间，从 VM 的初始复制开始。除非客户请求增加限制，否则我们会在此时段后终止持续复制。

90 天

AWS Serverless Application Repository 限制每区域每账户限制

资源默认限制

公有应用程序 100

用于代码软件包的免费 Amazon S3 存储 5GB

版本 1.0235

Amazon Web Services 一般参考AWS Service Catalog 限制

AWS Service Catalog 限制

资源默认限制

产品组合每个账户 25

用户、组和角色每个产品组合 25

产品每个产品组合 100，每个账户总数25

产品版本每个产品 50

约束每个产品组合每个产品 25

标签每个产品 20 个，每个产品组合20 个，每个预配置产品 50 个

堆栈 200（AWS CloudFormation 限制）

AWS Shield Advanced 限制为弹性 IP 地址、CloudFront 分配、Route 53 托管区域或 Elastic Load Balancing 负载均衡器提供高级监控和保护。针对每个账户，您可以监控和保护最多 100 个这样的资源类型。如果要增加这些限制，请联系AWS Support Center。

Amazon Simple Email Service (Amazon SES) 限制以下是在沙盒环境中针对 Amazon SES 的默认限制。

资源默认限制

日发送配额每 24 小时 200 条消息。

最大发送速率每秒 1 封电子邮件。

Note

Amazon SES 接受您的电子邮件的速率可能低于最大发送速率。

收件人地址验证必须验证所有收件人地址。

有关这些限制的更多信息，请参阅 Amazon Simple Email Service 开发人员指南中的 Amazon SES 中的限制。

版本 1.0236


http://docs.amazonaws.cn/ses/latest/DeveloperGuide/limits.html

http://docs.amazonaws.cn/ses/latest/DeveloperGuide/limits.html

Amazon Web Services 一般参考Amazon Simple Notification Service (Amazon SNS) 限制

Amazon Simple Notification Service (Amazon SNS)限制

以下限制决定您可以在 AWS 账户中创建的 Amazon SNS 资源的数量，以及您发出 Amazon SNS API 请求的速率。

Amazon SNS 资源限制要提高以下任一限制，请提交 SNS 限制提高案例。

资源默认限制

主题：每个账户 100,000

订阅每个主题 12,500,000

待定订阅每个账户 5,000

SMS 的账户支出阈值每个账户 1.00 USD

电子邮件的传输率每秒 10 条消息

促销 SMS 消息的传输率每秒 20 条消息

事务性 SMS 消息的传输率每秒 20 条消息

订阅筛选策略每个账户 200

Amazon SNS API 限制以下限制将限制您发出 Amazon SNS API 请求的速率。

硬限制无法提高以下限制。

API 每秒事务数

ListEndpointsByPlatformApplication 30

ListTopics 30

ListPlatformApplications 15

ListSubscriptions 30

ListSubscriptionsByTopic 30

Subscribe 100

Unsubscribe 100

版本 1.0237

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-sns

Amazon Web Services 一般参考Amazon SNS API 限制

软限制以下限制因 AWS 区域而异。要提高其中的任何限制，请提交 SNS 限制提高案例。

发布 API 限制

API AWS 区域每秒事务数

美国东部（弗吉尼亚北部）地区 30000



9,000




欧洲（法兰克福）区域


1500

发布

亚太地区（孟买）区域



加拿大 (中部) 区域

中国（北京）区域

中国 (宁夏) 区域

欧洲 (伦敦) 区域

欧洲 (巴黎) 区域

南美洲（圣保罗）区域


300

其他 API 限制

API AWS 区域每秒事务数

美国东部（弗吉尼亚北部）地区 3000



900

CheckIfPhoneNumberIsOptedOut

ConfirmSubscription

CreatePlatformApplication

CreatePlatformEndpoint

CreateTopic




150

版本 1.0238

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-sns


API AWS 区域每秒事务数欧洲（法兰克福）区域


DeleteEndpoint

DeletePlatformApplication

DeleteTopic

GetEndpointAttributes

GetPlatformApplicationAttributes

GetSMSAttributes

GetSubscriptionAttributes

GetTopicAttributes

ListPhoneNumbersOptedOut

OptInPhoneNumber

SetEndpointAttributes

SetPlatformApplicationAttributes

SetSMSAttributes

SetSubscriptionAttributes

SetTopicAttributes

亚太地区（孟买）区域



加拿大 (中部) 区域

中国（北京）区域

中国 (宁夏) 区域

欧洲 (伦敦) 区域

欧洲 (巴黎) 区域

南美洲（圣保罗）区域


30

Amazon Simple Queue Service (Amazon SQS)有关这些限制的更多信息，请参阅 Amazon Simple Queue Service 开发人员指南中的 Amazon SQS 限制以及 Amazon SQS 常见问题中的“限制和局限”部分。

Amazon Simple Storage Service (Amazon S3) 限制资源默认限制

存储桶每个账户 100

有关这些限制的更多信息，请参阅 Amazon Simple Storage Service 开发人员指南中的 Amazon S3 限制。

Amazon Simple Workflow Service (Amazon SWF)限制

有关这些限制的更多信息，请参阅 Amazon Simple Workflow Service 开发人员指南中的 Amazon SWF 限制。

版本 1.0239

http://docs.amazonaws.cn/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-limits.html

http://amazonaws.cn/sqs/faqs/

http://docs.amazonaws.cn/AmazonS3/latest/dev/BucketRestrictions.html

http://docs.amazonaws.cn/amazonswf/latest/developerguide/swf-dg-limits.html

http://docs.amazonaws.cn/amazonswf/latest/developerguide/swf-dg-limits.html

Amazon Web Services 一般参考Amazon SimpleDB 限制

Amazon SimpleDB 限制资源默认限制

域 250

有关这些限制的更多信息，请参阅 Amazon SimpleDB 开发者指南中的 Amazon SimpleDB 限制。

AWS Step Functions 限制有关这些限制的更多信息，请参阅 AWS Step Functions 开发人员指南中的 AWS Step Functions 限制。

AWS Storage Gateway 限制有关这些限制的更多信息，请参阅 AWS Storage Gateway 用户指南中的 AWS Storage Gateway 限制。

Amazon Sumerian 限制资源默认限制

项目 1000

场景数 10000

纹理文件大小 10 MB

声音文件大小 10 MB

模型文件大小 50 MB

脚本文件大小 1MB

ZIP 文件大小 200 MB

AWS Systems Manager 限制资源默认限制

自动化并发执行数 25

每个 AWS 账户一次最多可以执行 25 个自动化操作。如果并发执行数大于25，超出的执行会自动添加到一个执行队列中。

可加入队列的额外自动化执行数

75

版本 1.0240

http://docs.amazonaws.cn/AmazonSimpleDB/latest/DeveloperGuide/SDBLimits.html

http://docs.amazonaws.cn/step-functions/latest/dg/limits.html

http://docs.amazonaws.cn/storagegateway/latest/userguide/resource-gateway-limits.html

Amazon Web Services 一般参考AWS Systems Manager 限制

资源默认限制

自动化执行在用户上下文中运行时的最长持续运行时间

12 小时

如果您希望自动化的运行时间超过 12 小时，则必须使用服务角色 (或代入角色) 执行自动化。

运行命令执行历史保留 30 天

每个命令的历史记录最多可保留 30 天。此外，您可以在 Amazon SimpleStorage Service 中存储所有日志文件的副本或在 AWS CloudTrail 中保存所有 API 调用的审核跟踪。

通过 Amazon EC2 激活进行注册的本地托管实例

每个 AWS 账户可以在一个区域激活多达 1000 个本地实例，以供 SystemsManager 使用。

有关激活本地实例并用于混合环境的更多信息，请参阅 AWS SystemsManager 用户指南中的创建托管实例激活。

Note

激活限制仅适用于添加到您的混合环境中的本地实例，不适用于注册 Amazon EC2 实例。

Systems Manager 文档 200

每个 AWS 账户最多可在每个区域中创建 200 个文档。

私下共享的 SystemsManager 文档

1000

单个 Systems Manager 文档最多可与 1000 个 AWS 账户共享。

公开共享的 SystemsManager 文档

5

每个 AWS 账户最多可公开共享 5 个文档。

State Manager 关联 10000

每个 Systems Manager 文档最多可以与 10000 个实例关联。

State Manager 关联版本 1000

您最多可以创建 1000 个版本的 State Manager 关联。

每个实例每次调用时收集的清单数据

1MB

此最大值可充分支持大多数清单收集方案。达到此限制后，系统不会收集实例的新清单数据。之前收集的清单数据会一直存储，直到过期。

每个实例每天收集的清单数据

5MB

达到此限制后，系统不会收集实例的新清单数据。之前收集的清单数据会一直存储，直到过期。

自定义清单类型 20

您可以添加最多 20 种自定义清单类型。

自定义清单类型大小 200 KB

这是类型而非收集的清单的最大大小。

版本 1.0241

http://docs.amazonaws.cn/systems-manager/latest/userguide/

http://docs.amazonaws.cn/systems-manager/latest/userguide/systems-manager-managedinstances.html#sysman-managed-instance-activation

http://docs.amazonaws.cn/systems-manager/latest/userguide/

http://docs.amazonaws.cn/systems-manager/latest/userguide/systems-manager-managedinstances.html#sysman-managed-instance-activation

Amazon Web Services 一般参考Amazon Transcribe 限制

资源默认限制

自定义清单类型属性 50

这是自定义清单类型中的最大属性数。

清单数据有效期 30 天

如果您终止实例，该实例的清单数据会被立即删除。对于正在运行的实例，存在超过 30 天的清单数据会被删除。如果需要将清单数据存储 30 天以上，您可以使用 AWS Config 来记录历史、定期查询数据并将其上传到 AmazonS3 存储桶。有关更多信息，请参阅 AWS Config Developer Guide中的记录Amazon EC2 托管实例清单。

每个账户的维护时段 50

每个维护时段的任务 20

每个维护时段的目标 50

每个目标的实例 ID 数 50

每项任务的目标 10

单一维护时段的并发执行数

1

维护时段的并发执行数 5

维护时段执行历史记录保留期

30 天

每个账户的最大参数数量 10000

参数值的最大长度 4096 个字符

一个参数的最高历史记录数量

100 个过去的值

每个账户的补丁基准数 25

每个补丁基准的补丁组数 25

Amazon Transcribe 限制

资源默认限制

并发转录作业数 10

每个账户的词汇表总数 100

待处理的词汇表数 10

您可使用 Amazon Transcribe 服务限制提升表单申请提高任何一项限制。

有关其他规定的限制的信息，请参阅 Amazon Transcribe 开发人员指南中的准则和限制。

版本 1.0242

http://docs.amazonaws.cn/config/latest/developerguide/resource-config-reference.html#recording-managed-instance-inventory

http://docs.amazonaws.cn/config/latest/developerguide/resource-config-reference.html#recording-managed-instance-inventory

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-transcribe

https://docs.aws.amazon.com/transcribe/latest/dg/limits-guidelines.html

Amazon Web Services 一般参考Amazon Translate 限制

Amazon Translate 限制

资源默认限制

每个语言对的每 10 秒字节数 10000

每个语言对的每秒事务数 20

您可使用 Amazon Translate 服务限制提升表单申请提高任何一项限制。

有关其他规定的限制的信息，请参阅 Amazon Translate 开发人员指南中的准则和限制。

Amazon Virtual Private Cloud (Amazon VPC) 限制除非另有说明，否则可通过提交请求来提高这些限制。


每个区域的 VPC 数量 5 提高此限制会以同样数量增加每个区域的Internet 网关数量限制。区域中的 VPC 数量乘以每个 VPC 的安全组数量不能超过5000。

每个 VPC 的子网数量 200 -

每个 VPC 的 IPv4 CIDR 块数 5 此限制由主要 CIDR 块加上 4 个辅助 CIDR块组成。

每个 VPC 的 IPv6 CIDR 块数 1 不能提高此限制。

每个区域的 Internet 网关数量 5 此限制与每个区域的 VPC 数量限制直接相关。要提高此限制，请提高每个区域的 VPC数限制。一次只有一个 Internet 网关可以连接到 VPC。

每个区域的仅出口 Internet 网关数 5 此限制与每个区域的 VPC 数量限制直接相关。要提高此限制，请提高每个区域的 VPC数限制。一次只有一个仅出口 Internet 网关可以连接到 VPC。

每个区域的虚拟专用网关数量 5 一次只有一个虚拟专用网关可以连接到VPC。

每个区域的客户网关数 50 要提高此限制，请联系 AWS Support。

每个区域的 VPN 连接数 50 -

每个 VPC (每个虚拟专用网关) 的 VPN 连接数量

10 -

每个 VPC 的路由表数 200 此限制包括主路由表。

每个路由表的路由 (非传播路由) 50 可以将此限制提高至最大值 100；但是，网络性能可能会受到影响。此限制对于 IPv4 路

版本 1.0243

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-translate

http://docs.amazonaws.cn/translate/latest/dg/limits-guidelines.html

https://console.amazonaws.cn/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-vpc

Amazon Web Services 一般参考Amazon Virtual Private Cloud (Amazon VPC) 限制

资源默认限制注释由和 IPv6 路由分开实施 (每种路由 50 个，每种路由最多 100 个)。

每个路由表的 BGP 通告路由 (传播路由) 100 不能提高此限制。如果您需要超过 100 个前缀，请通告默认路由。

EC2-VPC 每个区域的弹性 IP 地址数量 5 这是对 EC2-VPC 中使用的弹性 IP 地址数量的限制。有关 EC2-Classic 的弹性 IP 地址，请参阅Amazon Elastic Compute Cloud(Amazon EC2) 限制 (p. 200)。

每个 VPC 的安全组数 500 区域中的 VPC 数量乘以每个 VPC 的安全组数量不能超过 5000。

每个安全组的入站或出站规则 50 对于每个安全组，您可以设置 50 条入站规则和 50 条出站规则 (入站规则和出站规则合起来总数为 100 条)。要更改此限制，请在AWS Support Center中创建一个案例 — 对限制的更改会同时应用于入站和出站规则。每个安全组的入站或出站规则数限制和每个网络接口的安全组数限制的乘积不能超过250。例如，如果您将限制增加到 100，我们会将每个网络接口的安全组数减少为 2。

将单独为 IPv4 规则和 IPv6 规则实施此限制。引用安全组的规则计为针对 IPv4 的一条规则及针对 IPv6 的一条规则。

每个网络接口的安全组数 5 要提高或降低该限制，请联系 AWSSupport。最大值为 16。每个网络接口的安全组数限制与每个安全组的规则数限制的乘积不能超过 250。例如，如果您将限制提高到10，我们会将每个安全组的规则数减至 25。

每个实例的网络接口 - 此限制因实例类型而异。有关更多信息，请参阅每个实例类型每个 ENI 的 IP 地址。

每个区域的网络接口数 350 此限制大于默认限制 (350) 或您的按需实例限制值乘以 5。按需实例的默认限制为 20。如果您的按需实例限制低于 70，则应用默认限制 350。要提高此限制，请提交申请或提高按需实例限制。

每个 VPC 的网络 ACL 数 200 在 VPC 中，您可以将一个网络 ACL 关联到一个或多个子网。此限制与每个网络 ACL 的规则数不同。

每个网络 ACL 的规则数 20 这是单个网络 ACL 的单向限制，其中传入规则的限制为 20，传出规则的限制也为 20。此限制包括 IPv4 和 IPv6 规则，并包括默认拒绝规则 (IPv4 的规则编号为 32767，IPv6 的规则编号为 32768，或在 Amazon VPC 控制台中使用星号 *)。

可将此限制的最大值提高到 40；但是，网络性能可能会受到影响。

版本 1.0244


http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI

Amazon Web Services 一般参考Amazon VPC DNS 限制


每个 VPC 的活动 VPC 对等连接 50 每个 VPC 的最大限制为 125 个对等连接。应相应地增加每个路由表的条目数；但是，网络性能可能会受到影响。

未完成的 VPC 对等连接请求 25 这是从您的账户请求的未完成 VPC 对等连接请求数的限制。要提高此限制，请联系 AWSSupport。

未接受的 VPC 对等连接请求的过期时间 1 周 (168小时)

要提高此限制，请联系 AWS Support。

每个区域的 VPC 终端节点数 20 您可以拥有 20 个接口终端节点和 20 个网关终端节点。无论您的每个区域的终端节点限制是多少，每个 VPC 的最大网关终端节点数限制为 255 个终端节点。

区域中单个网络接口、单个子网或单个 VPC的流日志

2 不能提高此限制。如果您为子网创建 2 个流日志，为网络接口所在的 VPC 创建 2 个流日志，则您在每个网络接口上会有 6 个流日志。

每个可用区域的 NAT 网关 5 处于 pending、active 或 deleting 状态的 NAT 网关都占用限额。

有关这些限制的更多信息，请参阅 Amazon VPC 用户指南中的 Amazon VPC 限制。

Amazon VPC DNS 限制有关这些限制的更多信息，请参阅 Amazon VPC 用户指南中的 DNS 限制。

AWS WAF 限制AWS WAF 对每个账户的实体数施加了默认限制。您可以请求提高这些限制。

资源默认限制

每个 AWS 账户的 Web ACL 数 50

每个 AWS 账户的规则数 100

每个 AWS 账户的条件数每个条件类型对应 100 (例如，100个大小约束条件、100 个 IP 匹配条件等)

每秒请求数每个 web ACL10,000 个*

*此限制仅适用于应用程序负载均衡器上的 AWS WAF。CloudFront 上的 AWS WAF 的每秒请求数 (RPS)限制与 CloudFront 开发人员指南中描述的 CloudFront 支持的 RPS 限制相同。

版本 1.0245

http://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html

http://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/vpc-dns.html#vpc-dns-limits

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-waf

http://docs.amazonaws.cn/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html

Amazon Web Services 一般参考Amazon WorkMail 限制

无法更改 AWS WAF 实体的以下限制。

资源限制

每个 Web ACL 的规则数 10

每个规则的条件数 10

每个 IP 匹配条件的 IP 地址范围数 (以 CIDR 表示法显示) 10000

每个跨站点脚本匹配条件的筛选条件数 10

每个大小约束条件的筛选条件数 10

每个 SQL 注入匹配条件的筛选条件数 10

每个字符串匹配条件的筛选条件数 10

在字符串匹配条件中，HTTP 标头名中的字符数 (如果您已将 AWS WAF 配置为在Web 请求标头中检查指定值)

40

在字符串匹配条件中，您需要 AWS WAF 搜索的值中的字符数 50

在正则表达式匹配条件中，您需要 AWS WAF 搜索的模式中的字符数 70

这些限制与提供了 AWS WAF 的所有区域的限制相同。每个区域分别受这些限制的约束。也就是说，限制不是跨区域累积的。

Amazon WorkMail 限制有关这些限制的更多信息，请参阅 Amazon WorkMail 限制。

Amazon WorkSpaces 限制资源默认限制

WorkSpaces 1

Graphics WorkSpaces 0

映像 5

AWS X-Ray 限制资源默认限制

跟踪和服务图表保留 30 天

分段文档大小 64kB

每个跟踪的索引注释 50

版本 1.0246

http://docs.amazonaws.cn/workmail/latest/adminguide/what_is.html

Amazon Web Services 一般参考下载

AWS 的 IP 地址范围Amazon Web Services (AWS) 以 JSON 格式发布其当前的 IP 地址范围。要查看当前范围，请下载 .json文件。要维护历史记录，请将连续版本的 .json 文件保存在系统上。要确定自上次保存文件以来是否发生更改，请检查当前文件中的发布时间，并将其与上次保存文件中的发布时间进行比较。

内容• 下载 (p. 247)• 语法 (p. 247)• 筛选 JSON 文件 (p. 248)• 实施出口控制 (p. 250)• AWS IP 地址范围通知 (p. 252)

下载下载 ip-ranges.json .

如果您以编程方式访问此文件，您有责任确保仅在成功验证服务器提供的 TLS 证书之后，应用程序才能下载文件。

语法ip-ranges.json 的语法如下。

{ "syncToken": "0123456789", "createDate": "yyyy-mm-dd-hh-mm-ss", "prefixes": [ { "ip_prefix": "cidr", "region": "region", "service": "subset" } ], "ipv6_prefixes": [ { "ipv6_prefix": "cidr", "region": "region", "service": "subset" } ] }

syncToken

采用 Unix 纪元时间格式的发布时间。

类型：字符串

示例："syncToken": "1416435608"

版本 1.0247

https://ip-ranges.amazonaws.com.cn/ip-ranges.json

Amazon Web Services 一般参考筛选 JSON 文件

createDate

发布日期和时间。

类型：字符串

示例："createDate": "2014-11-19-23-29-02"

prefixes

IPv4 地址范围的 IP 前缀。

类型：数组ipv6_prefixes

IPv6 地址范围的 IP 前缀。

类型：数组ip_prefix

用 CIDR 表示法指定的公有 IPv4 地址范围。请注意，AWS 可在更具体的范围内公布前缀。例如，文件中的前缀 96.127.0.0/17 可公布为 96.127.0.0/21、96.127.8.0/21、96.127.32.0/19 和 96.127.64.0/18。

类型：字符串

示例："ip_prefix": "198.51.100.2/24"

ipv6_prefix

用 CIDR 表示法指定的公有 IPv6 地址范围。请注意，AWS 可在更具体的范围内公布前缀。

类型：字符串

示例："ipv6_prefix": "2001:db8:1234::/64"

region

AWS 区域或 GLOBAL（针对边缘站点）。请注意，CLOUDFRONT 和 ROUTE53 的范围是 GLOBAL。

类型：字符串

有效值：ap-northeast-1 | ap-northeast-2 | ap-south-1 | ap-southeast-1 | ap-southeast-2 | ca-central-1 | cn-north-1 | eu-central-1 | eu-west-1 | eu-west-2 | eu-west-3 | sa-east-1 | us-east-1 | us-east-2 | us-gov-west-1 | us-west-1 | us-west-2 |GLOBAL

示例："region": "us-east-1"

service

IP 地址范围的子集。指定 AMAZON 以获取所有 IP 地址范围（例如，EC2 子集中的范围同样也在AMAZON 子集中）。请注意，一些 IP 地址范围仅在 AMAZON 子集中。

类型：字符串

有效值：AMAZON | CLOUDFRONT | CODEBUILD | EC2 | ROUTE53 | ROUTE53_HEALTHCHECKS | S3

示例："service": "AMAZON"

筛选 JSON 文件您可以下载命令行工具以帮助您筛选出自己所要查找的信息。

版本 1.0248

Amazon Web Services 一般参考Windows

Windows适用于 Windows PowerShell 的 AWS 工具包含 cmdlet Get-AWSPublicIpAddressRange 以便分析此 JSON 文件。以下示例展示了其用法。有关更多信息，请参阅查询 AWS 的公有 IP 地址范围和 Get-AWSPublicIpAddressRange。

Example 1. 获取创建日期

PS C:\> Get-AWSPublicIpAddressRange -OutputPublicationDate

Thursday, February 18, 2016 5:22:15 PM

Example 2. 获取特定区域的信息

PS C:\> Get-AWSPublicIpAddressRange -Region us-east-1

IpPrefix Region Service-------- ------ -------23.20.0.0/14 us-east-1 AMAZON50.16.0.0/15 us-east-1 AMAZON50.19.0.0/16 us-east-1 AMAZON...

Example 3. 获取所有 IP 地址

PS C:\> (Get-AWSPublicIpAddressRange).IpPrefix

23.20.0.0/1427.0.0.0/2243.250.192.0/24...

Linux以下示例命令使用 jq 工具分析 JSON 文件的本地副本。

Example 1. 获取创建日期

$ jq .createDate < ip-ranges.json

"2016-02-18-17-22-15"

Example 2. 获取特定区域的信息

$ jq '.prefixes[] | select(.region=="us-east-1")' < ip-ranges.json

{ "ip_prefix": "23.20.0.0/14", "region": "us-east-1", "service": "AMAZON"},{ "ip_prefix": "50.16.0.0/15", "region": "us-east-1", "service": "AMAZON"},

版本 1.0249

http://amazonaws.cn/blogs/developer/querying-the-public-ip-address-ranges-for-aws/

http://docs.amazonaws.cn/powershell/latest/reference/items/Get-AWSPublicIpAddressRange.html

http://docs.amazonaws.cn/powershell/latest/reference/items/Get-AWSPublicIpAddressRange.html

https://stedolan.github.io/jq/

Amazon Web Services 一般参考实施出口控制

{ "ip_prefix": "50.19.0.0/16", "region": "us-east-1", "service": "AMAZON"},...

Example 3. 获取所有 IP 地址

$ jq -r '.prefixes | .[].ip_prefix' < ip-ranges.json

23.20.0.0/1427.0.0.0/2243.250.192.0/24...

实施出口控制要仅允许实例访问 AWS 服务，可使用规则创建安全组，这些规则允许出站流量流向 AMAZON 列表中的CIDR 块 (排除也在 EC2 列表中的 CIDR 块)。EC2 列表中的 IP 地址可以分配给 EC2 实例。

的 AWS 工具以下 PowerShell 示例显示了如何获取位于 AMAZON 列表中但不位于 EC2 列表中的 IP 地址。复制脚本并将其保存到名为 Select_address.ps1 的文件中。

$amazon_addresses = Get-AWSPublicIpAddressRange -ServiceKey amazon$ec2_addresses = Get-AWSPublicIpAddressRange -ServiceKey ec2

ForEach ($address in $amazon_addresses){ if( $ec2_addresses.IpPrefix -notcontains $address.IpPrefix) { ($address).IpPrefix }}

您可以按如下方式运行此脚本：

PS C:\> .\Select_address.ps113.32.0.0/1513.35.0.0/1613.248.0.0/2013.248.16.0/2113.248.24.0/2213.248.28.0/2227.0.0.0/2243.250.192.0/2443.250.193.0/24...

jq以下 bash 脚本显示了如何获取位于 AMAZON 列表中但不位于 EC2 列表中的 IP 地址。复制脚本并将其保存到名为 get_ips.sh 的文件中。

版本 1.0250

Amazon Web Services 一般参考Python

#!/bin/bashamazon_ips=( $(curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="AMAZON") | .ip_prefix') )ec2_ips=( $(curl -s https://ip-ranges.amazonaws.com/ip-ranges.json | jq -r '.prefixes[] | select(.service=="EC2") | .ip_prefix') )

containsElement () { local element match="$1" shift for element do [[ "$element" == "$match" ]] && return 0; done return 1}

for ip in "${amazon_ips[@]}"do if ! containsElement "$ip" "${ec2_ips[@]}" then echo $ip fidone


$ bash ./get_ips.sh13.32.0.0/1513.35.0.0/1613.248.0.0/2013.248.16.0/2113.248.24.0/2213.248.28.0/2227.0.0.0/2243.250.192.0/2443.250.193.0/24...

Python以下 python 脚本显示了如何获取位于 AMAZON 列表中但不位于 EC2 列表中的 IP 地址。复制脚本并将其保存到名为 get_ips.py 的文件中。

#!/usr/bin/env pythonimport requests

ip_ranges = requests.get('https://ip-ranges.amazonaws.com/ip-ranges.json').json()['prefixes']amazon_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "AMAZON"]ec2_ips = [item['ip_prefix'] for item in ip_ranges if item["service"] == "EC2"]

amazon_ips_less_ec2=[] for ip in amazon_ips: if ip not in ec2_ips: amazon_ips_less_ec2.append(ip)

for ip in amazon_ips_less_ec2: print(str(ip))


$ python ./get_ips.py

版本 1.0251

Amazon Web Services 一般参考AWS IP 地址范围通知

13.32.0.0/1513.35.0.0/1613.248.0.0/2013.248.16.0/2113.248.24.0/2213.248.28.0/2227.0.0.0/2243.250.192.0/2443.250.193.0/24...

AWS IP 地址范围通知只要 AWS IP 地址范围发生更改，我们就会向 AmazonIpSpaceChanged 主题的订阅者发送通知。有效负载包含以下格式的信息：

{ "create-time":"yyyy-mm-ddThh:mm:ss+00:00", "synctoken":"0123456789", "md5":"6a45316e8bc9463c9e926d5d37836d33", "url":"https://ip-ranges.amazonaws.com.cn/ip-ranges.json"}

create-time

创建日期和时间。

通知可能不按顺序传输。因此，我们建议您检查时间戳以确保正确的顺序。synctoken

采用 Unix 纪元时间格式的发布时间。md5

ip-ranges.json 文件的加密哈希值。可以使用此值来检查下载的文件是否已损坏。url

ip-ranges.json 文件的位置。

如果您希望只要 AWS IP 地址范围发生更改就收到通知，可以按以下所示进行订阅，以便使用 Amazon SNS接收通知。

订阅 AWS IP 地址范围通知

1. 通过以下网址打开 Amazon SNS 控制台：https://console.amazonaws.cn/sns/v2/home。2. 在导航栏中，将区域更改为美国东部（弗吉尼亚北部） (如果需要)。您必须选择此区域，因为您订阅的

SNS 通知是在此区域中创建的。3. 在导航窗格中，选择 Subscriptions。4. 选择 Create subscription。5. 在 Create subscription 对话框中，执行以下操作：

a. 对于 Topic ARN，复制以下 Amazon 资源名称 (ARN)：

arn:aws:sns:us-east-1:806199016981:AmazonIpSpaceChanged

b. 对于 Protocol，选择要使用的协议 (例如 Email)。

版本 1.0252

https://console.amazonaws.cn/sns/v2/home

Amazon Web Services 一般参考AWS IP 地址范围通知

c. 对于 Endpoint，键入用于接收通知的终端节点 (例如，您的电子邮件地址)。d. 选择 Create subscription。

6. 将通过您指定的终端节点与您联系并要求您确认订阅。例如，如果指定了电子邮件地址，您会收到一封主题行为 AWS Notification - Subscription Confirmation 的电子邮件。请按照说明确认订阅。

通知受到终端节点可用性约束。因此，应定期检查 JSON 文件以确保您在最新范围内。有关 Amazon SNS可靠性的更多信息，请参阅http://amazonaws.cn/sns/faqs/#Reliability。

如果您不希望再收到这些通知，请通过以下步骤取消订阅。

取消订阅 AWS IP 地址范围通知

1. 通过以下网址打开 Amazon SNS 控制台：https://console.amazonaws.cn/sns/v2/home。2. 在导航窗格中，选择 Subscriptions。3. 选中订阅对应的复选框。4. 选择 Actions 和 Delete subscriptions。5. 当系统提示进行确认时，选择 Delete。

有关 Amazon SNS 的更多信息，请参阅Amazon Simple Notification Service 开发人员指南。

版本 1.0253

http://amazonaws.cn/sns/faqs/#Reliability

https://console.amazonaws.cn/sns/v2/home

http://docs.amazonaws.cn/sns/latest/dg/


AWS 中的错误重试和指数退避网络上的大量组件 (例如 DNS 服务器、交换机、负载均衡器等) 都可能在某个指定请求生命周期中的任一环节出现问题。在联网环境中，处理这些错误回应的常规技术是在客户应用程序中实施重试。此技术可以提高应用程序的可靠性和降低开发人员的操作成本。

每个 AWS 开发工具包都会实现自动重试逻辑。AWS SDK for Java会自动重试请求，您可以使用ClientConfiguration 类配置重试设置。例如，对于发出的请求采用最低延迟并且不想重试的网页，您可能会希望关闭重试逻辑。您可以使用 ClientConfiguration 类，并且为 maxErrorRetry 提供 0 这个值，从而设置为不重试。

如果您没有使用 AWS 开发工具包，则应当对收到服务器错误 (5xx) 或限制错误的原始请求执行重试。但是，客户端错误 (4xx) 表示您需要对请求本身进行修改，纠正该问题，然后再重试。

除了简单重试之外，每个 AWS 开发工具包还实施指数退避算法来实现更好的流程控制。指数退避的原理是对于连续错误响应，重试等待间隔越来越长。您应该实施最长延迟间隔和最大重试次数。最长延迟间隔和最大重试次数不一定是固定值，并且应当根据正在执行的操作和其他本地因素（例如网络延迟）进行设置。

大多数指数退避算法会利用抖动（随机延迟）来防止连续的冲突。由于在这些情况下您并未尝试避免此类冲突，因此无需使用此随机数字。但是，如果使用并发客户端，抖动可帮助您更快地成功执行请求。有关更多信息，请参阅指数退避和抖动的博文。

以下伪代码显示了一种使用增量延迟轮询状态的方法。

Do some asynchronous operation.

retries = 0

DO wait for (2^retries * 100) milliseconds

status = Get the result of the asynchronous operation.

IF status = SUCCESS retry = false ELSE IF status = NOT_READY retry = true ELSE IF status = THROTTLED retry = true ELSE Some other error occurred, so stop calling the API. retry = false END IF

retries = retries + 1

WHILE (retry AND (retries < MAX_RETRIES))

以下代码演示如何在 Java 中实施此增量延迟。

public enum Results { SUCCESS, NOT_READY, THROTTLED, SERVER_ERROR}

版本 1.0254

http://www.awsarchitectureblog.com/2015/03/backoff.html


/* * Performs an asynchronous operation, then polls for the result of the * operation using an incremental delay. */public static void doOperationAndWaitForResult() {

try { // Do some asynchronous operation. long token = asyncOperation();

int retries = 0; boolean retry = false;

do { long waitTime = Math.min(getWaitTimeExp(retries), MAX_WAIT_INTERVAL);

System.out.print(waitTime + "\n");

// Wait for the result. Thread.sleep(waitTime);

// Get the result of the asynchronous operation. Results result = getAsyncOperationResult(token);

if (Results.SUCCESS == result) { retry = false; } else if (Results.NOT_READY == result) { retry = true; } else if (Results.THROTTLED == result) { retry = true; } else if (Results.SERVER_ERROR == result) { retry = true; } else { // Some other error occurred, so stop calling the API. retry = false; }

} while (retry && (retries++ < MAX_RETRIES)); }

catch (Exception ex) { }}

/* * Returns the next wait interval, in milliseconds, using an exponential * backoff algorithm. */public static long getWaitTimeExp(int retryCount) {

long waitTime = ((long) Math.pow(2, retryCount) * 100L);

return waitTime;}

版本 1.0255

Amazon Web Services 一般参考用于 Amazon S3 客户端加密的 AWS 软件开发工具包功能

AWS 软件开发工具包支持 AmazonS3 客户端加密

下表提供了语言特定的 AWS 软件开发工具包支持的加密算法和功能的列表。有关如何使用特定软件开发工具包的功能的详细信息，请参阅该软件开发工具包的开发人员指南。

如果您是首次使用加密，请参阅 AWS Key Management Service Developer Guide 中的加密基础知识，以熟悉术语和概念。

Note

AWS 加密 SDK 是与特定语言的软件开发工具包分离的加密库。您可以使用此加密库更轻松地在应用程序中实现加密最佳做法。与特定语言的 AWS 软件开发工具包中的 Amazon S3 加密客户端不同，AWS 加密 SDK 不与 Amazon S3 绑定，并且可用于加密或解密要存储在任何位置的数据。AWS 加密 SDK 和 Amazon S3 加密客户端不兼容，因为它们生成具有不同数据格式的密文。有关AWS 加密 SDK 的更多详细信息，请参阅 AWS 加密 SDK 开发人员指南。

用于 Amazon S3 客户端加密的 AWS 软件开发工具包功能

在下表中，每一列指示特定语言的 AWS 软件开发工具包是否支持客户端加密中使用的功能。

要在上传到 Amazon S3 之前使用 Amazon S3 客户端加密功能对数据进行加密，则必须向 Amazon S3 加密客户端提供主密钥。您可以提供客户端主密钥或使用 AWS KMS 管理的主密钥功能。AWS KMS 管理的主密钥功能提供了一种创建和管理用于加密数据的密钥的简单方法。有关这些功能的更多详细信息，请选择“功能”列中提供的链接。

有关如何使用特定软件开发工具包的功能的详细信息，请参阅该软件开发工具包的开发人员指南。

功能 Java .NET Ruby v2 CLI Boto3 PHP v3 JavaScript转到 C++

AmazonS3 客户端加密

是是是否否是否是是

AWSKMS 管理的主密钥

是否是否否是否是是

有关支持客户端加密的每种特定语言的软件开发工具包中的 Amazon S3 加密客户端的更多详细信息，请参阅以下博客文章。

• 使用适用于 Java 的 AWS 软件开发工具包的 Amazon S3 客户端数据加密• 使用适用于 .NET 的 AWS 软件开发工具包和 Amazon S3 的客户端数据加密• 在适用于 Ruby 的 AWS 软件开发工具包中使用 S3 客户端数据加密• 对 Go 加密客户端使用 AWS 软件开发工具包

版本 1.0256

http://docs.amazonaws.cn/kms/latest/developerguide/crypto-intro.html

http://docs.amazonaws.cn/encryption-sdk/latest/developer-guide/

http://docs.amazonaws.cn/encryption-sdk/latest/developer-guide/

http://docs.amazonaws.cn/AmazonS3/latest/dev/UsingClientSideEncryption.html



http://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#master_keys




http://blog.csdn.net/aws/client-side-data-encryption-using-the-aws-sdk-for-java/

http://blog.csdn.net/developer/client-side-data-encryption-with-aws-sdk-for-net-and-amazon-s3/

http://blog.csdn.net/developer/using-client-side-encryption-for-s3-in-the-aws-sdk-for-ruby/

http://blog.csdn.net/developer/using-the-aws-sdk-for-go-encryption-client

Amazon Web Services 一般参考Amazon S3 加密客户端加密算法

• 面向 C++ 开发人员的 Amazon S3 加密客户端现已推出

Amazon S3 加密客户端加密算法下表列出了使用 Amazon S3 加密客户端时，每个特定语言的 AWS 软件开发工具包对加密密钥和数据支持的算法列表。

Algorithm Java .NET Ruby v2 CLI Boto3 PHP v3 JavaScript转到 C++

AES/ECB 密钥包装(不推荐)

是是是否否否否否否

AES/Wrap 密钥包装

是否否否否否否否是

RSA 密钥包装

是否是否否否否否否

AES/CBC 内容加密(仅加密模式)

是是是否否是否是是

AES/GCM 内容加密(严格身份验证模式)

是否是否否是否是是

AES/CTR 内容加密(经身份验证的模式仅用于RangeGET 解密)

是否是否否否否否是

有关经身份验证和仅加密模式的更多详细信息，请参阅 Amazon S3 客户端经过身份验证的加密博客文章。

版本 1.0257

http://blog.csdn.net/developer/amazon-s3-encryption-client-is-now-available-for-c

http://blog.csdn.net/developer/amazon-s3-client-side-authenticated-encryption/

Amazon Web Services 一般参考段落、行间距和水平线

在 AWS 中使用 MarkdownAWS 管理控制台支持在某些字段中使用 Markdown (一种标记语言)。本主题说明控制台中支持的 Markdown格式的类型。

主题• 段落、行间距和水平线 (p. 258)• 标题 (p. 258)• 文本格式设置 (p. 259)• Links (p. 259)• 清单 (p. 259)• 表和按钮 (CloudWatch 控制面板) (p. 260)

段落、行间距和水平线段落由空白行分隔。要插入换行符，请使用后跟一个空白行。如此重复使用可以连续插入多个空白行，如下面插入两个空白行的示例所示：

要创建水平线，请连续键入三个连字符：---

要创建等宽类型的文本块，请首先键入一个仅包含三个以下字符的行：```。然后键入文本，再键入另一个仅包含 ``` 的行

``` This appears in a text box with a background shading. The text is in monospace. ```

标题标题由数字符号 (#) 指定。一个数字符号和一个空格表示一个顶级标题，两个数字符号将创建一个第二级标题，三个数字符号将创建一个第三级标题，如以下示例中所示。

# Top-level heading

## Second-level heading

### Third-level heading

版本 1.0258

Amazon Web Services 一般参考文本格式设置

文本格式设置要将文本的格式设置为斜体，请在文本的两端各使用一个下划线或星号以将其括起。

*This text appears in italics.*

要将文本的格式设置为粗体，请在文本的两端各使用两个下划线或星号以将其括起。

**This text appears in bold.**

要将文本的格式设置为带删除线，请在文本的两端各使用两个波浪线以将其括起。

~~This text appears in strikethrough.~~

Links要添加显示为文本的可单击的 Web 链接，请输入由方括号括起的 link_text，并且后跟用圆括号括起的完整 URL。

Choose [link_text](http://aws.amazon.com).

清单要将行的格式设置为项目符号列表的一部分，请在单独的行上键入文本并在每行的开头依次添加一个星号和一个空格：

Here is a bulleted list:

* Ant

* Bug

* Caterpillar

要将行的格式设置为数字列表的一部分，请在单独的行上键入文本并在每行的开头依次添加一个数字、一个句点和一个空格：

Here is a numbered list:

1. Do the first step

2. Do the next step

3. Do the final step

版本 1.0259

Amazon Web Services 一般参考表和按钮 (CloudWatch 控制面板)

表和按钮 (CloudWatch 控制面板)CloudWatch 控制面板文本小部件支持 Markdown 表和按钮。

要创建表，请使用竖线 (|)。要将第一行作为标题行区分开来，请在每个条目中插入一个至少包含三个连字符的行。以下示例 Markdown 文本将创建下面的表。

Table | Header----|-----Amazon Web Services | AWS1 | 2

Table 标头

Amazon Web Services AWS

1 2

在 CloudWatch 控制面板文本小部件中，您也可以使用 [button:Button text] 将 Web 链接的格式设置为作为按钮显示。

[button:Go to AWS](http://aws.amazon.com) [button:primary:This button stands out even more](http://aws.amazon.com)

版本 1.0260


文档惯例以下是 AWS 技术出版物的常见印刷惯例。

内联代码 (例如命令、操作、参数、常数、XML 元素和正则表达式)

格式：文本采用等宽字体

示例：java -version

示例数据块 (例如，示例代码和脚本)

格式：阴影块中的文本，采用等宽字体

例如：

# ls -l /var/www/html/index.html-rw-rw-r-- 1 root root 1872 Jun 21 09:33 /var/www/html/index.html# dateWed Jun 21 09:33:42 EDT 2006

互斥选项

格式：用竖线分隔的文本

示例：(start | stride | edge)

可选参数

格式：文本用方括号括起

示例：[-n, -quiet]

定义

格式：斜体文本

示例：Amazon 系统映像 (AMI)技术出版物

格式：斜体文本

示例：Amazon Simple Storage Service 开发人员指南用户界面中的元素

格式：粗体文本

示例：选择文件、属性。用户输入 (用户键入的文本)

格式：文本采用等宽字体

示例：请键入 my-new-resource 作为名称。必需值的占位符文本

格式：红色斜体文本

例如：

版本 1.0261


aws ec2 register-image --image-location my-s3-bucket/image.manifest.xml

版本 1.0262


AWS 词汇表

Numbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

数字和符号100-继续它是一种方法，使客户在实际发送请求之前，查看服务器是否可以接受请求。对于大

型的 PUT 请求而言，这种方法可以同时节省时间和带宽费用。

ANumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

AAD See 其他已经过身份验证的数据.

访问控制列表 (ACL) 定义哪些人可以访问特定存储桶 (p. 275)或对象的文档。Amazon S3 (p. 268) 中的每个存储桶 (p. 275)和对象都有 ACL。此文档定义每个类型的用户可以执行哪些操作，如写入和读取权限。

访问标识符 See 凭证.

访问密钥访问密钥 ID (p. 263)（如 AKIAIOSFODNN7EXAMPLE）和秘密访问密钥 (p. 299)（如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY）的组合。使用访问密钥来签署您向 AWS 发出的 API 请求。

访问密钥 ID 与秘密访问密钥 (p. 299)关联的唯一标识符；访问密钥 ID 和秘密访问密钥一起使用，对编程方式的 AWS 请求进行加密签名。

访问密钥交替一种通过更改 AWS 访问密钥 ID 来提高安全性的方法。使用这种方法，您可以自行决定何时停用旧密钥。

访问策略语言一种用于编写哪些人在哪些条件下可以访问特定 AWS 资源 (p. 297)的文档（即策略 (p. 293)）的语言。

版本 1.0263


账户与 AWS 的正式关系，它与以下项目关联：(1) 所有者电子邮件地址和密码，(2)对在账户下创建的资源 (p. 297)的控制，(3) 对与这些资源相关的 AWS 活动的付款。AWS 账户有权使用 AWS 账户内的所有资源执行任何和一切操作。这与user (p. 304)正好相反，用户是账户中包含的实体。

账户活动用于显示您月初至今 AWS 使用情况和费用的网页。账户活动页面位于 http://amazonaws.cn/account-activity/。

ACL See 访问控制列表 (ACL).

ACM See AWS Certificate Manager (ACM).

ACM PCA See AWS Certificate Manager 私有证书颁发机构 (ACM PCA).

ACM 私有 CA See AWS Certificate Manager 私有证书颁发机构 (ACM PCA).

操作一个 API 函数。也称为操作或调用。委托人 (p. 294) 有权执行的活动。操作是“如果 D 适用的情况下，那么 A 可以对 C 执行 B”语句中的 B。例如，Jane 用Action=ReceiveMessage 向 Amazon SQS (p. 268) 发送请求。

Amazon CloudWatch (p. 265)：警报状态的变化（例如从 OK 变为 ALARM）导致的响应。状态变化可能是由于某个指标达到警报阈值引起的，或者是由SetAlarmState 请求引起的。每个警报都可能对每个状态指定一个或多个动作。每次当警报变为具有所指定操作的状态时，就会执行这些操作，如 Amazon SimpleNotification Service (p. 268) 通知、Auto Scaling (p. 269) 策略 (p. 293)执行或Amazon EC2 (p. 265) 实例 (p. 286)停止/终止操作。

有效的可信签署人一个列表，其中显示您所指定的所有可信签署人以及 Amazon CloudFront (p. 264)可识别的相应有效密钥对的 ID。要能够创建有效的签署 URL，可信签署人及至少一个密钥对 ID 必须出现在此列表中。

其他已经过身份验证的数据已检查完整性但未加密的信息，例如标头或其他上下文元数据。

管理暂停 Auto Scaling (p. 269) 可能会暂挂多次启动实例失败的 Auto Scaling 组 (p. 269)的流程。最常遇到管理挂起的 Auto Scaling 组通常符合以下条件：没有正在运行的实例，连续尝试启动实例的时间超过 24 小时，但是未在这段时间成功启动。

警报一个项目，它在指定时间段内监视单个指标，如果在一个预先确定的若干个时间段内指标值超过了阈值，则会触发 Amazon SNS (p. 268) topic (p. 304)或 AutoScaling (p. 269) 策略 (p. 293)。

允许评估 IAM (p. 271) 访问策略 (p. 293)时的两种可能结果之一（另一个是拒绝 (p. 280)）。用户向 AWS 提出请求时，AWS 将基于应用于用户的所有权限评估请求，然后返回允许或拒绝。

Amazon API Gateway 一种完全托管服务，使开发人员能够轻松地创建、发布、维护、监控和保护任何规模的 API。See Also http://amazonaws.cn/api-gateway.

Amazon AppStream 一项 Web 服务，用于将现有 Windows 应用程序从云流式传输到任何设备。See Also http://amazonaws.cn/appstream/.

Amazon Aurora 一个完全托管的、与 MySQL 兼容的关系数据库引擎，它结合了商用数据库的速度和可用性，同时还具有开源数据库的简单性和成本效益。See Also http://amazonaws.cn/rds/aurora/.

Amazon Cloud Directory(Cloud Directory)

为应用程序的多层次数据提供高度可扩展的目录存储的服务。See Also http://amazonaws.cn/cloud-directory/.

Amazon CloudFront 一项 AWS 内容传输服务，可帮助您提高网站和应用程序的性能、可靠性和可用性。

版本 1.0264

http://amazonaws.cn/account-activity/

http://amazonaws.cn/account-activity/


See Also http://amazonaws.cn/cloudfront.

Amazon CloudSearch AWS 云中的完全托管服务，可让您轻松地为网站或应用程序设置、管理或扩展搜索解决方案。

Amazon CloudWatch 一项 Web 服务，用于监控和管理各种指标，并根据这些指标的数据配置警报操作。See Also http://amazonaws.cn/cloudwatch.

Amazon CloudWatch Events 一项 Web 服务，使您能够向 AWS Lambda (p. 272) 函数、Amazon Kinesis DataStreams (p. 266) 中的流、Amazon Simple Notification Service (p. 268) 主题或内置目标提供描述 AWS 资源 (p. 297)更改的实时系统事件流。See Also http://amazonaws.cn/cloudwatch.

Amazon CloudWatch Logs 一项 Web 服务，用于从现有的系统、应用程序和自定义日志文件监控您的系统和应用程序并进行问题排查。您可以将现有日志文件发送到 CloudWatch Logs，并以近乎实时的方式监控这些日志。See Also http://amazonaws.cn/cloudwatch.

Amazon Cognito 一项 Web 服务，可让您轻松地在 AWS 云中保存移动用户数据（例如，应用程序首选项或游戏状态），而无需编写任何后端代码或管理任何基础设施。AmazonCognito 提供跨设备的移动身份管理和数据同步。See Also http://amazonaws.cn/cognito/.

Amazon DynamoDB 一种完全托管的 NoSQL 数据库服务，提供快速可预测的性能，同时还能够实现无缝扩展。See Also http://amazonaws.cn/dynamodb/.

适用于 Titan 的 AmazonDynamoDB 存储后端

一个适用于基于 Amazon DynamoDB 实施的 Titan 图形数据库的存储后端。Titan 是针对存储和查询图形进行优化的可扩展图形数据库。See Also http://amazonaws.cn/dynamodb/.

Amazon DynamoDB Streams 一个 AWS 服务，可在任何 Amazon DynamoDB 表中捕获按时间排序的项目级修改序列，并将这类信息存储在日志中长达 24 个小时。应用程序可访问此日志并在数据项目修改前后显示时实时查看数据项目。See Also http://amazonaws.cn/dynamodb/.

Amazon Elastic Block Store(Amazon EBS)

一项为使用 EC2 实例 (p. 281)而提供数据块级存储卷 (p. 305)的服务。See Also http://amazonaws.cn/ebs.

由 Amazon EBS 支持的 AMI 一种 Amazon 系统映像 (AMI) (p. 267)，其实例 (p. 286)使用 AmazonEBS (p. 265) 卷 (p. 305)作为其根设备。将这种实例与从实例存储支持的AMI (p. 286) 启动的实例进行比较，后者使用实例存储 (p. 286)作为根设备。

Amazon Elastic ContainerRegistry (Amazon ECR)

一个完全托管的 Docker 容器注册表，可让开发人员轻松地存储、管理和部署Docker 容器映像。Amazon ECR 与 Amazon Elastic Container Service (AmazonECS) (p. 265) 和 AWS Identity and Access Management (IAM) (p. 271) 集成。See Also http://amazonaws.cn/ecr.

Amazon Elastic ContainerService (Amazon ECS)

一项高度可扩展的快速容器 (p. 277)管理服务，可让您轻松运行、停止和管理 EC2实例 (p. 281)群集 (p. 276)上的 Docker 容器。See Also http://amazonaws.cn/ecs.

Amazon ECS 服务一种用于同时运行和维护指定数量的task (p. 303)（任务定义 (p. 303)实例化）的服务。

Amazon EC2 VM Import 连接器

See http://amazonaws.cn/ec2/vm-import.

Amazon Elastic ComputeCloud (Amazon EC2)

一项 Web 服务，可让您启动和管理 Amazon 数据中心内的 Linux/UNIX 和 Windows服务器实例 (p. 286)。

版本 1.0265


See Also http://amazonaws.cn/ec2.

Amazon Elastic File System(Amazon EFS)

一个适用于 EC2 (p. 265) 实例 (p. 286)的文件存储服务。Amazon EFS 易于使用，并提供了可用于创建和配置文件系统的简单接口。Amazon EFS 存储容量会在您添加和删除文件时自动增加和缩减。See Also http://amazonaws.cn/efs/.

Amazon EMR (Amazon EMR) 一项 Web 服务，让您能够轻松高效地处理大量数据。Amazon EMR 使用Hadoop (p. 285) 处理方法，并结合多种 AWS 产品，可完成以下各项任务：Web索引、数据挖掘、日志文件分析、机器学习、科学模拟以及数据仓库。See Also http://amazonaws.cn/elasticmapreduce.

Amazon Elastic Transcoder 一个基于云的媒体转码服务。Elastic Transcoder 是一个高度可扩展的工具，用于将媒体文件从其源格式转换（或转码）为将在智能手机、平板电脑和 PC 等设备上播放的版本。See Also http://amazonaws.cn/elastictranscoder/.

Amazon ElastiCache 一个 Web 服务，可让您轻松地在云中部署、操作和扩展内存中缓存。该服务允许从快速的托管内存中缓存中检索信息，而无需完全依赖于速度较慢的基于磁盘的数据库，从而提高了 Web 应用程序的性能。See Also http://amazonaws.cn/elasticache/.

Amazon Elasticsearch Service(Amazon ES)

一个 AWS 托管服务，可用于在 AWS 云中部署、操作和扩展 Elasticsearch (一个开源搜索和分析引擎)。Amazon Elasticsearch Service (Amazon ES) 还提供安全性选项、高可用性、数据持久性以及对 Elasticsearch API 的直接访问权限。See Also http://amazonaws.cn/elasticsearch-service.

Amazon GameLift 一个托管服务，可用于部署、操作和扩展基于会话的多玩家游戏。See Also http://amazonaws.cn/gamelift/.

Amazon Glacier 一个安全、持久且成本较低的存储服务，适用于数据存档和长期备份。您可使用该服务以可靠方式存储大量或少量数据，且成本显著低于本地解决方案。Amazon Glacier已针对不频繁访问的数据进行优化（适合几小时检索一次的数据）。See Also http://amazonaws.cn/glacier/.

Amazon GuardDuty 一项持续的安全监控服务。Amazon GuardDuty 可帮助识别 AWS 环境中的意外活动和潜在的未经授权或恶意活动。See Also http://amazonaws.cn/guardduty/.

Amazon Inspector 一项自动安全评估服务，有助于提高在 AWS 上部署的应用程序的安全性与合规性。Amazon Inspector 会自动评估应用程序的漏洞以及偏离最佳实践的情况。执行评估后，Amazon Inspector 会生成一份详细的报告，其中包含按优先顺序排列的补救步骤。See Also http://amazonaws.cn/inspector.

Amazon Kinesis 一个面向 AWS 上的流数据的平台。Kinesis 提供可简化流数据的加载和分析的服务。See Also http://amazonaws.cn/kinesis/.

Amazon Kinesis DataFirehose

一个完全托管的服务，可用于将流数据加载到 AWS 中。Kinesis Data Firehose 可捕获流数据并自动将它加载到 Amazon S3 (p. 268) 和 Amazon Redshift (p. 267)中，并通过现有的商业智能工具和控制面板执行几乎实时的分析。Kinesis DataFirehose 可自动扩展以满足数据吞吐量，并且不需要持续管理。它还可以在加载数据之前对数据进行批处理、压缩和加密。See Also http://amazonaws.cn/kinesis/firehose/.

Amazon Kinesis Data Streams 一个 Web 服务，可用于构建将处理或分析流数据以满足具体需求的自定义应用程序。Amazon Kinesis Data Streams 能够每小时从成千上万个来源连续捕获和存储数TB 的数据。

版本 1.0266


See Also http://amazonaws.cn/kinesis/streams/.

Amazon Lightsail Lightsail 旨在为使用 AWS 启动和管理虚拟专用服务器提供一种最简单的方法。Lightsail 提供了捆绑计划，其中包括部署虚拟专用服务器所需的一切，月度费用较低。See Also http://amazonaws.cn/lightsail/.

Amazon Lumberyard 一个用于创建高品质游戏的跨平台的 3D 游戏引擎。您可以将游戏与 AWS 云的计算和存储相关联，并吸引 Twitch 上的爱好者的关注。See Also http://amazonaws.cn/lumberyard/.

Amazon 系统映像 (AMI) Amazon Elastic Block Store (Amazon EBS) (p. 265) 或 Amazon Simple StorageService (p. 268) 中存储的已加密的计算机映像。AMI 就像计算机根驱动器的模板。它们包含操作系统，还可以包括软件和应用程序层，如数据库服务器、中间件、Web 服务器等等。

Amazon Machine Learning 一个基于云的服务，该服务通过查找现有数据中的模式来创建机器学习 (ML) 模型，然后使用这些模型处理新数据并生成预测。See Also http://amazonaws.cn/machine-learning/.

Amazon Macie 一项安全服务，使用机器学习来自动发现、分类和保护 AWS 中的敏感数据。See Also http://amazonaws.cn/macie/.

Amazon ML See Amazon Machine Learning.

Amazon Mobile Analytics 一个用来大规模收集、可视化、理解并提取移动应用使用率数据的服务。See Also http://amazonaws.cn/mobileanalytics.

Amazon MQ Apache ActiveMQ 的托管消息代理服务，它能让您轻松地在云中设置和操作消息代理。See Also http://amazonaws.cn/amazon-mq/.

Amazon QuickSight 这是一项快速的商业分析服务，以云为强大后盾，可让您轻松地实现数据可视化、执行分析以及快速地从数据中获得业务见解。See Also http://amazonaws.cn/quicksight/.

Amazon Redshift 一个完全托管的 PB 级云中数据仓库服务。借助 Amazon Redshift，您可使用现有的商业智能工具来分析您的数据。See Also http://amazonaws.cn/redshift/.

Amazon Relational DatabaseService (Amazon RDS)

一项 Web 服务，让用户能够在云中更轻松地设置、操作和扩展关系数据库。它可以经济有效的为用户提供一个容量可调的行业标准的关系数据库，并承担常见的数据库管理任务。See Also http://amazonaws.cn/rds.

Amazon 资源名称 (ARN) 一种引用 AWS 资源 (p. 297)的标准化方式。例如：arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob。

Amazon Route 53 一项 Web 服务，您可用来创建新 DNS 服务或将现有 DNS 服务迁移到云中。See Also http://amazonaws.cn/route53.

Amazon S3 See Amazon Simple Storage Service (Amazon S3).

由 Amazon S3 支持的 AMI See 实例存储支持的 AMI.

Amazon Silk 仅在 Fire OS 平板电脑和手机上可用的下一代 Web 浏览器。Amazon Silk 基于一个拆分架构（划分客户端和 AWS 云之间的处理）构建，旨在创建更快的、更具响应性的移动浏览体验。

Amazon Simple Email Service(Amazon SES)

一种针对应用程序的简单易用、经济高效的电子邮件解决方案。

版本 1.0267


See Also http://amazonaws.cn/ses.

Amazon Simple NotificationService (Amazon SNS)

一项 Web 服务，应用程序、终端用户和设备通过该服务可以即时发送和接收云通知。See Also http://amazonaws.cn/sns.

Amazon Simple QueueService (Amazon SQS)

可靠的可扩展托管队列，用于存储计算机之间传输的消息。See Also http://amazonaws.cn/sqs.

Amazon Simple StorageService (Amazon S3)

面向 Internet 的存储。您可以使用它随时从任何位置在 Web 上存储和检索任意数量的数据。See Also http://amazonaws.cn/s3.

Amazon Simple WorkflowService (Amazon SWF)

一种完全托管的服务，可帮助开发人员构建、运行和扩展具有并行或连续步骤的后台作业。Amazon SWF 类似于云中的状态跟踪器和任务协调器。See Also http://amazonaws.cn/swf/.

Amazon Sumerian 一组用于在 Web 上创建并运行高质量 3D、增强现实 (AR) 和虚拟现实 (VR) 应用程序的工具。See Also http://amazonaws.cn/sumerian/.

Amazon Virtual Private Cloud(Amazon VPC)

一个用于在 AWS 云中预配置逻辑分隔区域的 Web 服务，您可以在该区域中启动您定义的虚拟网络中的 AWS 资源 (p. 297)。您可以控制您的虚拟网络环境，包括选择您自己的 IP 地址范围、创建子网 (p. 302)以及配置路由表 (p. 297)和网络网关。See Also http://amazonaws.cn/vpc.

Amazon VPC See Amazon Virtual Private Cloud (Amazon VPC).

Amazon Web Services (AWS) 一个面向各种规模的公司的云中基础设施 Web 服务平台。See Also http://amazonaws.cn/what-is-cloud-computing/.

Amazon WorkDocs 一个托管的安全企业文档存储和共享服务，具有管理控制和反馈功能。See Also http://amazonaws.cn/workdocs/.

Amazon WorkMail 一个托管的安全企业电子邮件和日历服务，可支持现有桌面和移动电子邮件客户端。See Also http://amazonaws.cn/workmail/.

Amazon WorkSpaces 一个托管的安全桌面计算服务，可用于预配置基于云的桌面并向用户提供对来自受支持设备的文档、应用程序和资源 (p. 297)的访问权。See Also http://amazonaws.cn/workspaces/.

Amazon WorkSpacesApplication Manager (AmazonWAM)

一个用于部署和管理 Amazon WorkSpaces 的应用程序的 Web 服务。通过将Windows 桌面应用程序打包到虚拟化的应用程序容器中，Amazon WAM 可以加快软件部署、升级、修补和停用。See Also http://amazonaws.cn/workspaces/applicationmanager.

AMI See Amazon 系统映像 (AMI).

分析方案 Amazon CloudSearch (p. 265)：特定于语言的文本分析选项，适用于文本字段，用于控制词干分解和配置非索引字和同义词。

应用程序 AWS Elastic Beanstalk (p. 271)：组件的逻辑集合，包括环境、版本和环境配置。应用程序在概念上类似于文件夹。

AWS CodeDeploy (CodeDeploy) (p. 270)：唯一标识要部署的应用程序的名称。AWS CodeDeploy 使用此名称以确保修订、部署和配置的正确组合，并确保在部署期间引用部署组。

应用程序账单您的客户管理他们所购买的 Amazon DevPay 产品的位置。Web 地址为 http://www.amazon.com/dp-applications。

版本 1.0268

http://www.amazon.com/dp-applications

http://www.amazon.com/dp-applications


应用程序修订 AWS CodeDeploy (CodeDeploy) (p. 270)：一个包含源内容（例如，源代码、网页、可执行文件和部署脚本）的存档文件和一个应用程序规范文件 (p. 269)。修订存储在 Amazon S3 (p. 268) 存储桶 (p. 275)或存储库中。GitHub (p. 284)对于 Amazon S3，修订由其 Amazon S3 对象键与 ETag 和/或版本唯一标识。对于GitHub，修订由其提交 ID 唯一标识。

应用程序规范文件 AWS CodeDeploy (CodeDeploy) (p. 270)：一个 YAML 格式的文件，用于将应用程序修订中的源文件映射到实例上的目标；指定已部署文件的自定义权限；以及指定在部署过程的各个阶段要在每个实例上运行的脚本。

应用程序版本 AWS Elastic Beanstalk (p. 271)：应用程序的特定标记迭代，代表功能上一致的可部署的应用程序代码集。一个版本指向一个 Amazon S3 (p. 268) 对象（JAVAWAR 文件），其中包含应用程序代码。

AppSpec 文件 See 应用程序规范文件.

AUC 曲线下方的区域。一个行业标准指标，用于评估二进制分类机器学习模型的质量。AUC 测量模型的能力以预测更高的分数，对于正面示例，它们是“正确的”，对于负面示例，它们是“错误的”。AUC 指标返回从 0 到 1 的数值。接近 1 的 AUC 值指示高度准确的 ML 模型。

ARN See Amazon 资源名称 (ARN).

项目 AWS CodePipeline (p. 270)：将受管道影响的文件或更改的副本。

非对称加密一种同时使用公钥和私钥的加密 (p. 282)方式。

异步退回邮件一种退回邮件 (p. 275)，如果接收方 (p. 296) 最初接受电子邮件进行递送，后来未能递送，则会发生这种情况。

原子计数器 DynamoDB：递增或递减现有属性的值而不干扰其他写入请求的方法。

属性一个基础数据元素，无需进一步分解。在 DynamoDB 中，属性在很多方面都类似于其他数据库系统中的字段或列。

Amazon Machine Learning：数据集中的观察中唯一的指定属性。在表格数据（例如，电子表格或逗号分隔的值 (.csv) 文件）中，列标题代表属性，而行包含每个属性的值。

Aurora See the section called “Amazon Aurora”.

经过身份验证的加密一种加密 (p. 282)方式，此加密提供已加密数据的机密性、数据完整性和身份验证保证。

身份验证向系统证明身份的过程。

Auto Scaling 一个 Web 服务，旨在根据用户定义的策略 (p. 293)、时间表和运行状况检查 (p. 285)自动启动或终止实例 (p. 286)。See Also http://amazonaws.cn//autoscaling.

Auto Scaling 组表示多个具有相似特征且被视为逻辑组以便进行实例扩展和管理的 EC2 实例 (p. 281)。

可用区域一个区域 (p. 296)中的不同位置，用于与其他可用区的故障隔离，并向同一区域中的其他可用区提供低成本、低延迟的网络连接。

AWS See Amazon Web Services (AWS).

AWS Application DiscoveryService

一个 Web 服务，可帮助您通过标识数据中心内的 IT 资产（包括服务器、虚拟机、应用程序、应用程序依赖项和网络基础设施）来规划到 AWS 的迁移。

版本 1.0269


See Also http://amazonaws.cn/about-aws/whats-new/2016/04/aws-application-discovery-service/.

AWS AppSync 一个完全托管的企业级 GraphQL 服务，具有实时数据同步和离线编程功能。See Also http://amazonaws.cn/appsync/.

AWS Billing and CostManagement

AWS 云计算模式，可让您按所需服务付费，并可随时根据需要确定用量。虽然资源 (p. 297)在您的账户下是动态的，但您要支付分配这些资源所产生的成本，并要为偶尔使用这些资源的相关情况（如数据传输或分配的存储）付费。See Also http://amazonaws.cn/billing/new-user-faqs/.

AWS Certificate Manager(ACM)

一个 Web 服务，用于预配置、管理和部署安全套接字层/传输层安全性 (p. 304)(SSL/TLS) 证书以用于 AWS 服务。See Also http://amazonaws.cn/certificate-manager/.

AWS Certificate Manager 私有证书颁发机构 (ACM PCA)

一个托管的私有证书颁发机构服务，可用于签发和撤销私有数字证书 (p. 276)。See Also http://amazonaws.cn/certificate-manager/private-certificate-authority/.

AWS Cloud9 一种云端集成开发环境 (IDE)，用于编写、运行和调试代码。See Also http://amazonaws.cn/cloud9/.

AWS CloudFormation 一个服务，用于编写或更改将相关 AWS 资源 (p. 297)作为一个整体来创建和删除的模板。See Also http://amazonaws.cn/cloudformation.

AWS CloudHSM 一个 Web 服务，可通过在 AWS 云中使用专用的硬件安全模块 (HSM) 设备，来帮助您满足数据安全方面的企业、合同和监管合规性的要求。See Also http://amazonaws.cn/cloudhsm/.

AWS CloudTrail 一个 Web 服务，可记录账户的 AWS API 调用，并向您发送日志文件。记录的信息包括 API 调用者的身份、API 调用的时间、API 调用者的源 IP 地址、请求参数以及AWS 服务返回的响应元素。See Also http://amazonaws.cn/cloudtrail/.

AWS CodeCommit 一种完全托管的源控制服务，使公司能够轻松地托管安全且高度可扩展的私有 Git 存储库。See Also http://amazonaws.cn/codecommit.

AWS CodeDeploy(CodeDeploy)

一个服务，用于自动执行针对任何实例（包括 EC2 实例 (p. 281)和本地运行的实例 (p. 286)）的代码部署。See Also http://amazonaws.cn/codedeploy.

AWS CodeDeploy 代理一个软件包，在某个实例上安装和配置此软件包后，它将支持在 AWS CodeDeploy部署中使用该实例。

AWS CodePipeline 一种可实现快速可靠的应用程序更新的持续交付服务。See Also http://amazonaws.cn/codepipeline.

AWS Command Line Interface(AWS CLI)

一个用于管理 AWS 服务的可下载且可配置的统一工具。从命令行控制多个 AWS 服务并通过脚本自动执行这些服务。See Also http://amazonaws.cn/cli/.

AWS Config 一个完全托管的服务，此服务提供 AWS 资源 (p. 297)清单、配置历史记录和配置更改通知以实现更好的安全性和管理。您可以创建规则来自动检查 AWS Config 记录的 AWS 资源的配置。See Also http://amazonaws.cn/config/.

AWS Elemental MediaConvert 一项基于文件的视频转换服务，可将媒体转换为传统广播和到多屏设备的 Internet 流媒体传输所需的格式。

版本 1.0270


See Also http://amazonaws.cn/mediaconvert.

AWS Elemental MediaLive 一项视频服务，可助您轻松创建适合广播和流媒体传输的实时输出。See Also http://amazonaws.cn/medialive.

AWS ElementalMediaPackage

一项适时打包和来源服务，可助您规定适合各种设备的高度安全可靠的实时输出格式。See Also http://amazonaws.cn/mediapackage.

AWS Elemental MediaStore 一项专为媒体优化的存储服务，提供大规模交付实时和按需视频内容所需的性能、一致性和低延迟。See Also http://amazonaws.cn/mediastore.

AWS Elemental MediaTailor 一项视频服务，可助您在高端 (OTT) 视频应用程序中向观众提供有针对性的广告，同时保持广播质量。See Also http://amazonaws.cn/mediatailor.

AWS Database MigrationService

一个 Web 服务，可帮助您在许多广泛使用的商用数据库和开源数据库中迁入或迁出数据。See Also http://amazonaws.cn/dms.

AWS Data Pipeline 一个 Web 服务，用于在指定的时间间隔内，在不同的 AWS 计算和存储服务以及本地数据源之间处理和移动数据。See Also http://amazonaws.cn/datapipeline.

AWS Device Farm 一个应用程序测试服务，可让开发人员在由 AWS 托管的真实、实际的手机和平板电脑上测试您的 Android、iOS 和 Fire OS 设备。See Also http://amazonaws.cn/device-farm.

AWS Direct Connect 一个 Web 服务，可让您轻松建立从本地到 AWS 的专用网络连接。借助 AWS DirectConnect，您可以建立 AWS 与数据中心、办公室或主机托管环境之间的私有连接。See Also http://amazonaws.cn/directconnect.

AWS Directory Service 一个托管服务，用于将 AWS 资源 (p. 297)连接到现有的本地 Microsoft ActiveDirectory 或在 AWS 云中设置和操作新的独立目录。See Also http://amazonaws.cn/directoryservice.

AWS Elastic Beanstalk 一项 Web 服务，用于在 AWS 云中部署和管理应用程序，而无需为运行这些应用程序的基础设施操心。See Also http://amazonaws.cn/elasticbeanstalk.

AWS Glue 完全托管的提取、转换和加载 (ETL) (p. 283)服务，您可用于对数据编目录并加载这些数据以进行分析。借助 AWS Glue，您可以发现您的数据、开发脚本来将源转换为目标并安排在无服务器环境中运行 ETL 作业。See Also http://amazonaws.cn/glue.

AWS GovCloud (US) 一个独立的 AWS 区域，旨在托管云中的敏感工作负载，并确保此工作符合美国政府的法规和合规性要求。AWS GovCloud (US)区域符合美国的国际武器贸易条例(ITAR)、联邦风险与授权管理项目 (FedRAMP) 要求、国防部 (DOD) 云安全要求指南 (SRG) 级别 2 和 4 以及刑事司法信息服务 (CJIS) 安全策略要求。See Also http://amazonaws.cn/govcloud-us/.

AWS Glue 一种允许您以安全的方式为连接的设备运行本地计算、消息收发、数据缓存、同步功能和 ML 推理的软件。See Also http://amazonaws.cn/greengrass.

AWS Identity and AccessManagement (IAM)

一项 Web 服务，让 Amazon Web Services (AWS) (p. 268)客户能够在 AWS 中管理用户和用户权限。See Also http://amazonaws.cn/iam.

版本 1.0271


AWS Import/Export 一项服务，用于在 AWS 和便携式存储设备之间传输大量数据。See Also http://amazonaws.cn/importexport.

AWS IoT 一个托管的云平台，使互联设备可以轻松安全地与云应用程序及其他设备交互。See Also http://amazonaws.cn/iot.

AWS IoT 1-Click 一项使简单设备能够触发可执行操作的 AWS Lambda 函数的服务。See Also http://amazonaws.cn/iot-1-click.

AWS IoT Analytics 一项完全托管的服务，可用于对大量 IoT 数据运行复杂的分析。See Also http://amazonaws.cn/iot-analytics.

AWS IoT 设备管理一项用于大规模地安全搭载、组织、监控和远程管理 IoT 设备的服务。See Also http://amazonaws.cn/iot-device-management.

AWS Key ManagementService (AWS KMS)

一个托管服务，可让您轻松创建和控制用于加密数据的加密 (p. 282)密钥。See Also http://amazonaws.cn/kms.

AWS Lambda 一个 Web 服务，可让您运行代码，而无需预配置或管理服务器。您几乎可以为任何类型的应用程序或后端服务运行代码，而无需管理。您可以将您的代码设置为自动从其他 AWS 服务触发，或者直接从任何 Web 或移动应用程序调用。See Also http://amazonaws.cn/lambda/.

AWS 管理的密钥 AWS Key Management Service (AWS KMS) (p. 272) 中的两种类型的客户主密钥(CMK) (p. 278) 之一。

AWS 管理的策略一个由 AWS 创建和管理的 IAM (p. 271) 管理的策略 (p. 289)。

AWS 管理控制台一个图形界面，用于管理计算、存储和其他云资源 (p. 297)。See Also http://amazonaws.cn/console.

AWS Management Portal forvCenter

一个 Web 服务，用于使用 VMware vCenter 管理您的 AWS 资源 (p. 297)。您可以将门户作为 vCenter 插件安装在您现有的 vCenter 环境中。完成安装后，您可以将 VMware 虚拟机迁移到 Amazon EC2 (p. 265)，并从 vCenter 内部管理 AWS 资源。See Also http://amazonaws.cn/ec2/vcenter-portal/.

AWS Marketplace 一个 Web 门户，可让合格的合作伙伴向 AWS 客户宣传和出售其软件。AWSMarketplace 是一个在线软件商店，可帮助客户寻找、购买和快速启动 AWS 上运行的软件和服务。See Also http://amazonaws.cn/partners/aws-marketplace/.

AWS Mobile Hub 一个用于构建、测试和监视移动应用程序的集成控制台。See Also http://amazonaws.cn/mobile.

AWS 移动软件开发工具包一个软件开发工具包，其中包含的库、代码示例和文档可帮助您构建面向iOS、Android、Fire OS、Unity 和 Xamarin 平台的高质量移动应用程序。See Also http://amazonaws.cn/mobile/sdk.

AWS OpsWorks 一个配置管理服务，可帮助您使用 Chef 配置和操作实例和应用程序组。您可以定义应用程序的架构和每个组件的规范（包括软件包安装，软件配置和存储等资源 (p. 297)）。您可以根据时间、负载、生命周期事件等来自动执行任务。See Also http://amazonaws.cn/opsworks/.

AWS Organizations 一项账户管理服务，可让您将多个 AWS 账户整合到您创建并集中管理的组织中。See Also http://amazonaws.cn/organizations/.

适用于 C++ 的 AWS 开发工具包

一个软件开发工具包，可提供面向许多 AWS 服务 (包括 AmazonS3 (p. 268)、Amazon EC2 (p. 265)、Amazon DynamoDB (p. 265) 等) 的 C++API。这个可下载的单个软件包中包含 AWS C++ 库、代码示例和文档。

版本 1.0272


See Also http://amazonaws.cn/sdk-for-cpp/.

适用于 Go 的 AWS 开发工具包

一个软件开发工具包，用于将 Go 应用程序与整个 AWS 服务套件集成。See Also http://amazonaws.cn/sdk-for-go/.

AWS SDK for Java 一个软件开发工具包，可提供面向许多 AWS 服务（包括 AmazonS3 (p. 268)、Amazon EC2 (p. 265)、Amazon DynamoDB (p. 265) 等）的Java API。这个可下载软件包中包含 AWS Java 库、代码示例和文档。See Also http://amazonaws.cn/sdk-for-java/.

适用于浏览器中 JavaScript 的AWS 开发工具包

一个软件开发工具包，用于从浏览器中运行的 JavaScript 代码访问 AWS 服务。使用Web 联合身份验证通过 Facebook、Google 或 Login with Amazon 来对用户进行身份验证。将应用程序数据存储在 Amazon DynamoDB (p. 265) 中，并将用户文件保存到 Amazon S3 (p. 268)。See Also http://docs.amazonaws.cn/sdk-for-javascript/v2/developer-guide/.

适用于 Node.js 中 JavaScript的 AWS 开发工具包

一个软件开发工具包，用于从 Node.js 中的 JavaScript 访问 AWS 服务。此软件开发工具包提供面向 AWS 服务（包括 Amazon S3 (p. 268)、AmazonEC2 (p. 265)、Amazon DynamoDB (p. 265) 和 Amazon Simple WorkflowService (Amazon SWF) (p. 268)）的 JavaScript 对象。这个可下载的单一数据包中包含 AWS JavaScript 库和文档。See Also http://docs.amazonaws.cn/sdk-for-javascript/v2/developer-guide/.

适用于 .NET 的 AWS 开发工具包

一个软件开发工具包，其中提供了面向 AWS 服务（包括 AmazonS3 (p. 268)、Amazon EC2 (p. 265)、IAM (p. 271) 等）的 .NET API 操作。可以将此软件开发工具包作为 NuGet 上多个特定于服务的程序包下载。See Also http://amazonaws.cn/sdk-for-net/.

适用于 PHP 的 AWS 开发工具包

一个软件开发工具包和开源 PHP 库，用于将您的 PHP 应用程序与 AWS 服务（例如 Amazon S3 (p. 268)、Amazon Glacier (p. 266) 和 AmazonDynamoDB (p. 265)）集成。See Also http://amazonaws.cn/sdk-for-php/.

AWS SDK for Python (Boto) 一个软件开发工具包，用于使用 Python 访问 AWS 服务（例如 AmazonEC2 (p. 265)、Amazon EMR (p. 266)、Auto Scaling (p. 269)、AmazonKinesis (p. 266)、AWS Lambda (p. 272) 等）。See Also http://boto.readthedocs.org/en/latest/.

适用于 Ruby 的 AWS 开发工具包

一个用于从 Ruby 访问 AWS 服务的软件开发工具包。此软件开发工具包提供了面向许多 AWS 服务（包括 Amazon S3 (p. 268)、Amazon EC2 (p. 265)、AmazonDynamoDB (p. 265)）的 Ruby 类。以及其他. 这个可下载软件包中包含 AWSRuby 库和文档。See Also http://amazonaws.cn/sdk-for-ruby/.

AWS Security Token Service(AWS STS)

一个 Web 服务，用于为 AWS Identity and Access Management (IAM) (p. 271) 用户或进行身份验证的用户（联合用户 (p. 284)）请求具有有限权限的临时凭证。See Also http://amazonaws.cn/iam/.

AWS Service Catalog 一个 Web 服务，可帮助组织创建和管理已批准在 AWS 上使用的 IT 服务的目录。这些 IT 服务可以包含所有内容，从虚拟机映像、服务器、软件和数据库到完整的多层次应用程序架构一应俱全。See Also http://amazonaws.cn/servicecatalog/.

AWS Single Sign-On 一种基于云的服务，可轻松管理对 AWS 账户和业务应用程序的 SSO 访问。您可以控制 AWS Organizations 中所有 AWS 账户的 SSO 访问和用户权限。See Also http://amazonaws.cn/single-sign-on/.

AWS Step Functions 一项 Web 服务，可以将分布式应用程序的各组件作为可视化工作流中的一系列步骤进行协调。

版本 1.0273


See Also http://amazonaws.cn/step-functions/.

AWS Storage Gateway 一个 Web 服务，可将本地软件设备与基于云的存储连接起来，在企业的本地 IT 环境和 AWS 的存储基础设施之间提供无缝的安全集成。See Also http://amazonaws.cn/storagegateway/.

AWS Toolkit for Eclipse 一个适用于 Eclipse Java IDE 的开源插件，可让开发人员更轻松地使用 AmazonWeb Services 开发、调试和部署 Java 应用程序。See Also http://amazonaws.cn/eclipse/.

AWS Toolkit for Visual Studio 一个 Microsoft Visual Studio 扩展，可帮助开发人员使用 Amazon Web Services 开发、调试和部署 .NET 应用程序。See Also http://amazonaws.cn/visualstudio/.

适用于 Windows PowerShell的 AWS 工具

一组 PowerShell cmdlet，可帮助开发人员和管理员从 Windows PowerShell 脚本环境管理其 AWS 服务。See Also http://amazonaws.cn/powershell/.

适用于 Microsoft Visual StudioTeam Services 的 AWS 工具

提供您可在 VSTS 中的生成和发布定义中用来与 AWS 服务交互的任务。See Also http://amazonaws.cn/vsts/.

AWS Trusted Advisor 一个 Web 服务，可检查您的 AWS 环境，并提供有关节省资金、提高系统可用性和性能以及帮助修补安全漏洞的建议。See Also http://amazonaws.cn/support/trustedadvisor/.

AWS VPN CloudHub 使用简单的星型拓扑连接模型（无论有没有 VPC (p. 305)）来支持在分支机构之间建立安全通信。

AWS WAF 一个 Web 应用程序防火墙服务，可通过根据您指定的条件（例如，标头值或请求源自的 IP 地址）来允许或阻止 Web 请求，从而控制对内容的访问。AWS WAF 可帮助保护 Web 应用程序免遭常见 Web 漏洞的攻击，这些漏洞会影响应用程序可用性、降低安全性或占用过多资源。See Also http://amazonaws.cn/waf/.

AWS X-Ray Web 服务是一种服务，用来收集您的应用程序所服务的请求的相关数据，并提供用于查看、筛选和获取数据洞察力的工具，以确定问题和发现优化机会。See Also http://amazonaws.cn/xray/.

B，Numbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

基本监控监控每 5 分钟产生一次的 AWS 提供的指标。

批处理 See 文档批处理.

BGP ASN 边界网关协议自治系统编号。网络的唯一标识符，用于 BGP 路由。AmazonEC2 (p. 265) 支持 1 到 65335 范围内的所有双字节 ASN 编号，但保留编号 7224除外。

批量预测 Amazon Machine Learning：一个一次性（异步）处理多个输入数据观察的操作。与实时预测不同，批量预测在所有预测处理完之前不可用。See Also 实时预测.

计费 See AWS Billing and Cost Management.

版本 1.0274


二进制属性 Amazon Machine Learning：一个属性，可能具有两个可能的值之一。有效的正值为 1、y、yes、t 和 true。有效的负值为 0、n、no、f 和 false。Amazon MachineLearning 输出 1 作为正值，输出 0 作为负值。See Also 属性.

二进制分类模型 Amazon Machine Learning：一个可预测问题的答案的机器学习模型，其中可以二进制变量形式表示答案。例如，答案为“1”或“0”、“yes”或“no”、“will click”或“willnot click”的问题是具有二进制答案的问题。二进制分类模型的结果始终为“1”（对于“true”或肯定答案）或“0”（对于“false”或否定答案）。

黑名单 Internet 服务提供商 (p. 287) 怀疑是垃圾电子邮件 (p. 301) 来源的 IP 地址、电子邮件地址或域的列表。ISP 负责阻止从这些地址或域传入的电子邮件。

数据块一种数据集。Amazon EMR (p. 266) 将大量数据分成子集。每个子集称为一个数据块。Amazon EMR 为每个数据块分配一个 ID，使用哈希表来记录数据块处理情况。

块储存设备支持在固定大小的数据块、扇区或群集中读取和（可选）写入数据的一种存储设备。

块设备映射每个 AMI (p. 267) 和实例 (p. 286)的映射结构，它指定与实例相连接的块设备。

蓝/绿部署 AWS CodeDeploy：一种部署方法，在此方法中，部署组中的实例 (原始环境) 将会由一组不同的实例集 (替代环境) 替换。

引导操作用户指定的默认或自定义操作，它在 Hadoop (p. 285) 启动前在任务流程的所有节点上运行脚本或应用程序。

边界网关协议自治系统编号 See BGP ASN.

退回邮件一次失败的电子邮件递送尝试。

违例 Auto Scaling (p. 269)：超出用户设置的阈值（上限或下限）的情况。如果违例持续时间很长（如违例持续时间参数所设置），则它可能启动扩展活动 (p. 298)。

存储桶 Amazon Simple Storage Service (Amazon S3) (p. 268)：用于存储对象的容器。每个数据元都储存在一个存储桶中。举例来说，如果名为 photos/puppy.jpg的对象存储在 johnsmith 存储桶中，则授权用户可以通过 URL http://johnsmith.s3.amazonaws.com.cn/photos/puppy.jpg 访问该对象。

存储桶拥有者拥有 Amazon S3 (p. 268) 中的存储桶 (p. 275)的人员或组织。就像 Amazon 是域名 Amazon.com 的唯一所有者一样，只有一个用户或组织可以拥有存储桶。

捆绑用于创建Amazon 系统映像 (AMI) (p. 267) 的常用术语。它特指创建实例存储支持的 AMI (p. 286)。

CNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

缓存群集在多个缓存节点 (p. 276)上分布的逻辑缓存。缓存群集可设置为具有特定数量的缓存节点。

缓存群集标识符客户提供的缓存群集标识符，此标识符必须为 AWS 区域 (p. 296)中该客户的唯一标识符。

缓存引擎版本在缓存节点上运行的 Memcached 服务的版本。

版本 1.0275


缓存节点固定大小、网络挂载的安全 RAM 区块。每个缓存节点都运行一个 Memcached 软件实例，有其自己的 DNS 名称和端口。支持多种缓存节点类型，每种可有不同的关联内存量。

缓存节点类型用于运行缓存节点的 EC2 实例 (p. 281)类型。

缓存参数组可应用于一个或多个缓存群集的缓存引擎参数值的容器。

缓存安全组一个 ElastiCache 维护的组，该组将入口授权合并到属于通过控制台或 API 或命令行工具指定的 Amazon EC2 (p. 265) 安全组 (p. 299)的主机的缓存节点。

标准访问策略一个您可以应用于存储桶 (p. 275)或对象的标准访问控制策略。其选项包括：私有读取、公有读取、公有读写、经身份验证的读取。

标准化将数据转换成某种服务（例如 Amazon S3 (p. 268)）可识别的标准格式的过程。

容量某个给定时间的可用计算规模量。每个 Auto Scaling 组 (p. 269) 都定义有最小和最大计算规模。扩展活动 (p. 298)会在定义的最小值和最大值内增加或减少容量。

笛卡尔积处理器一种计算笛卡尔积的处理器。也称作笛卡尔数据处理器。

笛卡尔积从多个集返回积的数学运算。

CDN See 内容分发网络 (CDN).

证书一种凭证，供某些 AWS 产品用来对 AWS 账户 (p. 264)和用户进行身份验证。也称作 X.509 证书 (p. 306)。该凭证与私有密钥成对使用。

应计费的资源使用时会产生费用的功能或服务。有些 AWS 产品免费，但另一些产品包含费用。例如，在 AWS CloudFormation (p. 270) 堆栈 (p. 301)中，创建的 AWS 资源 (p. 297)会产生费用。具体费用取决于使用负载。在创建实例、堆栈或其他资源之前，使用 http://calculator.s3.amazonaws.com.cn/calc5.html 处的 Amazon WebServices 简单月度成本结算器估计您的费用。

CIDR 块无类域间路由。一种 Internet 协议地址分配和路由聚合方法。See Also Wikipedia 中的无类域间路由.

密文已加密的 (p. 282)信息，与明文 (p. 293)（它是未加密的信息）相对。

ClassicLink 一项用于将 EC2-Classic 实例 (p. 286)链接到 VPC (p. 305) 的功能，使您的EC2-Classic 实例能够通过私有 IP 地址与 VPC 实例进行通信。See Also 链接到 VPC, 从 VPC 取消链接.

分类机器学习中的一种问题，此问题寻求将数据示例放置（分类）到一个种类或“类别”中。通常，会对分类问题建模以便从两个种类（类别）中选择一个种类（类别）。这些问题是二进制分类问题。有两种以上的种类（类别）的问题被称作“多类别分类”问题。See Also 二进制分类模型, 多类别分类模型.

CLI See AWS Command Line Interface (AWS CLI).

Cloud Directory See Amazon Cloud Directory (Cloud Directory).

云服务提供商 (CSP) 向订阅者提供对 Internet 上托管的计算、存储和软件服务的访问的公司。

CloudHub See AWS VPN CloudHub.

群集一个可将task (p. 303)分配到的容器实例 (p. 277)的逻辑分组。

Amazon Elasticsearch Service (Amazon ES) (p. 266)：要运行 AmazonElasticsearch Service (Amazon ES) 并操作您的 Amazon ES 域所需的一个或多个数据节点、可选专用主节点和存储的逻辑分组。

版本 1.0276

http://calculator.s3.amazonaws.com.cn/calc5.html


See Also 数据节点, 专用主节点, 节点.

群集计算实例一种实例 (p. 286)，提供强大的 CPU 以及增强的网络连接性能，非常适合高性能计算 (HPC) 应用程序和其他高要求的网络绑定型应用程序。

群集置放群组一个在实例 (p. 286)之间提供更低延迟和高带宽连接的逻辑群集计算实例 (p. 277)分组。

群集状态 Amazon Elasticsearch Service (Amazon ES) (p. 266)：群集的运行状况指示符。状态可以为绿色、黄色或红色。在分片级别，绿色表示所有分片都分配给群集中的节点；黄色表示分配主分片，但不分配副本分片；红色表示至少一个索引的主分片和副本分片未分配。分片状态决定了索引状态，而索引状态决定了群集状态。

CMK See 客户主密钥 (CMK).

别名记录规范名称记录。域名系统 (DNS) 中的一种资源记录 (p. 297)，用于指定该域名是另一个规范域名的别名。更简单地说，它是 DNS 表中的一个条目，可用于为完全限定域名设置别名。

投诉不想收到电子邮件的收件人 (p. 296)在电子邮件客户端中单击“标记为垃圾邮件”，Internet 服务提供商 (p. 287)向 Amazon SES (p. 267) 发送通知的这种情况。

复合查询 Amazon CloudSearch (p. 265)：使用 Amazon CloudSearch 结构化搜索语法指定多个搜索条件的搜索请求。

condition IAM (p. 271)：有关权限的任何限制或详细信息。“D 适用的情况下，A 可以对 C 执行 B”语句中的条件是 D。

AWS WAF (p. 274)：AWS WAF 在针对 AWS 资源 (p. 297)（例如 AmazonCloudFront (p. 264) 分发）的 Web 请求中搜索的一组属性。条件可以包括 Web 请求源自的 IP 地址等值或请求标头中的值。根据指定的条件，您可以将 AWS WAF 配置为允许或阻止针对 AWS 资源的 Web 请求。

条件参数 See 映射.

配置 API Amazon CloudSearch (p. 265)：您用于创建、配置和管理搜索域的 API 调用。

配置模板一系列密钥值对，它们定义各种 AWS 产品的参数，以便 AWS ElasticBeanstalk (p. 271) 为环境配置这些产品。

一致性模型服务用来实现高可用性的方法。例如，可能涉及在数据中心中多个服务器间复制数据。See Also 最终一致性.

console See AWS 管理控制台.

整合账单用于整合多个 AWS 账户的付款的 AWS Organizations 服务的一项功能。您创建一个包含您的 AWS 账户的组织，并使用组织的主账户支付所有成员账户的款项。您可以查看组织中所有账户产生的 AWS 成本的组合视图，并可以获得各个账户的详细成本报告。

容器一个作为task (p. 303)的一部分从 Docker 映像创建的 Linux 容器。

容器定义指定要用于容器 (p. 277)的 Docker 映像 (p. 280)、为容器分配的 CPU 和内存量以及更多选项。容器定义作为任务定义 (p. 303)的一部分包含。

容器实例运行 Amazon Elastic Container Service (Amazon ECS) (p. 265) 代理并且已注册到群集 (p. 276)的 EC2 实例 (p. 281)。对活动的容器实例分配 Amazon ECStask (p. 303)。

版本 1.0277


容器注册表存储、管理和部署 Docker 映像 (p. 280)。

内容分发网络 (CDN) 一项 Web 服务，通过由遍布全球的数据中心组成的网络，加速向您的用户分发静态和动态 Web 内容，例如，.html、.css、.js、媒体文件和图像文件。当用户请求获得内容时，该请求将路由到延迟 (时间滞延) 最短的数据中心。如果内容已经在延迟最短的位置，CDN 将立即提供它。否则，CDN 将从您指定的原始位置 (例如，Web 服务器或 Amazon S3 存储桶) 对其进行检索。可以通过某些 CDN 保护您的内容，方法是配置用户和数据中心、以及数据中心和原始位置之间的 HTTPS 连接。AmazonCloudFront 是 CDN 的一个示例。

持续交付一种软件开发实践，通过该实践可以自动构建、测试和准备代码更改以便投产。See Also http://amazonaws.cn/devops/continuous-delivery/.

持续集成一种软件开发实践，通过该实践，开发人员定期将代码更改并入中央存储库，然后运行自动化构建和测试。See Also http://amazonaws.cn/devops/continuous-integration/.

冷却时间一段时间，在此期间 Auto Scaling (p. 269) 不允许来自 AmazonCloudWatch (p. 265) 警报 (p. 264)的任何其他通知更改 Auto Scaling组 (p. 269)的所需大小。

核心节点使用分布式文件系统 (HDFS) 运行 Hadoop 映射和缩减任务并存储数据的 EC2实例 (p. 281)。Hadoop (p. 285)核心节点由主节点 (p. 289) 管理，后者将Hadoop 任务分配到节点并监控它们的状态。以核心节点的形式分配的 EC2 实例是为了整个任务流程运行必须分配的容量。由于核心节点负责存储数据，您无法从任务流程中移除它们。不过，您可以向正在运行的任务流程添加更多核心节点。

核心节点可以运行 DataNodes 和 TaskTracker 这两种 Hadoop 守护程序。

语料库 Amazon CloudSearch (p. 265)：要搜索的数据的集合。

凭证辅助程序 AWS CodeCommit (p. 270)：一种程序，它存储用于存储库的凭证并在连接存储库时向 Git 提供这些凭证。AWS CLI (p. 270) 提供在连接到 AWS CodeCommit 存储库时可用于 Git 的凭证辅助程序。

凭证也称作访问凭证或安全凭证。在身份验证和授权中，系统使用凭证来识别谁在执行调用并决定是否允许请求的访问。在 AWS 中，这些凭证通常是秘密访问密钥 (p. 299) 和访问密钥 ID (p. 263)。

跨账户访问允许一个 AWS 账户中的用户对另一个 AWS 账户 (p. 264)中的资源 (p. 297)进行有限的、受控访问的过程。例如，在 AWS CodeCommit (p. 270) 和 AWSCodeDeploy (CodeDeploy) (p. 270) 中，您可以配置跨账户访问，以便 AWS 账户 A 中的用户能够访问由账户 B 创建的 AWS CodeCommit 存储库。或者，使账户 A 在 AWS CodePipeline (p. 270) 中创建的管道能够使用由账户 B 创建的AWS CodeDeploy 资源。在 IAM (p. 271) 中，您使用角色 (p. 297)向一个账户中的user (p. 304)委派 (p. 280)对另一个账户中的资源的临时访问权。

跨区域复制一个客户端解决方案，用于跨不同的 AWS 区域 (p. 296)实时维护 AmazonDynamoDB (p. 265) 表的相同副本。

客户网关 Amazon VPC (p. 268) 管理的 VPN 隧道中您那一端的路由器或软件应用程序。客户网关的内部接口挂载到您的家庭网络中的一个或多个设备。外部接口通过 VPN 隧道挂载到虚拟专用网关 (p. 305)。

客户管理的策略在 AWS 账户 (p. 264)中创建和管理的 IAM (p. 271) 管理的策略 (p. 289)。

客户主密钥 (CMK) AWS Key Management Service (AWS KMS) (p. 272) 管理的基础资源 (p. 297)。CMK 可以是客户管理的密钥或 AWS 管理的密钥。在 AWS KMS 中使用 CMK 可直接加密 (p. 282)或解密最多 4 KB 的数据或者加密生成的数据密钥，随后这些密钥可用于加密或解密服务外部的数量更多的数据。

版本 1.0278


DNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

控制面板 See 服务运行状况控制面板.

数据一致性一个概念，描述成功写入或更新数据的时间以及在所有 AWS 区域 (p. 296)中更新所有数据副本的时间。不过，将数据传播到所有存储位置需要耗费一定的时间。为了支持各种应用程序要求，Amazon DynamoDB (p. 265) 同时支持最终一致性读取和强一致性读取。See Also 最终一致性, 最终一致性读取, 强一致性读取.

数据节点 Amazon Elasticsearch Service (Amazon ES) (p. 266)：一个保存数据并响应数据上传请求的 Elasticsearch 实例。See Also 专用主节点, 节点.

数据架构 See schema.

数据源提供应用程序或数据库所需的信息的数据库、文件或存储库。例如，在 AWSOpsWorks (p. 272) 中，有效的数据源包括适用于堆栈的 MySQL 层或堆栈的 Amazon RDS (p. 267) 服务层的实例 (p. 286)。在 Amazon Redshift (p. 267) 中，有效的数据源将文本文件包含在 Amazon S3 (p. 268) 存储桶 (p. 275)、Amazon EMR (p. 266) 群集或远程主机（群集可通过 SSH 连接访问该主机）中。See Also 数据源.

数据库引擎在数据库实例 (p. 279) 上运行的数据库软件和版本。

数据库名称数据库实例 (p. 279) 中托管的数据库的名称。一个数据库实例可以托管多个数据库，但是，同一数据库实例托管的每一个数据库在该实例内必须有唯一名称。

数据源 Amazon Machine Learning (p. 267)：一个包含有关输入数据的元数据的对象。Amazon ML 读取输入数据、计算其属性的描述性统计信息并存储统计信息（与架构和其他信息一起）作为数据源对象的一部分。Amazon ML 使用数据源训练和评估机器学习模型并生成批量预测。See Also 数据源.

数据库计算等级用于运行实例的数据库计算平台的大小。

数据库实例在云中运行的独立数据库环境。一个数据库实例可以包含多个由用户创建的数据库。

数据库实例标识符用户为数据库实例提供的标识符。在 AWS 区域 (p. 296) 中，该标识符对该用户必须是唯一的。

数据库参数组应用于一个或多个数据库实例 (p. 279) 的数据库引擎参数值的容器。

数据库安全组一种控制对数据库实例 (p. 279) 的访问权限的方法。默认情况下，对数据库实例的网络访问权限是禁用的。对安全组 (p. 299)配置进入规则后，这些规则将应用于与该组关联的所有数据库实例。

数据库快照数据库实例 (p. 279)的用户启动时间点备份。

专用主机一个具有供用户专用的 EC2 实例 (p. 281)容量的物理服务器。

专用实例一个在主机硬件级别物理隔离并在 VPC (p. 305) 内启动的实例 (p. 286)。

版本 1.0279


专用主节点 Amazon Elasticsearch Service (Amazon ES) (p. 266)：一个执行群集管理任务但不保留数据或响应数据上传请求的 Elasticsearch 实例。Amazon ElasticsearchService (Amazon ES) 使用专用主节点来提高群集稳定性。See Also 数据节点, 节点.

专用预留实例您为确保在 VPC (p. 305) 中启动专用实例 (p. 279)时拥有足够容量而购买的选件。

委派在单一 AWS 账户 (p. 264)中：向 AWS user (p. 304)提供对您 AWS 账户中资源 (p. 297)的访问权。

在两个 AWS 账户之间：设置拥有资源的账户（信托账户）与包含需要访问资源的用户的账户（可信账户）之间的信任。See Also 信任策略.

删除标记包含密钥和版本 ID，但不包含内容的对象。Amazon S3 (p. 268) 删除对象时，将删除标记自动插入到版本控制的存储桶 (p. 275)中。

送达率电子邮件能够到达其预期目的地的可能性。

传送在一段时间内，经由 Amazon SES (p. 267) 发送，为 Internet 服务提供商 (p. 287)所接受以传送至收件人 (p. 296)的电子邮件数量。

拒绝策略 (p. 293)语句的结果，以拒绝为结果，以便针对用户、组或角色明确禁止特定操作。显式拒绝优先于显式允许 (p. 264)。

部署配置 AWS CodeDeploy (CodeDeploy) (p. 270)：部署期间由服务使用的一组部署规则以及成功和失败条件。

部署组 AWS CodeDeploy (CodeDeploy) (p. 270)：一组单独标记的实例 (p. 286)和/或Auto Scaling 组 (p. 269)中的 EC2 实例 (p. 281)。

详细监控监控每 1 分钟产生一次的 AWS 提供的指标。

说明属性一个添加至参数、资源 (p. 297)、资源属性、映射和输出的属性，可帮助您记录AWS CloudFormation (p. 270) 模板元素。

维度一个名称-值对（例如，InstanceType=m1.small 或 EngineName=mysql），其中包含用于标识指标的其他信息。

开发论坛 AWS 用户可在此发布技术问题和反馈以帮助加速其开发工作，也可在此与 AWS 社区进行交流。开发论坛位于 http://amazonaws.cn/forums/。

分配原始服务器（例如 Amazon S3 (p. 268) 存储桶 (p. 275)）与域名之间的链接，由CloudFront (p. 264) 自动分配。借助该链接，CloudFront 能够识别您存储在源服务器 (p. 292) 中的对象。

DKIM 域名密钥识别邮件。发件人为其电子邮件附加签名所用的标准。ISP 使用这些签名来验证电子邮件是否合法。想要了解更多有关信息，请参阅 http://www.dkim.org。

DNS See 域名系统.

Docker 映像作为 Docker 容器 (p. 277)的基础的分层文件系统模板。Docker 映像可包含特定的操作系统或应用程序。

文档 Amazon CloudSearch (p. 265)：可作为搜索结果返回的项目。每个文档都有一个字段集合，这些字段包含可供搜索或返回的数据。字段值可以是字符串，也可以是数字。每个文档都必须拥有唯一的 ID 和至少一个字段。

文档批处理 Amazon CloudSearch (p. 265)：文档添加和删除操作的集合。您可以使用文档服务 API 提交批处理，以更新搜索域中的数据。

版本 1.0280

http://amazonaws.cn/forums/

http://www.dkim.org


文档服务 API Amazon CloudSearch (p. 265)：用于提交文档批处理以更新搜索域中数据的 API调用。

文档服务终端节点 Amazon CloudSearch (p. 265)：您向 Amazon CloudSearch 域发送文档更新时所连接的 URL。每个搜索域都拥有唯一的文档服务终端节点，文档服务终端节点在域的生命周期内保持不变。

域 Amazon Elasticsearch Service (Amazon ES) (p. 266)：由 Amazon ElasticsearchService (Amazon ES) 终端节点公开的硬件、软件和数据。Amazon ES 域是一个围绕 Elasticsearch 群集的服务包装程序。一个 Amazon ES 域将封装用于处理Amazon ES 请求的引擎实例、要搜索的索引数据、域的快照、访问策略和元数据。See Also 群集, Elasticsearch.

域名系统一个通过将友好域名 (例如 www.example.com) 转换为数字 IP 地址 (例如192.0.2.1，计算机可利用这些地址互相连接) 来将 Internet 流量路由到网站的服务。

捐赠按钮一种用 HTML 编码的按钮，它为基于美国的 IRS 认证的 501(c)3 非营利性组织提供了一种简便、安全的募款方式。

DynamoDB 流有关 Amazon DynamoDB (p. 265) 表中的项目更改的有序信息流。当您对表启用流时，DynamoDB 将捕获有关对表中的数据项目进行的每项修改的信息。See Also Amazon DynamoDB Streams.

ENumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

EBS See Amazon Elastic Block Store (Amazon EBS).

EC2 See Amazon Elastic Compute Cloud (Amazon EC2).

EC2 计算单位计算 CPU 和内存的 AWS 标准。可使用此度量方法评估不同的 EC2 实例 (p. 281)类型的 CPU 能力。

EC2 实例 Amazon EC2 (p. 265) 服务中的计算实例 (p. 286)。其他 AWS 服务使用术语EC2 实例来区分这些实例与其支持的其他类型的实例。

ECR See Amazon Elastic Container Registry (Amazon ECR).

ECS See Amazon Elastic Container Service (Amazon ECS).

边缘站点一个站点，供 CloudFront (p. 264) 用来缓存内容副本以便将内容更快地传输给任意位置的用户。

EFS See Amazon Elastic File System (Amazon EFS).

灵活应变一家提供开源解决方案（包含 Elasticsearch、Logstash、Kibana 和 Beats）的公司，这些方案可从任何源获取数据并实时搜索、分析和可视化数据。

Amazon Elasticsearch Service (Amazon ES) 是一个 AWS 托管服务，可用于在AWS 云中部署、操作和扩展 Elasticsearch。See Also Amazon Elasticsearch Service (Amazon ES), Elasticsearch.

Elastic Block Store See Amazon Elastic Block Store (Amazon EBS).

弹性 IP 地址您在 Amazon EC2 (p. 265) 或 Amazon VPC (p. 268) 中分配并挂载至某个实例 (p. 286)的固定（静态）IP 地址。弹性 IP 地址与您的账户（而非特定实例）相

版本 1.0281


关联。之所以称其为弹性，是因为您可根据需求的变更方便地分配、挂载、取消挂载和释放它们。与传统静态 IP 地址不同，使用弹性 IP 地址，您可以快速将您的公有IP 地址重新映射到其他实例，从而掩盖实例故障或可用区域 (p. 269)故障。

Elastic Load Balancing 一项 Web 服务，它可将传入流量分布到两个或多个 EC2 实例 (p. 281)，以提高应用程序的可用性。See Also http://amazonaws.cn/elasticloadbalancing.

弹性网络接口可挂载到实例 (p. 286) 的附加网络接口。弹性网络接口包括一个主要私有 IP 地址、一个或多个次要私有 IP 地址、一个弹性 IP 地址 (可选)、一个 MAC 地址、指定的安全组 (p. 299)中的成员资格、一个描述以及一个源/目标检查标记。您可以创建一个弹性网络接口，将其附加到一个实例上，然后将其与实例分离再附加到另一个实例上。

Elasticsearch 一个开源、实时的分布式搜索和分析引擎，用于全文搜索、结构化搜索和分析。Elasticsearch 是由 Elastic 公司开发的。

Amazon Elasticsearch Service (Amazon ES) 是一个 AWS 托管服务，可用于在AWS 云中部署、操作和扩展 Elasticsearch。See Also Amazon Elasticsearch Service (Amazon ES), 灵活应变.

EMR See Amazon EMR (Amazon EMR).

加密通过数学算法使未授权的user (p. 304)难以理解数据，并允许授权的用户使用某种方法（例如密钥或密码）将更改后的数据转换回其原始状态。

加密上下文一组密钥-值对，其中包含与 AWS Key Management Service (AWS KMS) (p. 272)加密的信息关联的其他信息。

终端节点指定作为某一 Web 服务入口点的主机和端口的 URL。每个 Web 服务请求都包含一个终端节点。大多数 AWS 产品提供区域终端节点，以加快连接。

Amazon ElastiCache (p. 266)：缓存节点 (p. 276)的 DNS 名称。

Amazon RDS (p. 267)：数据库实例 (p. 279)的 DNS 名称。

AWS CloudFormation (p. 270)：接收 HTTP 请求的服务器的 DNS 名称或 IP 地址。

终端端口 Amazon ElastiCache (p. 266)：缓存节点 (p. 276)使用的端口号。

Amazon RDS (p. 267)：数据库实例 (p. 279)使用的端口号。

信封加密使用主密钥和数据密钥以便通过算法保护数据。主密钥用于加密和解密数据密钥，数据密钥用于加密和解密数据本身。

环境 AWS Elastic Beanstalk (p. 271)：应用程序 (p. 268)的特定运行实例。该应用程序拥有别名记录，并包括应用程序版本和自定义配置（继承自默认容器类型）。

AWS CodeDeploy (CodeDeploy) (p. 270)：蓝/绿部署中的部署组内的实例。在蓝/绿部署开始时，部署组由原始环境中的实例组成。在部署结束时，部署组由替换环境中的实例组成。

环境配置一组参数和配置，这些参数和配置用于定义环境及其相关资源的操作方式。

短暂存储 See 实例存储.

纪元测量时间的起始日期。对于大多数 Unix 环境，纪元为 1970 年 1 月 1 日。

ETL See 提取、转换和加载 (ETL).

版本 1.0282


评估 Amazon Machine Learning：测量机器学习 (ML) 模型的预测性能的过程。

另一种存储 ML 模型评估的详细信息和结果的机器学习。

评估数据源 Amazon Machine Learning 用来评估机器学习模型的预测准确度的数据。

最终一致性可使 AWS 产品实现高可用性的方法，涉及在 Amazon 数据中心内部多个服务器之间复制数据。写入或更新数据时如返回 Success，则所有数据副本均得到更新。但是，要将数据传播到所有存储位置需要耗费一定的时间。数据最终将是一致的，但立即读取可能不会反映出这一变更。通常，在几秒钟内即可实现一致性。See Also 数据一致性, 最终一致性读取, 强一致性读取.

最终一致性读取仅从一个区域返回数据且可能不会显示最近的写入信息的读取过程。但是，如果您在短时间后重复读取请求，响应最终将返回最新的数据。See Also 数据一致性, 最终一致性, 强一致性读取.

收回 CloudFront (p. 264) 在对象过期前从边缘站点 (p. 281)执行的对象删除操作。如果边缘站点中的对象未获得频繁的请求，CloudFront 可能会将该对象移出（在对象过期日期前删除对象）以为更常用的对象腾出空间。

exbibyte 百亿亿二进制字节的缩写形式，1 EiB 为 2^60 字节，即 1152921504606846976 字节。1 exabyte (EB) 为 10^18 字节，即 1000000000000000000 字节。1024 EiB 为1 zebibyte (p. 306)。

过期对于 CloudFront (p. 264) 缓存，CloudFront 停止响应针对对象的用户请求的时间。如果您不使用标头或 CloudFront 分配 (p. 280)设置来指定对象在边缘站点 (p. 281)中的保留时间，则对象将在 24 小时后过期。当用户下次请求已过期的对象时，CloudFront 会将请求转发给源 (p. 292)。

显式启动的权限授予特定 AWS 账户 (p. 264)的 Amazon 系统映像 (AMI) (p. 267) 启动许可。

指数退避一种增量增加重试尝试之间等待时间以便降低系统负载并增加重复请求成功可能性的策略。例如，客户端应用程序可能在尝试第一次重试前最多等待 400 毫秒，第二次重试最多等待 1600 毫秒，第三次重试最多等待 6400 毫秒（6.4 秒），依此类推。

表达式 Amazon CloudSearch (p. 265)：用于控制搜索命中结果排序方式的数值表达式。您可以使用数值字段、其他排名表达式、文档的默认关联分数、标准数值运算符和函数来构建 Amazon CloudSearch 表达式。使用 sort 选项在搜索请求中指定表达式时，将针对每个搜索命中结果评估该表达式，并根据其表达式值列出命中结果。

提取、转换和加载 (ETL) 用于集成来自多个源的数据的过程。从源收集数据 (提取)，将数据转换为适当的格式(转换) 并将数据写入目标数据存储 (加载) 以进行分析和查询。

ETL 工具组合了这三种功能来整合数据并将数据从一个环境移动到另一个环境。AWS Glue (p. 271) 是一种完全托管的 ETL 服务，用于发现和组织数据、转换数据并使其可用于搜索和分析。

FNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

分面 Amazon CloudSearch (p. 265)：一个索引字段，代表用于优化和筛选搜索结果的类别。

启用分面 Amazon CloudSearch (p. 265)：一个针对字段启用分面信息计算的索引字段选项。

版本 1.0283


FBL See 反馈循环.

功能转换 Amazon Machine Learning：从原始输入变量构造预测性更高的输入表示形式或“功能”以优化机器学习模型的学习和泛化能力的机器学习过程。也称作数据转换或功能设计。

联合身份管理允许个人登录不同的网络或服务，使用相同的群组或个人凭证访问所有网络上的数据。利用 AWS 中的联合身份验证，可为外部身份（联合用户）授予对 AWS 账户 (p. 264)中的资源 (p. 297)的安全访问权，而无需创建 IAM user (p. 304)。这些外部身份可来自企业身份存储（例如 LDAP 或 Windows Active Directory）或第三方（例如 Login with Amazon、Facebook 或 Google）。此外，AWS 联合还支持SAML 2.0。

联合用户 See 联合身份管理.

联合身份验证 See 联合身份管理.

反馈循环邮箱提供商（如 Internet 服务提供商 (p. 287)）将收件人 (p. 296) 的投诉 (p. 277) 转发回发件人 (p. 299) 的机制。

字段权重文本字段在搜索索引中的相对重要程度。字段权重控制特定文本字段中的匹配项对文档的关联分数的影响程度。

筛选条件在列出或描述 Amazon EC2 (p. 265) 资源 (p. 297)时，您指定的用于限制结果的标准。

筛选查询一种筛选搜索结果而不对结果计分和排序产生影响的方式。通过 AmazonCloudSearch (p. 265) fq 参数指定。

FIM See 联合身份管理.

Firehose See Amazon Kinesis Data Firehose.

格式版本 See 模板格式版本.

论坛 See 开发论坛.

function See 内部函数.

模糊搜索一种使用近似字符串匹配（模糊匹配）来纠正键入错误和拼写错误的简单搜索查询。

GNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

地理空间搜索一种使用以经度和纬度指定的位置来确定匹配项和对结果进行排序的搜索查询。

吉字节千兆二进制字节的缩写形式，1 GiB 为 2^30 字节，即 1073741824 字节。1gigabyte (GB) 为 10^9 字节，即 1000000000 字节。1024 GiB 为 1 兆字节 (p. 303)。

GitHub 使用 Git 进行版本控制的基于 Web 的存储库。

全局二级索引一种带有可能与表中不同的分区键和排序键的索引。全局二级索引之所以称为全局，这是因为该索引上的查询可跨过所有分区，涵盖表中的所有数据。See Also 本地二级索引.

版本 1.0284


授予 AWS Key Management Service (AWS KMS) (p. 272)：用于向 AWS 委托人 (p. 294)提供长期权限以使用客户主密钥 (CMK) (p. 278) 的机制。

授予令牌一种标识符，允许授予 (p. 285)中的权限立即生效。

基本实际情况机器学习 (ML) 模型训练过程中使用的观察，包括正确的目标属性值。要训练 ML 模型以预测房屋销售价格，输入观察通常将包含该地区以前的房屋销售价格。这些房屋的销售价格构成了基本实际情况。

组 IAM (p. 271) user (p. 304)的集合。可使用 IAM 组更轻松地指定和管理多个用户的权限。

HNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

Hadoop 通过使用群集和简单的编程模型启用对大数据的分布式处理的软件。有关详细信息，请参阅 http://hadoop.apache.org。

硬退回邮件持久性的电子邮件传送失败，例如“邮箱不存在。”

硬件 VPN Internet 上基于硬件的 IPsec VPN 连接。

运行状况检查检查 Auto Scaling (p. 269) 群组中每个实例健康状况的系统调用。

高质量电子邮件收件人认为有价值和想要收取的电子邮件。对不同的收件人而言，有价值的事物各不相同，它们可能是报价、订单确认函、收据、新闻通讯等等。

突出显示 Amazon CloudSearch (p. 265)：随搜索结果返回的摘要，它们显示了搜索词出现在匹配文档中的哪些文本位置。

启用突出显示 Amazon CloudSearch (p. 265)：一个使字段中的匹配项突出显示的索引字段选项。

命中结果与搜索请求中指定的标准相匹配的文档。也称作搜索结果。

HMAC 基于哈希的消息身份验证代码。用于计算消息身份验证代码 (MAC) 的特定构建涉及加密哈希函数与密钥的组合。您可以用其同时确认数据的完整性和信息的真实性。AWS 使用标准的加密哈希算法（如 SHA-256）来计算 HMAC。

托管区域 Amazon Route 53 (p. 267) 托管的资源记录 (p. 297)集的集合。与传统的 DNS 区域文件一样，托管区域代表在单一域名下统一管理的记录集合。

HVM 虚拟化硬件虚拟机虚拟化。允许客户虚拟机如同在本地硬件平台上一样运行，唯一不同的是仍然使用半虚拟 (PV) 网络和存储驱动程序提高性能。See Also 半虚拟化.

INumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

IAM See AWS Identity and Access Management (IAM).

版本 1.0285

http://hadoop.apache.org/


IAM 组 See 组.

IAM 策略模拟器 See 策略模拟器.

IAM 角色 See 角色.

IAM 用户 See user.

Identity and AccessManagement

See AWS Identity and Access Management (IAM).

身份提供商 (IdP) 一个包含有关外部身份提供商的元数据的 IAM (p. 271) 实体。

IdP See 身份提供商 (IdP) .

映像 See Amazon 系统映像 (AMI).

导入/导出站在 Amazon S3 (p. 268) 中上传或下载数据的机器。

导入日志一种报告，包含有关 AWS Import/Export (p. 272) 如何处理您的数据的详细信息。

就地部署 AWS CodeDeploy：一种部署方法，即停止部署组中每个实例上的应用程序，安装最新的应用程序修订版，然后启动并验证应用程序的新版本。您可以选择使用负载均衡器，以便在其部署期间取消注册每个实例，然后在部署完成后让其恢复服务。

索引 See 搜索索引.

索引字段包含在 Amazon CloudSearch (p. 265) 域索引中的名称-值对。索引字段可包含文本或数值数据、日期或位置。

索引选项定义 Amazon CloudSearch (p. 265) 域索引字段、文档数据如何映射到这些索引字段以及如何使用索引字段的配置设置。

内联策略在单个 IAM user (p. 304)、组 (p. 285)或角色 (p. 297)中嵌入的 IAM (p. 271)策略 (p. 293)。

输入数据 Amazon Machine Learning：您向 Amazon Machine Learning 提供的用来练习和评估机器学习模型并生成预测的观察。

实例在 AWS 云中作为虚拟服务器运行的 Amazon 系统映像 (AMI) (p. 267) 的副本。

实例系列使用存储或 CPU 能力的通用实例类型 (p. 286) 分组。

实例组每个 Hadoop (p. 285) 群集包含一个主实例组（带有一个主节点 (p. 289)）、一个核心实例组（带有一个或多个核心节点 (p. 278)）和一个可选的任务节点 (p. 303)实例组（可以包含任意数量的任务节点）。

实例配置文件一个在启动时将 IAM (p. 271) 角色 (p. 297)信息传递给 EC2 实例 (p. 281)的容器。

实例存储实际挂载到 EC2 实例 (p. 281)的主机的磁盘存储，因而具有与该实例相同的生命周期。当实例终止时，实例存储中的所有数据都将丢失。

实例存储支持的 AMI 一种 Amazon 系统映像 (AMI) (p. 267)，其实例 (p. 286)使用实例存储 (p. 286)卷 (p. 305)作为根设备。将这种实例与从 Amazon EBS (p. 265) 支持的 AMI 启动的实例进行比较，后者使用 Amazon EBS 卷作为根设备。

实例类型定义内存、CPU、存储容量以及实例 (p. 286)使用成本的规范。某些实例类型针对标准应用而设计，而另一些则是针对 CPU 密集型、内存密集型等应用而设计。

Internet 网关将网络连接到 Internet。您可以将 VPC (p. 305) 以外的 IP 地址的流量路由到Internet 网关。

版本 1.0286


Internet 服务提供商为订阅者提供 Internet 访问的公司。许多 ISP 同时也是邮箱提供商 (p. 289)。邮箱提供商有时也称作 ISP，即便他们仅提供邮箱服务。

内部函数 AWS CloudFormation (p. 270) 模板中的一种特殊操作，可将值分配给直至运行时才可用的属性。这些函数遵循 Fn::Attribute 格式，例如 Fn::GetAtt。内部函数的实参可以是参数、虚拟参数或其他内部函数的输出。

IP 地址一个数字地址（例如 192.0.2.44），供联网设备用来通过 Internet 协议 (IP) 相互通信。所有 EC2 实例 (p. 281)在启动时都分配了两个 IP 地址，即私有 IP 地址（遵循RFC 1918）和公有 IP 地址，它们可通过网络地址转换 (NAT (p. 291)) 直接相互映射。VPC (p. 268) 中启动的实例只分配了私有 IP 地址。在默认 VPC 中启动的实例会分配到一个私有 IP 地址和一个公有 IP 地址。

IP 匹配条件 AWS WAF (p. 274)：一个指定 Web 请求源自的 IP 地址或 IP 地址范围的属性。根据指定的 IP 地址，可以将 AWS WAF 配置为允许或阻止针对 AWS 资源 (p. 297)（例如 Amazon CloudFront (p. 264) 分发）的 Web 请求。

ISP See Internet 服务提供商.

发布者编写策略 (p. 293)以授予资源 (p. 297)权限的人员。发布者（按定义）通常指资源所有者。AWS 不允许 Amazon SQS (p. 268) 用户为他们不拥有的资源创建策略。如果 John 是资源所有者，那么当他提交他编写的策略为该资源授予权限时，AWS会对 John 的身份进行认证。

项目一组属性，这些属性在所有其他项目之间唯一地标识。AmazonDynamoDB (p. 265) 中的项目在很多方面都类似于其他数据库系统中的行、记录或元组。

JNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

任务流程 Amazon EMR (p. 266)：一个或多个step (p. 301)，指定要对数据执行的所有功能。

任务 ID 由五个字符组成的字母数字字符串，用于唯一地标识发运的 AWS Import/Export (p. 272) 存储设备。AWS 发出任务 ID 来响应 CREATE JOB 电子邮件命令。

任务前缀一个可选字符串，可将它添加到 AWS Import/Export (p. 272) 日志文件名的开头来防止与同名对象发生冲突。See Also 键前缀.

JSON JavaScript 对象表示法。一种轻量级数据交换格式。想要了解更多有关 JSON 的信息，请参阅 http://www.json.org/。

垃圾邮件文件夹用于收集各种筛选器认定无甚价值的电子邮件的位置，这些电子邮件不会进入收件人 (p. 296)的收件箱，但仍可为收件人访问。也称作垃圾电子邮件 (p. 301) 或批量文件夹。

KNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |

版本 1.0287

http://www.json.org/


O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

密钥标识 AWS 账户 (p. 264)或 AWS user (p. 304)的凭证（例如 AWS 秘密访问密钥 (p. 299)）。

Amazon Simple Storage Service (Amazon S3) (p. 268)，Amazon EMR (AmazonEMR) (p. 266)：对象在存储桶 (p. 275)内的唯一标识符。存储桶内的每个数据元都只能有一个密钥。由于存储桶和密钥一起唯一地标识每个对象，因此可将 Amazon S3 视为一种存储桶 + 密钥与对象本身间的基本数据映射。将 Web 服务终端节点、存储桶名和密钥组合在一起（本示例中，在 http://doc.s3.amazonaws.com.cn/2006-03-01/AmazonS3.wsdl 中，doc 是存储桶的名称，而 2006-03-01/AmazonS3.wsdl 是密钥），可唯一地寻址 Amazon S3中的每个对象。

AWS Import/Export (p. 272)：Amazon S3 中对象的名称。它是一个 Unicode字符序列，其 UTF-8 编码不能超过 1024 个字节。如果密钥（如 logPrefix +import-log-JOBID）超过 1024 个字节，AWS Elastic Beanstalk (p. 271) 将返回InvalidManifestField 错误。

IAM (p. 271)：在策略 (p. 293)中，作为限制访问基础的特定特征（如当前时间或请求者的 IP 地址）。

标记资源：一种常见的标签 (p. 303)标签，行为类似于更具体的标签值的类别。例如，您可能有一个标签密钥为 Owner 且标签值为 Jan 的 EC2 实例 (p. 281)。您可以用最多 10 个密钥-值对来标记 AWS 资源 (p. 297)。并非所有 AWS 资源都可添加标签。

密钥对一组用于以电子方式证明个人身份的安全凭证。密钥对包含私有密钥和公有密钥。

键前缀存储桶 (p. 275) 中对象的逻辑分组。前缀值类似于允许您将相似数据存储在存储桶内同一目录下的目录名称。

kibibyte 千位二进制字节的缩写形式，1 KiB 为 2^10 字节，即 1024 字节。1 kilobyte (KB) 为10^3 字节，即 1000 字节。1024 KiB 为 1 mebibyte (p. 290)。

KMS See AWS Key Management Service (AWS KMS).

LNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

标记的数据在机器学习中，已知道其目标或“正确”答案的数据。

启动配置一组说明性参数，用于在 Auto Scaling (p. 269) 活动中创建新的 EC2 实例 (p. 281)。

Auto Scaling 组 (p. 269) 用于启动新的 EC2 实例的模板。启动配置包含 Amazon系统映像 (AMI) (p. 267) ID、实例类型、密钥对、安全组 (p. 299)、块设备映射以及其他配置设置等信息。

启动权限一个允许用户启动 AMI 的 Amazon 系统映像 (AMI) (p. 267) 属性。

生命周期包含在 Auto Scaling 组 (p. 269)中的 EC2 实例 (p. 281)的生命周期状态。EC2 实例在其生命周期中将经过许多状态；其中包括正在等待、正在运行、正在终止和已终止。

版本 1.0288


生命周期操作一个可由 Auto Scaling 暂停的操作，例如启动或终止 EC2 实例。

生命周期挂钩使您能够在 Auto Scaling 启动或终止 EC2 实例后暂停它，以便在实例未处于可用状态时执行自定义操作。

链接到 VPC 将 EC2-Classic 实例 (p. 286)链接（或附加）到已启用 ClassicLink 的VPC (p. 305) 的过程。See Also ClassicLink, 从 VPC 取消链接.

负载均衡器与一组端口结合使用的 DNS 名称，它们一起为针对您的应用程序的所有请求提供了一个目标。负载均衡器可将流量分配到区域 (p. 296) 中每个可用区域 (p. 269)上的多个应用程序实例。负载均衡器可跨越在其中启动 Amazon EC2 (p. 265) 实例的一个 AWS 区域内的多个可用区。但是，负载均衡器不能跨多个区域。

本地二级索引一种分区键与表中的相同但排序键与表中的不同的索引。本地二级索引之所以称为“本地”，是因为该索引的每个分区的范围都限定为具有相同分区键值的表分区。See Also 本地二级索引.

逻辑名称标识资源 (p. 297)、映射 (p. 289)、参数或输出的 AWSCloudFormation (p. 270) 模板中的一个区分大小写的唯一字符串。在 AWSCloudFormation 模板中，每个参数、资源 (p. 297)、属性、映射和输出都必须用一个唯一的逻辑名称声明。当您使用 Ref 函数取消引用这些项时，请使用逻辑名称。

MNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

邮件传输代理 (MTA) 借助客户端-服务器架构将电子邮件从一台计算机传输至另一台计算机的软件。

邮箱提供商提供电子邮件邮箱托管服务的组织。邮箱提供商有时也称作 Internet 服务提供商 (p. 287)，即便他们仅提供邮箱服务。

邮箱模拟器在不向实际收件人发送电子邮件的情况下，用于测试基于 Amazon SES (p. 267) 的电子邮件发送应用程序的一组电子邮件地址。每个电子邮件地址代表某一特定场景（例如退回邮件或投诉），并生成特定于该场景的典型响应。

主路由表任何新的 VPC (p. 305) 子网 (p. 302)用于路由的默认路由表 (p. 297)。您可以将子网与您选择的不同路由表关联起来。也可以更改作为主路由表的路由表。

管理的策略一个独立的 IAM (p. 271) 策略 (p. 293)，可附加到 IAM 账户 (p. 264)中的多个user (p. 304)、组 (p. 285)和角色 (p. 297)。策略可以是 AWS 管理的策略（由 AWS 创建和管理）或客户管理的策略（您在 AWS 账户中创建和管理）。

清单当发送创建任务请求以执行导入或导出操作时，您需要在称作清单的文本文件中描述您的任务。清单文件是一种 YAML 格式文件，它指定如何在存储设备和 AWS 云之间传输数据。

清单文件 Amazon Machine Learning：用于描述批量预测的文件。清单文件将每个输入数据文件与其关联的批量预测结果相关联。它存储在 Amazon S3 输出位置。

映射一种将条件参数值添加到 AWS CloudFormation (p. 270) 模板中的方法。您在模板中可选的 Mappings 部分指定映射，并使用 FN::FindInMap 函数检索所需的值。

标记 See 分页标记.

主节点在 Amazon 系统映像 (AMI) (p. 267) 上运行的进程，负责跟踪其核心节点和任务节点完成的工作。

版本 1.0289


最高价为启动一个或多个 Spot 实例 (p. 301)而需支付的最高价。如果您的最高价超出当前的 Spot 价格 (p. 301)，并且达到了您的限制，则 Amazon EC2 (p. 265) 将代表您启动实例。

最大发送速率使用 Amazon SES (p. 267) 每秒可发送的电子邮件的最大数量。

mebibyte 兆位二进制字节的缩写形式，1 MiB 为 2^20 字节，即 1048576 字节。1 megabyte(MB) 为 10^6 字节，即 1000000 字节。1024 MiB 为 1 吉字节 (p. 284)。

成员资源 See 资源.

消息 ID Amazon Simple Email Service (Amazon SES) (p. 267)：分配给所发送的每封电子邮件的唯一标识符。

Amazon Simple Queue Service (Amazon SQS) (p. 268)：您向队列发送消息时返回的标识符。

元数据有关其他数据或对象的信息。在 Amazon Simple Storage Service (AmazonS3) (p. 268) 和 Amazon EMR (Amazon EMR) (p. 266) 中，元数据采用描述对象的名称-值对的形式。其中包括默认元数据（如最后修改日期）和标准 HTTP 元数据（如 Content-Type）。用户还可以在存储对象时指定自定义元数据。在 AmazonElastic Compute Cloud (Amazon EC2) (p. 265) 中，元数据包括有关 EC2 实例 (p. 281)的数据，该实例可检索这些数据以确认自身状况，如实例类型、IP 地址等。

指标一个时间序列数据元素，由一个命名空间 (p. 291)、一个指标名称和零到十个维度的唯一组合定义。从其得出的指标和统计数据是 Amazon CloudWatch (p. 265) 的基础。

指标名称主要的指标标识符，以命名空间 (p. 291)和可选维度组合而成。

MFA See Multi-Factor Authentication (MFA).

微型实例一种 EC2 实例 (p. 281)，如果您只偶尔会有高 CPU 的活动，则使用该类型会更合算。

MIME See 多用途 Internet 邮件扩展 (MIME).

ML 模型机器学习 (ML) 中的通过查找数据中的模式来生成预测的数学模型。AmazonMachine Learning 支持三种 ML 模型：二进制分类、多类别分类和回归。也称作预测模型。See Also 二进制分类模型, 多类别分类模型, 回归模型.

MTA See 邮件传输代理 (MTA).

多可用区部署一个主数据库实例 (p. 279)，在不同的可用区域 (p. 269) 拥有同步备用副本。主数据库实例可以跨可用区同步复制到备用副本。

多类别分类模型一种预测属于有限的、预定义的允许值集的值的机器学习模型。例如，“该产品是书、影片还是服装？”

Multi-Factor Authentication(MFA)

一个可选的 AWS 账户 (p. 264)安全功能。启用 AWS MFA 后，无论何时访问安全AWS 网站页面或 AWS 管理控制台 (p. 272)，除了您的登录凭证之外，您还必须提供一个六位数的一次性代码。您从物理拥有的身份验证设备中获取此一次性代码。See Also http://amazonaws.cn/mfa/.

多值属性具有多个值的属性。

分段上传一种允许上传单个对象作为一组分段的功能。

版本 1.0290


多用途 Internet 邮件扩展(MIME)

一个扩展电子邮件协议以包含非 ASCII 文本和非文本元素 (如附件) 的 Internet 标准。

Multitool 一种为管理大型数据集提供简单命令行界面的级联应用程序。

否Numbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

命名空间一种提供其所存放项目（名称、技术术语或单词）的上下文并消除位于不同命名空间中的同名项目之歧义的抽象容器。

NAT 网络地址转换。一种策略，其中当数据包跨流量路由设备传输时将一个或多个 IP 地址映射到另一个 IP 地址。此策略通常用于限制与私有实例的 Internet 通信并允许传出流量。See Also 网络地址转换和协议转换, NAT 网关, NAT 实例.

NAT 网关一种由 AWS 托管的 NAT (p. 291) 设备，可在私有子网 (p. 302)中执行网络地址转换以保护入站 Internet 流量。NAT 网关同时使用 NAT 和端口地址转换。See Also NAT 实例.

NAT 实例一种由用户配置的 NAT (p. 291) 设备，可在 VPC (p. 305) 公共子网 (p. 302)中执行网络地址转换以保护入站 Internet 流量。See Also NAT 网关.

网络 ACL 一个可选安全层，可作为防火墙来控制进出子网 (p. 302)的流量。一个网络ACL (p. 263) 可关联多个子网，但在某一时刻，一个子网仅可关联一个网络 ACL。

网络地址转换和协议转换 (NAT (p. 291)-PT) RFC 2766 中定义的一种 Internet 协议标准。See Also NAT 实例, NAT 网关.

n 元处理器一种处理 n 元转换的处理器。See Also n 元转换.

n 元转换 Amazon Machine Learning：一种帮助执行文本字符串分析的转换。n 元转换通过以下方式将文本变量用作输入和输出字符串：在文本上方滑动大小为 n 个词的窗口（其中 n 由用户指定）并输出大小为 n 和更小的每个单词字符串。例如，指定窗口大小为 2 的 n 元转换将返回所有 2 个单词组合以及所有单个单词。

节点 Amazon Elasticsearch Service (Amazon ES) (p. 266)：一个 Elasticsearch 实例。节点可以是数据实例或专用主实例。See Also 专用主节点.

NoEcho AWS CloudFormation (p. 270) 参数的一个属性，可阻止报告模板参数的名称和值（默认行为是报告）。声明 NoEcho 属性将导致 cfn-describe-stacks 命令所产生的报告中用星号代替参数值。

NoSQL 高度可用的、可扩展的并且已针对高性能进行优化的非关系数据库系统。有别于关系模型，NoSQL 数据库（如 Amazon DynamoDB (p. 265)）使用替代模型进行数据管理，例如键-值对或文档存储。

空对象空对象是指版本 ID 为空。当某个存储桶 (p. 275)的版本控制 (p. 305)处于挂起状态时，Amazon S3 (p. 268) 向该存储桶添加一个空对象。存储段中的每个密钥可以仅有一个空数据元。

传递次数允许 Amazon Machine Learning 使用相同的数据记录来训练机器学习模型的次数。

版本 1.0291


ONumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

对象 Amazon Simple Storage Service (Amazon S3) (p. 268)：Amazon S3 中存储的基本实体类型。数据元由数据元数据和元数据组成。数据部分对 Amazon S3 不透明。

Amazon CloudFront (p. 264)：可通过 HTTP 或 RTMP 版本提供的实体。

观察 Amazon Machine Learning：Amazon Machine Learning (Amazon ML) 用来训练机器学习模型如何预测或生成预测的单个数据实例。Amazon ML 输入数据文件中的每个行均为一个观察。

个按需实例按小时收取计算能力费用的 Amazon EC2 (p. 265) 定价选项，无需长期购买。

操作一个 API 函数。也称作动作。

乐观锁一种策略，用于确保要更新的项目在更新前未由其他人修改。对于 AmazonDynamoDB (p. 265)，AWS 开发工具包提供乐观锁支持。

组织 AWS Organizations (p. 272)：您创建用于整合和管理您的 AWS 账户的实体。一个组织有一个主账户以及零个或多个成员账户。

组织单位 AWS Organizations (p. 272)：组织的根 (p. 297) 中的账户的容器。一个组织单位 (OU) 可包含其他 OU。

源访问身份也称作 OAI。在使用 Amazon CloudFront (p. 264) 将 Amazon S3 (p. 268) 存储桶 (p. 275)的内容用作源时，为用于要求用户通过 CloudFront URL 而非 AmazonS3 URL 访问您的内容的虚拟身份。通常用于 CloudFront 私有内容 (p. 294)。

源服务器 Amazon S3 (p. 268) 存储桶 (p. 275)或自定义源，包含您通过CloudFront (p. 264) 传输的内容的明确原始版本。

原始环境在 AWS CodeDeploy 蓝/绿部署开始时的部署中的实例。

OSB 转换正交稀疏二元转换。机器学习中的一种转换，可帮助进行文本字符串分析，并且是 n元转换的替代。OSB 转换通过以下方式生成：滑动文本上方的大小为 n 个词的窗口并输出包含窗口中的第一个词的每个单词对。See Also n 元转换.

OU See 组织单位.

输出位置 Amazon Machine Learning：用于存储批量预测结果的 Amazon S3 位置。

PNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

分页通过以多个单独的小部分返回一大批记录来响应 API 请求的过程。分页可在以下情况下发生：

• 客户端将最大返回记录数设置为一个小于总记录数的值。

版本 1.0292


• 服务具有一个小于总记录数的默认最大返回记录数。

在对 API 响应进行分页时，此服务将发送大批记录中的一小部分记录和一个指示多个记录可用的分页标记。客户端将此分页标记包含在后续 API 请求中，并且服务将发送下一记录子集作为响应。此操作将继续，直到服务发送某个记录子集作为响应且没有分页标记，这指示已发送所有记录。

分页标记一个指示 API 响应包含大批记录中的某个记录子集的标记。客户端可在后续 API 请求中返回此标记以检索下一个记录子集，直到服务发送某个记录子集作为响应且没有分页标记，这指示已发送所有记录。See Also 分页.

付费 AMI 在 AWS Marketplace (p. 272) 上出售给其他 Amazon EC2 (p. 265) 用户的Amazon 系统映像 (AMI) (p. 267)。

半虚拟化 See 半虚拟化.

part 分段上传请求中的对象数据的连续部分。

分区键一个简单主键，由一个属性（也称作哈希属性）构成。See Also 分区键, 排序键.

PAT 端口地址转换。

pebibyte 千万亿二进制字节的缩写形式，1 PiB 为 2^50 字节，即 1125899906842624 字节。1 petabyte (PB) 为 10^15 字节，即 1000000000000000 字节。1024 PiB 为 1exbibyte (p. 283)。

周期 See 采样周期.

许可策略 (p. 293)中允许或拒绝访问特定资源 (p. 297)的语句。可以声明类似于以下内容的任何权限：“A 有权对 C 执行 B”。例如，Jane (A) 有权从 John 的 AmazonSQS (p. 268) 队列 (C) 读取消息 (B)。无论 Jane 何时向 Amazon SQS 发送使用John 的队列的请求，该产品都会检查她是否拥有权限，同时还会检查发送的请求是否满足 John 在权限中设定的条件。

持久性存储一种数据存储解决方案，其中，数据在被删除前将保持不变。AWS (p. 268)中的选项包括：Amazon S3 (p. 268)、Amazon RDS (p. 267)、AmazonDynamoDB (p. 265) 和其他服务。

实体名称创建堆栈 (p. 301)时分配给每个资源 (p. 297)的 AWS CloudFormation (p. 270)的唯一标签。某些 AWS CloudFormation 命令接受实体名称用作 --physical-name 参数的值。

管道 AWS CodePipeline (p. 270)：通过发布程序定义软件更改方式的工作流程结构。

明文尚未加密 (p. 282)的信息（与密文 (p. 276)相对）。

策略 IAM (p. 271)：定义应用于用户、组或角色的权限的文档；权限进而确定用户可以在 AWS 中执行的操作。策略通常允许 (p. 264)访问特定操作，可以选择授权允许对特定资源 (p. 297)（例如，EC2 实例 (p. 281)、Amazon S3 (p. 268) 存储桶 (p. 275)等）执行操作。策略还可以显式拒绝 (p. 280)访问。

Auto Scaling (p. 269)：存储启动或终止 Auto Scaling 组实例所需信息的对象。执行该策略会导致实例启动或终止。您可以配置警报 (p. 264) 以调用 Auto Scaling策略。

策略生成器 IAM (p. 271) AWS 管理控制台 (p. 272)中的一种工具，可帮助您通过选择可用选项列表中的元素来生成策略 (p. 293)。

版本 1.0293


策略模拟器 IAM (p. 271) AWS 管理控制台 (p. 272)中的一种工具，可帮助您对策略 (p. 293)进行测试和问题排查，以便您能查看策略在实际方案中所起的作用。

策略验证器 IAM (p. 271) AWS 管理控制台 (p. 272)中的一种工具，可检查现有的 IAM 访问控制策略 (p. 293)以确保它们符合 IAM 策略语法。

预签名 URL 一个使用查询字符串身份验证 (p. 295)的 Web 地址。

前缀 See 任务前缀.

Premium Support 可供 AWS 客户订阅的一对一快速响应通道，用于为 AWS 客户提供 AWS 基础设施服务支持。See Also http://amazonaws.cn/support-plans/.

主键一个或两个属性，可唯一标识 Amazon DynamoDB (p. 265) 表中的每个项目，以确保任意两个项目不具有相同的键。See Also 分区键, 排序键.

主分区 See 分片.

委托人获得策略 (p. 293)中定义的权限的user (p. 304)、服务或账户 (p. 264)。委托人是“A 有权对 C 执行 B”语句中的 A。

私有内容在使用 Amazon CloudFront (p. 264) 将带 Amazon S3 (p. 268) 存储桶 (p. 275)的内容用作源时，为通过要求用户使用签名的 URL 来控制对内容的访问的方法。签名的 URL 可根据当前日期和时间和/或请求源自的 IP 地址来限制用户访问。

私有 IP 地址一个私有数字地址（例如 192.0.2.44），供联网设备用来通过 Internet 协议 (IP) 相互通信。所有 EC2 实例 (p. 281)在启动时都分配了两个 IP 地址，即私有地址（遵循 RFC 1918）和公有地址，它们可通过网络地址转换 (NAT (p. 291)) 直接相互映射。例外：Amazon VPC (p. 268) 中启动的实例只分配了私有 IP 地址。

私有子网一种 VPC (p. 305) 子网 (p. 302)，其实例不能从 Internet 访问。

产品代码 AWS 在您将产品提交到 AWS Marketplace (p. 272) 时提供的标识符。

属性 See 资源属性.

属性规则一种符合 JSON (p. 287) 的标记标准，用于声明 AWS CloudFormation (p. 270)模板中的属性、映射和输出值。

预配置 IOPS 一种存储选项，旨在提供快速、可预测和一致的 I/O 性能。如果在创建数据库实例时指定 IOPS 速率，Amazon RDS (p. 267) 会为数据库实例的生命周期配置该 IOPS速率。

虚拟参数一种预定义设置（如 AWS:StackName），不必声明即可在 AWSCloudFormation (p. 270) 模板中使用。在可使用常规参数的任何位置，都可以使用虚拟参数。

公用 AMI 所有 AWS 账户 (p. 264)均有权启动的 Amazon 系统映像 (AMI) (p. 267)。

公用数据集一种大型公用信息集，可无缝整合到 AWS 基于云的应用程序中。Amazon 免费为社区托管公用数据集，像其他所有 AWS 服务一样，用户只需为其应用程序所使用的计算和存储支付费用。这些数据集当前包括人类基因组计划、美国人口普查、Wikipedia 和其他来源的数据。See Also http://amazonaws.cn/publicdatasets.

公有 IP 地址一个公共数字地址（例如 192.0.2.44），供联网设备用来通过 Internet 协议 (IP) 相互通信。EC2 实例 (p. 281)在启动时都分配了两个 IP 地址，即私有地址（遵循 RFC

版本 1.0294


1918）和公有地址，它们可通过网络地址转换 (NAT (p. 291)) 直接相互映射。例外：Amazon VPC (p. 268) 中启动的实例只分配了私有 IP 地址。

公有子网可从 Internet 访问其实例的子网 (p. 302)。

半虚拟化半虚拟化。允许客户虚拟机在没有特殊支持扩展来实现完整的硬件和 CPU 虚拟化的托管系统上运行。由于半虚拟化客户机运行未使用硬件模拟且经修改的操作系统，无法提供硬件相关的功能（如增强网络或 GPU 支持）。See Also HVM 虚拟化.

QNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

四分位数分箱转换 Amazon Machine Learning：采用两种输入（一个数值变量和一个称作“分箱号”的参数）并输出类别变量的过程。四分位数分箱转换使机器学习模型能够理解数值变量分发的各个部分的单独重要性值，来发现变量分发中的非线性特征。

查询一种 Web 服务，通常仅在 URL 中使用 GET 或 POST HTTP 方法和一个带有参数的查询字符串。See Also REST.

查询字符串身份验证一项 AWS 功能，用于在 HTTP 请求查询字符串中而不是在 Authorization 标头中放置身份验证信息，从而支持对存储桶 (p. 275)中的对象进行基于 URL 的访问。

queue 保存在临时存储中等待传输或处理的消息或任务的序列。

队列 URL 用于唯一标识序列的 Web 地址。

配额 Amazon RDS (p. 267)：您可以使用的最大数据库实例 (p. 279)数和可用存储。

Amazon ElastiCache (p. 266)：以下项目的最大数目：

• 每个 AWS 账户 (p. 264)的缓存群集数目• 每个缓存群集的缓存节点数目• 该 AWS 账户创建的所有缓存群集的每 AWS 账户缓存节点数的总和

RNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

range GET 用于指定下载操作要获取的数据字节范围的请求。如果对象很大，您可以通过发送多个范围 GET 请求（每个范围 GET 指定不同的 GET 字节范围）将下载操作分为若干较小的单位操作。

原始电子邮件一种 sendmail 请求，可用于指定电子邮件标头和 MIME 类型。

RDS See Amazon Relational Database Service (Amazon RDS).

只读副本 Amazon RDS (p. 267)：另一数据库实例的活动副本。源数据库实例上的任意数据更新都会利用 MySQL 5.1 内置的复制功能复制到只读副本数据库实例。

版本 1.0295


实时预测 Amazon Machine Learning：同步生成的单个数据观察的预测。See Also 批量预测.

接收句柄 Amazon SQS (p. 268)：从队列接收消息时获得的标识符。从队列中删除消息或对消息的可见性超时进行更改时，您必须提供该标识符。

接收方包含用于管理收件人 (p. 296) 电子邮件传输操作的网络系统、软件和策略的实体。

收件人 Amazon Simple Email Service (Amazon SES) (p. 267)：接收电子邮件的人或实体。例如，某电子邮件里“收件人”字段中提及的人。

Redis 一种快速、开源、内存中的键-值数据结构存储。Redis 附带一组通用的内存中数据结构，您可以用来轻松创建各种自定义应用程序。

引用一种将属性从一个 AWS 资源 (p. 297)插入到另一个 AWS 资源中的方法。例如，您可以将 Amazon EC2 (p. 265) 安全组 (p. 299)属性插入到 AmazonRDS (p. 267) 资源中。

区域同一地理地区中的命名 AWS 资源 (p. 297)集。一个区域包含至少两个可用区域 (p. 269)。

回归模型 Amazon Machine Learning：优化机器学习性能的常见数据转换的预先格式化的说明。

回归模型一种预测数值（例如，房屋的准确购买价格）的机器学习模型。

正规化一个机器学习 (ML) 参数，可调整此参数来获得高质量 ML 模型。正规化有助于防止ML 模型记住训练数据示例而不是了解如何泛化发现的模式（称作过度拟合）。在过度拟合训练数据时，ML 模型非常适合训练数据，但不是很适合评估数据或新数据。

替换环境在 AWS CodeDeploy 蓝/绿部署后的部署组中的实例。

副本分区 See 分片.

回复路径回复电子邮件发送到的电子邮件地址。它不同于退回路径 (p. 297)。

表述性状态转移 See REST.

声誉 1. 一种关于客户发送的是否为高质量电子邮件的 Amazon SES (p. 267) 指标，其依据为可能包含退回邮件 (p. 275)、投诉 (p. 277)和其他指标的因素。

2. 一个衡量置信度的指标，按照 Internet 服务提供商 (p. 287)或从其接收电子邮件的 IP 地址不为垃圾电子邮件 (p. 301)源的其他实体判断。

请求者向 AWS 发送请求以执行特定操作的人员（或应用程序）。AWS 收到请求时，它首先评估请求者的权限以确定是否允许请求者执行请求操作（如果适用，对于请求的资源 (p. 297)）。

申请方付款一种 Amazon S3 (p. 268) 功能，允许存储桶拥有者 (p. 275)指定请求访问特定存储桶 (p. 275)中对象的任何人必须支付数据传输和请求费用。

预留作为相同启动请求一部分启动的 EC2 实例 (p. 281)集合。不要与预留实例 (p. 296) 混淆。

预留实例一个EC2 实例 (p. 281)的定价选项，可对满足指定参数的实例的按需 (p. 292)使用费用打折扣。客户对实例的整个期限付款，无论客户使用实例的情况如何。

预留实例市场一种在线交易，可将想要出售不再需要的预留容量的卖方与正在寻找购买额外容量的买方匹配起来。从第三方卖方购买的预留实例 (p. 296)的剩余期限短于完整的标准期限且可以按照不同的预付费用价格出售。使用费或经常性费用仍然相同，因为这些

版本 1.0296


费用在购买预留实例时就已经设定。从 AWS 获得的完全标准期限预留实例运行一年或三年。

资源用户可以在 AWS 中使用的实体，例如 EC2 实例 (p. 281)、AmazonDynamoDB (p. 265) 表、Amazon S3 (p. 268) 存储桶 (p. 275)、IAM (p. 271)用户、AWS OpsWorks (p. 272) 堆栈 (p. 301)等。

资源属性在 AWS CloudFormation (p. 270) 堆栈 (p. 301)中包含 AWS 资源 (p. 297)时所需的值。每个资源都可以有一个或多个属性与之关联。例如，一个AWS::EC2::Instance 资源可有一个 UserData 属性。即使资源没有属性，也必须在 AWS CloudFormation 模板中声明一个属性部分。

资源记录也称作资源记录集。域名系统 (DNS) 中的基本信息元素。See Also Wikipedia 中的域名系统.

REST 表述性状态转移。一种简单的无状态架构，通常通过 HTTPS/TLS 运行。REST 强调，资源具有唯一分层标识符 (URI)，用常见媒体类型(HTML、XML、JSON (p. 287) 等) 表示，对资源的操作可以是预定义的，也可以是在媒体类型中发现的。实际上，这通常导致操作数量有限。See Also 查询, WSDL, SOAP.

RESTful Web 服务也称为 RESTful API。一种遵循 REST (p. 297) 架构限制的 Web 服务。API 操作必须明确使用 HTTP 方法；公布分层 URI；并传输 XML、JSON (p. 287) 或这二者。

HTTP 查询 See 查询.

启用返回 Amazon CloudSearch (p. 265)：一个在搜索结果中返回字段值的索引字段选项。

退回路径发生退信时，将电子邮件回退到的地址。退回路径在原始电子邮件标头中指定。它不同于回复路径 (p. 296)。

修订 AWS CodePipeline (p. 270)：对源操作中配置的源进行的更改，例如，将提交推送到 GitHub (p. 284) 存储库或更新版本控制的 Amazon S3 (p. 268) 存储桶 (p. 275)中的文件。

角色一个工具，用于授予对 AWS 账户 (p. 264)中的 AWS 资源 (p. 297)的临时访问权限。

回滚退回至创建对象失败之前的状态，例如 AWS CloudFormation (p. 270) 堆栈 (p. 301)。与故障相关的所有资源 (p. 297)在回滚期间会被删除。对于 AWSCloudFormation，您可以在命令行上使用 --disable-rollback 选项来覆盖此行为。

根 AWS Organizations (p. 272)：您的组织中的账户的父容器。如果您将服务控制策略 (p. 299) 应用于根，它将应用于组织中的每个组织单位 (p. 292) 和账户。

根凭证与 AWS 账户 (p. 264)所有者关联的身份验证信息。

根设备卷一个卷 (p. 305)，其中包含用于启动实例 (p. 286) 的映像 (也称为根设备)。如果您从由实例存储 (p. 286)支持的 AMI (p. 267) 启动实例，则这是从存储在Amazon S3 (p. 268) 中的模板创建的实例存储卷 (p. 305)。如果您从由 AmazonEBS (p. 265) 支持的 AMI 启动实例，则这是从 Amazon EBS 快照创建的 AmazonEBS 卷。

路由表一组路由规则，用于对离开与路由表关联的任意子网 (p. 302)的流量进行控制。您可以为同一个路由表关联多个子网，但是只能为一个子网关联一个路由表。

行标识符行 ID。Amazon Machine Learning：输入数据中的一个属性，可在评估输出或预测输出中包含此属性以便更轻松地将预测与观察关联。

版本 1.0297


规则 AWS WAF (p. 274)：AWS WAF 在针对 AWS 资源 (p. 297)（例如 AmazonCloudFront (p. 264) 分发）的 Web 请求中搜索的一组条件。您将规则添加到 WebACL (p. 306)，然后根据每个规则指定是要允许还是阻止 Web 请求。

SNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

S3 See Amazon Simple Storage Service (Amazon S3).

采样周期 Amazon CloudWatch (p. 265) 每隔明确定义的持续时间（如：一分钟）计算一次统计数据 (p. 301)。

沙盒供您进行应用程序功能测试的测试位置（不会影响生产、产生费用或购买产品）。

Amazon SES (p. 267)：为开发人员设计的、用于测试和评估服务的环境。在沙盒中，您拥有 Amazon SES API 的所有访问权限，但只能向经过验证的电子邮件地址和信箱模拟器发送电子邮件。要离开沙盒，您需要申请生产访问。沙盒中账户的发送限制 (p. 299) 要低于生产账户。

缩减从 Auto Scaling 组 (p. 269)中删除 EC2 实例。

扩展将 EC2 实例添加到 Auto Scaling 组 (p. 269)。

扩展策略关于 Auto Scaling 应如何自动扩展 Auto Scaling 组 (p. 269)以响应不断变化的需求的描述。See Also 缩减, 扩展.

扩展活动一种通过启动或终止实例来更改 Auto Scaling 组 (p. 269) 大小、配置或部署的进程。

计划程序用于在容器实例 (p. 277)上放置task (p. 303)的方法。

schema Amazon Machine Learning：解释机器学习模型的输入数据时所需的信息，包括属性名及其分配的数据类型和特殊属性名。

分数截断值 Amazon Machine Learning：二进制分类模型输出一个介于 0 和 1 之间的分数。要确定是应将观察分类为 1 还是 0，您可以选取分类阈值或截断值，Amazon ML 会将它与分数进行比较。当目标等于 1 时，将预测分数高于截断值的观察；当目标等于 0时，将预测分数低于截断值的观察。

SCP See 服务控制策略.

搜索 API Amazon CloudSearch (p. 265)：用于向搜索域 (p. 298)提交搜索请求的 API。

搜索域 Amazon CloudSearch (p. 265)：封装了可搜索数据和用于处理搜索请求的搜索实例。您通常需要为每个不同的待搜索数据集合设置单独的 Amazon CloudSearch域。

搜索域配置 Amazon CloudSearch (p. 265)：域的索引选项、分析方案 (p. 268)、表达式 (p. 283)、建议索引 (p. 302)、访问策略以及扩展和可用性选项。

启用搜索 Amazon CloudSearch (p. 265)：一个使字段数据可被搜索的索引字段选项。

搜索终端节点 Amazon CloudSearch (p. 265)：向搜索域发送搜索请求时所连接的 URL。每个Amazon CloudSearch 域都拥有唯一的搜索终端节点，文档服务终端节点在该域的生命周期内保持不变。

版本 1.0298


搜索索引 Amazon CloudSearch (p. 265)：一种便于快速、准确数据检索的可搜索数据表示形式。

搜索实例 Amazon CloudSearch (p. 265)：用于索引数据和处理搜索请求的计算资源 (p. 297)。Amazon CloudSearch 域有一个或多个搜索实例，每个实例具有一定量的 RAM 和 CPU 资源。随着数据量的增长，将部署更多的搜索实例或更大的搜索实例，以包含索引数据。如有必要，索引会自动在多个搜索实例间分区。随着请求量或复杂度的增加，每个搜索分区会自动复制，以提供额外的处理容量。

搜索请求 Amazon CloudSearch (p. 265)：发送到 Amazon CloudSearch 域的搜索终端节点以便从与特定搜索标准匹配的索引检索文档的请求。

搜索结果 Amazon CloudSearch (p. 265)：与搜索请求匹配的文档。也称作搜索命中结果。

秘密访问密钥使用访问密钥 ID (p. 263) 对编程方式的 AWS 请求进行加密签名的密钥。对请求进行签名可标识发送方，并防止请求被修改。您可以为您的 AWS 账户 (p. 264)、单个 IAM user (p. 304)和临时会话生成秘密访问密钥。

安全组实例允许的一组命名入站网络连接。（Amazon VPC (p. 268) 中的安全组还包括出站连接支持。）每个安全组都包含协议、端口和 IP 地址范围的列表。安全组可应用于多个实例，多个组可控制同一个实例。

发件人发送电子邮件的人或实体。

发件人 ID SPF (p. 301) 的 Microsoft 控制版本。电子邮件身份验证和反欺诈系统。有关发件人 ID 的更多信息，请参阅 Wikipedia 中的发件人 ID。

发送限制与每个 Amazon SES (p. 267) 账户关联的发送配额 (p. 299)和最大发送速率 (p. 290)。

发送配额您在 24 小时内可以使用 Amazon SES (p. 267) 发送的电子邮件的最大数目。

服务器端加密 (SSE) 服务器级别的数据加密 (p. 282)。Amazon S3 (p. 268) 支持三种服务器端加密模式：SSE-S3（其中，Amazon S3 管理密钥）、SSE-C（其中，客户管理密钥）和SSE-KMS（其中，AWS Key Management Service (AWS KMS) (p. 272) 管理密钥）。

service See Amazon ECS 服务.

服务控制策略 AWS Organizations (p. 272)：一种基于策略的控制，可指定用户和角色可在服务控制策略 (SCP) 影响的账户中使用的服务和操作。

服务终端节点 See 终端节点.

服务运行状况控制面板显示有关 AWS 服务可用性实时信息（分钟级）的网页。此控制面板位于 http://status.amazonaws.cn/。

服务角色一个 IAM (p. 271) 角色 (p. 297)，可向 AWS 服务授予权限以使其能够访问 AWS资源 (p. 297)。附加到服务的策略将决定服务可访问的 AWS 资源以及可对这些资源执行的操作。

SES See Amazon Simple Email Service (Amazon SES).

session AWS Security Token Service (AWS STS) (p. 273) 提供的临时安全凭证允许访问AWS 账户的期间。

SHA 安全哈希算法。SHA1 是早期算法版本，AWS 已弃之并转而采用 SHA256。

分片 Amazon Elasticsearch Service (Amazon ES) (p. 266)：索引中的数据分区。可以将一个索引拆分成多个分片，它们可包括主分片（原始分片）和副本分片（主分片的

版本 1.0299

http://wikipedia.org/wiki/Sender_ID

http://status.amazonaws.cn/

http://status.amazonaws.cn/


副本）。副本分片提供了故障转移，这意味着，如果包含主分片的群集节点失败，副本分片将提升为主分片。副本分片也可以处理请求。

共享 AMI 开发人员构建和提供给他人使用的 Amazon 系统映像 (AMI) (p. 267)。

关闭操作 Amazon EMR (p. 266)：启动脚本（在终止任务流程前并行执行一系列命令）的预定义引导操作。

签名指数字签名，是一种确认数字信息真实性的数学方式。AWS 借助签名验证您发送给我们的 Web 服务的请求。有关更多信息，请转到 http://amazonaws.cn/security。

签名文件 AWS Import/Export (p. 272)：您复制到存储设备根目录中的文件。该文件包含任务ID、清单文件和签名。

签名版本 4 用于验证针对所有 AWS 区域中的 AWS 服务的入站 API 请求的协议。

简单邮件传输协议 See SMTP.

简单对象访问协议 See SOAP.

Simple Storage Service See Amazon Simple Storage Service (Amazon S3).

单点登录 See AWS Single Sign-On.

单可用区数据库实例部署在数据库实例 (p. 279) 中的标准（非多可用区域）可用区域 (p. 269)，在另一个可用区域中没有备用副本。See Also 多可用区部署.

模糊短语搜索指定词汇必须相互有多接近才视为匹配的短语搜索。

SMTP 简单邮件传输协议。用来在 Internet 主机之间交换电子邮件以便进行路由和交付的标准。

快照 Amazon Elastic Block Store (Amazon EBS) (p. 265)：存储在 AmazonS3 (p. 268) 中的卷 (p. 305)的备份。您可以将这些快照用作新 Amazon EBS 卷的起点，或使用这些快照来保护您的数据以实现长期持久性。See Also 数据库快照.

SNS See Amazon Simple Notification Service (Amazon SNS).

Snowball 一项 AWS Import/Export (p. 272) 功能，该功能使用 Amazon 拥有的 Snowball 设备来传输数据。See Also http://amazonaws.cn/importexport.

SOAP 简单对象访问协议。一个基于 XML 的协议，可让您通过特定协议 (例如 HTTP 或SMTP) 在应用程序间交换信息。See Also REST, WSDL.

软退回邮件一种临时电子邮件发送失败情况，例如整个邮箱出现故障。

软件 VPN 通过 Internet 实现的基于软件设备的 VPN 连接。

启用排序 Amazon CloudSearch (p. 265)：一个索引字段选项，该选项支持使用一个字段对搜索结果进行排序。

排序键一个用于对复合主键中的分区键进行排序的属性（也称作范围属性）。See Also 分区键, 主键.

源/目标检查一种安全措施，用于验证 EC2 实例 (p. 281)是它所发送的所有流量的源，以及它接收的所有流量的最终目标；即该实例并不是在中转流量。默认情况下会启用源/目标

版本 1.0300

http://amazonaws.cn/security/


检查。对于用作网关的实例，如 VPC (p. 305) NAT (p. 291) 实例，必须禁用源/目标检查。

垃圾电子邮件不请自来的批量电子邮件。

spamtrap 由反垃圾电子邮件 (p. 301) 实体设置的电子邮件地址，设置它的目的并不是通信，而是监控不请自来的电子邮件。它也称为蜜罐。

SPF 发件人策略框架。电子邮件验证标准。See Also http://www.openspf.org.

Spot 实例可利用未用 Amazon EC2 (p. 265) 容量来竞价的 EC2 实例 (p. 281)类型。

Spot 价格在任何指定时间 Spot 实例 (p. 301) 的价格。如果您的最高价高于当前价格，并且满足您的限制，则 Amazon EC2 (p. 265) 会代表您启动实例。

SQL 注入匹配条件 AWS WAF (p. 274)：一个属性，指定 AWS WAF 从中检查恶意 SQL 代码的 Web请求部分（例如标头或查询字符串）。根据指定的条件，可以将 AWS WAF 配置为允许或阻止针对 AWS 资源 (p. 297)（例如 Amazon CloudFront (p. 264) 分发）的 Web 请求。

SQS See Amazon Simple Queue Service (Amazon SQS).

SSE See 服务器端加密 (SSE).

SSL 安全套接字层See Also 传输层安全性.

SSO See AWS Single Sign-On.

堆栈 AWS CloudFormation (p. 270)：作为一个整体创建和删除的 AWS 资源 (p. 297)的集合。

AWS OpsWorks (p. 272)：您集中管理的一组实例，通常，它们具有共同的用途，例如为 PHP 应用程序提供服务。堆栈作为容器使用，用于整体性处理适用于实例组的任务，例如管理应用程序和食谱。

站 AWS CodePipeline (p. 270)：可从中执行一个或多个操作的管道工作流的部分。

站 AWS 设施上的一个位置，您的 AWS Import/Export 数据从该位置传输到您的存储设备或从该设备传出到该位置。

统计数据在给定采样周期 (p. 298) 内提交的值的五个函数之一。这些函数是Maximum、Minimum、Sum、Average 和 SampleCount。

词干一组相关词共同的通用根或子字符串。

提取词干将相关词映射到公共词干的过程。该过程支持使一个词的不同变体匹配。例如，搜索“horse”可能将“horses”、“horseback”和“horsing”以及“horse”作为匹配项返回。Amazon CloudSearch (p. 265) 支持基于词典和通过算法来提取词根。

step Amazon EMR (p. 266)：应用于任务流程 (p. 287)中的数据的单个功能。所有步骤的总和组成任务流程。

步骤类型 Amazon EMR (p. 266)：在一个步骤内完成的工作的类型。步骤类型的数量有限，例如从 Amazon S3 (p. 268) 到 Amazon EC2 (p. 265) 或从 Amazon EC2 到Amazon S3 移动数据。

粘性会话 Elastic Load Balancing (p. 282) 负载均衡器的一项功能，可将用户会话绑定到特定应用程序实例，以便用户在会话期间发出的所有请求都发送到同一应用程序实例。但负载均衡器默认情况下将每个请求单独路由到负载最小的应用程序实例。

版本 1.0301


非索引从索引或搜索请求中筛选非索引字的过程。

非索引字未编制索引的字，会自动从搜索请求中筛除，因为它不重要或太常见，将它包括进去会产生过多匹配项，从而导致搜索结果无用。非索引字是语言特定的。

流媒体传输 Amazon EMR (Amazon EMR) (p. 266)：Hadoop (p. 285) 附带的实用工具，可让您使用 Java 之外的语言开发 MapReduce 可执行文件。

Amazon CloudFront (p. 264)：实时使用媒体文件的能力（这种文件从服务器以稳定流的形式传输）。

串流分配使用实时消息传输协议 (RTMP) 连接提供流媒体文件的一种特殊类型的分配 (p. 280)。

Streams 技术 See Amazon Kinesis Data Streams.

待签字符串在计算 HMAC (p. 285) 签名之前，首先要按规范顺序汇编必需的组件。预先加密的字符串是要签名的字符串。

字符串匹配条件 AWS WAF (p. 274)：一个属性，指定 AWS WAF 在 Web 请求中搜索的字符串（例如标头中的值或查询字符串）。根据指定的字符串，可以将 AWS WAF 配置为允许或阻止针对 AWS 资源 (p. 297)（例如 CloudFront (p. 264) 分发）的 Web 请求。

强一致性读取一个读取过程，它返回具有最新数据的响应，从而反映来自所有已成功的先前写入操作的更新 - 无论区域如何。See Also 数据一致性, 最终一致性, 最终一致性读取.

结构化查询使用 Amazon CloudSearch (p. 265) 结构化查询语言指定的搜索条件。通过使用结构化查询语言，可以构造使用高级搜索选项并使用布尔运算符合并多个搜索条件的复合查询。

STS See AWS Security Token Service (AWS STS).

子网 EC2 实例 (p. 281)可挂载到的 VPC (p. 305) 的一段 IP 地址范围。您可以根据安全性和运营需求创建子网对实例分组。

订阅按钮一个 HTML 编码的按钮，它提供一种方便的方法对客户收取经常性费用。

建议索引 Amazon CloudSearch (p. 265)：指定一个索引字段，您希望使用该字段来获取支持模糊匹配的自动填写建议和选项，并且控制如何对建议排序。

建议包含建议索引 (p. 302)指定的字段中部分搜索字符串的匹配项的文档。AmazonCloudSearch (p. 265) 建议包括文档 ID 和每个匹配文档的字段值。要成为匹配项，字符串必须从字段开头与字段内容匹配。

支持的 AMI Amazon 系统映像 (AMI) (p. 267) 类似于付费 AMI (p. 293)，不同之处是拥有者针对客户在其自己的 AMI 中使用的其他软件或服务收费。

SWF See Amazon Simple Workflow Service (Amazon SWF).

对称加密仅使用私有密钥的加密 (p. 282)。See Also 非对称加密.

同步退回邮件一种退回邮件 (p. 275)，当发件人 (p. 299) 和接收方 (p. 296) 的电子邮件服务器正在通信时发生。

同义词一个与索引字相同或接近、在搜索请求中指定时应产生相同结果的字。例如，搜索“Rocky Four”或“Rocky 4”应返回第四部 Rocky 电影。这可以通过指定 four 和 4是 IV 的同义词来实现。同义词是语言特定的。

版本 1.0302


TNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

table 数据集合。类似于其他数据库系统，DynamoDB 将数据存储在表中。

标签可以定义并分配给 AWS 资源 (p. 297)的元数据，例如 EC2 实例 (p. 281)。并非所有 AWS 资源都可添加标签。

标记标记资源：将标签 (p. 303)应用于 AWS 资源 (p. 297)。

Amazon SES (p. 267)：也称作加标签。一种设置退回路径 (p. 297) 电子邮件地址格式以便您为每个邮件收件人指定不同退回路径的方式。您可借助标记支持VERP (p. 305)。例如，如果 Andrew 管理一个邮件列表，他可以使用退回路径[email protected] 和 [email protected]，这样他可以确定哪一个电子邮件被退回。

目标属性 Amazon Machine Learning (Amazon ML )：输入数据中的包含“正确”答案的属性。Amazon ML 使用目标属性来了解如何预测新数据。例如，如果您构建用于预测房屋销售价格的模型，则目标属性将为“目标销售价格（美元）”。

目标版本 AWS CodeDeploy (CodeDeploy) (p. 270)：已上传到存储库并且将部署到部署组中的实例的应用程序修订的最新版本。换言之，当前面向部署的应用程序版本。这也是将为自动部署提取的修订。

task 在容器实例 (p. 277)上运行的任务定义 (p. 303)的实例化。

任务定义任务的蓝图。指定task (p. 303)名称、修订、容器定义 (p. 277)和卷 (p. 305)信息。

任务节点一个 EC2 实例 (p. 281)，它运行映射和缩减任务，但不存储数据。Hadoop (p. 285)任务节点由主节点 (p. 289) 管理，后者将 Hadoop 任务分配到节点并监控它们的状态。在任务流程运行期间，您可以增加或减少任务节点的数量。因为它们不存储数据，可以从任务流程中添加和移除，所以您可以使用任务节点管理您的任务流程使用的 EC2 实例容量，增加容量以处理峰值负载，并在之后减少容量。

任务节点仅运行 TaskTracker Hadoop 守护程序。

兆字节万亿二进制字节的缩写形式，1 Tib 为 2^40 字节，即 1099511627776 字节。1 terabyte (TB) 为 10^12 字节，即 1000000000000 字节。1024 TiB 为 1pebibyte (p. 293)。

模板格式版本 AWS CloudFormation (p. 270) 模板设计的版本，用于确定可用功能。如果模板中省略了 AWSTemplateFormatVersion 部分，则 AWS CloudFormation 将采用最新的格式版本。

模板验证确认在 AWS CloudFormation (p. 270) 模板中使用 JSON (p. 287) 代码的过程。您可以使用 cfn-validate-template 命令验证所有 AWS CloudFormation 模板。

临时安全凭证 AWS STS (p. 273) 在您调用 STS API 操作时提供的身份验证信息。包括访问密钥ID (p. 263)、秘密访问密钥 (p. 299)、session (p. 299)标记和过期时间。

限制根据一个或多个限制来自动限制或减慢过程。示例：如果某个应用程序（或对相同流执行操作的一组应用程序）尝试以高于分片限制的速率从分片中获

版本 1.0303


取数据，则 Amazon Kinesis Data Streams (p. 266) 将限制操作。AmazonAPI Gateway (p. 264) 使用限制来限制单个账户的稳态请求速率。AmazonSES (p. 267) 使用限制来拒绝尝试发送超出发送限制 (p. 299)的电子邮件的操作。

时间序列数据作为指标的一部分提供的数据。时间值为当该值出现时假定的值。指标是 AmazonCloudWatch (p. 265) 的基本概念，代表了数据点的时间顺序集。您可将指标数据点发布到 CloudWatch 中，稍后可以按一组有序的时间序列数据来检索关于这些数据点的统计数据。

时间戳 ISO 8601 格式的日期/时间字符串。

TLS See 传输层安全性.

令牌化通过可以检测的边界（如空格和连字符）将文本流分割到不同令牌中的过程。

topic 发送消息和订阅通知的通信渠道。它为发布者和用户相互交流提供了一个接入点。

训练数据源一个数据源，其中包含 Amazon Machine Learning 用于训练机器学习模型以做出预测的数据。

转换 AWS CodePipeline (p. 270)：从工作流中的一个阶段继续执行到另一个阶段的管道修订操作。

传输层安全性对通过 Internet 的通信提供安全性的加密协议。它的前身是安全套接字层 (SSL)。

信任策略作为 IAM 角色 (p. 297)的固有部分的 IAM (p. 271) 策略 (p. 293)。信任策略指定允许哪些委托人 (p. 294)使用角色。

可信的签名者已获得 CloudFront (p. 264) 分配所有者所提供的权限，能够为分配的内容创建签名URL 的 AWS 账户 (p. 264)。

优化选择 AMI (p. 267) 的数量和类型，以最高效地运行任务流程。Hadoop (p. 285)

隧道使用 Internet 来连接私有网络节点的私有网络流量传输路由。隧道使用加密和安全协议（如 PPTP）来防止流量在经过公有路由节点时被拦截。

UNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

无界潜在事件发生的次数不受设定的数字限制。在 WSDL (p. 306) 中，在定义列表型数据类型（例如 maxOccurs="unbounded"）时经常使用此值。

单位作为指标数据提交给 Amazon CloudWatch (p. 265) 的值的标准衡量指标。单位包括“秒”、“百分比”、“字节”、“比特”、“计数”、“字节/秒”、“比特/秒”、“计数/秒”和“无”。

从 VPC 取消链接将 EC2-Classic 实例 (p. 286)从已启用 ClassicLink 的 VPC (p. 305) 取消链接（分离）的过程。See Also ClassicLink, 链接到 VPC.

使用率报告一个详述对特定 AWS 服务的使用情况的 AWS 记录。您可以从 http://amazonaws.cn/usage-reports/ 生成和下载使用情况报告。

user 账户 (p. 264)下需要对 AWS 产品进行 API 调用的人员或应用程序。在 AWS 账户内，每个用户均有唯一的用户名和一组不得与其他用户共享的安全凭证。这些凭证独立于 AWS 账户的安全凭证。每个用户与其中一个且唯一一个 AWS 账户相关。

版本 1.0304

http://amazonaws.cn/usage-reports/

http://amazonaws.cn/usage-reports/


VNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

验证 See 模板验证.

value 项目属性 (p. 269)的实例，如电子表格中的单元格。一个属性可以有多个值。

标记资源：一个特定的标签 (p. 303)标签，可充当标记类别（密钥）中的描述符。例如，您可能有一个标签密钥为 Owner 且标签值为 Jan 的 EC2 实例 (p. 281)。您可以用最多 10 个密钥-值对来标记 AWS 资源 (p. 297)。并非所有 AWS 资源都可添加标签。

可变信封退回路径 See VERP.

验证确认您具有用于收发电子邮件的电子邮件地址或域的过程。

VERP 可变信封退回路径。发送电子邮件的应用程序可将退回邮件 (p. 275)电子邮件与无法送达的地址（因为对每个收件人使用不同的退回路径 (p. 297)而导致退回邮件）进行匹配的方法。VERP 通常用于邮件列表。借助 VERP，收件人的电子邮件地址将嵌入到退回路径的地址中，此地址是退回的邮件所返回的位置。这使自动处理所退回电子邮件而无需打开退回邮件（可能因内容不同而不同）成为可能。

版本控制 Amazon S3 (p. 268) 中的每个对象都有一个密钥和一个版本 ID。密钥相同但版本ID 不同的对象可存储在同一存储桶 (p. 275)中。版本控制是在存储段层使用 PUTBucket 版本控制功能启用的。

VGW See 虚拟专用网关.

虚拟化允许多个客户虚拟机 (VM) 在主机操作系统运行。根据虚拟化类型，客户虚拟机可在主机硬件上的一个或多个级别上运行。See Also 半虚拟化, HVM 虚拟化.

Virtual Private Cloud See VPC.

虚拟专用网关 (VGW) 维护连接的 VPN 连接 (p. 306)的 Amazon 端。虚拟专用网关的内部接口通过 VPN 附件连接到 VPC (p. 305)，外部接口连接到 VPN 连接，它将流量引至客户网关 (p. 278)。

可见性超时一段时间，在应用程序组件从队列中获取消息后，这段时间内该消息对应用程序其余部分不可见。在可见性超时期间，接收到消息的组件通常先处理消息，然后将其从队列中删除。这会防止多个组件处理同一消息。

卷实例 (p. 286)上的固定存储量。当容器不再运行时，您可以在容器 (p. 277)之间共享卷数据并将数据保留在容器实例 (p. 277)上。

VPC Virtual Private Cloud。一个由具有共同的安全性和互连结构的基础设施、平台和应用程序服务填充的弹性网络。

VPC 终端节点一项功能，使您能够在 VPC (p. 305) 与其他 AWS 服务之间创建私有连接，无需通过 Internet、NAT (p. 291) 实例、VPN 连接 (p. 306)或 AWS DirectConnect (p. 271) 进行访问。

VPG See 虚拟专用网关.

VPN CloudHub See AWS VPN CloudHub.

版本 1.0305


VPN 连接 Amazon Web Services (AWS) (p. 268)：VPC (p. 305) 和其他某个网络（例如企业数据中心、家庭网络或托管位置设施）之间的 IPsec 连接。

WNumbers and Symbols (p. 263) | A (p. 263) | B (p. 274) | C (p. 275) | D (p. 279) | E (p. 281) | F (p. 283)| G (p. 284) | H (p. 285) | I (p. 285) | J (p. 287) | K (p. 287) | L (p. 288) | M (p. 289) | N (p. 291) |O (p. 292) | P (p. 292) | Q (p. 295) | R (p. 295) | S (p. 298) | T (p. 303) | U (p. 304) | V (p. 305) |W (p. 306) | X, Y, Z (p. 306)

WAM See Amazon WorkSpaces Application Manager (Amazon WAM).

Web 访问控制列表 AWS WAF (p. 274)：一组规则，定义 AWS WAF 在针对 AWS 资源 (p. 297)（例如 Amazon CloudFront (p. 264) 分发）的 Web 请求中搜索的条件。Web 访问控制列表 (Web ACL) 指定是允许、阻止请求还是对请求进行计数。

Web 服务描述语言 See WSDL.

WSDL Web 服务描述语言。一种语言，用于描述 Web 服务可执行的操作以及操作请求和响应的语法。See Also REST, SOAP.

X、Y、ZX.509 证书一个数字文档，使用 X.509 公钥基础设施 (PKI) 标准验证公钥是否属于证

书 (p. 276)中描述的实体。

yobibyte 亿亿亿二进制字节的缩写形式，1 YiB 为 2^80 字节，即1208925819614629174706176 字节。1 yottabyte (YB) 为 10^24 字节，即1000000000000000000000000 字节。

zebibyte 十万亿亿二进制字节的缩写形式，1 ZiB 为 2^70 字节，即1180591620717411303424 字节。1 zettabyte (ZB) 为 10^21 字节，即1000000000000000000000 字节。1024 ZiB 为 1 yobibyte (p. 306)。

区域感知 Amazon Elasticsearch Service (Amazon ES) (p. 266)：跨同一区域中的两个可用区域 (p. 269)分发群集中的节点的配置。当节点和数据中心出现故障时，区域感知可帮助防止数据丢失并最大程度地缩短停机时间。如果启用区域感知，则您必须在实例计数中具有偶数数目的数据实例，而且您还必须使用 Amazon ElasticsearchService 配置 API 为您的 Elasticsearch 群集复制数据。

版本 1.0306

Documents

Amazon Web Services - 一般参考 · Amazon Cognito 联合身份限制 ..... 183 Amazon Cognito Sync 限制