与ChatGPT学AWS答疑记录

跟着ChatGPT学AWS

1. Cloud computing优势中的Trade capital expense (CAPEX) for operational expense (OPEX)含义？

   “Trade capital expense (CAPEX) for operational expense (OPEX)” 这句话是云计算的一个优势点，意思是将企业的资本支出转换为运营支出。在传统的IT环境中，企业需要在购买硬件、设备和设施等方面进行大量的资本支出，这些支出在购买后不能立即转换为收益，需要在未来的几年逐渐摊销。而在云计算中，企业不再需要购买和维护自己的硬件设施，只需要按需租用云服务商提供的资源和服务，并根据实际使用情况支付相应的费用，这种支出是运营支出，能够更好地适应企业的业务变化和需求变化。这样做可以让企业更灵活地控制成本，避免了因大量资本支出而导致的财务压力和资金流失。

2. IAM中，一个User A，属于Group A和Group B，如果Group A对S3具有只读权限，而Group B是所有权限。那么User A对S3的操作权限是？

   用户的最终权限是组权限与用户权限的并集。在这个情况下，User A 的操作权限应该是具有 Group A 和 Group B 所有权限，因为 Group B 包含了 Group A 的权限，所以 User A 具有 S3 的所有权限，包括只读和读写。

3. IAM role 创建就是用于被Assume的吗？(Assume: 其他用户以扮演此Role的形式访问AWS)

   IAM Role 的主要目的是被其他实体 “assume”（扮演）以获取临时安全凭证并访问 AWS 资源。下面是四个场景的答案：
   a. 跨账户访问：在这种场景下，IAM Role 被其他 AWS 账户中的用户或服务 “assume”，以获取临时凭证并访问资源。这种跨账户访问可以实现安全的资源共享和管理。
   b. 临时访问凭证：IAM Role 可以用于为临时用户或服务生成临时访问凭证。这些凭证具有一定的时效性，可以用于授予临时访问权限，而无需直接使用长期凭证（如密钥或密码）。
   c. 第三方身份提供商（IdP）集成：IAM Role 可以与第三方身份提供商（如 SSO 平台）集成。在这种集成中，IAM Role 与身份提供商建立信任关系，允许用户使用其在身份提供商上的凭据进行身份验证，并获取与 IAM Role 关联的权限。
   d. AWS服务(比如EC2)访问：某些 AWS 服务可以扮演 IAM 角色以访问其他服务或资源，以便完成特定任务。

4. IAM Role create account中的Web identity 与 SAML 2.0选项区别

   Web Identity: Web Identity 是一种通过第三方身份提供商（如 Google、Facebook、Amazon、Microsoft 等）进行身份验证的机制。用户使用他们在第三方身份提供商上的凭证进行身份验证，然后获取对 AWS 资源的临时访问权限。这种机制常用于让用户通过他们已有的社交媒体或云服务提供商的凭证来访问 AWS 资源，从而简化身份验证和授权管理。
   SAML 2.0: Security Assertion Markup Language (SAML) 是一种基于 XML 的开放标准，用于在不同的身份提供者和服务提供者之间进行身份验证和授权。SAML 2.0 允许用户使用他们在身份提供者上的凭证进行身份验证，并通过 SAML 断言将身份信息传递给服务提供者。这种机制通常用于企业环境中，用于实现单点登录 (Single Sign-On, SSO) 和跨域身份验证。
   虽然 Web Identity 和 SAML 2.0 都涉及身份验证和授权，但它们的实现方式和使用场景有所不同。Web Identity 更适用于与第三方身份提供商集成，让用户使用他们已有的凭证来访问 AWS 资源。SAML 2.0 则更适用于企业环境，实现不同系统之间的身份验证和授权集成。

5. 通过aws budget setup可以保证费用不会超过预算吗？还是只是一个报警通知呢

   aws budget setup 是 AWS 提供的一种用于创建和管理预算的命令行工具。使用该命令，你可以设置预算的各种参数，例如预算金额、时间周期、阈值等。aws budget setup 本身并不能直接保证费用不会超过预算，它更多地是用于创建和配置预算，并在达到或超过阈值时发送警报通知。

6. 列举EC2 type 的类型分类和适用场景

   a. 通用用途（General Purpose）：

   • 实例类型：T3、M5、M6g
   • 适用场景：Web 服务器、中小型数据库、开发/测试环境、应用程序后端等通用计算工作负载。

   b. 计算优化（Compute Optimized）：

   • 实例类型：C5、C6g
   • 适用场景：高性能计算、批处理作业、游戏服务器、科学模拟等需要强大计算能力的工作负载。

   c. 存储优化（Storage Optimized）：

   • 实例类型：I3、D2
   • 适用场景：大规模数据库、分布式文件系统、数据仓库、大数据处理等需要高存储>容量和低延迟存储性能的工作负载。

   d. 内存优化（Memory Optimized）：

   • 实例类型：R5、R6g、X1、X1e
   • 适用场景：内存密集型应用程序、内存数据库、大规模缓存、大数据分析等需要大容量内存的工作负载。

   e.GPU 加速（GPU Instances）：

   • 实例类型：P3、G4、Inf1
   • 适用场景：深度学习训练和推理、图形渲染、视频编码、密码破解等需要 GPU 加>速的工作负载。

   f.FPGA 加速（FPGA Instances）：

   • 实例类型：F1
   • 适用场景：加速定制计算任务、数据压缩、加密解密、搜索排序等需要 FPGA 加速的工作负载。

7. Security Groups rules can reference by Security Group这句话怎么理解？

   假设你有一个名为 Security Group A 的安全组，其中包含了一些实例，而你还有一个名为 Security Group B 的安全组，其中也包含了一些实例。你可以在 Security Group A 的规则中设置允许来自 Security Group B 的实例的流量访问。

8. 在AWS console上，EC2 instance connect 和 session manager这两种连接方式有什么不同？

   EC2 Instance Connect和Session Manager是AWS提供的两种连接EC2实例的方式，它们有一些不同之处：

   1. EC2 Instance Connect:

   • EC2 Instance Connect是一种基于SSH的连接方式，用于安全地连接到EC2实例。(SSH:22)
   • 它允许你直接从AWS管理控制台或AWS CLI使用SSH密钥对连接到实例。
   • EC2 Instance Connect使用EC2实例上的公钥进行身份验证。
   • 使用EC2 Instance Connect时，你需要在实例启动时配置正确的SSH密钥对，并确保在连接时使用正确的SSH密钥对。

   2. Session Manager:

   • Session Manager是一种基于代理的连接方式，它不需要在实例上打开任何入站端口。
   • Session Manager通过AWS Systems Manager的功能提供安全的远程管理和访问控制。
   • 它使用IAM角色和权限来控制对实例的访问，而不是使用SSH密钥对。
   • Session Manager提供了更高级的功能，如会话录制、访问审计和与AWS Systems Manager其他功能的集成。
     总体而言，EC2 Instance Connect适合通过SSH连接到实例进行基本的维护和调试，而Session Manager提供了更多的功能和安全性，并能与AWS Systems >Manager的其他功能集成，适用于需要更高级管理和访问控制的场景

9. AWS EC2中Tenacy是什么，有几种类型？

   在 AWS EC2 中，”tenancy”（托管类型）指的是您的 EC2 实例在物理硬件上的运行方式或托管方式。

   • Shared Tenancy (默认)：这是默认的 tenancy 类型，也称为共享托管。在这种模式下，您的 EC2 实例与其他 AWS 客户的实例共享物理硬件。这是最经济和常见的选项，适用于大多数使用情况。
   • Dedicated Tenancy：这是一种专用托管类型，其中您的 EC2 实例在独立的物理硬件上运行，与其他 AWS 客户的实例隔离开来。这种模式提供更高的隔离和安全性，适用于对隔离性要求较高的工作负载，如合规要求或许可证限制。
   • Dedicated Host：这是一种完全专用的物理服务器托管类型，其中您租用整个物理主机（Host）来运行您的 EC2 实例。您完全控制该主机上的实例分配和部署，适用于具有对物理硬件配置和控制要求的工作负载。

10. EFS 是region级别还是global级别的？

    Amazon Elastic File System (EFS) 是在特定的 AWS 区域级别提供的，而不是全局级别。每个 AWS 区域都可以拥有一个或多个 EFS 文件系统。

11. FSx

    • Amazon FSx for Windows File Server：适用于 Windows 应用程序的共享文件存储解决方案。它使用 SMB 协议，并且与 Windows 生态系统无缝集成。适合用于企业应用、共享文件存储、数据库备份等场景。
    • Amazon FSx for Lustre：适用于高性能计算和大规模数据处理的并行文件系统。它基于 Lustre 文件系统，并提供了高吞吐量和低延迟的存储性能。适合用于机器学习、高性能计算、媒体处理等场景。

    通过使用适当的协议和适配器，您可以将 Amazon FSx 文件系统挂载到本地服务器上，使其像本地文件系统一样可访问。这使您可以在本地服务器和 Amazon FSx 之间进行数据传输和共享，从而实现混合云环境或迁移工作负载的需求。

12. ALB 和 NLB 适用场景

    ALB (Application Load Balancer)、NLB (Network Load Balancer) 和 GLB (Global Load Balancer) 是 Amazon Web Services (AWS) 提供的不同类型的负载均衡器，它们在不同的应用场景下有各自的优势。

    1. ALB (Application Load Balancer):

    • 适用场景: ALB 主要用于应用层（第7层）的负载均衡，特别适用于 HTTP 和 HTTPS 流量的负载均衡。
    • 功能特点: ALB 支持基于请求内容的路由，能够根据路径、主机名、请求头等信息将请求转发到不同的目标组 (Target Group)。
    • 优势: ALB 具有高级的负载均衡功能，可以实现灵活的应用路由和请求转发，支持容器化应用和微服务架构。

    2. NLB (Network Load Balancer):

    • 适用场景: NLB 主要用于传输层（第四层）的负载均衡，适用于处理 TCP 和 UDP 流量的负载均衡。
    • 功能特点: NLB 提供低延迟、高吞吐量的负载均衡，支持静态 IP 地址，适合于对连接状态要求较高的应用。
    • 优势: NLB 在处理大流量和高并发请求时具有出色的性能和可伸缩性，适用于需要处理大量连接的应用。

    3. GLB (Gateway Load Balancer):

    • 用于网络层（第三层）
    • 适用于企业对大流量进行安全GWLB可将需要扫描的流量转发到一组虚拟设备上，并实现健康检查、负载调度、粘性链接等管理功能。Gateway Load Balancer在OSI模型的第三层工作，并使用Geneve协议（RFC 8926）和GWLB metadata向执行扫描的虚拟设备转发网络流量。

13. S3 One Zone IA 和 S3 Standard IA 区别和适用场景

    S3 One Zone IA适用于对数据冗余性要求较低的场景，存储在单个可用区，成本较低。S3 Standard IA适用于对数据冗余性和可用性要求较高的场景，存储在多个可用区，成本相对较高。

14. Snowball Edge 的两种类型和适用场景

    AWS Snowball Edge有两种类型：Snowball Edge Storage Optimized和Snowball Edge Compute Optimized。

    • Snowball Edge Storage Optimized适用于大规模数据(MAX80TB)迁移和存储，
    • Snowball Edge Compute Optimized适用于边缘计算和数据处理场景。

15. Redshift是基于什么场景设计的呢？

    Amazon Redshift是专门设计用于大规模数据仓库和分析工作负载的云数据仓库服务。它的设计目标是支持高性能、高可靠性和高扩展性的数据处理。
    Redshift适用于以下场景：数据仓库, 商业智能（BI）和数据分析, 大数据分析, 实时数据仓库等。

16. AWS serverless的服务有哪些？

    • AWS Lambda：用于运行代码的事件驱动计算服务，无需管理服务器。
    • Amazon API Gateway：用于构建、部署和管理可扩展的API，可与Lambda函数或其他后端服务集成。
    • AWS Step Functions：一种有状态的服务器无服务工作流服务，用于协调多个Lambda函数和其他服务的执行。
    • Amazon DynamoDB：一种无服务器的键值对数据库服务，可提供高度可扩展和低延迟的数据存储。
    • Amazon S3：一种对象存储服务，用于存储和检索任意类型的数据，可与Lambda函数集成实现无服务器处理。
    • AWS AppSync：一种无服务器的后端服务，用于构建可扩展的API和实时应用程序。
    • Amazon Athena：一种无服务器查询服务，可在S3中直接查询和分析数据。
    • AWS Glue：一种无服务器的ETL（抽取、转换、加载）服务，用于数据准备和转换。
      等等。。。

17. 如何通过SSM访问EC2呢？

    AWS Systems Manager (SSM) 是一项 AWS 的 serverless 服务。它提供了一系列工具和功能，用于管理和操作 EC2 实例、虚拟机、容器、操作系统和应用程序。为了让 EC2 实例能够通过 SSM Shell 进行访问，需要以下步骤：

    1. 在 EC2 实例上安装 SSM Agent。SSM Agent 是一种代理程序，用于与 SSM 服务进行通信。确保在 EC2 实例上安装并运行了最新版本的 SSM Agent。
    2. 为 EC2 实例分配具有适当权限的 IAM 角色。您需要创建一个 IAM 角色，并将其分配给 EC2 实例。该角色需要具有 AmazonSSMManagedInstanceCore 策略或自定义策略，以允许 EC2 实例与 SSM 服务进行通信。
    3. 确保 EC2 实例所在的安全组（Security Group）允许与 SSM 相关的流量。您需要确保安全组配置允许 EC2 实例与 SSM 服务进行通信。具体来说，您需要允许出站流量访问 SSM 服务的相关端口（如 443）。

18. route53中的SOA和NS 类型是什么，默认都有吗?

    在Amazon Route 53中，SOA (Start of Authority) 和 NS (Name Server) 是两种常见的DNS记录类型。它们在域名注册和DNS解析中起着重要的作用。

    1. SOA (Start of Authority) 记录：SOA记录指定了域名的授权服务器以及与该域名相关的其他重要信息，如域名的刷新时间、重试时间、过期时间等。SOA记录在域名的顶级域区域文件中定义，用于管理域名的DNS解析。
    2. NS (Name Server) 记录：NS记录指定了为该域名提供DNS解析服务的名称服务器。这些名称服务器负责解析与该域名相关的DNS查询。通常，至少需要提供两个NS记录，以确保域名的可用性和冗余性。

    在Route 53中，默认情况下，当您注册域名或使用Route 53作为域名的DNS服务时，会自动创建SOA和NS记录。这些记录将被分配给您的域名，并由Route 53管理。

19. 创建一个CloudFront组件，相当于在所有Edge Location都进行了CDN配置吗？

    创建一个 CloudFront 分发是将内容缓存到 AWS 全球边缘位置（Edge Locations）以提供低延迟和高性能的内容交付。但是，在创建 CloudFront 分发时，并不会立即在所有 Edge Locations 进行 CDN 配置。而是会根据网络拓扑和用户请求来选择合适的边缘位置进行内容缓存和交付。如果请求的内容尚未在该边缘位置缓存，则 CloudFront 会从源服务器获取内容，并将其缓存到该边缘位置以供后续请求使用。因此，CloudFront 通过在全球各个边缘位置缓存内容，提供了更快速和高效的内容交付。

20. 什么是SSE-KMS？

    SSE-KMS (Server-Side Encryption with AWS Key Management Service) 是 AWS 中一种用于服务器端加密的数据保护机制。它通过使用 AWS Key Management Service (KMS) 来管理密钥，并使用该密钥对存储在 AWS 服务中的数据进行加密和解密操作。

21. S3 Transfer Acceleration是针对上传S3 File的一项加速技术方案?

    当启用 S3 Transfer Acceleration 后，您的上传请求将通过 CloudFront 边缘节点进行传输，而不是直接传输到 S3 存储桶所在的特定区域。CloudFront 边缘节点位于全球各个地理位置，它们之间的网络连接速度更快，可以提供更低的延迟和更高的带宽。

    使用 S3 Transfer Acceleration，您可以通过在 S3 存储桶的 URL 中添加 “.s3-accelerate” 的子域名，例如 “bucket-name.s3-accelerate.amazonaws.com”，来上传文件。这样，您的文件将通过最接近客户端的 CloudFront 边缘节点进行传输，从而实现更快的上传速度。

    需要注意的是，S3 Transfer Acceleration 对于小文件或距离 S3 存储桶所在区域较近的上传操作可能不会带来明显的性能改善。但对于大文件或距离较远的上传操作，它可以显著提高上传速度和效率。

22. AWS的Edge Location是一种资源？

    Edge Location 是 AWS 全球基础设施的一部分，并与其他服务和功能密切集成，以提供更快速和可靠的网络体验。
    AWS 的 Edge Location 是一种网络设施，用于分发内容和加速网络请求。Edge Location 是位于全球各个地理位置的边缘节点，它们与 AWS 的全球基础设施相连。每个 Edge Location 都具有高带宽连接，可以缓存内容并向用户提供低延迟的响应。

23. AWS Shield

    AWS Shield 是一项由亚马逊网络服务（AWS）提供的托管的分布式拒绝服务（DDoS）保护服务。它旨在帮助保护 AWS 上的应用程序和资源免受网络攻击的影响。
    AWS Shield 提供两个主要的服务层级：

    1. AWS Shield Standard：这是 AWS 提供的免费层级的 DDoS 保护服务。它会自动为所有 AWS 客户的应用程序和资源提供基本的 DDoS 防护。AWS Shield Standard 使用基于网络流量的算法来检测和缓解常见的 DDoS 攻击，如 SYN/ACK 攻击、UDP 反射攻击和 HTTP 慢速攻击。
    2. AWS Shield Advanced：这是 AWS 提供的高级 DDoS 保护服务，需要额外的订阅费用。AWS Shield Advanced 提供了更强大的 DDoS 防护功能，包括更高级的检测和缓解机制，以及更强大的防御能力。它还提供实时攻击报告、专家支持和 DDoS 攻击的调查和响应。

    AWS Shield 的目标是帮助客户保护其在 AWS 上运行的应用程序和资源免受 DDoS 攻击的影响，确保应用程序的可用性和稳定性。它提供了一系列的技术和服务，包括网络流量监控、攻击检测、流量过滤和缓解措施，以及专家支持和响应，以帮助客户应对各种类型和规模的 DDoS 攻击。

24. pub/sub是什么模型？(SNS)

    发布/订阅（Pub/Sub）是一种消息传递模型，用于实现解耦和异步通信。在发布/订阅模型中，消息发布者（Publisher）将消息发布到特定的主题（Topic），而消息订阅者（Subscriber）则通过订阅该主题来接收相应的消息。
    发布/订阅模型常用于构建事件驱动架构、消息队列、实时数据流处理等场景。它提供了一种灵活和可扩展的方式来处理消息传递，使不同组件或服务能够相互通信和协同工作，同时减少了耦合性和依赖性。

25. AWS EventBridge Schedule模式和AWS Cronjob如何选择?

    1. AWS EventBridge Schedule模式：
       适用于事件驱动的架构：如果你的应用程序已经使用了EventBridge来处理其他事件，使用Schedule模式可以在同一事件总线上处理定时任务和其他事件，实现统一的事件驱动架构。
       灵活的规则和目标配置：EventBridge Schedule模式允许你使用Cron表达式或固定频率配置任务触发规则，可以将事件发送到多种目标，如Lambda函数、SNS主题、SQS队列等。
    2. CronJob：
       直接的定时任务触发：如果你只需要简单地在固定的时间或时间间隔内触发定时任务，并不需要与其他事件处理或集成，使用CronJob是一个更简单直接的选择。
       简化的配置：使用CronJob只需指定Cron表达式和要触发的任务或Lambda函数即可，不需要额外的规则和目标配置.

    如果你的应用程序已经使用了EventBridge来处理其他事件，且需要在同一事件总线上处理定时任务，或者需要更灵活的规则和目标配置，那么可以选择AWS EventBridge Schedule模式。如果你只需要简单地触发定时任务，并且不需要与其他事件处理或集成，那么使用CronJob会更加简化配置和使用.

26. VPC peering 的使用场景

    VPC peering是一种在Amazon Virtual Private Cloud（VPC）之间建立私有连接的方法。它允许您在不同的VPC之间进行直接的网络通信，就像它们属于同一个网络一样。以下是一些使用VPC peering的常见场景：

    1. 多个VPC之间的通信：当您需要在多个VPC之间进行内部通信时，可以使用VPC peering来建立连接。这>对于构建跨区域或跨账号的网络架构非常有用。
    2. 跨账号资源共享：如果您有多个AWS账号，并且希望共享资源或进行跨账号的数据传输，可以使用VPC >peering来建立安全的连接。
    3. 跨区域数据复制：如果您有不同地理区域的VPC，并且需要在它们之间复制数据或进行备份操作，可以使>用VPC peering来建立高速、低延迟的连接。
    4. 跨VPC访问共享服务：如果您有一些共享的服务或资源，例如数据库、认证服务或文件存储，您可以使用>VPC peering来实现其他VPC访问这些服务。
    5. 逻辑隔离和安全性：使用VPC peering可以创建逻辑上隔离的网络环境，不同的VPC之间不会自动相互>通信，提供更好的网络安全性和隔离性。

    总的来说，VPC peering提供了一种简单、安全且可扩展的方法，使不同的VPC能够直接通信，使您能够构建复杂的网络架构和应用程序。

27. VPC Endpoint和VPC Endpoint service 适用场景呢?

    • VPC Endpoint用于访问AWS服务中的组件：VPC Endpoint允许您在VPC内部通过私有连接访问特定的AWS服务（S3、DynamoDB）[Gateway Endpoint（网关型终端节点）]。它是用于在VPC中直接访问这些AWS服务的方式，而无需经过公共Internet，从而提供更高的安全性和更快的网络访问速度。也可以用来访问其他AWS服务[Interface Endpoint（接口型终端节点]。
    • VPC Endpoint Service用于将自己的AWS服务托管到VPC上供其他AWS访问：VPC Endpoint Service是一种托管服务，它允许您将自己的服务或第三方服务连接到VPC，并通过私有连接让其他VPC中的资源访问这些服务。通过创建VPC Endpoint Service，您可以提供私有连接访问您的服务，而无需将流量路由到公共Internet，从而提高安全性和性能。

28. 实现两个AWS账号之间的服务访问，需要进行双向配置。

    在接收方AWS账号（目标账号）中，您需要配置VPC Endpoint Service，以便将您的服务托管到VPC中，并允许其他AWS账号的VPC通过VPC Endpoint连接到您的服务。
    在发送方AWS账号（请求账号）中，您需要配置VPC Endpoint，以便将您的VPC与接收方AWS账号中的VPC Endpoint建立连接。这样，您的VPC内的资源就可以通过VPC Endpoint直接访问接收方AWS账号中的服务，而无需通过公共网络。

29. Organization 中SCP继承

    SCP(Service Control Policy) 继承遵循以下规则：

    • 组织根 SCP：在组织根 OU(Organization Unit) 中定义的 SCP 会自动应用于该 OU 下的所有子 OU 和账号。这意味着在根 OU 中定义的 SCP 将影响整个组织范围内的所有账号。
    • 子 OU 继承：子 OU 可以继承其父 OU 定义的 SCP。这意味着在父 OU 中定义的 SCP 会自动应用于其下属的子 OU 和账号。子 OU 可以继承多个父 OU 的 SCP。
    • SCP 限制：子 OU 可以通过在其自身定义更严格的 SCP 来限制继承的权限。子 OU 定义的 SCP 将覆盖父 OU 定义的相同权限，即使父 OU 的 SCP 更宽松。

    通过 SCP 继承，您可以在组织的不同层级上实现一致的访问控制策略，并确保所有账号遵循相同的安全性和合规性要求。这简化了权限管理和策略执行，使得在整个组织范围内的资源和服务都受到一致的访问控制限制。

30. AWS Cognito是一个AWS用户的SSO Server吗

    AWS Cognito可以与其他平台进行认证集成，允许用户使用他们在AWS账号中已有的凭证（用户名密码、社交媒体账号等）登录其他应用程序。这使得用户不需要再为不同的应用程序创建不同的账号和密码，而是可以使用他们在AWS账号中已有的凭证快速登录其他应用程序，从而提供更好的用户体验和简化身份验证流程。同时，AWS Cognito还支持标准的开放式身份验证（OAuth）和Security Assertion Markup Language（SAML）协议，使得与其他身份提供商和企业认证系统的集成变得更加简单。

31. Cognito VS IAM Identity Center

    AWS Cognito 适用于构建应用程序的用户认证和管理，并在 AWS 环境内存储账号密码等凭证信息。而 IAM Identity Provider 则是将其他身份系统与 AWS 的身份访问控制进行集成，允许使用其他平台的用户凭证登录 AWS 资源。

    • AWS Cognito: 在 AWS Cognito 中，账号和密码等用户凭证是由 AWS 管理和存储的。Cognito 提供了一个用户池（User Pool），您可以在这里管理用户的注册、登录和身份验证过程。您可以选择允许用户使用邮箱、手机号码、用户名等进行登录，并且 Cognito 会安全地存储这些凭证信息。

    • IAM Identity Provider: 在 IAM 中，身份提供商是指用于将其他身份系统（如企业目录、SAML 2.0 提供商等）集成到 IAM 中的一种机制。这样，您可以使用来自其他平台的身份信息来管理 AWS 资源的访问控制。这意味着用户可以使用其他身份系统的凭证进行登录并访问 AWS 资源。