关于题库说明：

• 包含最新题库，共529道题，覆盖率90%以上
• 共4个PDF文件，包括：
  AWS Certified Solutions Architect – Professional SAP-C02_with_ai.pdf 中文翻译+AI解析版本，
  AWS Certified Solutions Architect – Professional SAP-C02_without_discussion.pdf 带答案版本，
  AWS Certified Solutions Architect – Professional SAP-C02_without_answer.pdf无答案版本，
  AWS Certified Solutions Architect – Professional SAP-C02_with_discussion.pdf带讨论版本
• 本题库不单独售卖，为开通课程附带免费赠送
• 本人及讨论群不对题库做任何答疑，上面的AI解析和带讨论的版本已经可以覆盖一切问题
• 课程附送题库为限额限时活动，随时取消
• 题库在课程最后部分的<AWS SAP认证考试伴侣>下载
• 请勿私自传播题库，一经发现取消访问权限

关于题库说明：

• 包含最新题库，共1019道题，覆盖率95%以上
• 共4个PDF文件，包括：
  AWS Certified Solutions Architect – Associate SAA-C03_with_ai.pdf 中文翻译+AI解析版本，
  AWS Certified Solutions Architect – Associate SAA-C03_without_discussion.pdf 带答案版本，
  AWS Certified Solutions Architect – Associate SAA-C03_without_answer.pdf 无答案版本，
  AWS Certified Solutions Architect – Associate SAA-C03_with_discussion.pdf带讨论版本
• 本题库不单独售卖，为开通课程附带免费赠送
• 本人及讨论群不对题库做任何答疑，上面的AI解析和带讨论的版本已经可以覆盖一切问题
• 课程附送题库为限额限时活动，随时取消
• 题库在课程最后部分的<AWS SAA认证考试伴侣>下载
• 请勿私自传播题库，一经发现取消访问权限

关于题库说明：

• 包含最新题库，共168道题，覆盖率95%以上
• 共4个PDF文件，包括：AWS AI Practitioner AIF-C01 中文翻译+AI解析版本，AWS Certified AI Practitioner AIF-C01 带答案版本，AWS Certified AI Practitioner AIF-C01 无答案版本，AWS Certified AI Practitioner AIF-C01带讨论版本
• 本题库不单独售卖，为开通课程附带免费赠送
• 本人及讨论群不对题库做任何答疑，上面的AI解析和带讨论的版本已经可以覆盖一切问题
• 课程附送题库为限额限时活动，随时取消
• 题库在课程最后部分的<AI从业者认证考试伴侣>下载
• 请勿私自传播题库，一经发现取消访问权限

随着AI技术的快速发展，RAG(检索增强生成)技术正在成为企业智能化升级的关键解决方案。本文将为您深入浅出地讲解RAG的工作原理，帮助您理解这项革命性的技术。

RAG是什么？

RAG（Retrieval-Augmented Generation）是一种将企业知识库与大语言模型结合的技术方案，它能让AI助手基于企业实际数据提供准确的回答，大大提升了AI应用的实用性和可靠性。

RAG的工作流程

让我们通过一张流程图来详细了解RAG是如何工作的：

1. 文档处理流程

数据ingestion（摄入）阶段：

• 从企业知识库收集文档（PDF、Word等格式）
• 对文档进行预处理和标准化
• 使用嵌入模型将文档转换为向量
• 将文档向量存储在向量数据库中

2. 用户查询流程

实时交互阶段：

• 用户通过界面提出问题
• 系统将问题转换为向量进行相似度检索
• 从向量数据库获取相关文档内容
• LLM结合上下文生成答案
• 返回准确的查询结果

RAG技术的优势

1. 准确性提升

• 基于企业实际数据提供答案
• 减少AI幻觉问题
• 确保信息时效性

2. 可追溯性

• 回答可以追溯到源文档
• 提高可信度和可靠性

3. 实时性

• 支持知识库实时更新
• 确保答案始终基于最新信息

实施要点

关键成功因素：

1. 文档预处理质量控制
2. 向量模型的精确选择
3. LLM提示词的专业设计
4. 系统持续优化和调整

未来展望

随着技术的不断发展，RAG将在企业智能化转型中发挥越来越重要的作用。无论是客服、内部知识管理，还是决策支持，RAG都将成为不可或缺的技术方案。

总结

RAG技术通过将企业知识与AI能力深度融合，为企业提供了一个强大的智能化解决方案。理解并掌握RAG的工作原理，将帮助您更好地在企业中应用这项技术。

关于作者

本文作者在AI领域有深入研究，致力于将复杂的技术概念通过简单易懂的方式传达给读者。

#AI技术 #RAG #企业智能化 #知识管理 #技术创新

欢迎在评论区分享您的想法和经验！

在人工智能的世界中,迁移学习是一种强大的方法。它利用已有模型的知识来适应新的任务,类似于一个学生用他已有的知识去理解新的科目。这种方法的优势在于可以减少训练数据的需求,降低计算资源的消耗,并加快模型收敛的速度。

微调是迁移学习的进一步应用,专注于对模型进行特定任务的调整。就像为学生提供专门的辅导,帮助他在某个领域中更加出色。微调使模型在特定任务中表现得更精准。

在指令式微调中,我们有两种会话方式：单轮会话和多轮会话。单轮会话是一种一问一答的形式,每次对话相互独立,适合简单的查询场景。而多轮会话则保持上下文的连贯性,支持追问和补充,适合更复杂的交互场景。

数据在AI训练中扮演着重要角色。标记样本是指带有正确答案的数据,用于微调模型。比如,输入”患者出现发热、咳嗽症状”时,标记的输出可能是”建议进行发烧检测,并及时就医”。这些数据质量高,但制作成本也高,适用于有监督学习。

相对而言,未标记样本是没有标注答案的原始数据,如大量文本文档、网页内容和对话记录。这些数据获取成本低、数量庞大,适用于无监督学习,通过这些数据,预训练模型可以提升其基础能力。

结合这些概念,AI模型能够通过不同的训练和调整方式,更好地理解和处理各种任务和对话。在现代AI应用中,了解并善用这些技术,将大大提高模型的效率和效果。

迁移学习（Transfer Learning）

• 定义：将一个领域学到的知识迁移到另一个相关领域
• 优势：
  • 减少训练数据需求
  • 降低计算资源消耗
  • 加快模型收敛速度

单轮和多轮会话

• 单轮会话：
  • 一问一答的形式
  • 每次对话相互独立
  • 适合简单查询场景
• 多轮会话：
  • 保持上下文连贯性
  • 支持追问和补充
  • 适合复杂交互场景

标记样本和未标记样本

标记样本（Labeled Samples）

• 定义：已经人工标注了正确答案或期望输出的训练数据
• 示例：
  • 输入：”患者出现发热、咳嗽症状”
  • 标记：”建议进行发烧检测,并及时就医”
• 特点：
  • 数据质量高
  • 制作成本高
  • 适用于有监督学习

未标记样本（Unlabeled Samples）

• 定义：没有人工标注答案的原始数据
• 示例：
  • 大量的文本文档
  • 网页内容
  • 对话记录
• 特点：
  • 获取成本低
  • 数量庞大
  • 适用于无监督学习

基本概念对比

持续预训练（Continuous Pre-training）：

• 定义：在原始预训练模型基础上，使用新数据继续进行大规模预训练
• 目的：扩展和更新模型的基础知识
• 数据类型：主要使用未标记数据
• 训练方式：自监督学习

模型微调（Fine-tuning）：

• 定义：针对特定任务或领域，对预训练模型进行小规模定向训练
• 目的：提升模型在特定任务上的表现
• 数据类型：主要使用标记数据
• 训练方式：有监督学习

具体用例对比

持续预训练用例：

`案例1：更新知识库

• 场景：医疗领域新研究文献更新
• 做法：使用最新医学文献进行持续预训练
• 效果：模型掌握最新医学发展

案例2：新领域适应

• 场景：进入新的市场或行业
• 做法：使用该行业的专业文档进行预训练
• 效果：模型理解行业特定术语和知识

案例3：语言扩展

• 场景：增加新的语言支持
• 做法：使用目标语言的大量文本进行预训练
• 效果：模型获得新语言能力

模型微调用例：

`案例1：客服机器人

• 场景：企业特定产品支持
• 数据：问题-答案对
• 效果：准确回答产品相关问题

案例2：法律助手

• 场景：特定法律文书生成
• 数据：文书模板和示例
• 效果：生成规范的法律文档

案例3：代码补全

• 场景：特定编程语言补全
• 数据：代码片段对
• 效果：提供准确的代码建议`

核心区别

训练规模：

• 持续预训练：大规模训练
• 模型微调：小规模定向训练

数据要求：

• 持续预训练：大量未标记数据
• 模型微调：少量高质量标记数据

学习目标：

• 持续预训练：通用能力提升
• 模型微调：特定任务优化

选择建议

何时选择持续预训练：

• 有大量新领域数据需要学习
• 需要更新模型的基础知识
• 要扩展模型的语言能力
• 有充足的计算资源

何时选择模型微调：

• 有明确的任务目标
• 有高质量的标记数据
• 需要快速适应特定场景
• 计算资源有限

最佳实践流程：

1. 先进行持续预训练扩展基础能力
2. 再进行模型微调优化具体任务
3. 定期评估效果并调整策略
4. 持续收集反馈进行优化

这种理解和区分对于在AWS Bedrock上开发AI应用非常重要，能帮助我们根据实际需求选择合适的训练策略。

HELLO大家好，我们这个课时讨论亚马逊的API网关的内容。

亚马逊API网关是一个您可以使用它创建应用程序编程接口（API）的服务。 这些API实质上是连接您的业务逻辑或在AWS上运行的应用程序的前门。

API Gateway支持RESTful API，包括REST API和HTTP API，以及WebSocket API。 接下来让我们通过可视化的方式来看一下通过API Gateway部署的API是如何工作的。

亚马逊API网关概述

这里是一个AWS Region，我们部署了某种类型的API。

然后这里是互联网，然后PPT左边区域有各种不同类型的客户端。

这些客户端可以是运行在移动设备上的应用程序，也可以是在互联网上运行的某个服务，或者是某个网站或Web应用程序。

而左边这些客户端需要通过互联网，访问在AWS上运行的某个业务逻辑或某个服务，它们需要通过访问这个部署的API来实现这一点。

然后这个API在连接到各种后端服务，比如Lambda。Lambda它可以是公有的，也可以是部署在VPC中的Lambda函数；

后端服务可以是负载均衡器后面的EC2实例，或者是其他的AWS服务；它也可以是一些外部服务，例如某个公有的终端节点。

因此，可以将这个API网关视为一个终端节点，您可以将这些各种基于互联网的服务或VPC内的服务连接到该API网关，您将它们连接到API网关后，API网关能够执行各种操作，比如修改请求中的信息以对其进行格式化，以便将其发送到它的后端类似Lambda函数等目标。

在API网关这里，您可以配置自己的API，也可以导入模板，例如Swagger格式或Open API 3.0定义，这些定义使用YAML或JSON格式。

API网关部署类型

API网关支持3种不同的部署类型。

首先是边缘优化的API终端节点，它会为来自世界各地大部分地区的请求提供较低的访问延迟，因为它是位于Amazon CloudFront之后的，它利用了CloudFront边缘节点位置和CloudFront的CDN能力。

然后是区域API终端节点,非常适用于您的服务来自同一个AWS区域。您可以在前面放置CDN，并且还可以使用Web应用程序防火墙。

最后是私有API终端节点，这种部署方式API完全位于您的VPC内，因此可以安全地将API仅公开给VPC中的服务，或通过Direct Connect连接的应用程序。

REST API的架构

接下来，我们来讨论下REST API的架构 这里有一个已发布的API和一个连接到这个API的互联网Web应用程序。在API这里，我们可以配置一个叫做“方法请求”的内容。它定义了我们允许使用API的方法,必须在请求中发送的参数和正文，以及如何进行集成，也就是将“方法请求”映射到“集成请求”。

这些方法method与您在HTTP方法中看到的非常相似，比如有DELETE，GET，POST和PUT。每个method可以映射到一个集成请求，然后就可以将请求转发到各类的终端节点。比如可以使用Lambda或Lambda代理。

也就是说，我们将“方法请求”的请求参数，映射到与我们连接的后端所需的格式。这个后端可以是Lambda函数、HTTP终端节点、EC2实例或其他AWS服务。

“方法请求”和“集成请求”使我们在配置API时具有一定的灵活性。可以只传递方法，也可以在它们到达后端之前修改它们的某些内容。

然后当从终端节点的响应返回时，还会有一些选项，我们可以转换或直接传递信息。我们可以修改HTTP状态码或响应主体，将它们映射到前端所需的格式，最后这个响应返回给Web应用程序。

以上就是REST API的大致的架构。

对于HTTP API会稍有不同。

HTTP API不在有这个“方法请求”，取代它的是“路由”，它能够将请求发送到 AWS Lambda 函数或任何可路由的 HTTP 终端节点。

API网关集成

接下来是API网关集成相关的内容，目前有几种不同的集成类型。

对于Lambda函数，您可以使用代理集成或自定义集成。

自定义集成为您提供了更大的灵活性，而代理集成只是将请求直接传递给Lambda，因此，Lambda需要知道以何种格式解释输入的信息。

对于HTTP终端节点，您可以使用HTTP代理或HTTP自定义集成。

而对于AWS服务操作，只有非代理类型。

API网关 – 缓存

缓存是提高API性能的重要功能。 通过为API调用配置API Gateway缓存，您可以添加缓存，并指定大小（以千兆字节为单位）。

缓存允许您缓存终端节点的响应请求，它可以减少对后端的调用次数，并降低对API的请求的延迟。

我举个例子，假设我们有一个API，一些用户正在访问这个API，这里有一个缓存。 第一步会首先检查缓存，如果缓存中没有内容，那么请求继续进行到这里的生产阶段，这里的生产阶段是您实际部署API的地方，也就是说，您是将API部署到一个阶段中的，在这个例子，该阶段启用了缓存，大小为0.5 GB，并且进行了加密，并在其中设置了TTL为900。

然后第二步就是访问实际的终端节点，访问信息将被缓存。那下次访问时，后续的请求将从缓存返回，而不会到达终端节点。这将减少延迟，并可能降低成本（如果您按请求付费的话）。

API网关 – 限流

我们还可以对API网关进行限流。

您可以针对API设置稳定状态速率和请求提交突发的限制。这些在AWS账户级别是有限制的，您还可以使用阶段在API级别上添加限制。

默认情况下，稳定状态请求速率限制为每秒10,000个请求，您账户中所有API的最大并发请求为5000。如果超过每秒10,000个请求或5,000个并发请求，那么将会返回429“请求过多”的错误响应

因此，要尽量避免这种情况。

您也可以在您的应用程序中添加一些处置的代码，以便在发生此情况时，您的应用程序知道如何重新提交请求，而不会超过限流限制。

API网关 – API密钥和使用计划

最后，我们讨论使用计划和API密钥的内容。

假设我们有一个API，然后有一些普通用户在使用较低级别的计划，这些普通用户可能付的费用很少。我们还有一些高级用户，我们希望他们应该获得更好的服务。

这样的话我们就会配置使用计划，包括高级和基本使用计划。高级计划将获得比基本计划更高的性能。每个计划都启用了限流，但对于高级用户，有更高的限制阈值。

那么，我们如何知道请求来自高级用户还是基本用户呢？

答案是通过APIKEY，这些密钥将添加到提交到公共终端节点的请求中。

因此，我们可以根据API密钥进行区分。我们可以知道谁是基本用户，谁是高级用户。然后，可以配置这些用户连接到不同的阶段甚至不同的终端节点。您还可以在每个阶段上配置每个方法的限流限制。

以上就是API网关的核心理论的内容，希望能够给大家带来帮助。

HELLO大家好，在本课时我将介绍Amazon Elastic Kubernetes服务，也就是亚马逊的EKS服务。

首先，什么是EKS呢？

EKS是一项托管服务，用于在AWS上或本地数据中心运行Kubernetes应用程序，而无需安装、操作或维护您自己的Kubernetes控制面板或节点。

Kubernetes是一个开源系统，用于自动化部署、缩放和管理容器化的应用程序。因此，如果我们想要管理和扩展在Docker上运行的容器，那么Kubernetes就是一个最佳的工具。

当您需要使用托管 Kubernetes 实施跨多个环境标准化容器编排时就可以使用EKS。 也就是说，如果您想使用标准化容器编排工具集，以便在AWS和您本地数据中心等不同环境中管理容器，那么您可以使用EKS。

EKS的一些特点，包括：

• 混合部署，您可以跨AWS和本地数据中心管理Kubernetes集群和应用程序。
• 批处理作业，使用Kubernetes Jobs API在集群上运行顺序或批量工作负载,计划、调度和执行批处理工作负载。
• 机器学习，您可以将Kubeflow与EKS结合使用，建模您的机器学习工作流程，并使用最新的EC2 GPU加速实例，如AWS Inferentia。
• 以及运行Web应用程序，可以通过EKS构建自动缩放并跨多个可用区的高度可用的Web应用程序。

EKS架构

接下来我们一起看下EKS的架构。

EKS是运行在AWS区域的服务，比如这里是一个AWS区域，然后一个VPC，里面有多个可用区，AWS的EKS在这里运行。亚马逊EKS服务是一个托管的Kubernetes服务运行在EC2、Fargate以及AWS Outposts，并且跨多个可用区运行。

EKS集群中还包括EKS控制面板，它是跨多个可用区的，高可用的，且可以根据负载自动缩放控制面板实例，且能够检测并替换运行状况不良的控制面板实例，并为其提供自动化的版本更新和修补。

当然还包括工作节点。、

EKS支持ALB、NLB以及CLB这几种负载均衡器。

容器组在Kubernetes中被称为Pods。

EKS弹性伸缩

那么接下来让我们看下关于EKS弹性伸缩相关的知识点，参加考试需要了解使用EKS进行伸缩的不同机制。

在集群Auto Scaling部分，首先是Vertical Pod Autoscaler，它可以为pod自动调整CPU和内存预留，为应用程序调整至合适大小，它是针对pod的垂直层面的。

然后是Horizontal Pod Autoscaler，它可以根据资源的 CPU 利用率，自动缩放deployment, replication controller, 以及 replica set中pods的数量，前面这些都是K8S的组件。

这两个关键的区别在于，Vertical Pod Autoscaler它是调整CPU和内存的数量和大小，您需要了解垂直扩展的工作原理；而Horizontal Pod Autoscaler是调整基础设施中的PODS的数量，一个是垂直扩展，一个是水平扩展，可以理解吧？

以上是集群Auto Scaling部分。

然后是工作负载Auto Scaling，EKS支持两个Auto Scaling产品：

包括Kubernetes cluster Autoscaler ,以及Karpenter open source AutoScaling project

cluster Autoscaler 与AWS Scaling组一起使用，而这个Karpenter与EC2 fleet一起工作。

亚马逊EKS与ELB

那么EKS和负载均衡器是如何一起工作的呢?

EKS主要支持网络负载均衡器和应用程序负载均衡器，虽然对CLB也有一些支持，但CLB随着时间的推移，它正在逐渐淘汰，所以我们主要讨论NLB和ALB。

AWS负载均衡器控制器负责管理Kubernetes集群的负载均衡器。

那怎么安装这个控制器呢，可以使用Helm V3或更高版本或者通过应用Kubernetes manifest安装这个负载均衡器控制器。

这个控制器预置以下这些资源：

当您创建 Kubernetes Ingress 时的 AWS 应用程序负载均衡器

当您创建 LoadBalancer 类型的 Kubernetes 服务时的 AWS 网络负载均衡器

在之前，以实例为目标使用 Kubernetes 网络负载均衡器，而 IP 目标使用 AWS 负载均衡器控制器。

在使用 AWS负载均衡器控制器版本 2.3.0 或更高版本，您可以使用任一目标类型创建网络负载均衡器

亚马逊EKS Distro

接下来，我们讨论EKS Distro的内容。

EKS Distro 是 亚马逊EKS在云中部署的相同开源 Kubernetes 软件和依赖项的发行版。

它允许你在任何地方手动运行Kubernetes集群。

它包括开源 Kubernetes、etcd、网络和存储插件的二进制文件和容器，并且经过兼容性测试。

您可以在GitHub上和访问其他开源软件一样安全访问Distro的版本，或者通过亚马逊S3以及ECR

EKS Distro缓解了跟踪更新、确定兼容性以及在分布各处的团队中统一使用 Kubernetes 版本的需求。

您可以在AWS EC2或者在您本地的硬件上使用您选择的工具创建Distro集群。

ECS Anywhere和EKS Anywhere

最后，我们讲一下ECS Anywhere和EKS Anywhere。

这两个服务允许您在您管理的基础设施上运行ECS以及EKS,有AWS提供支持。这里所说的不是outposts，outposts上是肯定可以运行它们的。

这里所说的是您自己的硬件，比如您可以在您的本地的基础设施比如裸金属服务器上，或者也可以在Vmware vSphere上部署ECS Anywhere和EKS Anywhere。

好的，以上就是本课时的全部内容，感谢大家的观看，希望能够给大家带来帮助。

HELLO大家好，在本课时我们讨论使用S3预签名URL共享对象。 S3预签名URL是一种允许用户在有限的时间段内访问特定存储桶中的对象的方法。

比如您可能有一些特定的用户，他们没有AWS账户，因此您无法通过账户授权他们访问权限；但您需要这些用户能够在一个有限的时间段内，访问一些重要的更新，一个视频或者是其他类型的对象，在这种情况下S3预签名URL是一个很好的选择。

使用S3预签名URL共享对象

您可以使用API、CLI来创建S3的预签名URL，您可以构建一个应用程序来通过API自动执行此操作，来实现您应用程序的某个功能。当然也可以通过S3的管理控制台创建S3的预签名URL，在本课时我们主要通过CLI的方式来进行实操演示。

这个就是创建预签名URL的命令，aws s3 presign ，后面是存储桶名称 以及您要共享的对象名称，iloveawscn-saa是我的存储桶，huandengpian1.jpg是这个存储桶中的对象。

执行后将生成这个对象的预签名的URL，PPT这里显示的就是我的执行结果。您也可以以秒为单位指定此URL的有效时间，不指定默认为1小时过期。

接下来我们切换到S3，演示如何创建预签名URL。

切换到我们的iloveawscn-saa存储桶，我将上传一个文件，文件名为presignurl.jpeg。

让我们先完成这个上传操作。

那在默认情况下，这个对象是无法公开访问的。 我们来看一下，选择这个对象，复制下对象URL，然后切换到浏览器访问一下，可以看到访问会被拒绝。

那现在我们假设我们需要允许一部分用户访问这个特定的对象。那现在我们就通过CLI命令，生成这个对象的预签名URL，然后使用预签名URL来访问这个对象。

我们切换到CLI界面，我们粘贴下命令：

aws s3 presign s3://iloveawscn-saa/presignurl.jpeg --expires-in 60

我们看下这个命令,aws s3 presign s3://然后是您的存储桶名称/后面是对象名称，也就是我们刚刚上传的文件名。

然后的参数是我配置的过期时间，这里指定的是60秒，稍后您会看到这个预签名URL的有效和过期后的演示。

回车运行命令。

可以看到得到了一个非常长的网址，我们将这个网址复制一下，然后回到浏览器，将它粘贴进行，然后按回车键访问。

我们可以成功访问我们上传的图片文件，也就是说我们通过CLI生成并使用预签名URL成功访问了对象。然后就可以将这个预签名URL发送给需要访问的那部分用户。

以上是使用CLI创建预签名URL的一种非常简单的方法。

我们的命令参数指定了60秒的有效期，那现在已经过了60秒我们刷新下浏览器，看下是否还可以访问该对象。

可以看到访问被拒绝，信息提示请求已过期，并为我们提供了一些有关该预签名URL过期时间的一些信息。

可以看到通过CLI来设置预签名URL非常的方便。

那接下来我们切换到S3控制台，我们来看下通过控制台如何配置预签名URL。

进入到我们的存储桶，选择我们要创建预签名URL的对象，然后点击“操作”，点击“使用预签名URL共享”

可以看到提示任何人都可以使用此预签名URL访问对象，直到过期为止，即使存储桶和对象是私有的也是如此。

然后配置过期时间，这里就是对应我们CLI命令行的过期时间的参数，比如我们配置1分钟，然后点击“创建预签名URL”

然后可以看到预签名URL已创建，我们就可以通过这个预签名URL访问该对象。

好的，以上就是本课时的内容，本课时我们实操演示了通过CLI以及管理控制台创建S3预签名URL来达到临时共享对象的目的，感谢大家的观看，希望能够给大家带来帮助。

Hello大家好｡ 在本课时我们将讨论S3加密相关的内容。

S3加密相关是认证考试的一个重要的主题考点，您需要了解亚马逊S3的几种不同类型的加密方式。|

首先是静态数据的加密，静态数据加密是指数据存储在亚马逊S3 数据中心的磁盘上时，对数据进行保护；这个很好理解，对存储在磁盘上静止的数据进行加密就是静态数据加密；

然后是传输过程中的数据加密，是指数据发往和离开Amazon S3时对数据进行加密保护。您可以使用安全套接字层/传输层安全性 (SSL/TLS) 或客户端加密来保护传输中的数据。

那对于静态数据加密，有几个不同的选项，我们一起来看一下

首先大家要知道，这几种加密方式的不同之处主要取决于您选择如何管理加密密钥。

SSE-S3

首先，我们看下S3托管密钥的服务器端加密， 缩写为SSE-S3。
顾名思义这种方式密钥由亚马逊S3服务进行管理，每个对象均使用唯一密钥进行加密；然后作为额外的保护，将使用定期轮换的主密钥在加密这个唯一密钥本身。
使用256位高级加密标准AES-256来加密您的数据。

加密和解密的动作都是在S3进行的，当您的数据写入存储桶时，数据将会被加密；而当从存储桶读取数据时，数据将会被解密。但是这并不意味着数据会明文在网络中传输，
因为我们在访问S3时是使用了证书通过HTTPS的方式，当数据通过网络传输时，其实是通过一个加密的隧道。但实际数据本身，一旦到达目的地仍然是明文的。
因此，如果我们有个客户端，客户端将一个对象上传到S3，S3将对其进行加密；然后当客户端从S3中读取该对象时，S3将对其进行解密。

SSE-KMS

第二种加密的选项是在AWS KMS中存储KMS密钥的服务器端加密，缩写为SSE-KMS。

这种方式密钥是由KMS服务进行管理的,KMS即亚马逊的密钥管理服务。您可以使用KMS的AWS托管密钥，或者您也可以创建客户托管密钥对数据进行加密。

加密和解密也是在存储桶上进行的，当客户端将数据写入S3，S3对该数据进行加密；当客户端读取数据时，S3对数据进行解密。

SSE-C

第三种加密的选项称为具有客户提供密钥的服务器端加密，缩写为SSE-C。

这种方式密钥是由客户也就是您进行管理，而不是存储在AWS上。
但是加密和解密的动作仍然是在AWS上进行。
这种方式提供给客户对于密钥更多的控制权。
以上三种是S3服务器端加密的3种选项。

客户端加密选项

那接下来的加密选项不是服务器端加密，而是客户端加密选项。

客户端加密意味着数据要在客户端完成加密，客户也就是您需要管理加密过程、加密密钥和密钥轮转等等；密钥不会存储在AWS上，
你也可以使用KMS的CMK客户托管密钥，将其导出并使用。

客户端加密是在客户端进行，AWS对此一无所知，你自行在客户端加密数据，然后将其上传到S3，这样存储桶内存储的就是加密后的数据；
当您下载数据后，是在客户端侧进行解密。在AWS上无法解密这些数据，因为密钥是由您管理的，可能存储在您的数据中心的某个系统内。

默认加密配置

可以为S3存储桶配置默认加密，配置时可以选择我们想要使用的加密类型，就是前面讲的那些加密选项。

配置后，写入存储桶的所有新的对象将使用您指定的加密类型进行加密。

请注意，这里我重点提到了新的对象，之前在存储桶中已经存在的对象不会被加密。就是说当您启用了默认加密功能，如果您存储桶中在启用前已经存在的对象，他们将不会被加密。新的对象，也就是您启用默认加密后在上传的对象将会被加密。

这里提到的默认加密配置，是使用前面讨论的服务器端加密选项之一。

正如我前面讲到的，启用后S3将在您将对象上传到S3时进行加密，然后在您将其从S3中下载时对其进行解密。

在启用默认加密之前，存储桶中已经存在的对象的加密状态不会更改。

阻止上传未加密的对象

最后，我们来看下如何通过存储桶策略阻止上传未加密的对象。

我们看下这个策略的内容，首先，任何主体，对资源这里配置我们的存储桶的arn的putobject也就是上传对象的操作都是被拒绝的。存储桶ARN后面加上/*,代表我们放入存储桶中的所有对象。

然后注意condition配置，字符串不等于s3：x-amz-servrer-side-encryption的值为AES256。这个存储桶策略的意思是除非上传对象使用SSE-S3进行加密，才允许上传到这个指定的存储桶。如果您希望使用SSE-KMS，就可以用AWS:KMS替换这里的AES256。

然后下面这段策略，前面和上面内容一样，拒绝任何主体上传对象到我们指定的这个存储桶，然后condition配置，null对应s3:x-amz-server-side-encryption值为真。

这段策略的作用是在上传对象时，如果没有对其进行加密，那么就不允许进行上传。

这是一个PUT请求的例子，我们可以在这里看到服务器端加密标头值为AES256,因此这个对象将会被加密并允许上传到这个存储桶。

好的，以上就是本课时的内容，本课时我们讨论了S3加密的内容，感谢大家的观看，希望能够给大家带来帮助。

希望此系列教程能为您通过AWS的认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。
• 我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。