如果你已经准备好使用Amazon Web服务(AWS),那么，至少有两种做法可以用来创建以及使用AWS。一种做法是使用AWS API(应用程序编程接口)调用。建议你在大多数情况下使用第二种做法，即AWS管理控制台，亚马逊的基于web的界面。

AWS管理控制台的简化流程:

• AWS注册
• 创建实例的安全组
• 启动Amazon EC2实例
• 连接Amazon EC2实例
• 添加Amazon EC2实例存储

连接Amazon EC2实例，在本文中没有讨论，但是本文描述了如何连接到实例的其他相关技巧。

Amazon提供有关这五个流程的简单例子，帮助你开始以及使用Amazon EC2实例。但是,如果你正在使用Amazon EC2，运行本地数据中心的业务应用程序，那么，关于AWS和Amazon EC2，你需要了解更多。

如果使用AWS，你需要了解有关EC2实例的类型,价格,亚马逊的存储服务、区域、可用性区域、安全组等等。Bernard Golden的书名为《外行人Amazon Web服务》，很适合那些想要将IT责任转移到AWS的人。
上述每个流程经讨论后，接着提供Amazon EC2实例的最佳做法。

但是，在启动Amazon EC2实例之前，需要对Amazon EC2进行设置。包括AWS注册,创建IAM用户，以及创建安全组。

AWS注册

进行AWS注册,登陆http://aws.amazon.com，单击“注册”,然后按照后续屏幕上的说明。注册时，你会收到你的AWS帐号，之后会用到。

第一次注册AWS,你会收到一个账户，所有的AWS服务都会自动生成一个帐户。包括Amazon EC2服务,S3和EBS存储服务等。虽然AWS能够免费注册,可以使用750个小时,但是，必须提供一个信用卡号,当你使用“收费”服务时，可以用来缴费。

亚马逊使用你提供的电话号码确认你的身份。你会很快收到自动电话系统的来电,系统将提示你输入收到的验证码。一旦验证码经过验证,你的帐户将被激活。

创建IAM用户

当访问AWS服务时,该服务决定了你是否有权限访问该服务资源。创建IAM用户,然后根据不同权限将用户添加到IAM组。接下来,使用一个特殊的URL访问AWS。“账户id”就是你的AWS帐户ID,没有连字符,是你注册AWS时获得的AWS帐户。

创建IAM用户,开启IAM控制台,输入注册AWS时设置的电子邮箱和密码，并按照提供的说明操作。创建IAM用户后,你就能获得凭证，使用上述特殊的URL，登录并且使用Amazon EC2。

创建安全组

安全组作为虚拟防火墙，控制着访问相关实例的允许流量。将入站和出站的规则添加到安全组中来控制流量。入站规则能够控制访问与安全组相关实例的流量，如HTTP。

出站规则控制着到达与安全组相关实例的目的地，可以发送的流量。然而,返回流量,如从主机接收到的响应，收到的流量是自动允许的。如果计划在多个区域启动实例,将需要在每区域区分别创建安全组。

创建安全组，开启Amazon EC2控制台:

为安全组选择区域

点击“创建安全组”，输入一个新安全组的名称和描述

在入站选项卡上，创建规则，比如:

允许进入实例的HTTP流量

允许进入实例的SSH流量

两个AWS内部通信的实例，必须属于同一安全组,或者一个实例的安全组必须配置为接收同一AWS帐户的另一个安全组的流量。安全组被限定区域,因此，在每个区域需要配备适当的安全组，有计划地来运行应用程序。

启动Amazon EC2实例

可以使用AWS管理控制台启动实例。启动实例之前,你必须完成第一个步骤是“注册。”

通过访问Amazon EC2控制台，开始启动程序,选择“启动实例”。选择Amazon Machine Image(AMI)创建启动实例的模板。接下来，通过选择实例类型，为实例选择硬件配置。选择之前为实例创建的安全组,并使用之前创建的凭证,最后启动实例。

为Amazon EC2实例添加EBS卷

启动并且连接一个实例后,可以为实例添加一个EBS卷,或者添加其他存储服务的存储单元。打开Amazon EC2控制台,选择创建实例(EBS卷是敏感区域)的区域，选择实例。你可以选择卷的类型:标准的或者供应的IOPS。最后,附加卷。如果创建了一个空的卷,你需要将卷格式化才可以安装。

最佳实践

下面是一些创建和使用Amazon EC2实例的最佳做法。然而,还有许多公共领域的其它最佳做法。

在卸载一些贵公司AWS的IT责任之前，确保你很了解AWS使用的许多方面。你需要了解有关存储服务、定价、区域、合规等的详细信息。

创建一个员工职位或者一个小组，来监控和熟悉AWS规则和定价。亚马逊对其定价进行了更改,然后提供了一些经常使用的新服务。

使用AWS时，了解公司的安全责任。一个本地的计算组织，IT团队负责整个组织的所有安全。借助于Amazon EC2,亚马逊只负责整体安全的一部分。对于Amazon EC2，分界线位于hypervisor。hypervisor之上的安全由你负责,包括应用程序的安全性，亚马逊对hypervisor以下部分负责。

不要将你的AWS帐户凭据提供给任何人。相反, 为那些访问你的AWS帐户的人创建个人用户。

仔细选择你的AWS帐户访问密钥。AWS帐户的访问密钥ID和秘密访问密钥，使你能够访问你所有的资源,包括你的付款信息。保护你的凭证，直到你必须要使用它们时。使用你的账户密码登录到AWS管理控制台，创建一个IAM用户，掌控管理的特权。

为所有的网络流量规则，创建单独的安全组。不要使用预定义的安全组。

如果让网络访问你的实例，你必须通过打开一个实例的端口，允许入站的流量。只需要开放你需要开放的端口，减少入侵者的攻击机会。

限制访问系统管理。如果涉及访问实例，限制对电脑的管理员权限，位于你信任的地方。员工在家工作或者旅行出差，建立从电脑到公司网络的虚拟专用网络(vpn)，然后通过公司网络转发流量。

了解流量来源，安全组以及区域范围,可以使你的应用程序更安全。

在可用性区域有足够的Amazon EC2实例，即使失去任何一个可用性区域也不影响使用。

使用安全组来划分应用程序。许多组织允许到应用程序Web服务器的公共网络流量,但是，不允许访问后端数据库服务器的公众网络流量。AWS EC2提供这种类型的控制,可以使用安全组来分区应用程序，通过将应用程序Web服务器布置在一个安全组，将数据库服务器布置在另一个安全组。请注意,使用安全组来划分应用程序，并不能保护应用程序不受直接攻击，因为每个实例都保留着一个公共的IP地址。

通过使用AWS VPC(虚拟公共云)服务，解决与使用安全组来划分应用程序相关的漏洞。AWS VPC使你能够完全控制你的IP地址的选择范围,创建路由的子网和配置表，以及网络网关。