Amazon Web Services

Logo von „Amazon Web Services“

Amazon Web Services (AWS) ist eine Sammlung verschiedener Webservices, die auf dem Webportal von Amazon.com im Internet als Cloud-Lösung angeboten werden. Amazon Web Services wurde im Juli 2002 als Dienst für andere Webseiten oder Clientseitige Anwendungen gestartet. Die Dienstleistungen werden großteils über HTTP transportiert, wobei unter anderem REST und SOAP genutzt werden können. Nach Angaben von Amazon.com haben sich bereits über 490.000 Entwickler für die Nutzung von AWS registriert (Stand 25. Februar 2009).^[1]

Bestandteile von AWS

Alexa Top Sites

Alexa Internet ist ein Web Traffic-Dienst. Die 1996 gegründete Alexa wurde erst 1999 von Amazon.com übernommen und hängt mit der ebenfalls zu Amazon.com gehörenden Suchmaschine A9.com zusammen. Alexa Top Sites stellt dabei ein Ranking von Webseiten basierend auf Besucherzahlen weltweit oder nach Ländern plus detaillierte Informationen zusammen.

Alexa Web Information Service (AWIS)

AWIS ist ein Webinformationsdienst, der Informationen liefert über

• Detailinformationen über eine bestimmte URL
• historische Trafficzahlen (das jeweils vergangene Jahr)
• Seiten, die auf besagte URL verlinken^[2]

Amazon Associates Web Service (A2S)

A2S (früher unter dem Namen Amazon E-Commerce Service, kurz ECS, bekannt) bietet Zugriff auf die Amazonproduktdatenbanken.

AWS Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) ist ein Verzeichnisdienst zur Verwaltung von Benutzern und Ressourcen. Er übernimmt somit ähnliche Aufgaben wie Active Directory oder eDirectory in der IT von Unternehmen. Ohne IAM beschränkt sich die Zugangskontrolle zu den AWS auf die Anmeldung über das Amazon-Konto, dem die Cloud-Ressourcen zugeordnet sind. Es entspricht einem root-Account, der vollen Zugang und sämtliche Rechte gewährt. Sobald mehrere User eine größere Zahl an Ressourcen verwenden wollen, lassen sich damit weder die Benutzer verwalten noch die Zugriffsrechte steuern.

Daher gehört es zu den grundlegenden Funktionen von IAM, dass man damit Benutzerkonten anlegen und diese zu Gruppen zusammenfassen kann. Bei der Definition von Gruppen lassen sich verschiedene Kriterien anlegen, wie die Zugehörigkeit zu einer bestimmten Abteilung oder die Tätigkeit der Person (Entwickler, Manager, etc.). Wie von anderen Verzeichnisdiensten gewohnt, können User gleichzeitig in mehreren Gruppen Mitglied sein.

Über IAM lässt sich der Zugriff auf die meisten AWS-Dienste regeln, darunter EC2, S3, SimpleDB, Auto Scaling, Route 53, Elastic Load Balancing, CloudFormation oder CloudWatch. Dabei definiert jeder Service auf seine Weise, welche Formen des Zugriffs er kennt. Um die jeweils verschiedenen Funktionen, beispielsweise "CreateBucket" in S3 oder "DeleteAlarms" in CloudWatch, über Richtlinien leichter kontrollieren zu können, unterstützt Amazon die Administratoren mit einem Policy Generator.

Amazon CloudFront

CloudFront ist ein Content Distribution Network. Es funktioniert sowohl in Zusammenhang mit dem Amazon Simple Storage Service als auch mit jedem über HTTP kommunizierendem Server ("custom origin").^[3]

Dateien können mit Hilfe von CloudFront in ein globales Netzwerk aus sogenannten Edge-Servern repliziert werden. Dies ermöglicht besonders bei zeitkritischen Zugriffen auf gespeicherte Objekte schnellere Datenübertragungsraten mit geringen Verzögerungszeiten.

Amazon CloudWatch

Amazon CloudWatch ist ein Dienst zur Überwachung und Kontrolle von EC2-Instanzen. Dadurch werden Nutzer in die Lage versetzt, Echtzeitinformationen zur Auslastung und Verfügbarkeit von einzelnen Instanzen zu erhalten. CloudWatch ist eine Grundlage zur Nutzung von Autoscaling, einem AWS-Dienst, der je nach aktueller Auslastung zusätzliche EC2-Instanzen verfügbar macht.

Amazon DevPay

Amazon DevPay ist ein einfach zu nutzendes Accountmanagement- und Billingsystem für Anwendungen, die auf AWS laufen.

Amazon Elastic Block Store (EBS)

Der Elastic Block Store dient zur persistenten Speicherung von EC2-Instanzen. So kann einer beliebigen EC2-Instanz eine EBS-Festplatte zugeordnet werden, sodass Änderungen an Daten durch die Instanz auch nach Beendigung der Instanz verfügbar bleiben. Amazon Elastic Block Store bietet dem Nutzer hochverfügbare Storage-Volumen an, die auf einer laufenden Amazon EC2-Instanz angebracht werden können. Sie können als Gerät innerhalb dieser Instanz ausgesetzt werden. Amazon EBS ist besonders für Anwendungen geeignet, die eine Datenbank, ein Dateisystem oder den Zugang zu unverarbeitetem Block Level Storage benötigen.

Amazon Elastic Block Storage (EBS) bietet unverarbeitete Block-Devices an, die an Amazon EC2-Instanzen angeschlossen werden können. Diese Block-Devices können dann wie jedes andere Block-Device verwendet werden. In einem typischen Anwendungsfall würde dies das Formatieren und Einbinden des Geräts mit einem Dateisystem bedeuten. Darüber hinaus unterstützt EBS eine Reihe von fortschrittlichen Speicherfunktionen, darunter Schnappschüsse und Klonen. Derzeit können EBS-Volumen bis zu 1 TB groß sein. EBS-Volumen sind in einem Backend-Speicher integriert, der sich automatisch repliziert. So wird gesichert, dass der Ausfall einer einzelnen Komponente nicht zu Datenverlust führen kann. EBS wurde von Amazon im August 2008 eingeführt.^[4]

Nach einem mehrstündigen Ausfall des EBS im April 2011 waren ca. 0,07 % der Daten in der betroffenen Availability Zone unwiederbringlich verloren. Mehrere US-Internetdienste waren von dem Ausfall betroffen.^[5][6]

Amazon Elastic Compute Cloud (EC2)

Die seit 2006 verfügbare EC2 ist eine Art virtueller Host (genauer: eine Anwendung von Cloud Computing und Infrastructure as a service). EC2-Instanzen können über die Amazon Management Console, aber auch programmatisch über Web Services erstellt werden und sind während ihrer Laufzeit über das Internet verfügbar. Die Erstellung einer neuen EC2-Instanz erfolgt folgendermaßen: Zunächst wählt der Benutzer ein Amazon Machine Image (AMI) aus. Ein AMI enthält grundlegende Eigenschaften einer Instanz, beispielsweise ein bestimmtes Betriebssystem oder installierte Datenbanken. Es kann aus vorgefertigten AMIs ausgewählt oder ein selbst erstelltes und in S3 verfügbares AMI eingebunden werden. Anschließend erfolgt die Auswahl der Ressourcenkonfiguration, also die Hardware betreffende Entscheidungen wie Rechenkapazität oder Speichergröße. Zusätzlich ist der Standort der EC2-Instanz wählbar. Anschließend kann die Instanz nach Generierung eines Schlüsselpaares nach dem Public Key-Verfahren mit dem persönlichen Schlüssel gestartet werden. Der Rechner erhält sowohl eine öffentliche, von außen erreichbare, als auch eine private IP-Adresse zur Kommunikation innerhalb der EC2-Cloud. Nach der Definition einer entsprechenden Security Group kann auf den Rechner beispielsweise über Remote-Desktop von jedem Standort der Welt zugegriffen werden. Eine Instanz ist standardmäßig nicht persistent. Nach dem Beenden einer Instanz werden alle Änderungen, die während der Laufzeit durchgeführt wurden, rückgängig gemacht. Zur Speicherung von Zuständen kann Elastic Block Store (EBS) verwendet werden.

Amazon Elastic Map Reduce

Elastic Map Reduce baut auf EC2 und S3 auf und bietet dem Nutzer die Möglichkeit, direkt ein gehostetes Hadoopframework zu nutzen.

Amazon Flexible Payments Service (FPS)

FPS ist ein derzeit noch in der Betaphase befindliches Bezahlsystem für Micropayments

Amazon Fulfillment Web Service (FWS)

FWS bietet eine Möglichkeit, per Programmierschnittstelle auf die Warenhäuser von Amazon zuzugreifen und direkt bspw. den Versand von Produkten in Auftrag zu geben.^[7]

Amazon Mechanical Turk (MTurk)

Die Betaversion vom Amazon Mechanical Turk wurde am 2. November 2005 freigeschaltet. Sie ist eine Implementierung des Humans as a Service (HuaaS)-Paradigma. Es handelt sich dabei um einen Crowdsourcing-Marktplatz für einfache, aber auch komplexere Arbeiten über das Internet, die durch Menschen anstelle von Maschinen ausgeführt werden. Die Namensgebung stammt von dem Schachtürken, einem vorgeblichen Schachroboter aus dem 18. Jahrhundert.

Amazon Relational Database Service (RDS)

RDS ist eine auf EC2-Instanzen installierte ganz normale relationale Datenbank, für die AWS allerdings komplett die Wartung übernimmt. Dieser Dienst ist allerdings genauso wenig skalierbar wie eine Datenbank auf einem lokalen Server (im Gegensatz zu SimpleDB).

Amazon SimpleDB

SimpleDB ist ein sehr einfaches verteiltes Datenbankmanagementsystem, das lediglich einige Grundoperationen zur Verfügung stellt. Beispielsweise sind keine Joins oder semantische Integritätsbedingungen möglich. SimpleDB eignet sich vor allem für hochzuverlässige Datenhaltung sehr großer Datenmengen und unterstützt einfache Administration bei geringem Aufwand für Datenbankoptimierung. Tabellen werden als Domains bezeichnet. Relationale Datenbanken können auf EC2-Instanzen installiert werden oder durch den Amazon Relational Database Service (RDS) genutzt werden.

Amazon Simple Queue Service (SQS)

SQS ist ein Messaging Service, der eine einfache Messagequeue zur Verfügung stellt. SQS erlaubt die Erstellung von beliebig vielen Message Queues, die jeweils eine beliebige Menge an Einträgen beinhalten können. Einzelne Nachrichten können bis zu einer Größe von 8KB gespeichert werden. Anfragen an SQS können mit standardisierten SOAP-Requests erstellt werden.

Amazon Simple Storage Service (S3)

S3 ist ein key-value-basierter File Hosting Service. Daten werden dabei in sogenannten Buckets organisiert. Jedes Bucket muss amazonweit einen eindeutigen Identifier besitzen, das heißt, der Name darf nur ein einziges Mal vorkommen. Dabei gibt es pro Benutzer eine Beschränkung auf 100 Buckets. Eine Schachtelung von Buckets ist nicht möglich. Da Buckets auch als URLs adressiert werden können, gibt es für diese Buckets zusätzlich noch Beschränkungen bei der Zeichenauswahl im Namen. In einem Bucket können beliebig viele Dateien, die zwischen ein Byte und fünf TB groß sind, abgelegt werden. Einzige Einschränkung auch hier ist wiederum die Eindeutigkeit des Dateinamens (allerdings nur innerhalb eines Buckets). Zurzeit ist es auch noch möglich, auszuwählen, ob die Daten in den USA oder Europa gehostet werden sollen, was direkte Auswirkung auf Preisgestaltung^[8] und Zugriffsgeschwindigkeit^[9] hat. Neben der eigentlich gespeicherten Datei enthält ein S3-Objekt auch noch Metadaten wie bspw. Content Type, Datum der letzten Veränderung usw. Der spätere Zugriff auf die Daten ist über SOAP, REST und BitTorrent möglich, wobei weitere Schnittstellen in Planung sind.^[10]

Neben dem direkten Zugriff über SOAP, REST und BitTorrent gibt es auch Open-Source-Implementierungen wie JetS3t (Java), die die Interaktion mit S3 direkt innerhalb einer Programmiersprache ermöglichen. JetS3t beinhaltet auch das Browserplugin „Cockpit“, mit dem man über eine graphische Oberfläche direkt Buckets verwalten und Daten hin- und herschieben kann.^[11]

Beispiel für die URL eines hochgeladenen Objektes:

Eine Datei "wikipedia.txt" in einem Bucket "wiki" wäre unter folgendem Link erreichbar:

• http://wiki.s3.amazonaws.com/wikipedia.txt

Beim Erzeugen des Links muss auch noch angegeben werden, wie lange dieser verfügbar sein soll.

Amazon Elastic Beanstalk^[12]

Im Januar 2011 wurden die vorhanden Dienste „Amazon EC2, Amazon S3, Amazon Simple Notification Service, Elastic Load Balancing, and Auto-Scaling“ zu AWS Elastic Beanstalk (beta) zusammengeführt und bilden damit ein Platform as a Service-Angebot (PaaS) für Java. Die Anwendungen können als WAR in einen Apache Tomcat deployed werden.

Der Betrieb einer kleinen Webanwendung kostet laut Amazon rund $ 38 pro Monat.

Die Besonderheit bei Elastic Beanstalk im Vergleich zur Google App Engine oder Windows Azure ist die Möglichkeit, die Betriebssystem-Images auszutauschen und sich direkt auf die virtuellen Maschinen einzuloggen und sie damit zu kontrollieren.

Beim Upload einer Anwendung wird jede neue Version in Amazons S3 Dienst gespeichert und es findet eine automatische Allokation der benötigen Ressourcen wie EC2 Instanzen und Load Balancer statt. Wenn die Leistung einer EC2 Instanz nicht mehr alle Benutzer in ausreichender Geschwindigkeit bedienen kann, wird automatisch eine weitere EC2 Instanz hochgefahren und die Anfragen werden gleichmäßig verteilt.

Netzwerk und Sicherheit

Zertifikate und Instrumente

Die Webservices, welche Amazon anbietet, stehen unter ständiger Beobachtung. Dies geschieht, um den Nutzern eine möglichst hohe Sicherheit gewährleisten zu können. Dabei achten aber nicht nur die Mitarbeiter von Amazon auf die Sicherheit, sondern das Unternehmen lässt sich alle 6 Monate von Wirtschaftsprüfern kontrollieren und zertifizieren. Dabei wird nach den Statement on Auditing Standards Nr. 70 vorgegangen. Diese Richtlinien gibt das American Institute of Certified Public Accountants vor und Wirtschaftsprüfer können diese als Hilfe zur Überprüfung der Unternehmen benutzen. Generell verfolgt Amazon ein Risikomanagement, um den Kunden weitere Sicherheiten bieten zu können. Ebenfalls mit einem Zertifikat ISO Norm 27001 geprüft, verfolgt das Unternehmen die Richtlinien des CobiT. Dieses Risikomanagement umfasst auch die Kontrolle aller IP Adressen der Endpunkte, welche mit dem Internet in Kontakt stehen, außer derer, die den Instanzen der Kunden zugeordnet sind. Dabei prüft Amazon auf Sicherheitslücken und mögliche gefährliche Aktivitäten.

Ausfallsicherheit

Neben den vorgeschriebenen Sicherheitsmaßnahmen vor Ort, wie unterbrechungsfreie Stromversorgung im Falle eines Stromausfalls, oder Rauch- und Feuermelder, stellt Amazon mehrere Globale Regionen und Zonen in diesen Regionen zur Verfügung. Ausgelegt auf Redundanz, kann der Kunde seine Daten, Anwendungen und Instanzen wenn gewünscht auf diese Zonen verteilen lassen. Sollte eine Zone oder gar eine ganze Region ausfallen, schaltet Amazon automatisch auf die nächste verfügbare Zone. Somit sollten Unternehmen, die Instanzen nutzen möchten, welche sehr nahe an 100% Ausfallsicherheit kommen, ihre Daten auf die verschiedenen Zonen verteilen. Ein kürzlicher Ausfall im Bereich der EBS Volumes zeigte jedoch, dass auch diese Mechanismen keine 100%ige Sicherheit garantieren können.

Netzwerksicherheit

Durch Angriffe aus dem Internet können Instanzen, die über die Amazon Webservices laufen, beschädigt oder gar zerstört werden. Zusätzlich besteht die Möglichkeit, dass diese selber eine Gefahr darstellen, wenn sie in die Kontrolle von Hackern geraten.

Man in the Middle

Diese Attacke soll dadurch verhindert werden, dass der Benutzer sich nur über eine gesicherte SSH-Verbindung mit den Instanzen verbindet. Für diesen Zugriff bietet Amazon dem User nach der Registrierung ein entsprechendes SSH-Zertifikat zum Download an.

IP-Spoofing

Eine durch Firewalls geschützte Umgebung sorgt dafür, dass das Versenden von IP-Paketen, welche eine gefälschte IP besitzen, nicht gestattet wird.

Port-Scanning

In den Nutzungsbedingungen der Amazon Webservices wird generell das Scannen von Ports untersagt. Dementsprechend verspricht Amazon, jedem Verstoß gegen diese Bedingungen nachzugehen. Somit wird jeder Scan nachverfolgt und sollte es sich dabei um einen nicht autorisierten Zugriff handeln, so wird dieser gestoppt. Prinzipiell muss der Kunde mittels Security Groups festlegen, welche Benutzer mit welchen Rechten auf Ports zugreifen dürfen. Sollte der Kunde keine Gruppe definieren, erstellt Amazon eine default Group, welche erst einmal jeden Traffic von Usern zulässt, welche der default Gruppe angehören.

Sicherheit im Bereich EC2

Speziell Kunden, die den EC2 Dienst nutzen, greifen auf weitere Sicherheitslösungen zu. Im Besonderen bietet Amazon ein Level System an. Damit ist gemeint, dass unterschiedliche Ebenen auch unterschiedlicher Schutzmaßnahmen bedürfen. Eine Ebene ist das Host-Betriebssystem. Hier muss sich der Kunde über eine mehrstufige Authentifizierung anmelden. Die nächste ist das Gastbetriebssystem, auf welchem der Nutzer vollen administrativen Zugriff auf alle Einstellungen besitzt. Dementsprechend sollten alle weiteren User keinen root-Zugriff erhalten. Eine Firewall sorgt über alle Ebenen mit der Definition von Gruppen, wie weiter oben bereits erwähnt, für kontrollierte Freigabe von Ports. Daneben verfolgt die Firewall eine Drei-Schichten-Architektur. Das ist die Web-, Anwendungs- und Datenbankschicht. Jede Gruppe besitzt bestimmte Ports, welche Traffic zulassen und auch nur über diese Ports.

Webschicht: Port 80 und 443

Anwendungsschicht: Zugang wird nur über SSH gewährt

Datenbankschicht: Autorisierten Dritten kann auch über SSH Zugang gewährt werden.^[13]

Kontroversen

Rechnungsbeleg

Amazon bietet seinen Kunden keine ordentliche Rechnung an. Das einzige Dokument, welches einer Rechnung nahe kommt, ist die Auflistung der Account-Aktivitäten. Diese weist jedoch keine Anschrift des Rechnungssenders und -empfängers aus und ist somit keine ordentliche Rechnung nach deutschem Recht. Für Unternehmen bleibt damit nur die Möglichkeit, einen Eigenbeleg zu erstellen und diesen beim Finanzamt einzureichen. Das Problem ist Amazon seit mehreren Jahren bekannt und wird im Entwicklerforum diskutiert.^[14]

WikiLeaks

WikiLeaks nutzte die Amazon Web Services Ende 2010 für die Veröffentlichung von geheimen diplomatischen US-Depeschen, um die zu erwartenden hohen Zugriffszahlen auf die Dokumente zu bewältigen. Amazon kündigte allerdings die Vertragsbeziehung einseitig mit der Begründung, dass das Hosting der Dokumente aufgrund einer Urheberrechtsverletzung gegen die Vertragsbedingungen verstoßen würde. Die Kündigung erfolgte ohne Gerichtsbeschluss oder offizielle Aufforderung seitens der Regierung der USA. Angesichts der hohen Bedeutung der Pressefreiheit und der Parallelen im Fall der Pentagon-Papiere von 1971 sowie der gerichtlichen Aufarbeitung im Hinblick auf die Veröffentlichung ist es allerdings fraglich, ob überhaupt gegen geltendes Recht verstoßen wurde. Dass ein Anbieter von Web-Services in der Cloud eigenmächtig entscheidet, wann und unter welchen Bedingungen er seine vertraglichen Verpflichtungen aufkündigen wird, verunsichert Nutzer von Cloud-Services.^[15]

Weblinks

• Website von Amazon Web Services
• PDF-Artikel zur Nutzung von EC2
• Amazon wandelt sich zu Platform as a Service (PaaS)
• Handelsblatt: Menschliche Arbeit aus der Cloud

Einzelnachweise

1. ↑ 2009: Amazon Web Services Blog
2. ↑ AWIS Features
3. ↑ Amazon CloudFront Support for Custom Origins - Amazon Web Services Blog Eintrag vom 8. November 2010
4. ↑ http://aws.amazon.com/ebs/
5. ↑ http://www.heise.de/newsticker/meldung/Wolkenbruch-bei-Amazon-Datenverlust-in-der-Cloud-1234444.html
6. ↑ http://aws.amazon.com/message/65648/
7. ↑ Amazon FWS
8. ↑ S3 Pricing
9. ↑ Paper zu Zugriffsgeschwindigkeiten verschiedener Storagecloudanbieter (PDF)
10. ↑ S3 Funktionalität
11. ↑ JetS3t Projektseite
12. ↑ unbekannt. AWS Elastic Beanstalk (beta). http://aws.amazon.com/elasticbeanstalk/, Amazon, 2010, Abrufdatum: 2. Juni 2011
13. ↑ Whitepaper über die Sicherheitsbestimmungen der Amazon Web Services
14. ↑ Diskussion im Entwicklerforum über das Fehlen einer gedruckten Rechnung (engl.)
15. ↑ Ideologiefalle Internet - Financial Times Deutschland Artikel vom 9. Dezember 2010