S3 security — Top 10 best practices:

https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-data-in-amazon-s3/

1️⃣ Block public S3 buckets at the organization level
2️⃣ Use bucket policies to verify all access granted is restricted and specific
3️⃣ Ensure that any identity-based policies don’t use wildcard actions
4️⃣ Enable S3 protection in GuardDuty to detect suspicious activities
5️⃣ Use Macie to scan for sensitive data outside of designated areas
6️⃣ Encrypt your data in S3
7️⃣ Protect data in S3 from accidental deletion using S3 Versioning and S3 Object Lock
8️⃣ Enable logging for S3 using CloudTrail and S3 server access logging
9️⃣ Backup your data in S3
🔟 Monitor S3 using Security Hub and CloudWatch Logs

#S3 #security #best_practices

Amazon EFS Intelligent-Tiering:

https://aws.amazon.com/blogs/aws/new-amazon-efs-intelligent-tiering-optimizes-costs-for-workloads-with-changing-access-patterns/

With EFS Intelligent-Tiering, lifecycle management monitors the access patterns of your file system and moves files that have not been accessed for the duration of the lifecycle policy from EFS Standard or EFS One Zone to EFS Standard-IA or EFS One Zone-IA, depending on whether your file system uses EFS Standard or EFS One Zone storage classes. If the file is accessed again, it is moved back to EFS Standard or EFS One Zone storage classes.

#EFS

Худшие практики AWS IAM — ReadOnlyAccess:

https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908

Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.

Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.

#IAM #security

Top 8 AWS services for QA

С вашей помощью получился список AWS сервисов, которые нужно знать QA-инженеру.

1️⃣ CloudWatch
2️⃣ S3
3️⃣ EC2
4️⃣ IAM
5️⃣ RDS
6️⃣ Lambda
7️⃣ CodeBuild
8️⃣ Route53

В опросах перечислил полтора десятка сервисов AWS, которые можно как-то причислить к теме QA. Однако конечный список получился прогнозируемо весьма коротким 😀, что, в принципе, достаточно логично, ибо, всё же, деятельность QA не так сильно завязана конкретно на AWS.

p.s. Ранее было аналогичное для бэкенда, фронта и фуллстэк.

#qa #top #опрос

Новый VPC CNI plugin 1.9.0 с поддержкой большего количества подов на EKS ноду:

https://aws.amazon.com/blogs/containers/amazon-vpc-cni-increases-pods-per-node-limits/

In this post, we have discussed in detail prefix assignment mode, summarized VPC CNI workflows, and described installation and setup choices. The key considerations and use cases section provide guidance on using prefix assignment mode.
We covered how to use prefix assignment mode on Amazon EKS to increase pod density.

#EKS

​​Amplify воркшоп по теме аналитики, затрагивает много сервисов, в том числе Kinesis, Athena и Quicksight:

https://amplify-analytics.workshop.aws/00-intro.html

This workshop is designed for Web Developers, Product Managers and Analysts, who want to learn how to:
▪️ create and deploy React web application and backend services with authentication and GraphQL API using AWS Amplify
▪️ set up web analytics and send event-based email campaigns with Amazon Pinpoint
▪️ set up recommendations and use them in email campaigns and in web application with Amazon Personalize
▪️ create custom analytics pipeline to collect events and create custom dashboards to analyze these events with Amazon Kinesis and Amazon QuickSight

#Amplify #workshop

Удобнейшие и крутейшие вещи в AWS, про которые нужно знать:

🔹 CloudShell позволяет бесплатно крутить десяти разным пользователям свои виртуалки с сохраняемым диском 1ГБ прямо из браузера с IAM правами залогиненного пользователя. Это супер-удобно для отработки каких-то скриптов из документации или воркшопов.

🔹 Cloud9 сервис для разработки AWS - незаменимый для разработки бэкенда, особенно Serverless, когда требуется непосредственный "доступ к телу" (ресурсам на AWS). Действительно просто ставится, стоит недорого (практически бесплатно, если нечасто - лишь за стоимость стопнутых виртуалок).

🔹 t4g.micro (ARM виртуалки на Graviton 2) уже год (❗) бесплатны! И их бесплатное использование вновь продлили - до конца 2021-го года! 🔥🔥🔥
Бесплатный пробный доступ к инстансу t4g.micro на срок до 750 часов в месяц до 31 декабря 2021 года.

Поделитесь, пожалуйста, своими незаменимыми вещами на AWS, про которые, возможно, не так давно узнали и которые реально постоянно используете и рекомендуете знать.

Тяжкая судьба QA-инженера или разбор падения 2 сентября AWS Direct Connect в Токио: 🇯🇵

https://aws.amazon.com/ru/message/17908/

Всего три абзаца, а при этом классический детектив.

🔫 Завязка (загадочное преступление) — сервис Direct Connect в ap-northeast-1 прилёг на целый день.

🔎 Расследование (с погоней) — простая перезагрузка свитчей не помогла. (а ведь всегда работало!)

😮 Развязка (наказание невиновных) — виноваты русские хакеры тестировщики, которые заапрувили фичу, залитую в прод на все регионы ещё в январе этого года.

Приятного чтения!

​​Контейнеры на AWS - какой сервис/утилиту выбрать

На момент написания этого поста есть 20(!) вариантов как/где запустить контейнер с помощью AWS сервисов / утилит. Исторический путь 18-ти из них взяты отсюда плюс к этому правильно добавить амазоновские IaC - CloudFormation и AWS CDK.

В результате полный список (на сентябрь 2021-го года) получится следующий — отсортирован по условной простоте запуска (с учётом актуальности для начинающих):

1️⃣ App Runner 👈 рекомендуется (готовый сервис)
2️⃣ Copilot 👍 рекомендуется (CLI)
3️⃣ CodeBuild (для запуска временных задач - Jobs)
4️⃣ App2Container (CLI)
5️⃣ CDK (IaC)
6️⃣ ECS
7️⃣ EKS
8️⃣ Fargate
9️⃣ Lambda Containers
🔟 Beanstalk (устаревший)
11. Lightsail Containers (VPS)
12. Proton (сервис для CI/CD)
13. EC2 (развернуть на виртуалке)
14. Batch (для массового запуска Jobs)
15. CloudFormation (IaC)
16. ECS Anywhere (on-prem)
17. EKS Distro (on-prem)
18. ROSA (on-prem)
19. GreenGrass (IoT)
20. CodeDeploy (local)

Чтобы понять, как соотновятся сервисы/утилиты для работы с контейнерами на AWS - большая картинка прилагается. Это моя интерпретация (да, не люблю и не советую Beanstalk 😀 - используйте вместо него современную замену - Copilot), а не официальная, потому комментарии и критика крайне приветствуются.

#containiers

​​AWS Observability

https://catalog.us-east-1.prod.workshops.aws/v2/workshops/31676d37-bbe9-4992-9cd1-ceae13c5116c/en-US/intro

Observability от производителя — полный набор воркшопов. Однозначно в закладки.

#observability

​​Amazon OpenSearch Service:

https://aws.amazon.com/blogs/aws/amazon-elasticsearch-service-is-now-amazon-opensearch-service-and-supports-opensearch-10/

Как проговаривалось ранее, теперь ES окончательно заменён на OSS. Текущие работающие ES-кластеры можно проапгрейдить до OpenSearch 1.0 в штатном порядке (см.картинку).

Нужно отметить, что OSS имеет фичи, отсутствующие в Elasticsearch, а для клиентов, проверяющих версию кластера, OSS умеет притворяться, отвечая им ES 7.10 версией (галка compability mode на картинке).

#OSS

Внимание конкурс!

#EPAMWordPressAWS стартовал на митапе.
Что нужно для участия?
Придумать оригинальный (самый эффективный или самый быстрый, самый дешевый или самый сложный) способ развертывания WordPress в AWS.
Записать видео с процессом развертывания и показать его миру (и нам).

Детали участия можно узнать здесь

Запускаем у себя Amazon EKS Anywhere:

https://aws.amazon.com/blogs/containers/introducing-general-availability-of-amazon-eks-anywhere/

#EKS_Anywhere

База данных на Route53 была, теперь БД на AWS тэгах:

https://github.com/OrenLeung/AWSTagsAsADatabase

#пятничное