​​EC2 Global View

Здесь (AWS Console → EC2 → EC2 Global View) можно видеть все свои EC2 виртуалки, EBS Volumes и VPC сразу по всем AWS регионам в одном месте:

https://console.aws.amazon.com/ec2globalview/home

#EC2 #AWS_Console #AWS_Regions

Ransomware Risk Management on AWS Using the NIST Cyber Security Framework (CSF)
 
https://d1.awsstatic.com/whitepapers/Security/ransomware-risk-management-on-aws-using-csf.pdf
 
Если попытаться отразить все аспекты безопасности из данного документа в сервисах AWS, то получится следующий (длинный) список.
 
🔹 Basic
Use antivirus software at all times.
▪️ Marketplace
Keep computers fully patched.
▪️ SSM Patch Manager
Block access to ransomware sites.
▪️ Route 53 Resolver DNS Firewall
▪️ Network Firewall
▪️ NACL
Allow only authorized apps.
▪️ SSM State Manager
Use standard user accounts
▪️ IAM
Make an incident recovery plan.
▪️ AWS Security Incident Response Guide
Backup and restore.
▪️ EBS Snapshots
▪️ Backup
▪️ CloudEndure Disaster Recovery
▪️ CodeCommit
Keep your contacts.
▪️ AWS Security Incident Response Guide
 
🔸 NIST Practice Guide goals
Backup
▪️ EBS Snapshots
▪️ Backup
▪️ CloudEndure Disaster Recovery
▪️ CodeCommit
Corruption testing
▪️ Config Rules
▪️ SSM State Manager
Denylisting
▪️ EC2 Security Groups
▪️ Route 53 Resolver DNS Firewall
▪️ Network Firewall
▪️ VPC endpoints
▪️ WAF
▪️ WAF Security Automations
▪️ WAF-Managed Rules
▪️ NACL
Event detection
▪️ GuardDuty
▪️ Macie
▪️ Network Firewall
Forensics and analytics
▪️ Detective
▪️ GuardDuty
▪️ Network Firewall
Integrity monitoring
▪️ ECR
▪️ Macie
▪️ Config Rules
▪️ Lambda function versioning
▪️ SSM State Manager
Inventory
▪️ ECR
▪️ Config
▪️ IAM credential report
▪️ SSM Inventory
Logging
▪️ Athena
▪️ CloudWatch
▪️ CloudWatch Logs
▪️ CloudWatch Logs Insights
▪️ OpenSearch Service
▪️ GuardDuty
▪️ Inspector
▪️ Lookout for Metrics
▪️ Macie
▪️ Route 53 Public Zone Logs and Resolver Query Logs
▪️ S3 Server Access Logs
▪️ VPC Flow Logs
▪️ Audit Manager
▪️ CloudTrail
▪️ CloudTrail Insights
▪️ Config
▪️ Config Rules
▪️ Security Hub
▪️ SSM Inventory
▪️ IAM Credential Report
▪️ SSM Session Logs
Mitigation and containment
▪️ EC2 Security Groups
▪️ Nitro Enclaves
Network protection
▪️ CloudFront
▪️ EC2 Security Groups
▪️ GuardDuty
▪️ Route 53 Resolver DNS Firewall
▪️ ALB
▪️ Firewall Manager
▪️ Network Firewall
▪️ Shield
▪️ WAF
▪️ WAF Automation
▪️ WAF-Managed Rules
▪️ NACL
Policy enforcement
▪️ Inspector
▪️ Config Rules
▪️ Lambda
▪️ SSM document
▪️ SSM Patch Manager
▪️ SSM State Manager
Reporting
▪️ SNS
Secure storage
▪️ Access Analyzer for S3
▪️ EBS
▪️ KMS
▪️ Macie
▪️ IAM
▪️ S3 Access Control Lists
▪️ S3 Bucket Policies
▪️ S3 Access Points
▪️ S3 Query string authentication
▪️ PrivateLink for S3
▪️ Storage Gateway
▪️ VPC endpoints
▪️ EFS
▪️ S3 Block Public Access
▪️ S3 Encryption
▪️ S3 MFA delete
▪️ S3 Object Lock
▪️ S3 Versioning
Virtual infrastructure
▪️ EBS snapshots
▪️ Backup
Vulnerability management
▪️ ECR image scanning
▪️ Inspector
▪️ Security Hub
 
Очень полезный документ, самые объёмные пункты по логированию, защите сети и шифрованию данных.
 
#security #NIST #devsecops

Лямбда-arm64 на Graviton2 — быстрее и дешевле:

https://aws.amazon.com/blogs/aws/aws-lambda-functions-powered-by-aws-graviton2-processor-run-your-functions-on-arm-and-get-up-to-34-better-price-performance/

Lambda functions powered by Graviton2 are designed to deliver up to 19 percent better performance at 20 percent lower cost.

Для Лямбд без зависимостей простое переключение на ARM даст неплохую экономию.

x86 128 MB $0.0000000021
arm64 128 MB $0.0000000017

🎉 Сразу с поддержкой в CloudFormation и CDK (хотя этого на момент написания поста нет в документации) — просто добавляем параметр Architectures: [arm64] в AWS::Lambda::Function.

p.s. Отдельно интересно, что архитектура задаётся как list, a не string, что может указывать на возможность задания сразу нескольких архитектур в будущем.

Updated, спасибо за пример @geekexport:
LambdaArmExample:
 Type: AWS::Serverless::Function
 Properties:
  Handler: ./dist/index.handler
  Timeout: 30
  MemorySize: 1024
  Architectures:
   - arm64

#Lambda #Graviton2

​​Сравнение производительности Lambda-x86 vs Lambda-arm64:

https://blog.thundra.io/a-performance-perspective-for-graviton-based-lambda-functions

In conclusion, we can see the benefit of AWS Graviton2 for both price and performance. 

#Lambda #cost_optimization

Поддержка Step Functions более чем 200 AWS сервисов:

https://aws.amazon.com/blogs/aws/now-aws-step-functions-supports-200-aws-services-to-enable-easier-workflow-automation/

Даже если вы не интересуетесь Step Functions, интересно обратить внимание на официальное подтверждение — в AWS больше 200 сервисов и больше 9 тысяч API Actions.

#Step_Functions

​​aws-allowlister — полный набор SCP политик под различные compliance:

https://github.com/salesforce/aws-allowlister

С помощью данной утилиты можно создать SCP правила, которые разрешат работу лишь с сервисами, поддерживаемыми конкретным compliance, например, получить простыню (Allow List), где перечислены все AWS сервисы, разрешённые с точки зрения HIPAA.

Таким образом можно навесить полученный SCP на какой-то AWS аккаунт (или OU) и протестировать в нём окружение, что даст гарантию его HIPAA совместимости.

#SCP #compliance #security

AWS Cloud Control API — универсальный набор API для Create/Read/Update/Delete/List (CRUDL) более чем 200 AWS сервисов:

https://aws.amazon.com/blogs/aws/announcing-aws-cloud-control-api/

Крутая вещь — можно использовать привычные CreateResource, GetResource, UpdateResource, DeleteResource, ListResource для любых AWS сервисов и их ресурсов.

aws cloudcontrol create-resource   \
 --type-name AWS::Lambda::Function \
 --desired-state '{"Code":{"S3Bucket":"my-bucket","S3Key":"index.zip"},"Role":"arn:aws:iam::123:role/lambda_basic_execution","Runtime":"python3.9","Handler":"index.lambda_handler"}' \
 --client-token xxx

aws cloudcontrol delete-resource   \
 --type-name AWS::Lambda::Function \
 --identifier xxx-xxx

p.s. Второй пост за сегодня, где официально упоминается 200+ AWS сервисов. Это жжж неспроста. 😀

#API

Серьёзные подвижки для работы в мульти-аккаунт окружении — возможность программно изменять почту для billing/operations/security в под-аккаунтах:

https://aws.amazon.com/blogs/mt/programmatically-managing-alternate-contacts-on-member-accounts-with-aws-organizations/

По умолчанию все сообщения по поводу AWS аккаунта — биллинг, проблемы безопасности (например, вас поломали и/или ваши виртуалки рассылают спам) — шлются на почту root-юзера. Однако можно задать альтернативные контакты - отдельные почты для billing/operations/security.

При программном создании под-аккаунтов эти поля не заполняются и чтобы получать данные сообщения раньше нужно было вручную изменять, для чего требовалось заполнять и другие поля root-юзера (в первую очередь - восстановить к нему пароль), что практически невозможно было автоматизировать и всегда было огромной проблемой.

Теперь же можно запустить баш-скрипт (в AWS огромное Bash-лобби 😁) из статьи и назначить всем подаккаунтам нужные почты (или одну на всех). Что реально круто. Обязательно воспользуйтесь!

#Organizations #security #multi_account_strategy

#event
AWS COMMUNITY CHALLENGE: VOTING

Сбор заявок закончился, пришло время перейти к голосованию за лучший способ развертывания WordPress в AWS.

Все видео от участников размещены на странице конкурса.
Голосуем за понравившийся вариант в ТГ до 15 октября.
Итоги подведем на следующем митапе (спойлер: конец октября).

Следите за новостями😉

↑↑↑ Проголосуйте, пожалуйста, здесь за лучший вариант. ↑↑↑

Поддержка Lambda-arm64 в AWS SAM:

https://github.com/aws/aws-sam-cli/releases/tag/v1.33.0

sam init --architecture arm64

#Lambda #SAM

Terraform AWS Cloud Control Provider:

https://www.hashicorp.com/blog/announcing-terraform-aws-cloud-control-provider-tech-preview

The HashiCorp Terraform AWS Cloud Control Provider, currently in tech preview, aims to bring Amazon Web Services (AWS) resources to Terraform users faster. The new provider is automatically generated, which means new features and services on AWS can be supported right away. The AWS Cloud Control provider supports hundreds of AWS resources, with more support being added as AWS service teams adopt the Cloud Control API standard.
For Terraform users managing infrastructure on AWS, we expect this new provider will be used alongside the existing AWS provider, which will continue to be maintained. Given the ability to automatically support new features and services, this new provider will increase the resource coverage and significantly reduce the time it takes to support new capabilities.

#Terraform

Pulumi AWS Native Provider:

https://www.pulumi.com/blog/announcing-aws-native/

The AWS Native provider offers same-day support for all new AWS features and releases covered by the newly released AWS Cloud Control API, which typically supports new AWS features on the day of launch. By building on the AWS Cloud Control API, the AWS Native provider offers a robust, reliable and well-defined resource model for AWS that’s available to Pulumi users in all Pulumi languages, including TypeScript, Python, Go and C#. By leveraging the AWS Cloud Control API, the AWS Native provider builds on the work done by service teams at AWS to define the resource model for their services. This ensures a rock solid provisioning lifecycle for resources deployed with the AWS Native provider.

#Pulumi

Подскажите тем, кто хочет получить работу посредством сдачи сертификаций — опрос AWS DevOps Certifications.

Какие сертификации нужно сдать человеку, чтобы его взяли девопсом на AWS проект?

CloudGraph — opensource проект GraphQL поисковика для AWS (и не только) инфраструктуры:

https://github.com/cloudgraphdev/cli

CloudGraph requires READ ONLY permissions to run and as such can never mutate your actual cloud infrastructure.
Under the hood, CloudGraph reaches out to your cloud provider(s), sucks up all of the configuration data, processes it, and stores a copy of this data for you in Dgraph. It then exposes an endpoint at https://localhost:8997 that allows you to write GraphQL Queries against your stored data. These queries not only allow you do to anything that you would do with say, the AWS SDK/CLI, but they also allow you to run much more powerful queries as well.

Итоги недели на AWS (9/25-10/2 2021)

Неделя выдалась просто-таки репетицией re:Invent 2021, потому стоит ещё раз упомянуть столь значимые события и новинки.

▪️ NLB — форвардинг трафика к ALB (поддерживается в Target Group)
То есть, например, теперь можно получить статический айпишник для вашего API, поставив перед используемым для этого ALB балансером NLB, указав у него в Target Group ваш ALB.

▪️ EC2 Global View
Без отдельного поста в блогах AWS консоли для EC2 появилась менюшка EC2 Global View, где можно увидеть свои виртуалки-диски-итп сразу по всем регионам.

▪️ Lambda на Graviton2
Лямбда теперь может запускаться на двух архитектурах: x86 и arm64. Лямбда на ARM по тестам очень хороша — быстрей и при этом дешевле. При этом, если нет проблемных зависимостей, то переключение можно сделать многовенно.

▪️ Step Functions получили монструозное обновление
Массивное обновление Step Functions может радикально увеличить их применение в дизайне AWS проектов.

▪️ AWS Cloud Control API
Стандартный интерфейс работы с AWS ресурсами — большой шаг навстречу IaC-провайдерам (например, Terraform и Pulumi).

▪️ Программная работа с альтернативными контактами подаккаунтов AWS Organizations
Автоматизация изменения alternate contacts (billing/operations/security) по всей AWS организации — первый большой шаг в этом направлении со времени анонса AWS Organizations пять лет назад.

===

Опрос — самые интересные AWS события 9/25-10/2 2021.

#AWS_week

IAM Permissions Boundary на защите Лямбда инфраструктуры:

https://www.iampulse.com/t/control-the-blast-radius-of-your-lambda-functions-with-an-iam-permissions-boundary

▪️ Problem 1: IAM is hard and application developers aren’t IAM experts
▪️ Problem 2: Traditional organisational policy may disallow IAM role creation by application teams
An IAM permissions boundary allows us to get the best of both worlds:
▫️ Application team retains ownership of granular permissions in per-function roles and can ship independently 👍
▫️ Platform team can continue to enforce a maximum blast radius (equal to the EC2Application role) on the application, regardless of how developers specify their function policies 👍

#IAM #Lambda #security

💥Boom! Встречайте виртуальную AWS Tech Conference от AWS User Group Ukraine!

В программе конференции:
— 6 хайлоад докладов
— 6 воркшопов с тренерами AWS
— Ask an Expert из AWS
— 1500 участников онлайн
— призы за лучшие вопросы

Спикеры — команда AWS из разных уголков мира, поэтому доклады будут на украинском, русском и английском языках.

Суперинтересно будет backend разработчикам и DevOps.

📍 Где и когда: 19 октября с 10:00 до 17:00, онлайн.
Участие бесплатное по предварительной регистрации: https://bit.ly/3APLZv8

Присоединяйся к конференции, чтобы стать pro в работе с AWS!

Facebook упал и уронил большую часть интернета.
https://downdetector.com