Leapp — утилита для переключения в мультиаккаунтной среде в один клик:

https://github.com/Noovolari/leapp

Утилита не новая, но в последней версии 0.7.4 добавилась поддержка AWS SSO, выглядит привлекательно, а потому стоит ознакомиться и попробовать.

Кроме AWS также работает с Azure.

#IAM #SSO #multi_account_strategy

Через час от этого поста начнётся Serverless Summit 2021 — присоединяйтесь!

AWS Certified Cloud Practitioner — обновлённая версия курса от Andy Brown:

https://www.youtube.com/watch?v=SOTamWNgDKc

Если его прошлое видео подготовки на этот экзамен было 4 часа, то теперь это целых 13 часов! Есть что посмотреть и в деталях. Ещё не смотрел, но рекомендую! 😀

Подготовка к CCP (Certified Cloud Practitioner) весьма полезна, особенно для начинающих — очень стоит начать именно с такой сертификации. И даже если не планируете сдавать сертификацию, всё равно, это хороший способ начать работать с AWS.

Содержание курса подготовки к AWS Certified Cloud Practitioner (CLF-C01):

⌨️ (00:13:10) Introduction
⌨️ (00:17:35) Cloud Concepts
⌨️ (00:46:56) Getting Started
⌨️ (01:19:37) Digital Transformation
⌨️ (01:27:40) The Benefits of the Cloud
⌨️ (01:33:54) Global Infrastructure
⌨️ (02:14:28) Cloud Architecture
⌨️ (02:37:50) Management and Developers Tools
⌨️ (04:15:23) Shared Responsibility Model
⌨️ (04:34:20) Compute
⌨️ (05:27:48) Storage
⌨️ (06:05:26) Databases
⌨️ (06:35:39) Networking
⌨️ (06:57:27) EC2
⌨️ (07:49:10) EC2 Pricing Models
⌨️ (08:08:09) Identity
⌨️ (08:53:55) Application Integration
⌨️ (09:05:22) Containers
⌨️ (09:16:11) Goverance
⌨️ (09:44:39) Provisioning
⌨️ (10:05:34) Serverless
⌨️ (10:10:04) Windows on AWS
⌨️ (10:18:46) Logging
⌨️ (10:32:39) ML AI BigData
⌨️ (10:52:52) AWS Well Architected Framework
⌨️ (11:14:35) TCO and Migration
⌨️ (11:30:41) Billing and Pricing
⌨️ (12:25:50) Security
⌨️ (13:11:08) Variation Study

#AWS_Certification #начинающим

Новый сервис AWS Elastic Disaster Recovery — облачный DR сервис для железных (собственных) серверов:

https://aws.amazon.com/blogs/aws/scalable-cost-effective-disaster-recovery-in-the-cloud/

Сервис предназначен для on-premise DR (Disaster Recovery для своего железа/датацентров) и представляет собой CloudEndure Disaster Recovery, переехаваший в AWS Console.

Позволяет с помощью установленного на серверах/виртуалках агента прямо из AWS консоли накликать себе "облачную" DR конфигурацию виртуалок, которые не будут постоянно крутиться в AWS, а поднимутся лишь на время проблем "на земле".

#DRS

​​Самая главная диаграмма по IAM обновлена:

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow

Были добавлены Session policies.

p.s. Важно отметить, что кажующаяся сложной диаграмма работы IAM в реальности не отражает настоящей сложности работы IAM. Для действительно полной картины поведения IAM обязательно требуется учитывать таблицу ниже её, где в подробностях перечисляются ситуации и поведение IAM, которые нельзя отразить на картинке.

#IAM

​​Новая AWS Console с иконками сервисов!

Всего год мучились и теперь вот она снова на месте. Не на том же – второй строкой, но ведь есть! 😃

#AWS_Console

​​Итоги недели на AWS (14-20 ноября 2021)

🔸 New! AWS Elastic Disaster Recovery service (DRS)
▪️ New AWS Console with service icons! (на картинке)
🔹 Amazon AppStream 2.0 introduces
• Elastic fleets (serverless)
• Linux Application Streaming
🔹 AWS Amplify now
• can override Amplify-generated resources using CDK
• add custom AWS resources to Amplify-created backends using CDK and CloudFormation 👍
• export Amplify backends to CDK and use with existing deployment pipelines
• Amplify UI’s new Authenticator component makes it easy to add customizable login pages to your React, Angular, or Vue app
🔹 Amazon Rekognition
• reduces pricing of all Image APIs by up to 38% 🎉
• improves accuracy of content moderation for images and text detection
• Custom Labels now offers an enhanced experience to train computer vision models more easily
🔹 CloudWatch now
• supports anomaly detection on metric math expressions
• adds console support for CloudWatch Application Insights problems
🔹 Control Tower now supports nested OU 🔥
🔹 Monitron launches Web App
🔹 AWS App Runner supports AWS CDK to build and deploy applications
🔹 Amazon Pinpoint now includes an SMS simulator feature and supports Safari push notifications
🔹 Amazon Linux 2 + kernel 5.10 - VPN WireGuard is here at last!🎄
🔹 AWS Well-Architected Framework — Games Industry Lens 👀
🔹 SNS + 10 messages in a single API request
🔹 IAM troubleshooting of access denied errors 👍
🔹 Outposts + Amazon S3 strong consistency
🔹 .NET 6 on AWS
🔹 AWS AppConfig Feature Flags in preview
🔹 Amazon Neptune JDBC driver
🔹 AWS IoT Greengrass + Microsoft Windows devices
🔹 Redshift + default IAM role
🔹 AWS Application Migration Service + agentless replication
🔹 Amazon Lex + spelling
🔹 AWS Transfer Family adds identity provider options and enhanced monitoring
🔹 AWS Database Migration Service + parallel load for S3
🔹 CloudFormation StackSets + multiple operations for simultaneous execution

#AWS_week

​​AWS podcasts

Если есть желание что-то послушать по AWS во время пробежки/тренировки, вот три популярных источника AWS подкастов:

📻 https://aws.fm/episodes
Хорошие эпизоды с известными личностями в области AWS (плюс отличный список на кого стоит подписаться в Twitter).

📻 https://aws.amazon.com/podcasts/
Официальные подкасты от AWS, большой выбор по многим темам с возможностью поиска.

📻 https://www.lastweekinaws.com/podcast/aws-morning-brief/
Всегда живые и актуальные подкасты от Core Queen.

#podcasts

Всесторонний документ, почему IAM – это боль:

https://www.effectiveiam.com/

Очень полезен и для того, чтобы разобраться в том, как работает IAM, и для того, чтобы глубже понять проблемы настройки политик, и для того, чтобы шире взглянуть на то, почему это так проблематично вообще (спойлер – всё сложно, в прямом смысле этого слова).

Описываются подходы и для настройки IAM политик в рамках одного аккаунта, и для выстраивания процессов в рамках Organizations.

#IAM #security #best_practices

Доступ в Amazon MSK (Kafka) через интернет:

https://docs.aws.amazon.com/msk/latest/developerguide/public-access.html

При публичном доступе доступны авторизации SASL/IAM, SASL/SCRAM, mTLS. Без авторизации использовать публичный доступ нельзя, равно как и без шифрования кластера.

Из-за того, что требуется доступ MSK к публичным подсетям, то наверняка потребуется пересоздание (для того, чтобы включить публичный доступ). В любом случае, проблематичные велосипеды с VPN можно убирать. Очень хорошо.

#MSK

​​MemoryDB + T4g и Free Tier на 2 месяца:

https://aws.amazon.com/ru/memorydb/pricing/#Get_started_with_Amazon_MemoryDB_for_Redis_for_free

С добавлением поддержки дешёвых Graviton2 теперь можно пробовать мигрировать с ElastiCache Redis, т.к. цены на дешёвые варианты для MemoryDB сопоставимые:

cache.t4g.small $0.032
cache.t4g.medium $0.065

cache.t3.small $0.034
cache.t3.medium $0.068

db.t4g.small $0.048
db.t4g.medium $0.097

До этого минимум был db.r6g.large $0.309, что не располагало к тому, чтобы попробовать или начинать для новых проектов.

#MemoryDB

​​AL1 →️ AL2 →️ AL2022:

https://docs.aws.amazon.com/linux/al2022/ug/what-is-amazon-linux.html

Amazon Liniux переходит на двухлетний цикл выпуска версий и 5 лет поддержки каждой версии в дальнейшем.

#AmazonLiniux

ECS-optimized AMI теперь open source:

https://github.com/aws/amazon-ecs-ami

Можно собрать свой образ, добавив в него нужное, а не ставить каждый раз через cloud-init.

#ECS

IPv6 для балансеров и подсетей на AWS

Месяц назад появился очередной документ по состоянию поддержки IPv6 для AWS сервисов:

https://d1.awsstatic.com/whitepapers/IPv6-on-AWS.pdf

Просмотрев который, удивился и решил про него не писать, т.к. выглядел промежуточной версией. Каковые уже по сложившейся традиции, частенько "выбрасывают" за некоторое время перед инвентом. Потому что, типа, всё равно выбрасывать 😄 — совсем скоро, на реинвенте всё изменится, документ устареет и придётся выпускать новый.

Не раз писал здесь про IPv6, что давно пора на него переходить, что есть особенности работы с ним (по сравнению с IPv4), но их всё меньше.

В частности, поддержка IPv6 у ALB был давно (у NLB - год назад), однако внутри, для listeners и targets, IPv6 балансеры не умели. Что, собственно, отражено в по ссылке выше в Таблице 2.

И вот теперь они умеют IPv6 и для внутренних (по отношению к интернету) операций:

https://aws.amazon.com/ru/about-aws/whats-new/2021/11/application-load-balancer-network-load-balancer-end-to-end-ipv6-support/

И это очень хорошо.

Вторая проблема была, что IPv4 был всегда дефолтным, нельзя было создать VPC подсеть без него, то есть если нужно лишь IPv6, то в нагрузку всегда приходилось делать и IPv4.

И вот, теперь это тоже пофиксили, добавив «IPv6-only subnets»:

https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-ipv6-only-subnets-and-ec2-instances/

В результате теперь можно и создать чисто IPv6 подсетку, и поднять в ней виртуалку, работающую исключительно по IPv6.

Так что документ по верхней ссылке устарел. 😀 Обождём реинвента и новой версии. После можно будет подвести итоги прошедшего года — очень много закрыто по IPv6 и это очень круто и важно.

#IPv6

​​AWS Cloud Adoption Framework

https://docs.aws.amazon.com/whitepapers/latest/overview-aws-cloud-adoption-framework/welcome.html

Полезный документ, описывающий 6 основных групп проблем - Business, People, Management, Platform, Security и Operations - на пути в облако.

Особенно полезен классификацией данных доменов, что применимо не только для миграции в AWS, но и вообще, кто давно (всегда) в облаке.

#Whitepaper

Объём исходящего трафика для Free Tier увеличен! 👍

https://aws.amazon.com/blogs/aws/aws-free-tier-data-transfer-expansion-100-gb-from-regions-and-1-tb-from-amazon-cloudfront-per-month/

▪️ Из AWS Regions в интернет: 1 GB было → 100 GB стало 🔥
▪️ Из CloudFront в интернет: 50 GB было → 1 000 GB стало 💪

На https://aws.amazon.com/free/ пока старые значения, они изменятся с 1 декабря.

#FreeTier

​​Новый AWS Support plan — Enterprise On-Ramp:

https://aws.amazon.com/blogs/apn/announcing-aws-enterprise-on-ramp-a-new-support-plan/

Средний между Busines и Enterprise, который ближе ко второму, то есть можно было бы назвать Enterprise Lite. Удобен тем, что есть доступ к TAM (Technical Account Manager) и WAR (Well-Architected Review).

Цена также средняя - минимум $5,500, дальше 10% в месяц.

https://aws.amazon.com/premiumsupport/plans/

Сделал табличку, чтобы было удобней видеть отличия текущих планов. Серые строки - то, что не отличается, жирным - различия.

#Support

AWS Proton с поддержкой Terraform и Git:

https://aws.amazon.com/blogs/aws/new-aws-proton-supports-terraform-and-git-repositories-to-manage-templates/

В дополнение к очевидному CloudFormation как IaC инструмент, добавили и Terraform. Однако нужно учитывать, что это лишь поддежка файлов, а не самого Terraform:

https://docs.aws.amazon.com/proton/latest/adminguide/ag-infrastructure-tmp-files.html#terraform

AWS Proton with Terraform IaC considerations:
• AWS Proton doesn’t manage your Terraform provisioning.

Кто пропустил, то Proton — это такой себе как бы Jenkins, появившийся год назад.

p.s. Немой вопрос "а что, не было поддержки Git?!" пропустим — теперь точно есть. 😁

#Proton #Terraform

Хорошая подборка DevSecOps ссылок и инструментов для работы с AWS:

https://github.com/sottlmarek/DevSecOps

🔨 Tooling
😀 Precommit and threat modeling
👀 SAST
😈 DAST
💥 Supply chain and dependencies
💡 Infrastructure as code
🔎 Containers security
⛵️ Kubernetes security
☁️ Cloud (Now AWS only and expect more from GCP and Azure)
🐵 Chaos engineering
🎯 Policy as code
⚡️ Methodologies

#DevSecOps

Результаты исследования DevOps в России 2021 объявят через час от этого поста — присоединяйтесь по ссылке.