Транфер аккаунта из одной AWS Organization в другую напрямую 🎉
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html
Теперь не нужно больше приседаний с выводом аккаунта из организации и приёмом как отдельностоящего.
#Organizations
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html
AWS Organizations sends an invitation to the account owner, who can decide to accept or decline the invitation.
If you are the administrator of an AWS account, you also can accept or decline an invitation from an organization. If you accept, your account becomes a member of that organization.
Теперь не нужно больше приседаний с выводом аккаунта из организации и приёмом как отдельностоящего.
#Organizations
Amazon
Managing account invitations with AWS Organizations - AWS Organizations
Invite existing AWS accounts to join your organization and manage the invitations that you send or receive.
🔥10👍1
AWS Billing Transfer — централизованный биллинг для многих AWS Organizations 🎉
https://aws.amazon.com/blogs/aws/new-aws-billing-transfer-for-centrally-managing-aws-billing-and-costs-across-multiple-organizations/
В общем, мульти-аккаунты в прошлом, теперь можно делать мульти-организации!
#Organizations
https://aws.amazon.com/blogs/aws/new-aws-billing-transfer-for-centrally-managing-aws-billing-and-costs-across-multiple-organizations/
В общем, мульти-аккаунты в прошлом, теперь можно делать мульти-организации!
#Organizations
🔥7
EKS + Container Network Observability 🎉
https://aws.amazon.com/blogs/aws/monitor-network-performance-and-traffic-across-your-eks-clusters-with-container-network-observability/
#EKS
https://aws.amazon.com/blogs/aws/monitor-network-performance-and-traffic-across-your-eks-clusters-with-container-network-observability/
#EKS
🔥8
IAM temporary delegation 🎉
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-temporary-delegation.html
Теперь можно выдать нужные права временно (до 12 часов) без извращений с Лямбдами, удаляющими IAM User/Role через какое-то время.
#IAM
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-temporary-delegation.html
Теперь можно выдать нужные права временно (до 12 часов) без извращений с Лямбдами, удаляющими IAM User/Role через какое-то время.
#IAM
🔥15👀2👍1
NAT Gateway + regional mode 🎉
Один NAT Gateway на весь AWS Region!
Больше не нужно плодить в каждой подзоне!!
Один сразу для любой VPC!!!
...Облом. Никакой халявы:
Regional NAT Gateway Pricing
Просто возможность быстро потратить деньги.
Хотя то, что региональный NATGW не нужно создавать и он сразу работает плюс при этом не требуется вообще иметь публичные сети — это круто. Но тогда не сэкономишь, запилив один NATGW на все подзоны. В общем, халява отменяется.
#NATGW
Один NAT Gateway на весь AWS Region!
Больше не нужно плодить в каждой подзоне!!
...Облом. Никакой халявы:
Regional NAT Gateway Pricing
If you choose to create a NAT gateway with regional availability in your VPC, you are charged for each hour that the NAT Gateway is configured in each availability zone.
Просто возможность быстро потратить деньги.
Хотя то, что региональный NATGW не нужно создавать и он сразу работает плюс при этом не требуется вообще иметь публичные сети — это круто. Но тогда не сэкономишь, запилив один NATGW на все подзоны. В общем, халява отменяется.
#NATGW
1😁25🔥4
aws login - логин через AWS Console 🎉https://aws.amazon.com/blogs/security/simplified-developer-access-to-aws-with-aws-login/
При вводе
aws login в командной строке — идёт перенаправление в браузер, далее логинитесь в нужного юзера или роль и пользуетесь!⚠️ Нужно обновить AWS CLI до 2.32.0 или новей.
#aws_cli
👍13❤🔥3
IAM + JWT = IAM Outbound Identity Federation 💪
https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.
Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные
По умолчанию STS генерит JWT токен, в котором есть
Но можно добавить организацию, тэги и прочее:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html
Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍
#IAM #JWT
https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.
Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные
/.well-known/openid-configuration и /.well-known/jwks.json.По умолчанию STS генерит JWT токен, в котором есть
claims для аккаунта, региона и роли:{
"aud": "my-app",
"sub": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole",
"https://sts.amazonaws.com/": {
"aws_account": "ACCOUNT_ID",
"source_region": "us-east-1",
"principal_id": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole"
},
"iss": "https://abc12345-def4-5678-90ab-cdef12345678.tokens.sts.global.api.aws",
"exp": 1759786941,
"iat": 1759786041,
"jti": "5488e298-0a47-4c5b-80d7-6b4ab8a4cede"
}Но можно добавить организацию, тэги и прочее:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html
Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍
#IAM #JWT
🔥17👍3
AWS Organizations Tag Policies 🎉
https://aws.amazon.com/blogs/mt/enforce-consistent-tagging-across-iac-deployments-with-aws-organizations-tag-policies/
Теперь, наконец-то, можно реально заставить прописывать нужные теги — иначе
https://github.com/hashicorp/terraform-provider-aws/blob/main/website/docs/guides/tag-policy-compliance.html.markdown
#CloudFormation #Terraform #Pulumi
https://aws.amazon.com/blogs/mt/enforce-consistent-tagging-across-iac-deployments-with-aws-organizations-tag-policies/
Теперь, наконец-то, можно реально заставить прописывать нужные теги — иначе
terraform plan не пройдёт.https://github.com/hashicorp/terraform-provider-aws/blob/main/website/docs/guides/tag-policy-compliance.html.markdown
provider "aws" {
tag_policy_compliance = "error"
}When set to error, tag policy violations will trigger an error diagnostic.
When set to warning, tag policy violations will trigger a warning diagnostic. Planned changes will be able to proceed, but the diagnostic will not be silenced until the tag policy violation is resolved.
When set to disabled, the tag policy will not be enforced. This is equivalent to leaving the value unset.
#CloudFormation #Terraform #Pulumi
Amazon
Enforce consistent tagging across IaC deployments with AWS Organizations Tag Policies | Amazon Web Services
Organizations manage thousands of AWS resources across multiple accounts and Regions to support their business operations. They want consistent tagging to support essential workflows such as attribute-based-access-controls (ABAC), cost allocation, organizing…
🔥16
DynamoDB + multi-key support for Global Secondary Index 🎉
https://aws.amazon.com/blogs/database/multi-key-support-for-global-secondary-index-in-amazon-dynamodb/
DynamoDB now supports up to 8 attributes in composite keys for global secondary indexes.
▫️Simpler Data Models: No more synthetic keys (
▫️Efficient Queries: Query across multiple dimensions with up to 4 partition and up to 4 sort keys.
#DynamoDB
https://aws.amazon.com/blogs/database/multi-key-support-for-global-secondary-index-in-amazon-dynamodb/
DynamoDB now supports up to 8 attributes in composite keys for global secondary indexes.
▫️Simpler Data Models: No more synthetic keys (
O#${orderId}#${itemId}#${createdAt}) to jam a bunch of values together for indexing purposes! Use the native attribute types (String, Number, Binary).▫️Efficient Queries: Query across multiple dimensions with up to 4 partition and up to 4 sort keys.
#DynamoDB
Amazon
Multi-key support for Global Secondary Index in Amazon DynamoDB | Amazon Web Services
Amazon DynamoDB has announced support for up to 8 attributes in composite keys for Global Secondary Indexes (GSIs). Now, you can specify up to four partition keys and four sort keys to identify items as part of a GSI, allowing you to query data at scale across…
👍3
NLB + Weighted Target Groups 🎉
https://aws.amazon.com/blogs/networking-and-content-delivery/network-load-balancers-now-support-weighted-target-groups/
#NLB
https://aws.amazon.com/blogs/networking-and-content-delivery/network-load-balancers-now-support-weighted-target-groups/
#NLB
👍8
ALB/NLB + PostQuantum Encryption =
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html
#ALB #NLB #PQC
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 🎉https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html
Security policies with PQ in their names offer hybrid post-quantum key exchange. For compatibility, they support both classical and post-quantum ML-KEM key exchange algorithms. Clients must support the ML-KEM key exchange to use hybrid post-quantum TLS for key exchange. The hybrid post-quantum policies support SecP256r1MLKEM768, SecP384r1MLKEM1024 and X25519MLKEM768 algorithms.
#ALB #NLB #PQC
Amazon
Security policies for your Application Load Balancer - Elastic Load Balancing
Elastic Load Balancing uses a Secure Socket Layer (SSL) negotiation configuration, known as a security policy, to negotiate SSL connections between a client and the load balancer. A security policy is a combination of protocols and ciphers. The protocol establishes…
ALB + health check logs 🎉
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html
#ALB
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html
#ALB
❤2
API Gateway => VPC Link v2 => ALB 🎉
https://aws.amazon.com/blogs/compute/build-scalable-rest-apis-using-amazon-api-gateway-private-integration-with-application-load-balancer/
Для коннекта APIGW к ресурсам в приватной подсети больше не нужен промежуточный NLB!
#APIGW #ALB
🔥20👍4