aws login - логин через AWS Console 🎉https://aws.amazon.com/blogs/security/simplified-developer-access-to-aws-with-aws-login/
При вводе
aws login в командной строке — идёт перенаправление в браузер, далее логинитесь в нужного юзера или роль и пользуетесь!⚠️ Нужно обновить AWS CLI до 2.32.0 или новей.
#aws_cli
👍15❤🔥3
IAM + JWT = IAM Outbound Identity Federation 💪
https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.
Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные
По умолчанию STS генерит JWT токен, в котором есть
Но можно добавить организацию, тэги и прочее:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html
Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍
#IAM #JWT
https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.
Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные
/.well-known/openid-configuration и /.well-known/jwks.json.По умолчанию STS генерит JWT токен, в котором есть
claims для аккаунта, региона и роли:{
"aud": "my-app",
"sub": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole",
"https://sts.amazonaws.com/": {
"aws_account": "ACCOUNT_ID",
"source_region": "us-east-1",
"principal_id": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole"
},
"iss": "https://abc12345-def4-5678-90ab-cdef12345678.tokens.sts.global.api.aws",
"exp": 1759786941,
"iat": 1759786041,
"jti": "5488e298-0a47-4c5b-80d7-6b4ab8a4cede"
}Но можно добавить организацию, тэги и прочее:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html
Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍
#IAM #JWT
🔥17👍3
AWS Organizations Tag Policies 🎉
https://aws.amazon.com/blogs/mt/enforce-consistent-tagging-across-iac-deployments-with-aws-organizations-tag-policies/
Теперь, наконец-то, можно реально заставить прописывать нужные теги — иначе
https://github.com/hashicorp/terraform-provider-aws/blob/main/website/docs/guides/tag-policy-compliance.html.markdown
#CloudFormation #Terraform #Pulumi
https://aws.amazon.com/blogs/mt/enforce-consistent-tagging-across-iac-deployments-with-aws-organizations-tag-policies/
Теперь, наконец-то, можно реально заставить прописывать нужные теги — иначе
terraform plan не пройдёт.https://github.com/hashicorp/terraform-provider-aws/blob/main/website/docs/guides/tag-policy-compliance.html.markdown
provider "aws" {
tag_policy_compliance = "error"
}When set to error, tag policy violations will trigger an error diagnostic.
When set to warning, tag policy violations will trigger a warning diagnostic. Planned changes will be able to proceed, but the diagnostic will not be silenced until the tag policy violation is resolved.
When set to disabled, the tag policy will not be enforced. This is equivalent to leaving the value unset.
#CloudFormation #Terraform #Pulumi
Amazon
Enforce consistent tagging across IaC deployments with AWS Organizations Tag Policies | Amazon Web Services
Organizations manage thousands of AWS resources across multiple accounts and Regions to support their business operations. They want consistent tagging to support essential workflows such as attribute-based-access-controls (ABAC), cost allocation, organizing…
🔥16
DynamoDB + multi-key support for Global Secondary Index 🎉
https://aws.amazon.com/blogs/database/multi-key-support-for-global-secondary-index-in-amazon-dynamodb/
DynamoDB now supports up to 8 attributes in composite keys for global secondary indexes.
▫️Simpler Data Models: No more synthetic keys (
▫️Efficient Queries: Query across multiple dimensions with up to 4 partition and up to 4 sort keys.
#DynamoDB
https://aws.amazon.com/blogs/database/multi-key-support-for-global-secondary-index-in-amazon-dynamodb/
DynamoDB now supports up to 8 attributes in composite keys for global secondary indexes.
▫️Simpler Data Models: No more synthetic keys (
O#${orderId}#${itemId}#${createdAt}) to jam a bunch of values together for indexing purposes! Use the native attribute types (String, Number, Binary).▫️Efficient Queries: Query across multiple dimensions with up to 4 partition and up to 4 sort keys.
#DynamoDB
Amazon
Multi-key support for Global Secondary Index in Amazon DynamoDB | Amazon Web Services
Amazon DynamoDB has announced support for up to 8 attributes in composite keys for Global Secondary Indexes (GSIs). Now, you can specify up to four partition keys and four sort keys to identify items as part of a GSI, allowing you to query data at scale across…
👍5
NLB + Weighted Target Groups 🎉
https://aws.amazon.com/blogs/networking-and-content-delivery/network-load-balancers-now-support-weighted-target-groups/
#NLB
https://aws.amazon.com/blogs/networking-and-content-delivery/network-load-balancers-now-support-weighted-target-groups/
#NLB
1👍9
ALB/NLB + PostQuantum Encryption =
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html
#ALB #NLB #PQC
ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 🎉https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html
Security policies with PQ in their names offer hybrid post-quantum key exchange. For compatibility, they support both classical and post-quantum ML-KEM key exchange algorithms. Clients must support the ML-KEM key exchange to use hybrid post-quantum TLS for key exchange. The hybrid post-quantum policies support SecP256r1MLKEM768, SecP384r1MLKEM1024 and X25519MLKEM768 algorithms.
#ALB #NLB #PQC
Amazon
Security policies for your Application Load Balancer - Elastic Load Balancing
Elastic Load Balancing uses a Secure Socket Layer (SSL) negotiation configuration, known as a security policy, to negotiate SSL connections between a client and the load balancer. A security policy is a combination of protocols and ciphers. The protocol establishes…
ALB + health check logs 🎉
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html
#ALB
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html
#ALB
1❤2
API Gateway => VPC Link v2 => ALB 🎉
https://aws.amazon.com/blogs/compute/build-scalable-rest-apis-using-amazon-api-gateway-private-integration-with-application-load-balancer/
Для коннекта APIGW к ресурсам в приватной подсети больше не нужен промежуточный NLB!
#APIGW #ALB
1🔥27👍7
EKS + MCP Server 🎉
https://aws.amazon.com/blogs/containers/introducing-the-fully-managed-amazon-eks-mcp-server-preview/
Теперьполомать обновлять EKS кластер стало намного проще — подключаете MCP к любимому Cursor/Windsurf/Kiro/etc и пишите "
#EKS
https://aws.amazon.com/blogs/containers/introducing-the-fully-managed-amazon-eks-mcp-server-preview/
Теперь
upgrade cluster my-eks to the latest version" и делов!#EKS
Amazon
Introducing the fully managed Amazon EKS MCP Server (preview) | Amazon Web Services
Learn how to manage your Amazon Elastic Kubernetes Service (Amazon EKS) clusters through simple conversations instead of complex kubectl commands or deep Kubernetes expertise. This post shows you how to use the new fully managed EKS Model Context Protocol…
1🙈24😁3
Многие плохо реагируют на AI инструменты, которые очень активно появляются на AWS и зря.
В 2025-м году AWS выбрал агрессивную стратегию внедрения AI в свои сервисы. Первым стал внедрять MCP, A2A и другие самые новые протоколы, причём все они выходят сразу в прод.
И цель не продать их, как многие думают, а трансформироваться самому в первую очередь. Ровно поэтому все ключевые сервисы обзавелись MCP так быстро и, вот, к реинвенту, завезли самые сочные: для ECS и EKS.
Ситуация повторяет процесс 20-летней давности, когда Amazon клепал сервисы-кубики для своих внутренних нужд, а потом стал продавать их эти сервисы-кубики другим.
Только с опытом, деньгами и скоростью AWS, этот процесс, который тогда занимал годы, теперь сжимается в месяцы.
На момент написания у AWS уже 62 MCP сервера. Это значит, что уже сейчас с помощью AI можно построить очень много чего.
Хотя, правда, при этом нет самых базовых — для EC2, S3, VPC, CloudFront, а также популярных APIGW, KMS, OpenSearch. Видимо приберегли для реинвента.
Что (с)может делать AWS имея "точки входа для AI" для всех своих сервисов?
Уволить всех. Предложить сервисы для управления сервисами!
#AI
В 2025-м году AWS выбрал агрессивную стратегию внедрения AI в свои сервисы. Первым стал внедрять MCP, A2A и другие самые новые протоколы, причём все они выходят сразу в прод.
И цель не продать их, как многие думают, а трансформироваться самому в первую очередь. Ровно поэтому все ключевые сервисы обзавелись MCP так быстро и, вот, к реинвенту, завезли самые сочные: для ECS и EKS.
Ситуация повторяет процесс 20-летней давности, когда Amazon клепал сервисы-кубики для своих внутренних нужд, а потом стал продавать их эти сервисы-кубики другим.
Только с опытом, деньгами и скоростью AWS, этот процесс, который тогда занимал годы, теперь сжимается в месяцы.
На момент написания у AWS уже 62 MCP сервера. Это значит, что уже сейчас с помощью AI можно построить очень много чего.
Хотя, правда, при этом нет самых базовых — для EC2, S3, VPC, CloudFront, а также популярных APIGW, KMS, OpenSearch. Видимо приберегли для реинвента.
Что (с)может делать AWS имея "точки входа для AI" для всех своих сервисов?
#AI
👍7🤡7💊3❤2
Aurora PostgreSQL + dynamic data masking 🎉
https://aws.amazon.com/blogs/database/protect-sensitive-data-with-dynamic-data-masking-for-amazon-aurora-postgresql/
Фича dynamic data masking реализована с помощью расширения
В результате можно иметь одну и ту же БД на проде и на тесте, что звучит очень привлекательно, где аналитики могут спокойно мучить её своими запросами и при этом требования по compliance будут соблюдены.
Осталось только, чтобы бесконечные compliance инструменты посчитали такую защиту достаточной.
⚠️ Поддержка dynamic data masking есть в PostgreSQL начиная с 16.10 и 17.6 версий.
#Aurora #PostgreSQL
https://aws.amazon.com/blogs/database/protect-sensitive-data-with-dynamic-data-masking-for-amazon-aurora-postgresql/
Фича dynamic data masking реализована с помощью расширения
pg_columnmask и позволяет на уровне БД задавать, что будет показано в ответе на SQL запрос.В результате можно иметь одну и ту же БД на проде и на тесте, что звучит очень привлекательно, где аналитики могут спокойно мучить её своими запросами и при этом требования по compliance будут соблюдены.
Осталось только, чтобы бесконечные compliance инструменты посчитали такую защиту достаточной.
⚠️ Поддержка dynamic data masking есть в PostgreSQL начиная с 16.10 и 17.6 версий.
#Aurora #PostgreSQL
1👍7🤔2
AWS Notes
Jeff Barr After giving it a lot of thought, we made the decision to discontinue new access to a small number of services, including AWS CodeCommit. While we are no longer onboarding new customers to these services, there are no plans to change the features…
CodeCommit — вычёркиваем вычёркивание (вписываем обратно)! 🔥
https://aws.amazon.com/blogs/devops/aws-codecommit-returns-to-general-availability/
Вы успели мигрировать? Зачем так спешить, да? Теперь мигрируйте обратно!
Вы долго собирались? И правильно, всё нужно сначала обдумать. А там, глядишь, и не пригодится.
По многочисленным просьбам трудящихся девопсов (включая меня) AWS CodeCommit возвращается в обычный режим и не будет закрыт. Ура!
P.S. Вы же уже переделали ваши курсы, верно?...
#CodeCommit
https://aws.amazon.com/blogs/devops/aws-codecommit-returns-to-general-availability/
Вы успели мигрировать? Зачем так спешить, да? Теперь мигрируйте обратно!
Вы долго собирались? И правильно, всё нужно сначала обдумать. А там, глядишь, и не пригодится.
По многочисленным просьбам трудящихся девопсов (включая меня) AWS CodeCommit возвращается в обычный режим и не будет закрыт. Ура!
P.S. Вы же уже переделали ваши курсы, верно?...
#CodeCommit
Please open Telegram to view this post
VIEW IN TELEGRAM
1🤡8🔥7🌚2👍1🎉1
AWS Notes
В сердцах каждого амазоновца: Пожалуйста, и Chime тоже, ну, пожалуйста!
Telegram
AWS Notes
Chime всё:
After careful consideration, we have decided to end support for the Amazon Chime service, including Business Calling features, effective February 20, 2026. Amazon Chime will no longer accept new customers beginning February 19, 2025.
https:/…
After careful consideration, we have decided to end support for the Amazon Chime service, including Business Calling features, effective February 20, 2026. Amazon Chime will no longer accept new customers beginning February 19, 2025.
https:/…
1😁13❤1
CloudFront + BYOIP 🎉
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/bring-your-own-ip-address-using-ipam.html
Теперь можно завести свой домашний CloudFront — используя собственный кусочек сети!
Для многих строгих compliance случаев это, наконец-то, решает вечную (точнее 17-летнюю) проблему айпишников CloudFront, которыми нельзя было управлять, т.к. они постоянно меняются.
Теперь с помощью IPAM сервиса они будут меняться лишь в пределах вашего диапазона айпишников.
Пока только IPv4, но, уверен, скоро подтянется и IPv6.
#CloudFront
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/bring-your-own-ip-address-using-ipam.html
Теперь можно завести свой домашний CloudFront — используя собственный кусочек сети!
Для многих строгих compliance случаев это, наконец-то, решает вечную (точнее 17-летнюю) проблему айпишников CloudFront, которыми нельзя было управлять, т.к. они постоянно меняются.
Теперь с помощью IPAM сервиса они будут меняться лишь в пределах вашего диапазона айпишников.
Пока только IPv4, но, уверен, скоро подтянется и IPv6.
#CloudFront
Amazon
Bring your own IP to CloudFront using IPAM - Amazon CloudFront
Learn how to use IPAM to manage your BYOIP CIDRs for CloudFront Anycast Static IP lists.
1🔥13