IAM + JWT = IAM Outbound Identity Federation 💪

https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/

С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.

Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные /.well-known/openid-configuration и /.well-known/jwks.json.

По умолчанию STS генерит JWT токен, в котором есть claims для аккаунта, региона и роли:

{
  "aud": "my-app",
  "sub": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole",
  "https://sts.amazonaws.com/": {
    "aws_account": "ACCOUNT_ID",
    "source_region": "us-east-1",
    "principal_id": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole"
  },
  "iss": "https://abc12345-def4-5678-90ab-cdef12345678.tokens.sts.global.api.aws",
  "exp": 1759786941,
  "iat": 1759786041,
  "jti": "5488e298-0a47-4c5b-80d7-6b4ab8a4cede"
}

Но можно добавить организацию, тэги и прочее:

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html

Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍

#IAM #JWT

AWS Organizations Tag Policies 🎉

https://aws.amazon.com/blogs/mt/enforce-consistent-tagging-across-iac-deployments-with-aws-organizations-tag-policies/

Теперь, наконец-то, можно реально заставить прописывать нужные теги — иначе terraform plan не пройдёт.

https://github.com/hashicorp/terraform-provider-aws/blob/main/website/docs/guides/tag-policy-compliance.html.markdown

provider "aws" {
  tag_policy_compliance = "error"
}

When set to error, tag policy violations will trigger an error diagnostic.

When set to warning, tag policy violations will trigger a warning diagnostic. Planned changes will be able to proceed, but the diagnostic will not be silenced until the tag policy violation is resolved.

When set to disabled, the tag policy will not be enforced. This is equivalent to leaving the value unset.

#CloudFormation #Terraform #Pulumi

DynamoDB + multi-key support for Global Secondary Index 🎉

https://aws.amazon.com/blogs/database/multi-key-support-for-global-secondary-index-in-amazon-dynamodb/

DynamoDB now supports up to 8 attributes in composite keys for global secondary indexes.

▫️Simpler Data Models: No more synthetic keys (O#${orderId}#${itemId}#${createdAt}) to jam a bunch of values together for indexing purposes! Use the native attribute types (String, Number, Binary).

▫️Efficient Queries: Query across multiple dimensions with up to 4 partition and up to 4 sort keys.

#DynamoDB

OpenSearch + Cluster Insights 🎉

https://aws.amazon.com/blogs/big-data/introducing-cluster-insights-unified-monitoring-dashboard-for-amazon-opensearch-service-clusters/

#OpenSearch

NLB + Weighted Target Groups 🎉

https://aws.amazon.com/blogs/networking-and-content-delivery/network-load-balancers-now-support-weighted-target-groups/

#NLB

ALB/NLB + PostQuantum Encryption = ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 🎉

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html

Security policies with PQ in their names offer hybrid post-quantum key exchange. For compatibility, they support both classical and post-quantum ML-KEM key exchange algorithms. Clients must support the ML-KEM key exchange to use hybrid post-quantum TLS for key exchange. The hybrid post-quantum policies support SecP256r1MLKEM768, SecP384r1MLKEM1024 and X25519MLKEM768 algorithms.

#ALB #NLB #PQC

ALB + health check logs 🎉

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html

#ALB

API Gateway => VPC Link => NLB => ALB
API Gateway => VPC Link v2 => ALB 🎉

https://aws.amazon.com/blogs/compute/build-scalable-rest-apis-using-amazon-api-gateway-private-integration-with-application-load-balancer/

Для коннекта APIGW к ресурсам в приватной подсети больше не нужен промежуточный NLB!

#APIGW #ALB

EKS + MCP Server 🎉

https://aws.amazon.com/blogs/containers/introducing-the-fully-managed-amazon-eks-mcp-server-preview/

Теперь поломать обновлять EKS кластер стало намного проще — подключаете MCP к любимому Cursor/Windsurf/Kiro/etc и пишите "upgrade cluster my-eks to the latest version" и делов!

#EKS

Многие плохо реагируют на AI инструменты, которые очень активно появляются на AWS и зря.

В 2025-м году AWS выбрал агрессивную стратегию внедрения AI в свои сервисы. Первым стал внедрять MCP, A2A и другие самые новые протоколы, причём все они выходят сразу в прод.

И цель не продать их, как многие думают, а трансформироваться самому в первую очередь. Ровно поэтому все ключевые сервисы обзавелись MCP так быстро и, вот, к реинвенту, завезли самые сочные: для ECS и EKS.

Ситуация повторяет процесс 20-летней давности, когда Amazon клепал сервисы-кубики для своих внутренних нужд, а потом стал продавать их эти сервисы-кубики другим.

Только с опытом, деньгами и скоростью AWS, этот процесс, который тогда занимал годы, теперь сжимается в месяцы.

На момент написания у AWS уже 62 MCP сервера. Это значит, что уже сейчас с помощью AI можно построить очень много чего.

Хотя, правда, при этом нет самых базовых — для EC2, S3, VPC, CloudFront, а также популярных APIGW, KMS, OpenSearch. Видимо приберегли для реинвента.

Что (с)может делать AWS имея "точки входа для AI" для всех своих сервисов?

Уволить всех. Предложить сервисы для управления сервисами!

#AI