AWS Organizations Tag Policies 🎉

https://aws.amazon.com/blogs/mt/enforce-consistent-tagging-across-iac-deployments-with-aws-organizations-tag-policies/

Теперь, наконец-то, можно реально заставить прописывать нужные теги — иначе terraform plan не пройдёт.

https://github.com/hashicorp/terraform-provider-aws/blob/main/website/docs/guides/tag-policy-compliance.html.markdown

provider "aws" {
  tag_policy_compliance = "error"
}

When set to error, tag policy violations will trigger an error diagnostic.

When set to warning, tag policy violations will trigger a warning diagnostic. Planned changes will be able to proceed, but the diagnostic will not be silenced until the tag policy violation is resolved.

When set to disabled, the tag policy will not be enforced. This is equivalent to leaving the value unset.

#CloudFormation #Terraform #Pulumi

DynamoDB + multi-key support for Global Secondary Index 🎉

https://aws.amazon.com/blogs/database/multi-key-support-for-global-secondary-index-in-amazon-dynamodb/

DynamoDB now supports up to 8 attributes in composite keys for global secondary indexes.

▫️Simpler Data Models: No more synthetic keys (O#${orderId}#${itemId}#${createdAt}) to jam a bunch of values together for indexing purposes! Use the native attribute types (String, Number, Binary).

▫️Efficient Queries: Query across multiple dimensions with up to 4 partition and up to 4 sort keys.

#DynamoDB

OpenSearch + Cluster Insights 🎉

https://aws.amazon.com/blogs/big-data/introducing-cluster-insights-unified-monitoring-dashboard-for-amazon-opensearch-service-clusters/

#OpenSearch

NLB + Weighted Target Groups 🎉

https://aws.amazon.com/blogs/networking-and-content-delivery/network-load-balancers-now-support-weighted-target-groups/

#NLB

ALB/NLB + PostQuantum Encryption = ELBSecurityPolicy-TLS13-1-2-Res-PQ-2025-09 🎉

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html

Security policies with PQ in their names offer hybrid post-quantum key exchange. For compatibility, they support both classical and post-quantum ML-KEM key exchange algorithms. Clients must support the ML-KEM key exchange to use hybrid post-quantum TLS for key exchange. The hybrid post-quantum policies support SecP256r1MLKEM768, SecP384r1MLKEM1024 and X25519MLKEM768 algorithms.

#ALB #NLB #PQC

ALB + health check logs 🎉

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html

#ALB

API Gateway => VPC Link => NLB => ALB
API Gateway => VPC Link v2 => ALB 🎉

https://aws.amazon.com/blogs/compute/build-scalable-rest-apis-using-amazon-api-gateway-private-integration-with-application-load-balancer/

Для коннекта APIGW к ресурсам в приватной подсети больше не нужен промежуточный NLB!

#APIGW #ALB

EKS + MCP Server 🎉

https://aws.amazon.com/blogs/containers/introducing-the-fully-managed-amazon-eks-mcp-server-preview/

Теперь поломать обновлять EKS кластер стало намного проще — подключаете MCP к любимому Cursor/Windsurf/Kiro/etc и пишите "upgrade cluster my-eks to the latest version" и делов!

#EKS

Многие плохо реагируют на AI инструменты, которые очень активно появляются на AWS и зря.

В 2025-м году AWS выбрал агрессивную стратегию внедрения AI в свои сервисы. Первым стал внедрять MCP, A2A и другие самые новые протоколы, причём все они выходят сразу в прод.

И цель не продать их, как многие думают, а трансформироваться самому в первую очередь. Ровно поэтому все ключевые сервисы обзавелись MCP так быстро и, вот, к реинвенту, завезли самые сочные: для ECS и EKS.

Ситуация повторяет процесс 20-летней давности, когда Amazon клепал сервисы-кубики для своих внутренних нужд, а потом стал продавать их эти сервисы-кубики другим.

Только с опытом, деньгами и скоростью AWS, этот процесс, который тогда занимал годы, теперь сжимается в месяцы.

На момент написания у AWS уже 62 MCP сервера. Это значит, что уже сейчас с помощью AI можно построить очень много чего.

Хотя, правда, при этом нет самых базовых — для EC2, S3, VPC, CloudFront, а также популярных APIGW, KMS, OpenSearch. Видимо приберегли для реинвента.

Что (с)может делать AWS имея "точки входа для AI" для всех своих сервисов?

Уволить всех. Предложить сервисы для управления сервисами!

#AI

CloudFront + Mutual TLS 🎉

https://aws.amazon.com/blogs/networking-and-content-delivery/trust-goes-both-ways-amazon-cloudfront-now-supports-viewer-mtls/

#CloudFront

Aurora PostgreSQL + dynamic data masking 🎉

https://aws.amazon.com/blogs/database/protect-sensitive-data-with-dynamic-data-masking-for-amazon-aurora-postgresql/

Фича dynamic data masking реализована с помощью расширения pg_columnmask и позволяет на уровне БД задавать, что будет показано в ответе на SQL запрос.

В результате можно иметь одну и ту же БД на проде и на тесте, что звучит очень привлекательно, где аналитики могут спокойно мучить её своими запросами и при этом требования по compliance будут соблюдены.

Осталось только, чтобы бесконечные compliance инструменты посчитали такую защиту достаточной.

⚠️ Поддержка dynamic data masking есть в PostgreSQL начиная с 16.10 и 17.6 версий.

#Aurora #PostgreSQL

Все сотрудники AWS снова напряглись:

Только не Chime, только не передумайте на счёт Chime!...

CloudFront + BYOIP 🎉

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/bring-your-own-ip-address-using-ipam.html

Теперь можно завести свой домашний CloudFront — используя собственный кусочек сети!

Для многих строгих compliance случаев это, наконец-то, решает вечную (точнее 17-летнюю) проблему айпишников CloudFront, которыми нельзя было управлять, т.к. они постоянно меняются.

Теперь с помощью IPAM сервиса они будут меняться лишь в пределах вашего диапазона айпишников.

Пока только IPv4, но, уверен, скоро подтянется и IPv6.

#CloudFront

Lambda + Node.js 24 🎉

https://aws.amazon.com/blogs/compute/node-js-24-runtime-now-available-in-aws-lambda/

#Lambda

Route 53 + Accelerated recovery 🎉

Фича, которая специально предназначен для случаев, когда падает N.Virginia (us-east-1) регион, чтобы дать возможность, максимум в течение часа после падения, управлять своими DNS записями.

Что обычно невозможно при проблемах с N.Virginia, т.к., собственно, они там и находятся.

https://aws.amazon.com/blogs/aws/amazon-route-53-launches-accelerated-recovery-for-managing-public-dns-records/

Реализовано по рабоче-крестьянски просто: при активации "Accelerated recovery" для выбранной hosted zone ваши DNS записи копируются в регион Oregon (us-west-2) регион. Пока лежит Вирджиния, рулите через Орегон, бинго!

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/accelerated-recovery.html

Не понял, что по стоимости, берут ли за это ещё и деньги. Скорей нет, ведь при таких случаях как бы даже платить должны бы. Но это не точно. ©

#Route53

S3 + Blocking public access + Organizations level 🎉

https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-organization-level

Раньше приходилось на каждом аккаунте включать блокировку, теперь можно сразу для всей AWS Organizations.

#S3 #Organizations

☁️ AWS re:Invent 2025: Смотрим главные анонсы года вместе!
Коллеги, следующая неделя — самая горячая в году для облачного мира. Стартует re:Invent 2025, и количество новинок будет зашкаливать.
Чтобы вы не тонули в потоке релизов, мы проведем серию прямых эфиров. Разберем ключевые кейноуты, обсудим новые сервисы и архитектурные подходы. С меня — экспертиза от AWS Solutions Architect-ов, с вас — интересные вопросы в чате.


📌 Сохраняйте расписание стримов:

1️⃣ Среда, 3 декабря | 15:30 CET Тема: CEO Keynote (Matt Garman). Стратегия, Compute, Storage и база облака. 🔗 https://www.youtube.com/watch?v=kjct4Kz54Os
2️⃣ Четверг, 4 декабря | 15:30 CET Тема: Agentic AI (Dr. Swami Sivasubramanian). Всё про ИИ-агентов, Bedrock и будущее разработки. 🔗 https://www.youtube.com/watch?v=mBGtwLTNzZw
3️⃣ Пятница, 5 декабря | 15:30 CET Тема: Grand Finale (Infrastructure + Werner Vogels). Железо, чипы и легендарный технический кейноут от CTO Amazon. 🔗 https://www.youtube.com/watch?v=oVK3qe0RHHk


Буду рад видеть всех на стримах — обсудим, куда движется индустрия, в живом формате! 🚀
#AWS #reInvent2025 #DevOps #Cloud #AI

Мои прогнозы на re:Invent 2025

Кроме очевидных тем AI во всех видах, это:

IPv6

Возможно (должны) отрапортуют, что, наконец-то, IPv6 в полный рост теперь на AWS для всего. Ждал этого давно, надежда на этот год. :)

PQC и шифрование вообще

Post Quantum Cryptography во всех значимых сервисах, включая внутри самого AWS. Важная веха, нужно защищаться заранее, т.к. после будет поздно (а может и уже). Включая шифрование всего внутрисетевого трафика также с PQC. Короче, PQC — это новый HTTPS, можно считать HTTPS 2.0.

Агенты

Без AI не обойтись. У AWS есть теперь всё нужное для не просто автоматизации, а создания нового AI-first подхода. Поэтому сервисы, управляющие сервисами это новый AWS. Заменяющий старый AWS. Вместе с теми, кто по старинке его использует.

#reInvent