Amazon EventBridge с хорошими улучшениями:

https://aws.amazon.com/blogs/compute/improved-failure-recovery-for-amazon-eventbridge/

#EventBridge

====================================================
Хочу поделиться хорошей статьей, но для начала немного истории:
Летом прошлого года у AWS_RU(https://t.iss.one/aws_ru) сообщества был Meetup в Райффайзен банке (запись https://habr.com/ru/company/raiffeisenbank/blog/458420/) на котором Петр Борисенко из Synergy team рассказывал как они начали использовать AWS IoT для нового проекта.

Сейчас система закончена и Synergy team выпустила несколько статей с подробным рассказом об архитектуре своей системы.
Приятного чтения!
Вторая часть https://habr.com/ru/company/synergy/blog/524348/
Первая часть https://habr.com/ru/company/synergy/blog/517798/

По-настоящему приватная Лямбда с поддержкой AWS PrivateLink:

https://aws.amazon.com/blogs/aws/new-use-aws-privatelink-to-access-aws-lambda-over-private-aws-network/

Теперь можно вызывать Лямбду из своей VPC или on-prem без выхода в интернет.

#Lambda #PrivateLink

Master-аккаунт #Organizations переименовали в Management-аккаунт.

https://docs.aws.amazon.com/organizations/latest/userguide/document-history.html

Как несложно догадаться — в рамках борьбы с master ветками и прочими нетолерантными терминами.

===

В связи с этим интересно узнать, что вы думаете по этому поводу.

Стоит избавляться от подобных названий?
(master → main или как в данном случае master → management)

#опрос

Используем существующий Cognito с Amplify:

https://aws.amazon.com/blogs/mobile/use-existing-cognito-resources-for-your-amplify-api-storage-and-more/

#Amplify

​​Экспорт RDS снэпшотов на S3:

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ExportSnapshot.html

Аналогично для Aurora:

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_ExportSnapshot.html

#RDS #S3

Чем дальше в лес, тем толще CloudFormation!

https://www.youtube.com/watch?v=8Zo_om-liTg

#CloudFormation #video

Новые максимумы CloudFormation:

100 → 200 mappings
64 → 200 mapping attributes
60 → 200 outputs🔥
60 → 200 parameters🔥🔥🔥
200 → 500 resources🔥
460,800bytes → 1Mb size of template

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html

Это заняло долго, почти десять лет. Максимальные 60 параметров всегда было больно, 200 — это серьёзное улучшение.

Однако, соглашусь с гуру CloudFormation, что, скорей, это из-за CDK, использующего его под капотом, а не попытка оживить CloudFormation.

#CloudFormation

https://pages.awscloud.com/EMEA_FIELD_WEBINAR_DevdayMAD_20201015_7010z000001LtjX_On-Demand-Confirmation.html?sc_channel=em&sc_campaign=emea20_devdayonlineq4&sc_medium=em_309568&sc_content=REG_event_ev_field&sc_geo=emea&sc_country=mult&sc_outcome=reg&sc_publisher=aws&trkCampaign=emea20_devdayonlineq4&trk=em_thankyousurvey_loc-309568_emea20_devdayonlineq4 , запись с последнего devday

Один ALB балансер для всех ингрессов:

https://aws.amazon.com/blogs/containers/introducing-aws-load-balancer-controller/

Раньше на каждый ингресс создавался отдельный ALB, теперь же можно использовать один (общий для разных/нескольких ингрессов), как для ELB (Classic балансера).

#ALB #EKS

​​Шаринг CloudWatch дашбордов:

https://aws.amazon.com/blogs/mt/communicate-monitoring-information-by-sharing-amazon-cloudwatch-dashboards/

Крутая фича, появившаяся в 2020-м году. Очень стоит как минимум попробовать. Для кого-то возможность так легко шарить графики (и логи тоже, кстати) может стать весомым аргументом в пользу использования CloudWatch как основного средства логирования/мониторинга/алертинга.

#CloudWatch

​​AWS Community Day Amsterdam Online:

https://awscommunityday.nl

Отличные доклады, солидные спикеры, присоединяйтесь!

27 октября в 14:40 по Минску/Москве (13:40 по Киеву).

🔸🔷🔴CloudSecDocs - very cool website about AWS, GCP, Azure and Container Security

For this moment:
- Access Management
- Infrastructure Security
- Logging & Monitoring
- Compute
- Storage
- Dev
- Offensive / Pentest
- Devops

cloudsecdocs.com

#aws #azure #gcp

SAML аутентификация для Кибаны:

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/saml.html

#ES

​​Сравнение возможностей хранения файлов для Лямбды:

https://aws.amazon.com/blogs/compute/choosing-between-aws-lambda-data-storage-options-in-web-apps/

#Lambda

​​AWS Confidential Computing

Амазон выкатил новую фичу AWS Nitro Enclaves:

https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/

Что такое Confidential Computing?

Достаточно популярны и известны подходы к защите данных путём их шифрования at-rest и in-transit. Однако есть ещё третья часть, самая сложная и проблемная — in-use. Ведь при выполнении приложения сохранённые и присланные данные должны быть расшифрованы и тут их враги всегда имеют возможность подменить или утащить.

Исторический экскурс

Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX:

https://habr.com/ru/company/intel/blog/385171/

На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing:

https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html

Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто).

https://signal.org/blog/private-contact-discovery/

Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки:

https://habr.com/ru/company/eset/blog/308968/

Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV:

https://habr.com/ru/company/southbridge/blog/518564/

И вот, наконец, наши — AWS Nitro Enclaves!

Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими.

Совершенно изолированный Docker

Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью nitro-cli конвертируем наш докер-образ в eif-формат и запускаем абсолютно изолированный докер! Что не совсем корректно, т.к. всё же это отдельная виртуалка, но по сути именно так.

На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше.

Как это работает?

Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь!

https://register.virtual.awsevents.com/

...продолжение следует.

#Nitro

Serverless - одна из технологий, которая кардинально изменила методы создания и архитектуры современных приложений. AWS Lambda - сервис реализующий эту концепцию был запущен в начале 2015 года и с тех пор получил огромное количество обновлений.

Недавно был представлен Extensions for AWS Lambda - совершенно новый подход по интеграции Lambda с привычными вам инструментами мониторинга, наблюдения, безопасности и управления.

Несколько дней назад мы опубликовали статью на русском языке об этом подходе: https://aws.amazon.com/ru/blogs/rus/building-extensions-for-aws-lambda-in-preview/

ALB + HTTP/2 + gRPC:

https://aws.amazon.com/blogs/aws/new-application-load-balancer-support-for-end-to-end-http-2-and-grpc/

#ALB

#машины_aws

Кто не смог присутствовать лично, могут посмотреть мое выступление в записи.