Поддержка Step Functions более чем 200 AWS сервисов:

https://aws.amazon.com/blogs/aws/now-aws-step-functions-supports-200-aws-services-to-enable-easier-workflow-automation/

Даже если вы не интересуетесь Step Functions, интересно обратить внимание на официальное подтверждение — в AWS больше 200 сервисов и больше 9 тысяч API Actions.

#Step_Functions

​​aws-allowlister — полный набор SCP политик под различные compliance:

https://github.com/salesforce/aws-allowlister

С помощью данной утилиты можно создать SCP правила, которые разрешат работу лишь с сервисами, поддерживаемыми конкретным compliance, например, получить простыню (Allow List), где перечислены все AWS сервисы, разрешённые с точки зрения HIPAA.

Таким образом можно навесить полученный SCP на какой-то AWS аккаунт (или OU) и протестировать в нём окружение, что даст гарантию его HIPAA совместимости.

#SCP #compliance #security

AWS Cloud Control API — универсальный набор API для Create/Read/Update/Delete/List (CRUDL) более чем 200 AWS сервисов:

https://aws.amazon.com/blogs/aws/announcing-aws-cloud-control-api/

Крутая вещь — можно использовать привычные CreateResource, GetResource, UpdateResource, DeleteResource, ListResource для любых AWS сервисов и их ресурсов.

aws cloudcontrol create-resource   \
 --type-name AWS::Lambda::Function \
 --desired-state '{"Code":{"S3Bucket":"my-bucket","S3Key":"index.zip"},"Role":"arn:aws:iam::123:role/lambda_basic_execution","Runtime":"python3.9","Handler":"index.lambda_handler"}' \
 --client-token xxx

aws cloudcontrol delete-resource   \
 --type-name AWS::Lambda::Function \
 --identifier xxx-xxx

p.s. Второй пост за сегодня, где официально упоминается 200+ AWS сервисов. Это жжж неспроста. 😀

#API

Серьёзные подвижки для работы в мульти-аккаунт окружении — возможность программно изменять почту для billing/operations/security в под-аккаунтах:

https://aws.amazon.com/blogs/mt/programmatically-managing-alternate-contacts-on-member-accounts-with-aws-organizations/

По умолчанию все сообщения по поводу AWS аккаунта — биллинг, проблемы безопасности (например, вас поломали и/или ваши виртуалки рассылают спам) — шлются на почту root-юзера. Однако можно задать альтернативные контакты - отдельные почты для billing/operations/security.

При программном создании под-аккаунтов эти поля не заполняются и чтобы получать данные сообщения раньше нужно было вручную изменять, для чего требовалось заполнять и другие поля root-юзера (в первую очередь - восстановить к нему пароль), что практически невозможно было автоматизировать и всегда было огромной проблемой.

Теперь же можно запустить баш-скрипт (в AWS огромное Bash-лобби 😁) из статьи и назначить всем подаккаунтам нужные почты (или одну на всех). Что реально круто. Обязательно воспользуйтесь!

#Organizations #security #multi_account_strategy

#event
AWS COMMUNITY CHALLENGE: VOTING

Сбор заявок закончился, пришло время перейти к голосованию за лучший способ развертывания WordPress в AWS.

Все видео от участников размещены на странице конкурса.
Голосуем за понравившийся вариант в ТГ до 15 октября.
Итоги подведем на следующем митапе (спойлер: конец октября).

Следите за новостями😉

↑↑↑ Проголосуйте, пожалуйста, здесь за лучший вариант. ↑↑↑

Поддержка Lambda-arm64 в AWS SAM:

https://github.com/aws/aws-sam-cli/releases/tag/v1.33.0

sam init --architecture arm64

#Lambda #SAM

Terraform AWS Cloud Control Provider:

https://www.hashicorp.com/blog/announcing-terraform-aws-cloud-control-provider-tech-preview

The HashiCorp Terraform AWS Cloud Control Provider, currently in tech preview, aims to bring Amazon Web Services (AWS) resources to Terraform users faster. The new provider is automatically generated, which means new features and services on AWS can be supported right away. The AWS Cloud Control provider supports hundreds of AWS resources, with more support being added as AWS service teams adopt the Cloud Control API standard.
For Terraform users managing infrastructure on AWS, we expect this new provider will be used alongside the existing AWS provider, which will continue to be maintained. Given the ability to automatically support new features and services, this new provider will increase the resource coverage and significantly reduce the time it takes to support new capabilities.

#Terraform

Pulumi AWS Native Provider:

https://www.pulumi.com/blog/announcing-aws-native/

The AWS Native provider offers same-day support for all new AWS features and releases covered by the newly released AWS Cloud Control API, which typically supports new AWS features on the day of launch. By building on the AWS Cloud Control API, the AWS Native provider offers a robust, reliable and well-defined resource model for AWS that’s available to Pulumi users in all Pulumi languages, including TypeScript, Python, Go and C#. By leveraging the AWS Cloud Control API, the AWS Native provider builds on the work done by service teams at AWS to define the resource model for their services. This ensures a rock solid provisioning lifecycle for resources deployed with the AWS Native provider.

#Pulumi

Подскажите тем, кто хочет получить работу посредством сдачи сертификаций — опрос AWS DevOps Certifications.

Какие сертификации нужно сдать человеку, чтобы его взяли девопсом на AWS проект?

CloudGraph — opensource проект GraphQL поисковика для AWS (и не только) инфраструктуры:

https://github.com/cloudgraphdev/cli

CloudGraph requires READ ONLY permissions to run and as such can never mutate your actual cloud infrastructure.
Under the hood, CloudGraph reaches out to your cloud provider(s), sucks up all of the configuration data, processes it, and stores a copy of this data for you in Dgraph. It then exposes an endpoint at https://localhost:8997 that allows you to write GraphQL Queries against your stored data. These queries not only allow you do to anything that you would do with say, the AWS SDK/CLI, but they also allow you to run much more powerful queries as well.

Итоги недели на AWS (9/25-10/2 2021)

Неделя выдалась просто-таки репетицией re:Invent 2021, потому стоит ещё раз упомянуть столь значимые события и новинки.

▪️ NLB — форвардинг трафика к ALB (поддерживается в Target Group)
То есть, например, теперь можно получить статический айпишник для вашего API, поставив перед используемым для этого ALB балансером NLB, указав у него в Target Group ваш ALB.

▪️ EC2 Global View
Без отдельного поста в блогах AWS консоли для EC2 появилась менюшка EC2 Global View, где можно увидеть свои виртуалки-диски-итп сразу по всем регионам.

▪️ Lambda на Graviton2
Лямбда теперь может запускаться на двух архитектурах: x86 и arm64. Лямбда на ARM по тестам очень хороша — быстрей и при этом дешевле. При этом, если нет проблемных зависимостей, то переключение можно сделать многовенно.

▪️ Step Functions получили монструозное обновление
Массивное обновление Step Functions может радикально увеличить их применение в дизайне AWS проектов.

▪️ AWS Cloud Control API
Стандартный интерфейс работы с AWS ресурсами — большой шаг навстречу IaC-провайдерам (например, Terraform и Pulumi).

▪️ Программная работа с альтернативными контактами подаккаунтов AWS Organizations
Автоматизация изменения alternate contacts (billing/operations/security) по всей AWS организации — первый большой шаг в этом направлении со времени анонса AWS Organizations пять лет назад.

===

Опрос — самые интересные AWS события 9/25-10/2 2021.

#AWS_week

IAM Permissions Boundary на защите Лямбда инфраструктуры:

https://www.iampulse.com/t/control-the-blast-radius-of-your-lambda-functions-with-an-iam-permissions-boundary

▪️ Problem 1: IAM is hard and application developers aren’t IAM experts
▪️ Problem 2: Traditional organisational policy may disallow IAM role creation by application teams
An IAM permissions boundary allows us to get the best of both worlds:
▫️ Application team retains ownership of granular permissions in per-function roles and can ship independently 👍
▫️ Platform team can continue to enforce a maximum blast radius (equal to the EC2Application role) on the application, regardless of how developers specify their function policies 👍

#IAM #Lambda #security

💥Boom! Встречайте виртуальную AWS Tech Conference от AWS User Group Ukraine!

В программе конференции:
— 6 хайлоад докладов
— 6 воркшопов с тренерами AWS
— Ask an Expert из AWS
— 1500 участников онлайн
— призы за лучшие вопросы

Спикеры — команда AWS из разных уголков мира, поэтому доклады будут на украинском, русском и английском языках.

Суперинтересно будет backend разработчикам и DevOps.

📍 Где и когда: 19 октября с 10:00 до 17:00, онлайн.
Участие бесплатное по предварительной регистрации: https://bit.ly/3APLZv8

Присоединяйся к конференции, чтобы стать pro в работе с AWS!

Facebook упал и уронил большую часть интернета.
https://downdetector.com

Terraform Associate Certification — бесплатный курс от Andrew Brown:

https://www.youtube.com/watch?v=V4waklkBC38

Всего 13 часов и вы сертифицированный Терраформер!

#Terraform #certification

Некоторые выводы (зарубки наподумать для себя) по падению Facebook 4 октября

Network Engineer

Круто быть сетевиком — никто тебя не видит, никто тебя не знает, а потом бац — и знают все!

Удалёнка — новый взгляд

Как выяснилось, когда что-то жестоко падает, то девять сисадминов на удалёнке не заменят одного админа в датацентре. Просто подключиться в локальную сеть при таком сбое было нереально, потому ковидные удалёнщики не смогли помочь, что увеличило время реакции на падение.

Чем плоха авторизация через интернет

Системы авторизации для работы с инфраструктурой не должны зависеть от работы инфраструктуры. Прикольно (на самом деле нет), когда тебя не пускают по пропуску в здание, чтобы починить ситуацию, когда тебя не пускают по пропуску в здание.

Как было с поспешившими в офис работниками Facebook, которые не могли попасть в офис, чтобы починить ситуацию, из-за которой они не могли попасть в офис.

Чем плохо (хорошо?) падение лидеров для конкурентов

Столь длительное падение лидера сегмента рынка привело к перетоку его конкурентам. Что, судя по тормозам того же Твиттера,Телеграм и других, стало для многих не радостью, а проблемой. Интересно отметить столь огромный (и относительно длительный - часы) наплыв реальных живых клиентов и как обрушившееся счастье обрушило многие сервисы.

Как проверить наличие ошибок в системе для проверки наличия ошибок?

Our systems are designed to audit commands like these to prevent mistakes like this, but a bug in that audit tool didn’t properly stop the command.

Disaster Recovery тестирование — залог Disaster Recovery

Helpfully, this is an event we’re well prepared for thanks to the “storm” drills we’ve been running for a long time now. In a storm exercise, we simulate a major system failure by taking a service, data center, or entire region offline, stress testing all the infrastructure and software involved. Experience from these drills gave us the confidence and experience to bring things back online and carefully manage the increasing loads.

#мысли #выводы #design