Delegated Administrator в AWS Organizations
Сначала новость - IAM Access Analyzer теперь работает на уровне организации:
https://aws.amazon.com/blogs/aws/new-use-aws-iam-access-analyzer-in-aws-organizations/
Кроме полезности самого этого нововведения, нужно отметить, что работа с организацией возможна лишь из мастер-аккаунта. Точней, была раньше лишь.
Писал раньше про изменения в AWS Organizations и вот первые результаты — IAM Access Analyzer можно запустить для работы с организацией из подаккаунта (например, какой-то security аккаунт), а не (только) из мастера.
Для этого сначала нужно дать права какому-то подаккаунту (на картинке кнопка Add delegated administrator). А после работать из подаккаунта в обычном режиме, при этом имея данные для IAM Access Analyzer-а со всей организации (в т.ч. из главного мастер-аккаунта).
Очень правильный, давно перезревший функционал — делегация админства организации в подаккаунт. Постепенно так, можно надеяться, удастся максимально вынести весь такой security функционал из мастера в security подаккант, что соответствует best practices работы в мульти-аккаунт схеме.
#IAM #Organizations
Сначала новость - IAM Access Analyzer теперь работает на уровне организации:
https://aws.amazon.com/blogs/aws/new-use-aws-iam-access-analyzer-in-aws-organizations/
Кроме полезности самого этого нововведения, нужно отметить, что работа с организацией возможна лишь из мастер-аккаунта. Точней, была раньше лишь.
Писал раньше про изменения в AWS Organizations и вот первые результаты — IAM Access Analyzer можно запустить для работы с организацией из подаккаунта (например, какой-то security аккаунт), а не (только) из мастера.
Для этого сначала нужно дать права какому-то подаккаунту (на картинке кнопка Add delegated administrator). А после работать из подаккаунта в обычном режиме, при этом имея данные для IAM Access Analyzer-а со всей организации (в т.ч. из главного мастер-аккаунта).
Очень правильный, давно перезревший функционал — делегация админства организации в подаккаунт. Постепенно так, можно надеяться, удастся максимально вынести весь такой security функционал из мастера в security подаккант, что соответствует best practices работы в мульти-аккаунт схеме.
#IAM #Organizations
Книгу не читал, но одобряю, автор тетрактата по IAM плохого написать про CloudFormation не может.
Telegram
Человек и машина
Менее года назад, когда я закончил цикл статей про AWS IAM, @patrick239 намекнул, что неплохо бы сделать такой же про CloudFormation.
Получилось несколько лучше. 29 мая выходит моя книга по CFN.
В книге будет все, что внутри шаблона, Stack Sets, Custom…
Получилось несколько лучше. 29 мая выходит моя книга по CFN.
В книге будет все, что внутри шаблона, Stack Sets, Custom…
AWS СLI v.2 в Docker
Теперь не обязательно ставить aws-cli локально и всегда можно быстро попробовать с последней версией. В общем, удобная и важная возможность — запустить aws-cli в докере:
https://aws.amazon.com/blogs/developer/aws-cli-v2-docker-image/
Легко и просто работает через роль виртуалки, а чтобы прокинуть внутрь credentials или скачать/закачать какие-то файлы, то используем стандартный ключик монтирования
docker run -it
#aws_cli
Теперь не обязательно ставить aws-cli локально и всегда можно быстро попробовать с последней версией. В общем, удобная и важная возможность — запустить aws-cli в докере:
https://aws.amazon.com/blogs/developer/aws-cli-v2-docker-image/
Легко и просто работает через роль виртуалки, а чтобы прокинуть внутрь credentials или скачать/закачать какие-то файлы, то используем стандартный ключик монтирования
-v:docker run -it
-v $(pwd):/aws amazon/aws-cli s3 cp 1.txt s3://my-bucket#aws_cli
Стал доступен анонсированный 4 месяца назад сервис Amazon Detective, пополнивший набор security сервисов Амазона:
https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs
Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.
#Detective #security
https://onecloudplease.com/blog/amazon-detective-following-the-breadcrumbs
Функционал Detective, связанный с поиском и визуализацией возможных проблем с безопасностью (собственно - потому "Детектив") наверняка сделает его стандартным по части безопасности в дополнение к GuardDuty, Security Hub сотоварищи.
#Detective #security
Если кто пропустил — у Телеграм есть отличная возможность собрать в кучу AWS каналочаты (на картинке).
В принципе, равно как и все другие темы. Каналы можно объединять друг в друга, исключать и другие удобные вещи. В общем, можно всё упорядочить.
На картинке десктопный вариант, но для мобильной версии папки также доступны:
https://telegram.org/blog/folders
В принципе, равно как и все другие темы. Каналы можно объединять друг в друга, исключать и другие удобные вещи. В общем, можно всё упорядочить.
На картинке десктопный вариант, но для мобильной версии папки также доступны:
https://telegram.org/blog/folders
Бесплатный AWS
#интересующимся #начинающим
Вот читаете вы различные статьи — для админов, разработчиков, девопсов и везде встречаете AWS. Собственно, наверняка, и на этот канал подписались, просто из интереса, чтобы узнать какие-то подробности по теме AWS и, возможно, в каком-то светлом будущем, вдруг получится поработать с ним самостоятельно.
И тут замечаете в очередном анонсе про новый сервис Амазона, который напрямую касается вашей работы. Например, вы пилите умный дом и увидели про AWS IoT Things Graph, тренируете свои сетки для распознавания объектов и услышали про Amazon Rekognition Custom Labels или просто в чате прочитали про поддержку новой версии базы PostgreSQL 12.x.
Эх, думаете вы, вот бы попробовать-покрутить такое. Классно было бы, если бы какие-то гранты давали интересующимся, чтобы они могли попробовать этот сервис Амазона бесплатно! Не буду же я платить за то, что, скорее, даст плюс моему работодателю, а руководство фиг допросишься попробовать Амазон.
Так, стоп-стоп. Всё есть. Давно. Много. И даже всегда (бесплатно)!
Халявный Амазон называется Free Tier, действует на год, а некоторые сервисы бесплатны всегда!
https://aws.amazon.com/free/
Регистрируетесь, логинитесь и используете AWS год бесплатно. Не все сервисы попадают в Free Tier, но их очень много, потому по ссылке выше целый раздел поиска по ним сделан, где можно посмотреть, что есть и сколько бесплатно в нужной вам области.
Если вы не начинающий и давно знали про Free Tier, всё равно полезно заглянуть — там наверняка есть новые сервисы, про которые вы не знали, а их можно попробовать самому или порекомендовать попробовать другим (бесплатно).
Кроме того, обратите внимание, что некоторые сервисы бесплатны всегда, поставьте галочку Always Free, чтобы увидеть, что два десятка сервисов бесплатны всегда! В какой-то доле, части и ограничениях, но всегда. Я даже знаю людей, что специально пилят штуки, архитектура которых максимально задействует такую вечную халяву. Причём это правильно и это правильные штуки.
Итого. Если вы просто читали и не пробовали AWS — прямо сейчас зарегистрируйте аккаунт и попробуйте Free Tier. Это несложно, небольно, бесплатно и полезно.
Вопросы, а также свой личный опыт использования Free Tier — пишите в чате.
#халява #AWS
#интересующимся #начинающим
Вот читаете вы различные статьи — для админов, разработчиков, девопсов и везде встречаете AWS. Собственно, наверняка, и на этот канал подписались, просто из интереса, чтобы узнать какие-то подробности по теме AWS и, возможно, в каком-то светлом будущем, вдруг получится поработать с ним самостоятельно.
И тут замечаете в очередном анонсе про новый сервис Амазона, который напрямую касается вашей работы. Например, вы пилите умный дом и увидели про AWS IoT Things Graph, тренируете свои сетки для распознавания объектов и услышали про Amazon Rekognition Custom Labels или просто в чате прочитали про поддержку новой версии базы PostgreSQL 12.x.
Эх, думаете вы, вот бы попробовать-покрутить такое. Классно было бы, если бы какие-то гранты давали интересующимся, чтобы они могли попробовать этот сервис Амазона бесплатно! Не буду же я платить за то, что, скорее, даст плюс моему работодателю, а руководство фиг допросишься попробовать Амазон.
Так, стоп-стоп. Всё есть. Давно. Много. И даже всегда (бесплатно)!
Халявный Амазон называется Free Tier, действует на год, а некоторые сервисы бесплатны всегда!
https://aws.amazon.com/free/
Регистрируетесь, логинитесь и используете AWS год бесплатно. Не все сервисы попадают в Free Tier, но их очень много, потому по ссылке выше целый раздел поиска по ним сделан, где можно посмотреть, что есть и сколько бесплатно в нужной вам области.
Если вы не начинающий и давно знали про Free Tier, всё равно полезно заглянуть — там наверняка есть новые сервисы, про которые вы не знали, а их можно попробовать самому или порекомендовать попробовать другим (бесплатно).
Кроме того, обратите внимание, что некоторые сервисы бесплатны всегда, поставьте галочку Always Free, чтобы увидеть, что два десятка сервисов бесплатны всегда! В какой-то доле, части и ограничениях, но всегда. Я даже знаю людей, что специально пилят штуки, архитектура которых максимально задействует такую вечную халяву. Причём это правильно и это правильные штуки.
Итого. Если вы просто читали и не пробовали AWS — прямо сейчас зарегистрируйте аккаунт и попробуйте Free Tier. Это несложно, небольно, бесплатно и полезно.
Вопросы, а также свой личный опыт использования Free Tier — пишите в чате.
#халява #AWS
Least Outstanding Requests в действии
В конце прошлого года к стандартному Round-Robin алгоритму раздачи трафика лоадбалансером добавился ещё и Least Outstanding Requests. Кто сие пропустил или просто интересно взглянуть, что это и как работает — очень хорошая статейка:
https://medium.com/dazn-tech/aws-application-load-balancer-algorithms-765be2eca158
Тестирование у автора показало местами кратный прирост скорости. Так что очень стоит взглянуть и попробовать у себя.
#ALB
В конце прошлого года к стандартному Round-Robin алгоритму раздачи трафика лоадбалансером добавился ещё и Least Outstanding Requests. Кто сие пропустил или просто интересно взглянуть, что это и как работает — очень хорошая статейка:
https://medium.com/dazn-tech/aws-application-load-balancer-algorithms-765be2eca158
Тестирование у автора показало местами кратный прирост скорости. Так что очень стоит взглянуть и попробовать у себя.
#ALB
Курс для подготовки к AWS Certified Developer – Associate:
https://www.youtube.com/watch?v=RrKRN9zRBWs
12 часов без перерывов на рекламу.
#AWS_Certification
https://www.youtube.com/watch?v=RrKRN9zRBWs
12 часов без перерывов на рекламу.
#AWS_Certification
YouTube
AWS Certified Developer - Associate 2020 (PASS THE EXAM!)
The AWS Certified Developer - Associate examination is intended for individuals who perform a development role and have experience maintaining an AWS-based application. By the end of this full course taught by an expert trainer, you will be ready to take…
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Top 10 security items to improve in your AWS account
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice
Про каждый пункт можно найти в блоге AWS:
https://aws.amazon.com/ru/blogs/security/top-10-security-items-to-improve-in-your-aws-account/
#aws #bestpractice
10 простых и очевидных способов уменьшить стоимость вашей AWS инфраструктуры:
https://aws.amazon.com/blogs/compute/10-things-you-can-do-today-to-reduce-aws-costs/
Большинство советов капитанские — найти и убить/стопнуть неиспользуемые виртуалки, сделать снэпшот и прибить лишние/странные/старые EBS Volumes, стопнуть или убить с бэкапом левые RDS базы данных, прибить забытые и уже ненужные балансеры.
Список длинный, можно добавить чистку забытых ElasticIP, пожирающих 3.6$ в месяц за штуку, лишние VPC с NAT GW в комплекте, каждый из которых пожирает 33.5$, бесчисленные непонятно зачем сделанные снэпшоты баз данных, сто лет не нужных и ещё более ненужные снэпшоты давно почивших виртуалок. Отдельным пунктом идут забытые EBS Volumes с Provisoned IOPS, способные пожрать сотни и даже тысячи в месяц.
В общем, банальная статейка, но зайдите в Cost Explorer, наверняка найдётся что-то из списка (с вероятностью надёжности S3).
Отдельно добавлю (выделено в статье), что Savings Plans нужно рассматривать как способ экономии ПОСЛЕ чистки ресурсов, а не до. Иначе может оказаться, что согласно амазоновским же рекомендациям сначала прикупите себе SP на эн долларов в час, а после чистки окажется, что уже тратите меньше. Но платить придётся как минимум год.
#cost_optimization
https://aws.amazon.com/blogs/compute/10-things-you-can-do-today-to-reduce-aws-costs/
Большинство советов капитанские — найти и убить/стопнуть неиспользуемые виртуалки, сделать снэпшот и прибить лишние/странные/старые EBS Volumes, стопнуть или убить с бэкапом левые RDS базы данных, прибить забытые и уже ненужные балансеры.
Список длинный, можно добавить чистку забытых ElasticIP, пожирающих 3.6$ в месяц за штуку, лишние VPC с NAT GW в комплекте, каждый из которых пожирает 33.5$, бесчисленные непонятно зачем сделанные снэпшоты баз данных, сто лет не нужных и ещё более ненужные снэпшоты давно почивших виртуалок. Отдельным пунктом идут забытые EBS Volumes с Provisoned IOPS, способные пожрать сотни и даже тысячи в месяц.
В общем, банальная статейка, но зайдите в Cost Explorer, наверняка найдётся что-то из списка (с вероятностью надёжности S3).
Отдельно добавлю (выделено в статье), что Savings Plans нужно рассматривать как способ экономии ПОСЛЕ чистки ресурсов, а не до. Иначе может оказаться, что согласно амазоновским же рекомендациям сначала прикупите себе SP на эн долларов в час, а после чистки окажется, что уже тратите меньше. Но платить придётся как минимум год.
#cost_optimization
Amazon
10 things you can do today to reduce AWS costs | Amazon Web Services
This post is contributed by Shankar Ramachandran, SA Specialist, Cost Optimization Introduction AWS’s breadth of services and pricing options offer the flexibility to effectively manage your costs, and still keep the performance and capacity per your business…
Кто не может выдержать многочасовые курсы по AWS — есть маломинутные, в частности, по IAM:
https://www.youtube.com/playlist?list=PL3GN5xkPjwo23bCqxjxh0uXVW9tgIfhOi
В коротких роликах в простой форме раскрываются функционал, возможности и особенности работы сервиса Identity & Access Management.
#IAM #AWS_Certifiaction #video
https://www.youtube.com/playlist?list=PL3GN5xkPjwo23bCqxjxh0uXVW9tgIfhOi
В коротких роликах в простой форме раскрываются функционал, возможности и особенности работы сервиса Identity & Access Management.
#IAM #AWS_Certifiaction #video
YouTube
AWS Identity & Access Management
Bart tackles the massively-important Identity and Access Management service at Amazon Web Services (AWS). Every week Cloud Bart brings a mini-lesson about IA...
Буквально три недели назад писал про SpeedTest для Amazon S3 Transfer Acceleration. Результаты которого показывали некоторое символическое ускорение от использования инфраструктуры Амазона — по сравнению с работой с бакетом напрямую, т.е. через интернет.
И вот посмотрите теперь на картинку, она стала примерно-показательной (тест из Минска).
Если раньше нужно было убеждать, объясняя про единицы проценты разницы, то теперь у многих (из Беларуси и России как минимум) такие тормоза при загрузке сайтов из Америки, а также просто AWS Console с заокеанскими (и просто далёкими) регионами, что убеждать не нужно — скорость работы через инфраструктуру Амазона быстрее в разы, а то и на порядки (с Австралией в 10-20 раз).
Наглядное подтверждение, почему для комфортной работы теперь нужно поднимать VPN в Европе.
И вот посмотрите теперь на картинку, она стала примерно-показательной (тест из Минска).
Если раньше нужно было убеждать, объясняя про единицы проценты разницы, то теперь у многих (из Беларуси и России как минимум) такие тормоза при загрузке сайтов из Америки, а также просто AWS Console с заокеанскими (и просто далёкими) регионами, что убеждать не нужно — скорость работы через инфраструктуру Амазона быстрее в разы, а то и на порядки (с Австралией в 10-20 раз).
Наглядное подтверждение, почему для комфортной работы теперь нужно поднимать VPN в Европе.
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Service Control Policies Best Practices
Подробный пост с практическими рекомендациями Скотта Пайпера, посвященный тому, что такое Service Control Policies (SCP), распространенные ошибки, а также ряд примеров политик. Среди примеров - разрешение только утвержденных служб или регионов, запрет доступа root'а, отказ от возможности сделать VPC доступным из Интернета, защита security baseline.
https://summitroute.com/blog/2020/03/25/aws_scp_best_practices/
#aws
Подробный пост с практическими рекомендациями Скотта Пайпера, посвященный тому, что такое Service Control Policies (SCP), распространенные ошибки, а также ряд примеров политик. Среди примеров - разрешение только утвержденных служб или регионов, запрет доступа root'а, отказ от возможности сделать VPC доступным из Интернета, защита security baseline.
https://summitroute.com/blog/2020/03/25/aws_scp_best_practices/
#aws
Ошибок и их причин при работе с S3 могут быть кучи. Упомяну ещё одну. Сообщение:
Может быть получено даже если у вас (юзера/роли) есть все нужные IAM права (вы перепровели два раза), а в бакете прописаны нужные Bucket Policy (вы перепроверили три и более раз).
Гляньте, подумайте, вспомните, посмотрите и проверьте — возможно бакет зашифрован с помощью ключа KMS, а не дефолтного AES 256 (S3-SSE). И если да, то наверняка в этом причина.
https://aws.amazon.com/premiumsupport/knowledge-center/decrypt-kms-encrypted-objects-s3/
Для получения из шифрованного бакета (шифрованного файла в нём) требуются права на
При загрузке из шифрованного S3 бакета, в процессе выполнения
Так что будьте бдительны и помните сто первый тип ошибки загрузки с S3 — отсутствие прав на расшифровку
#S3 #IAM #KMS
An error occurred (AccessDenied) when calling the GetObject operation: Access DeniedМожет быть получено даже если у вас (юзера/роли) есть все нужные IAM права (вы перепровели два раза), а в бакете прописаны нужные Bucket Policy (вы перепроверили три и более раз).
Гляньте, подумайте, вспомните, посмотрите и проверьте — возможно бакет зашифрован с помощью ключа KMS, а не дефолтного AES 256 (S3-SSE). И если да, то наверняка в этом причина.
https://aws.amazon.com/premiumsupport/knowledge-center/decrypt-kms-encrypted-objects-s3/
Для получения из шифрованного бакета (шифрованного файла в нём) требуются права на
kms:decrypt. А также разрешение использования ключа шифрования для вашего аккаунта.При загрузке из шифрованного S3 бакета, в процессе выполнения
s3:GetObject вы должны иметь право расшифровать полученное (kms:decrypt), иначе получате ошибку. И без намёков, что проблема не в правах на S3 (Bucket Policy), а что проблема в отсутствии прав IAM.Так что будьте бдительны и помните сто первый тип ошибки загрузки с S3 — отсутствие прав на расшифровку
kms:decrypt.#S3 #IAM #KMS
Amazon
Download an AWS KMS-encrypted object from Amazon S3
Open Guide по AWS (og-aws) на русском:
https://github.com/nickpoida/og-aws/blob/master/translations/ru.md
Сам начинал переводить, а тут готовое — очень рекомендую. Местами информация старая и не актуальная, но для тех, кто почему-то пропустил и не читал оригинал — крайне рекомендуется и для начинающих, и для продолжающих.
#info
https://github.com/nickpoida/og-aws/blob/master/translations/ru.md
Сам начинал переводить, а тут готовое — очень рекомендую. Местами информация старая и не актуальная, но для тех, кто почему-то пропустил и не читал оригинал — крайне рекомендуется и для начинающих, и для продолжающих.
#info
Fargate (сильно) обновился: поддержка EFS + 20GB диск + Сontainerd + Fargate-agent + изменённый Task ENI.
https://aws.amazon.com/blogs/containers/aws-fargate-launches-platform-version-1-4/
Одно из важнейших (и как видно - далеко не единственное) изменений — поддержка EFS. Теперь, наконец, в нём есть Persistent Storage и можно строить stateful приложения без костылей.
p.s. Прошло три месяца с момента прикручивания IAM авторизации к EFS (просто для статистики скорости внедрения фич).
#Fargate
https://aws.amazon.com/blogs/containers/aws-fargate-launches-platform-version-1-4/
Одно из важнейших (и как видно - далеко не единственное) изменений — поддержка EFS. Теперь, наконец, в нём есть Persistent Storage и можно строить stateful приложения без костылей.
p.s. Прошло три месяца с момента прикручивания IAM авторизации к EFS (просто для статистики скорости внедрения фич).
#Fargate
Amazon
AWS Fargate launches platform version 1.4.0 | Amazon Web Services
AWS Fargate is a managed service to run containers. Fargate allows customers to use Amazon Elastic Container Service (ECS) and Amazon Elastic Kubernetes Service (EKS) to launch applications without the burden of having to deal with the undifferentiated heavy…
Новый Fargate — что под капотом:
https://aws.amazon.com/blogs/containers/under-the-hood-fargate-data-plane/
Почему Docker сменили на Containerd, а также другие подробности работы и архитектуры Fargate. Крайне рекомендуется для глубокого понимания и последующей борьбы с проблемами.
#Fargate
https://aws.amazon.com/blogs/containers/under-the-hood-fargate-data-plane/
Почему Docker сменили на Containerd, а также другие подробности работы и архитектуры Fargate. Крайне рекомендуется для глубокого понимания и последующей борьбы с проблемами.
#Fargate
Amazon
Under the hood: AWS Fargate data plane | Amazon Web Services
Today, we launched a new platform version (1.4) for AWS Fargate, which bundles a number of new features and capabilities for our customers. You can read more about these features in this blog post. One of the changes we are introducing in platform version…
Forwarded from Vasily Pantyukhin
Кому интересно, как EBS устроен изнутри - доклад свежачек https://www.youtube.com/watch?v=C9G775ITl1o
YouTube
Миллион распределенных баз данных / Василий Пантюхин
Приглашаем на конференцию Saint HighLoad++ 2024, которая пройдет 24 и 25 июня в Санкт-Петербурге!
Программа, подробности и билеты по ссылке: https://vk.cc/cuyIqx
--------
--------
Saint HighLoad++ 2020 Online
Тезисы и презентация:
https://www.highloa…
Программа, подробности и билеты по ссылке: https://vk.cc/cuyIqx
--------
--------
Saint HighLoad++ 2020 Online
Тезисы и презентация:
https://www.highloa…
AWS Global Accelerator в подробностях:
https://www.sentiatechblog.com/aws-global-accelerator-terrible-name-awesome-service
Весьма детальная статья для тех, кто хочет разобраться как, зачем, кому и где используется AWS Global Accelerator. Очень рекомендуется и просто для знакомства, и для того, чтобы понимать глобальные возможности глобального Амазона.
#Global_Accelerator
https://www.sentiatechblog.com/aws-global-accelerator-terrible-name-awesome-service
Весьма детальная статья для тех, кто хочет разобраться как, зачем, кому и где используется AWS Global Accelerator. Очень рекомендуется и просто для знакомства, и для того, чтобы понимать глобальные возможности глобального Амазона.
#Global_Accelerator
Sentiatechblog
AWS Global Accelerator: Terrible Name, Awesome Service
I recently had my first encounter with Global Accelerator. Before that I thought it was irrelevant for me; I don't deploy many global applications, and networking in AWS is generally plenty fast. I fi