⁠Подключение к EC2 виртуалкам

Для подключения по SSH к #EC2 инстансам #best_practices является ипользование #SSM #Session_Manager. Однако теперь это можно в некоторой степени дополнить использованием EC2 Instance Connect.

https://aws.amazon.com/blogs/compute/new-using-amazon-ec2-instance-connect-for-ssh-access-to-your-ec2-instances/

Предварительно установленный на виртуалку (к которой нужно подключиться) сервис #ec2_instance_connect позволяет прокинуть ваш публичный ключ в meta-data инстанса, где он будет жить 60 секунд и может быть использован для логина ssh-демоном.

Весьма удобная схема с временными ключами, где за авторизацию отвечает #IAM, а значит можно коннектиться с другого инстанса с правами данного инстанса, с локального компа с правами юзера или через браузер #AWS_Console (на картинке внизу).

Т.к. это происходит через AWS API, то коннектиться можно с приватных айпишников.

В отличие от SSM Session Manager, #ec2_instance_connect требует открытый 22 порт на входящие (хотя можно и рекомендуется его ограничить лишь амазоновскими айпишниками, т.к. соединение идёт через сервисы амазона).

Как было сказано, для работы с EC2 Instance Connect - его сначала нужно устанавливать. Предустановлен он лишь в Amazon Linux 2 - очередная причина, почему правильно его использовать (и именно AL2, а не первый).

#SSH

⁠Обозначения регионов в консоли

Маленькое изменение, а кому-то большая радость. Кто никак не запомнил, теперь сразу с буквами и цифрами - не только (человеческое) название региона, но и (нечеловеческое) название региона.

#AWS_console

⁠EC2 Console + Session Manager

В консоль таки добавили соединение через SSM Session Manager - теперь не нужно прыгать по сервисам для того, чтобы просто зайти через него на виртуалку. Найти не так просто (улыбаемся и машем), потому инструкция прилагается.

Правая клавиша на инстансе (у которого стоит и настроен SSM agent), жмём Connect. (вверху картинки)

Далее, к сожалению, придётся ещё кликать, т.к. по умолчанию стоит инфо по подключению через SSH - меняем на Session Manager и снова жмём Connect. (в середине)

Открывается обычное терминальное окно SSM Session Manager - радуемся. (нижняя)

#SSM #EC2 #AWS_Console

⁠bare metal инстансы + AWS Console

Когда вы хотите выбрать bare metal инстансы (i3 или или другие *.metal), чтобы, например, соблюсти какие-то жёсткие требования для вашего окружения, то при выборе в консоли по-прежнему обнаружите менюшку Tenancy и Shared по умолчанию.

Ничего такого в реальности нет, никакие Shared неприменимы к bare metal типу инстансов, вы полностью работаете напрямую с железом, без гипервизоров (потому можно запустить свою виртуализацию, что не позволяют другие типы инстансов - на них не получится запустить условный Virtual Box, только на bare metal) и без каких-то "соседей".

Недоработка текущей версии AWS Console.

#AWS_Console #bare_metal #issue

⁠OrganizationAccountAccessRole

При создании нового аккаунта можно указать роль, через которую можно будет в него переключиться. Если в поле IAM role name ничего не указать, то по умолчанию создастся роль с именем OrganizationAccountAccessRole.

Обычно такое название устраивает и оно уже давно прописано в различных настройках. Но если аккаунты создаются не так часто, то можно забыть - создастся ли эта роль или аккаунт канет в бездну недоступности?

В интерфейсе текущей версии AWS Console для Organizations организации нет чётких подсказок на этот счёт. Потому, в том числе для себя в будущем, напоминаю:

If you don't specify a name, AWS Organizations gives the role a default name of OrganizationAccountAccessRole.

То есть, да, если оставить это поле (IAM role name) пустым, то создастся аккаунт с ролью OrganizationAccountAccessRole.

Просто редко делаю через консоль — всё через скрипты, CloudFormation или командную строку, а там очевидно. Надеюсь, теперь запомню.

#Organizations #AWS_Console

Понимаю, что уже понедельник, но это прекрасно:

https://twitter.com/ScribblingOn/status/1228758330769903618

Литературный перевод:

Никакой ваш предыдущий жизненный опыт не подготовит вас к использованию AWS консоли. Ни-ка-кой.

#AWS_Console

⁠AWS Simple Iconification Service

Простенькое расширение, добавляющее иконку на вкладки AWS Console (см. картинку). Просто и со вкусом, когда вкладок много — хоть как-то можно ориентироваться.

Chrome:

https://chrome.google.com/webstore/detail/aws-simple-iconification/edagjlhogddnlkbkllibfhbekpcdppbk

Firefox:

https://addons.mozilla.org/en-GB/firefox/addon/simple-iconification-service/

Исходники:

https://github.com/leepa/aws-simple-iconification-service

#AWS_Console

⁠Логин в AWS Console сменил дизайн (на человеческий)

Теперь, наконец, проще понять самому и объяснить другим - как попасть в консоль через юзера или рута (см. картинку).

#AWS_Console

⁠EC2 Local Zone Settings

Для региона Oregon, где имеется Local Zone (кто пропустил - почитайте про первую локальную зону в Лос-Анжелесе - если коротко, то это подзона с задержками в единицы миллисекунд для, например, игр в виртуальной реальности и прочих вещей, требовательных к latency), теперь можно её включить в консоли.

Сделать это не так просто - нужно найти плохозаметную кнопку Enable additional Local Zones на дашборде EC2 консоли (см. картинку) и после изменить статус на Enable.

Актуально только (пока) для Oregon (где есть локальная зона). Включить можно, а выключить лишь через поддержку. Потому, в общем случае, если вы не планируете её использовать напрямую, лучше не включать, чтобы случайно не поломать какие-то ваши скрипты подзоной в виде us-west-2-lax-1.

#AWS_Console #EC2

​​Поиск в консоли теперь, наконец-то, теперь можно называть этим словом:

https://aws.amazon.com/about-aws/whats-new/2020/12/announcing-unified-search-aws-management-console/

Мои контрольные слова es, acm, ram и некоторые другие, которые годы до этого были просто издевательством над здравым смыслом — ищет (показывает на первой позиции). У кого что не нашлось — пишите в комментариях.

#AWS_Console

​​AWS CloudShell — встроенный в браузерную консоль терминал!

https://aws.amazon.com/blogs/aws/aws-cloudshell-command-line-access-to-aws-resources/

Для активации нужно нажать значёк терминальчика (после чего он будет активироваться для аккаунта-региона несколько минут).

Поддерживаются табы, можделить на столбцы и колонки (см.картинку), задать шрифт. Есть постоянное пространство хранилище на гигабайт для каждого региона аккаунта. На борту Amilinux 2, доступ в интернет.

В общем, выглядит очень круто и удобно. При этом можно считать бесплатно — до десяти одновременно работающих терминалов. Нужно пробовать!

#AWS_Console

​​Нажав в AWS Console для VPC кнопку See all regions можно быстро увидеть количество различных ресурсов по всем регионам в аккаунте. Что удобно для поиска, где находятся забытые VPC с NAT GW, незаметно пожирающих деньги, Elastic IP или просто быстро найти используемые регионы с поднятыми виртуалками.

p.s. Полезную кнопку подсказал вопросом Виктор, за что ему большое спасибо.

#AWS_Console #VPC

​​EC2 Global View

Здесь (AWS Console → EC2 → EC2 Global View) можно видеть все свои EC2 виртуалки, EBS Volumes и VPC сразу по всем AWS регионам в одном месте:

https://console.aws.amazon.com/ec2globalview/home

#EC2 #AWS_Console #AWS_Regions

​​Новая AWS Console с иконками сервисов!

Всего год мучились и теперь вот она снова на месте. Не на том же – второй строкой, но ведь есть! 😃

#AWS_Console

​​Новая AWS Console — главная страница с полезной информацией.

Удобно, что сразу видны расходы (если включён доступ к биллингу для юзера в аккаунте), ссылки на последние сервисы и возможность расположить нужные элементы в удобных местах на дашборде.

Можно убрать или добавить виджеты (меню снизу), на текущий момент дополнительный виджет - это лишь Favorites. Можно изменить размер виджета, нажав Change Size.

В общем, реально полезное изменение для консоли, с удобным подходом, как это реализовано для AWS Activate.

Пользуемся!

#AWS_Console

​​S3 console — generating a presigned URL:

https://docs.aws.amazon.com/AmazonS3/latest/userguide/ShareObjectPreSignedURL.html#ShareObjectPreSignedURLConsole

The credentials that you can use to create a presigned URL include:

🔸 IAM instance profile: Valid up to 6 hours

🔸 STS: Valid up to 36 hours when signed with permanent credentials, such as the credentials of the AWS account root user or an IAM user

🔸 IAM user: Valid up to 7 days when using AWS Signature Version 4

#S3 #AWS_Console

​​AWS Console Private Access:

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html

With AWS Console Private Access, you can limit the use of the AWS Console to your trusted accounts from within your VPC and on-premises networks.

#AWS_Console

🆕 AWS Console-to-Code

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/console-to-code.html

Проект AWSConsoleRecorder от Ian Mckay по сути теперь запили в консоли.

#AWS_Console

AWS Console + multi-session support

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html

Чтобы переключиться в другой аккаунт больше не надо переключаться в инкогнито или использовать внешние утилиты. Жмём на имя аккаунта в консоли и выбираем
"Turn on multi-session support". Дальше "Add session" и "Sign in". И так до пяти штук.

⚠️ Фича пока доступна не для всех:

Multi-session support is currently only available to a limited number of user accounts.

⚠️ Не попутайте дев с продом. Как я. 😁

#AWS_Console