Для отладки проблем на AWS - мои #best_practices:
- включить логирование с помощью awslogs
- включить vpc flow logs (их можно/нужно складывать в ES для просмотра)
- не забывать / проверить права Network ACL
- не забывать про исходящий трафик, который может быть почему-то закрыт
- смотреть в awslogs-логах на инстансе с проблемами - каких конкретно прав не хватает сервисам типа SSM
- для S3 не забывать про зависимость от регионов
- для cross-account работы S3 не забывать, что у аккаунта из которого идёт доступ даже админу нужно дать права на s3://bucket-in-other-acc (т.к. по умолчанию лишь на свои #check_it)
- не забывать про Route Tables, особенно при VPC-пиринге в разные подсети
- не забывать про текущие ограничения некоторых сервисов, что не всё может делаться через CloudFormation и что новообъявленные фичи не сразу имплементируются (в CloudFormation + зависит от региона)
- не забывать про отличие IAM и S3 policy как resource-based
- не забывать, что для public-ресурсов (например, ES) нельзя использовать IAM role (только user + credentials и уже у юзера может быть роль) - для IAM role нужно использовать ресурсы в VPC
#trace #logs #todo #use_it
- включить логирование с помощью awslogs
- включить vpc flow logs (их можно/нужно складывать в ES для просмотра)
- не забывать / проверить права Network ACL
- не забывать про исходящий трафик, который может быть почему-то закрыт
- смотреть в awslogs-логах на инстансе с проблемами - каких конкретно прав не хватает сервисам типа SSM
- для S3 не забывать про зависимость от регионов
- для cross-account работы S3 не забывать, что у аккаунта из которого идёт доступ даже админу нужно дать права на s3://bucket-in-other-acc (т.к. по умолчанию лишь на свои #check_it)
- не забывать про Route Tables, особенно при VPC-пиринге в разные подсети
- не забывать про текущие ограничения некоторых сервисов, что не всё может делаться через CloudFormation и что новообъявленные фичи не сразу имплементируются (в CloudFormation + зависит от региона)
- не забывать про отличие IAM и S3 policy как resource-based
- не забывать, что для public-ресурсов (например, ES) нельзя использовать IAM role (только user + credentials и уже у юзера может быть роль) - для IAM role нужно использовать ресурсы в VPC
#trace #logs #todo #use_it
Assisted Log Enabler for AWS находит ресурсы, для которых не включено логирование и включает его:
https://aws.amazon.com/blogs/opensource/introducing-assisted-log-enabler-for-aws/
#logs
https://aws.amazon.com/blogs/opensource/introducing-assisted-log-enabler-for-aws/
With this script, logging is turned on automatically for:• Amazon VPC Flow Logs (Single Account and Multi-Account using Organizations)• AWS CloudTrail (Single Account Only)• Amazon Elastic Kubernetes Service (EKS) Audit and Authenticator Logs (Single Account and Multi-Account using Organizations)• Amazon Route 53 Resolver Query Logs (Single Account and Multi-Account using Organizations)#logs
Amazon
Introducing Assisted Log Enabler for AWS | Amazon Web Services
Logging information is important for troubleshooting issues and analyzing performance, and when Amazon Web Services (AWS) customers do not have logging turned on, the ability to assist them becomes limited, to the point that performing analysis may be impossible.…