CI/CD: CodeCommit + CodeBuild + CodePipeline + Terraform
https://www.tecracer.com/blog/2023/05/terraform-ci/cd-pipelines-use-aws-codepipeline-to-build-fully-managed-deployment-pipelines-for-terraform..html
Хорошая задумка, мне нравится. Похожую схему использую много лет, лишь вместо CodePipeline у меня Jenkins и KICS в качестве SAST.
#CodeBuild #CodePipeline #Terraform
https://www.tecracer.com/blog/2023/05/terraform-ci/cd-pipelines-use-aws-codepipeline-to-build-fully-managed-deployment-pipelines-for-terraform..html
Хорошая задумка, мне нравится. Похожую схему использую много лет, лишь вместо CodePipeline у меня Jenkins и KICS в качестве SAST.
#CodeBuild #CodePipeline #Terraform
❤8
Какой Terraform предпочитаете?
Anonymous Poll
41%
Terraform без надстроек
25%
Terragrunt, Terramate и другие надстройки
35%
Посмотреть результаты 👀
Какую надстройку Terraform предпочитаете?
Anonymous Poll
4%
CDK for Terraform
29%
Terragrunt
1%
Terramate
0%
Terraplate
1%
Terraspace
1%
Другую
64%
Не использую / Посмотреть результаты 👀
Forwarded from AWS Weekly (Max Skutin)
☁️ Issue #74 – 4 June 2023
🟠 AppStream 2.0 DCV Extension SDK
🟠 Billing and Cost Management Invoice Summary
🟠 Database Migration Service Serverless general availability
🟠 Detective investigations for new threat detections
🟠 Direct Connect
▫️ location in Bogotá, Colombia
▫️ location in Inzai, Japan
▫️ location in Santiago, Chile
🟠 EC2 IMDS Packet Analyzer simplifies migration to IMDSv2
🟠 ECR pull through cache for registry.k8s.io as upstream
🟠 Elemental MediaTailor delivery of client-side overlay ads
🟠 EventBridge open-source connector for Kafka Connect
🟠 Fault Injection Simulator new actions for EKS and ECS
🟠 Fraud Detector Event Orchestration with EventBridge
🟠 HealthLake interoperability-related ONC and CMS patient access rules
🟠 Interactive Video Service advanced channel types for flexible input encoding
🟠 IoT FleetWise S3 support
🟠 Lambda Kafka and Amazon MQ event sources in four additional regions
🟠 Managed Grafana is now System and Organization Controls (SOC) compliant
🟠 Marketplace Management Portal fine-grained seller permissions access
🟠 Personalize now offers more flexibility in model training
🟠 Polly +2 female NTTS voices in Irish English and Danish
🟠 Pricing Calculator visibility of point in time cost estimations
🟠 RDS for MySQL Optimized Reads on Multi-AZ with 2 readable standby-s
🟠 RDS for Oracle converting instances to CDB architecture
🟠 RDS for PostgreSQL HypoPG for creating hypothetical indexes
🟠 Route 53 GuardDuty threat intelligence
🟠 SageMaker Ground Truth Plus human feedback and fine-tuning data for Generative AI
🟠 Security Lake is now generally available
🟠 Service Catalog wildcards in IAM principal name associations
🟠 Shield Advanced CloudFormation support
🟠 Snow Family quickens multi-PB data migration with new 210TB device
🟠 SNS X-Ray active tracing for FIFO topics
🟠 VPC IP Address Manager customizable dashboard with new insights
🟠 WorkSpaces NICE DCV Extension SDK
▫️ location in Bogotá, Colombia
▫️ location in Inzai, Japan
▫️ location in Santiago, Chile
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Sensitive IAM Actions
https://github.com/primeharbor/sensitive_iam_actions
This repo contains a list of IAM Actions that fall into one of four risk categories:
• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure
#IAM #security
https://github.com/primeharbor/sensitive_iam_actions
This repo contains a list of IAM Actions that fall into one of four risk categories:
• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure
#IAM #security
GitHub
GitHub - primeharbor/sensitive_iam_actions: Crowdsourced list of sensitive IAM Actions
Crowdsourced list of sensitive IAM Actions. Contribute to primeharbor/sensitive_iam_actions development by creating an account on GitHub.
👍8
⚠️ Attention — EKS 1.22 support ended on
https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar
EKS 1.23 will end support on
#EKS
June 4.https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar
EKS 1.23 will end support on
October 11, 2023 — worth thinking about upgrading.#EKS
😱8🔥6👍2👨💻1
Forwarded from Человек и машина
#машины_aws
Для CloudFormation был разработан линтер cfn-lint, который на базе разных правил проверял шаблон на вшивость. Одной из моих любимых фишек этого линтера была возможность написать свое правило на том же языке, что и сам линтер, т.е. на Python.
А раз для написания правила используется верхнеуровневый язык программирования, то положить в это правило можно буквально все что угодно. Автор помнит времена, когда он злоупотреблял Boto3, чтобы в рамках правила делать вызовы на AWS API и делать более точечные проверки, например, если hardcoded ARN ссылается на существующий ресурс.
У таких свистоплясок есть очевидный недостаток. Например, если линт проходит в рамках CI, то у сборочного агента должен быть доступ в AWS, не говоря уже о том, что мы нагружаем линтер функциональностью, для которой он никогда не предназначался.
И вот я в очередном туре по кишкам CFN, изучая расширения, нашел расширение Hooks. Hooks проверяют разные типы ресурсов на соответствие определенным правилам, но в этот раз правила проверяются на стороне самого CloudFormation. Может показаться, что это бесполезное дело, ресурс дешевле проверить до развертывания, а не во время развертывания.
С другой стороны можно застраховаться от тех, кто катит CFN вручную и не применяет линтер, или если приходящие изменения в вашу инфраструктуру не под вашим контролем. Hooks это такой способ защититься от неприемлемых изменений, поскольку они не допускают абьюза со стороны ленивых девопсов.
Но для этого нужно побороть сначала свою лень и написать много правил на все случаи жизни. 🙂
Для CloudFormation был разработан линтер cfn-lint, который на базе разных правил проверял шаблон на вшивость. Одной из моих любимых фишек этого линтера была возможность написать свое правило на том же языке, что и сам линтер, т.е. на Python.
А раз для написания правила используется верхнеуровневый язык программирования, то положить в это правило можно буквально все что угодно. Автор помнит времена, когда он злоупотреблял Boto3, чтобы в рамках правила делать вызовы на AWS API и делать более точечные проверки, например, если hardcoded ARN ссылается на существующий ресурс.
У таких свистоплясок есть очевидный недостаток. Например, если линт проходит в рамках CI, то у сборочного агента должен быть доступ в AWS, не говоря уже о том, что мы нагружаем линтер функциональностью, для которой он никогда не предназначался.
И вот я в очередном туре по кишкам CFN, изучая расширения, нашел расширение Hooks. Hooks проверяют разные типы ресурсов на соответствие определенным правилам, но в этот раз правила проверяются на стороне самого CloudFormation. Может показаться, что это бесполезное дело, ресурс дешевле проверить до развертывания, а не во время развертывания.
С другой стороны можно застраховаться от тех, кто катит CFN вручную и не применяет линтер, или если приходящие изменения в вашу инфраструктуру не под вашим контролем. Hooks это такой способ защититься от неприемлемых изменений, поскольку они не допускают абьюза со стороны ленивых девопсов.
Но для этого нужно побороть сначала свою лень и написать много правил на все случаи жизни. 🙂
👍8
AWS & Telegram
Belarus:
@aws_minsk AWS Minsk Community
Kazakhstan:
@aws_kz AWS User Group Kazakhstan Announcements
https://xn--r1a.website/+olvuuRvutxUwNDAy AWS User group Kazakhstan
Poland:
@aws_polska AWS Polska
@aws_pl AWS Notes Polska
Russia:
@aws_ru ☁️ AWS_RU
@aws_community AWS Community
Ukraine:
@AWS_UG_Ukraine AWS User Group Ukraine
@aws_ua AWS Україна
@aws_ua_notes AWS Notes Україна
Uzbekistan:
@AWSUserGroupTashkent AWS User Group | Tashkent
@AWSUserGroup AWS User Group Tashkent | Chat
General:
@awsamazon (English) AWS User Group ☁️
@awsweekly AWS Weekly
@aws_cdk AWS CDK
@aws_notes_chat AWS Notes chat
@aws_notes AWS Notes
Related to AWS:
@manandthemachine Человек и машина
@cloudandcybersecurity Cloud and Cybersecurity
@webapparch ⌨️ From Finance to SDE at Amazon
All AWS channels:
🔹 https://xn--r1a.website/addlist/BBAsMb5MiYZmYWRi
All AWS chats:
🔸 https://xn--r1a.website/addlist/DtTNUONzpUZjYTEy
Belarus:
@aws_minsk AWS Minsk Community
Kazakhstan:
@aws_kz AWS User Group Kazakhstan Announcements
https://xn--r1a.website/+olvuuRvutxUwNDAy AWS User group Kazakhstan
Poland:
@aws_polska AWS Polska
@aws_pl AWS Notes Polska
Russia:
@aws_ru ☁️ AWS_RU
@aws_community AWS Community
Ukraine:
@AWS_UG_Ukraine AWS User Group Ukraine
@aws_ua AWS Україна
@aws_ua_notes AWS Notes Україна
Uzbekistan:
@AWSUserGroupTashkent AWS User Group | Tashkent
@AWSUserGroup AWS User Group Tashkent | Chat
General:
@awsamazon (English) AWS User Group ☁️
@awsweekly AWS Weekly
@aws_cdk AWS CDK
@aws_notes_chat AWS Notes chat
@aws_notes AWS Notes
Related to AWS:
@manandthemachine Человек и машина
@cloudandcybersecurity Cloud and Cybersecurity
@webapparch ⌨️ From Finance to SDE at Amazon
All AWS channels:
🔹 https://xn--r1a.website/addlist/BBAsMb5MiYZmYWRi
All AWS chats:
🔸 https://xn--r1a.website/addlist/DtTNUONzpUZjYTEy
🔥12❤🔥2💩2🤯1
🆕 Container Image Signing for ECR with AWS Signer:
https://aws.amazon.com/blogs/containers/announcing-container-image-signing-with-aws-signer-and-amazon-eks/
▫️ Using the Notation client with the AWS Signer plugin, you can implement a simple client-based workflow for signing and verifying your container images.
▫️ Using the Kyverno-Notation-AWS Signer solution, you can validate container images in Kubernetes.
#ECR #Signer #EKS
https://aws.amazon.com/blogs/containers/announcing-container-image-signing-with-aws-signer-and-amazon-eks/
▫️ Using the Notation client with the AWS Signer plugin, you can implement a simple client-based workflow for signing and verifying your container images.
▫️ Using the Kyverno-Notation-AWS Signer solution, you can validate container images in Kubernetes.
#ECR #Signer #EKS
Amazon
Announcing Container Image Signing with AWS Signer and Amazon EKS | Amazon Web Services
Introduction Today we are excited to announce the launch of AWS Signer Container Image Signing, a new capability that gives customers native AWS support for signing and verifying container images stored in container registries like Amazon Elastic Container…
🔥5
50% скидка на Associate экзамены AWS (Architect Associate, Developer Associate, SysOps Administrator Associate)
https://pages.awscloud.com/GLOBAL-ln-GC-Traincert-Associate-Certification-Challenge-Registration-2023.html
https://pages.awscloud.com/GLOBAL-ln-GC-Traincert-Associate-Certification-Challenge-Registration-2023.html
Amazon
AWS Support and Customer Service Contact Info | Amazon Web Services
On this page, you’ll find info regarding the different ways to get in touch with AWS support, including Sales, Technical, Compliance, and Login support.
❤4
aws-prescriptive-guidance-patterns.pdf
54 MB
📖 Что почитать в дороге?
AWS Prescriptive Guidance — Patterns
AWS Prescriptive Guidance — Patterns
👍7❤1
Forwarded from AWS Weekly (Max Skutin)
▫️ Apache Hudi, Apache Iceberg, and Delta Lake
▫️ custom Java libraries
▫️ programmatic trust access with AWS Organizations
▫️ skips suspended accounts
▫️ data protection account level policy configuration
▫️ Live Tail
▫️ advanced queries support +30 resource types
▫️ recording exclusions by resource type
▫️ account access configuration flexibility
▫️ Account Factory Single Region Terraform
GA▫️ Ruby 3.2 runtime
▫️ SnapStart for Java +7 regions
▫️ APIs to automate and accelerate assets deployment
▫️ geospatial heatmap for points on maps
▫️ standardized user level cost and usage data
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1
Порекомендую для следующего проекта:
Anonymous Poll
16%
ECS — я DevOps/SRE
42%
EKS — я DevOps/SRE
6%
ECS — я не DevOps/SRE
6%
EKS — я не DevOps/SRE
31%
Посмотреть результаты 👀
👍3🤔2🔥1🤡1
↑↑↑ Опрос ↑↑↑ возник на фоне обсуждение статьи https://leanercloud.beehiiv.com/p/recommended-ecs-instead-kubernetes-latest-customer на Reddit — интересно узнать разброс мнений.
LeanerCloud News
Why I recommended ECS instead of Kubernetes to my latest customer
And how a cost optimization exercise often leads to deeper modernization of cloud applications
❤2
⚒️
https://github.com/ljacobsson/lambda-debug
🏠 Local debugging: Set breakpoints in your code and step through your functions invocations locally on native events triggered in the cloud.
👍 No code changes: No need to modify your code to enable debugging. Just add some dev dependencies and some configuration.
🔐 Same IAM permissions: Your functions will run with the same IAM permissions as they do in the cloud.
⚡ Fast iterations: No need to deploy your code to the cloud to test changes. Just save your code and invoke your functions in the cloud.
#Lambda
lambda-debug is a tool that enables you to invoke Lambda functions in the cloud from any event source and intercept the requests with breakpoints locally.https://github.com/ljacobsson/lambda-debug
🏠 Local debugging: Set breakpoints in your code and step through your functions invocations locally on native events triggered in the cloud.
👍 No code changes: No need to modify your code to enable debugging. Just add some dev dependencies and some configuration.
🔐 Same IAM permissions: Your functions will run with the same IAM permissions as they do in the cloud.
⚡ Fast iterations: No need to deploy your code to the cloud to test changes. Just save your code and invoke your functions in the cloud.
#Lambda
❤6🔥6👍2
https://aws.amazon.com/about-aws/whats-new/2023/06/aws-config-recording-exclusions-resource-type/
Итого: 8 лет и 7 месяцев, ура!
#Config
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
AWS Notes
🆕 Удаление ECS Task Definitions: 🎉
https://aws.amazon.com/blogs/containers/announcing-amazon-ecs-task-definition-deletion/
Не прошло и 5..8.., не прошло и 10 лет (ECS появился в 2014-м году)!
Учитесь — как можно выйти в прод, проработать там вечность…
https://aws.amazon.com/blogs/containers/announcing-amazon-ecs-task-definition-deletion/
Не прошло и 5..8.., не прошло и 10 лет (ECS появился в 2014-м году)!
Учитесь — как можно выйти в прод, проработать там вечность…
🔥8
The world's most advanced cloud security conference — fwd:cloudsec 2023
Day 1
• https://www.youtube.com/watch?v=JCphc30kFSw
• https://www.youtube.com/watch?v=up4nfzeXYlU
Day 2
• https://www.youtube.com/watch?v=ZvdYgL6b9xE
• https://www.youtube.com/watch?v=B3t-mUU_fRU
#security #video
Day 1
• https://www.youtube.com/watch?v=JCphc30kFSw
• https://www.youtube.com/watch?v=up4nfzeXYlU
Day 2
• https://www.youtube.com/watch?v=ZvdYgL6b9xE
• https://www.youtube.com/watch?v=B3t-mUU_fRU
#security #video
👍3🔥2
Increased Error Rates and Latencies
Degradation (4 services)
AWS CloudFormation
AWS Lambda
Amazon API Gateway
Amazon Connect
Total affected services: 72
Jun 13 1:38 PM PDT We are beginning to see an improvement in the Lambda function error rates. We are continuing to work towards full recovery.Jun 13 1:14 PM PDT We are continuing to work to resolve the error rates invoking Lambda functions. We're also observing elevated errors obtaining temporary credentials from the AWS Security Token Service, and are working in parallel to resolve these errors.Jun 13 12:36 PM PDT We are continuing to experience increased error rates and latencies for multiple AWS Services in the US-EAST-1 Region. We have identified the root cause as an issue with AWS Lambda, and are actively working toward resolution. For customers attempting to access the AWS Management Console, we recommend using a region-specific endpoint (such as: https://us-west-2.console.aws.amazon.com). We are actively working on full mitigation and will continue to provide regular updates.Jun 13 12:26 PM PDT We have identified the root cause of the elevated errors invoking AWS Lambda functions, and are actively working to resolve this issue.Jun 13 12:19 PM PDT AWS Lambda function invocation is experiencing elevated error rates. We are working to identify the root cause of this issue.Jun 13 12:08 PM PDT We are investigating increased error rates and latencies in the US-EAST-1 Region.Degradation (4 services)
AWS CloudFormation
AWS Lambda
Amazon API Gateway
Amazon Connect
Total affected services: 72
👍1