Get to know Kubernetes.

#friday

🆕 Kube Resource Orchestrator (kro)

https://kro.run

🔸Single ResourceGroup for multiple resources
🔹Resource dependencies
🔹Configuration management
🔹Controller deployment
🔹Lifecycle management

AWS Blog:

https://aws.amazon.com/blogs/opensource/introducing-open-source-kro-kube-resource-orchestrator/

#OpenSource #Kubernetes

10 лет назад вышла AWS Lambda. 🎉

https://aws.amazon.com/about-aws/whats-new/2014/11/13/introducing-aws-lambda/

Serverless пошёл второй десяток.

#Lambda #Serverless

Resource control policies — RCPs

https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/

Как SCP, но для ресурсов.

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html

Действует на уровне AWS Organizations. Перекрывает IAM права, как и SCP. В результате с помощью RCP можно просто запретить доступ к S3 бакетам извне организации.

RCP vs SCP — SCP для ролей, RCP для ресурсов, в чём-то перекрывают друг друга, RCP важное дополнение SCP.

На текущий момент поддерживает лишь следующие ресурсы:

• S3
• STS
• KMS
• SQS
• Secrets Manager

⚠️ Как и SCP, RCP не применяется к Management (главному, root) аккаунту.

#RCP #Organizations

Диаграмма работы IAM в AWS с учётом RCP

RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.

Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.

#RCP #IAM

Lambda + Python 3.13

https://aws.amazon.com/blogs/compute/python-3-13-runtime-now-available-in-aws-lambda/

#Lambda

Вы хотели S3 бакетов? Да пожалуйста!

https://aws.amazon.com/about-aws/whats-new/2024/11/amazon-s3-up-1-million-buckets-per-aws-account

2006: 100
2015: 100 - 1000
2022: 1000 - 10 000
2024-11: 10 000 - 1 000 000

#S3

Root access management

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

С помощью Root access management можно централизованно на уровне всей организации выключить root-пользователей оптом сразу во всех под-аккаунтах.

Чтобы выполнить действия, требующие именно root-юзера, например, снятие неудачно применённой S3 bucket policy, то используем perform a privileged task. Когда можно переключиться из главного аккаунта в под-аккаунт в специальную "short-term" root-сессию.

Таким образом у вас (у нас) появляется официальная возможность послать всех безопасников с их проверками на root-пользователей нафиг упростить механизмы соответствия compliance требованиям.

P.S. Кто не может найти у себя такую картинку — это доступно только в главном (management) аккаунте или аккаунте delegated administrator for IAM.

#IAM #Organizations #root

Upcoming free webinar: Solving AWS VPC CIDR overlaps

AWS VPC CIDR overlaps can cause routing conflicts, security gaps, and operational issues. This live session with AWS-certified expert Serhii Kaidalov provides you with practical strategies to resolve these challenges.

🔍 What You’ll Gain:
- Effective strategies to identify and resolve CIDR overlaps
- Step-by-step insights into implementing AWS-specific solutions
- Expert tips to secure your network and streamline operations

👨‍💻 Speaker: Serhii Kaidalov - 8x AWS-certified Solution Architect with over 6 years of experience in DevOps and Cloud
📅 Date and time: November 20th, 11:00 UTC-5

🎟 Secure your spot: https://bit.ly/4ewxMWZ

🚀 Join our AWS Workshop on November 21st! 🚀

We are excited to announce that on Thursday, November 21st, we are hosting an AWS Workshop "One Observability Workshop", open to everyone!

☁️ November 21, 2024
☁️ Free of charge
☁️ Online
☁️ English

This workshop provides hands-on experience with a wide variety of tools AWS offers for monitoring and observability.

The workshop will be led by Sergey Kirgizov, an AWS expert and Cloud Engineering Manager I at EPAM Systems.

We will provide a dedicated training account for each participant who registers via the Google Form (https://forms.gle/EeEPVPNCUGfc18Qq7). However, you can also use your personal AWS account to participate.

IMPORTANT: Please make sure to complete the Google Form https://forms.gle/EeEPVPNCUGfc18Qq7 registration by 22:00 UTC+2 on November 20th.

Find out more details and register for the workshop via the link below:
https://wearecommunity.io/events/one-observability-workshop

🆕 Lambda SnapStart + Python / .NET

https://aws.amazon.com/blogs/aws/aws-lambda-snapstart-for-python-and-net-functions-is-now-generally-available/

Фича SnapStart, ускоряющая ColdStart Лямбды в 10 раз, теперь и для Python, и для .NET.

Два года была доступна лишь Java, поддержка других определённо затянулась, хотя фича реально полезная. Что ж, ждём тестов.

P.S. Вадим Казулкин, который наклепал десятки полезных материалов по ColdStart для Java, теперь получит ещё в два раза больше работы. 😀

#Lambda

AWS SSO + PKCE

https://aws.amazon.com/blogs/developer/aws-cli-adds-pkce-based-authorization-for-sso/

⚠️ Требуется AWS CLI версии 2.22.0 или более новая.

#SSO

VPC Block Public Access или Security Groups для ваших Security Groups

https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-block-public-access/

Ещё один firewall для ваших firewall-ов, который работает на уровне выше, чем отдельная VPC - на уровне AWS аккаунта (вскоре это можно будет раскатывать сразу на всю организацию, но пока лишь на уровне аккаунта в одном регионе).

Желание адекватное — а сделайте нам выключатель, чтобы можно было оптом запретить внешний доступ сразу везде, а не бороздить просторы аккаунта в поисках ресурсов с Security Groups, разрешающих внешний доступ (равно как и запрет врагам и наивным разработчикам такое себе создать).

Теперь можно включить VPC Block Public Access и наличие открытого доступа в интернет, равно как и публичный айпишник, не помогут.

С другой стороны, это дополнительное усложнение сетевой части, ещё уровень абстракции, теперь нужно будет помнить не только про когда-то тобою же предательски настроенные NACL, но ещё и что из-за требований Security Hub был включен VPC Block Public Access. А тебе тут по-быстрому нужно что-то проверить-отладить.

В общем, безопасность продолжает наступать, поднимая сложность на новый уровень.

P.S. Опять обновлять примерно все базовые курсы по AWS. 😁

#VPC

CloudFront VPC origins — подключаем CloudFront к приватным ALB/NLB/EC2

https://aws.amazon.com/blogs/aws/introducing-amazon-cloudfront-vpc-origins-enhanced-security-and-streamlined-operations-for-your-applications/

CloudFront — публичная сущность, поэтому просто так добраться до приватных ресурсов не может по определению. Кто хотел раздавать приватный контент, приходилось создавать внешний балансер. А для внутренних (в приватной подсети) балансеров такое сделать было нельзя.

CloudFront VPC origins решают эту проблему. Сначала вы создаёте CloudFront VPC origin в нужной VPC — по сути прокси для доступа в VPC из CloudFront. После этого можно выбрать созданный CloudFront VPC origin в качестве Origin в вашем CloudFront.

Ещё один набор костылей / лишних балансеров можно удалить.

P.S. При таком подходе (CloudFront VPC origins) могут возникнуть вопросы у безопасников. Возможность так лихо раздавать из интернета приватные ресурсы их может не порадовать. Так что попытка сэкономить таким образом наверняка закончится дополнительными расходами на WAF. 😁

#CloudFront

Aurora Serverless v2 + scaling to 0 = настоящий ServerLess

https://aws.amazon.com/blogs/database/introducing-scaling-to-0-capacity-with-amazon-aurora-serverless-v2/

Как и для первой версии, теперь честный ServerLess доступен для Aurora Serverless v2. То есть можно скейлить в 0.

Отличный повод проапгрейдиться как минимум до PostgreSQL 13 и MySQL 3, если вы ещё нет, т.к. более старые не поддерживаются.

#Aurora #Serverless

☁️ RS AWS Club ☁️

Продолжаем серию практических встреч c Anton Kovalenko (Senior Solutions Architect, AWS Munich).

В эту пятницу, 22 ноября, нас ждет официальный старт рефакторинга приложения с помощью Amazon Q Developer. Без теории, а сразу реальная работа с кодом.

📺 Встреча пройдет в 15:00 CET (GMT+1) на нашем YouTube канале:
https://www.youtube.com/watch?v=jNJeB9BSnMY

Жмите колокольчик, чтобы не пропустить начало! 🔔