Weekly Summary on AWS (
🔸 ACK (AWS Controllers for Kubernetes) + EKS, ECR, DynamoDB, S3, Autoscaling and API Gateway v2 + GA 👀
🔸 Amazon Linux 2022 + ECS-optimized AMI
🔸 Amplify Geo for Android + GA
🔸 Amplify Studio + GA 💪
🔸 Athena + 10 new data sources 🔥
🔸 Aurora Serverless v2 + GA 🎉
🔸 Batch + dynamically update configuration
🔸 CloudFormation + 35 new resources
🔸 Connect + API for phone numbers
🔸 DevOps Guru Proactive Insights for Serverless Applications
🔸 EC2 Auto Scaling + default instance warm-up time
🔸 EKS + OpenTelemetry Operator addon
🔸 Glue
➖ Auto Scaling + GA
➖ Interactive Sessions + GA
➖ Glue Studio Detect PII + GA
➖ Glue Studio Job Notebooks + GA
🔸 IoT TwinMaker + GA 👍
🔸 Kendra
➖ Box Connector
➖ Quip Connector
🔸 Keyspaces + Spark Cassandra connector
🔸 KMS + HMAC 👀
🔸 Macie + discovering more types of sensitive data
🔸 Migration Hub Orchestrator
🔸 Neptune
➖ Free trial 👈
➖ IAM global condition keys
➖ openCypher GA
🔸 Personalize + starting and stopping recommender
🔸 PrivateLink + Batch
🔸 QuickSight + 1-click public embedding
🔸 RDS + Multi-AZ for Outposts
🔸 Redshift Audit Logging + CloudWatch
🔸 SageMaker Serverless Inference + GA
🔸 Security Hub + cross-Region security scores and compliance statuses
🔸 Step Functions + 20 new AWS SDK integrations
🔸 Textract + Queries
🔹 Corretto 18.0.1, 17.0.3, 11.0.15, and 8u332
🔹 Launch Wizard
➖ IIS
➖ Microsoft Exchange Server
🔹 MQ + ActiveMQ 5.16.4
#AWS_week
April 17-23)🔸 ACK (AWS Controllers for Kubernetes) + EKS, ECR, DynamoDB, S3, Autoscaling and API Gateway v2 + GA 👀
🔸 Amazon Linux 2022 + ECS-optimized AMI
🔸 Amplify Geo for Android + GA
🔸 Amplify Studio + GA 💪
🔸 Athena + 10 new data sources 🔥
🔸 Aurora Serverless v2 + GA 🎉
🔸 Batch + dynamically update configuration
🔸 CloudFormation + 35 new resources
🔸 Connect + API for phone numbers
🔸 DevOps Guru Proactive Insights for Serverless Applications
🔸 EC2 Auto Scaling + default instance warm-up time
🔸 EKS + OpenTelemetry Operator addon
🔸 Glue
➖ Auto Scaling + GA
➖ Interactive Sessions + GA
➖ Glue Studio Detect PII + GA
➖ Glue Studio Job Notebooks + GA
🔸 IoT TwinMaker + GA 👍
🔸 Kendra
➖ Box Connector
➖ Quip Connector
🔸 Keyspaces + Spark Cassandra connector
🔸 KMS + HMAC 👀
🔸 Macie + discovering more types of sensitive data
🔸 Migration Hub Orchestrator
🔸 Neptune
➖ Free trial 👈
➖ IAM global condition keys
➖ openCypher GA
🔸 Personalize + starting and stopping recommender
🔸 PrivateLink + Batch
🔸 QuickSight + 1-click public embedding
🔸 RDS + Multi-AZ for Outposts
🔸 Redshift Audit Logging + CloudWatch
🔸 SageMaker Serverless Inference + GA
🔸 Security Hub + cross-Region security scores and compliance statuses
🔸 Step Functions + 20 new AWS SDK integrations
🔸 Textract + Queries
🔹 Corretto 18.0.1, 17.0.3, 11.0.15, and 8u332
🔹 Launch Wizard
➖ IIS
➖ Microsoft Exchange Server
🔹 MQ + ActiveMQ 5.16.4
#AWS_week
👍2
IAM Roles Anywhere: 🔥🔥🔥
https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/
Huge update, don't miss it!
And this is not only for data centers, not only for accessing AWS services through a IAM role from Azure or Google. This means that you can now secure your computer via the TPM chip on the motherboard to the AWS IAM role. No credentials, impossible to steal, no need to log in. This is great!
#IAM
https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/
Huge update, don't miss it!
And this is not only for data centers, not only for accessing AWS services through a IAM role from Azure or Google. This means that you can now secure your computer via the TPM chip on the motherboard to the AWS IAM role. No credentials, impossible to steal, no need to log in. This is great!
#IAM
Amazon
Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | Amazon Web Services
AWS Identity and Access Management (IAM) has now made it easier for you to use IAM roles for your workloads that are running outside of AWS, with the release of IAM Roles Anywhere. This feature extends the capabilities of IAM roles to workloads outside of…
🔥6👍3
AWS SSO переименовали в AWS IAM Identity Center, теперь это часть IAM сервиса.
https://aws.amazon.com/iam/identity-center/
Демо-видео:
https://www.youtube.com/watch?v=4yJp5-jGGNk
AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.
Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.
p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁
#SSO #IAM
https://aws.amazon.com/iam/identity-center/
IAM Identity Center helps you securely create, or connect, your workforce identities and manage their access centrally across AWS accounts and applications. IAM Identity Center is the recommended approach for workforce authentication and authorization in AWS, for organizations of any size and type. Демо-видео:
https://www.youtube.com/watch?v=4yJp5-jGGNk
AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.
Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.
p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁
#SSO #IAM
🔥14👍2👎1
IAM Roles, прикреплённые к виртуалкам, работают через EC2 Instance Profiles. Это даёт некоторую специфику, например, когда роль убирается у виртуалки, а она ещё некоторое время продолжает отрабатывать права, что были у виртуалки ранее с уже отсутствующей ролью.
Как это происходит и почему в деталях описано здесь:
https://www.uptycs.com/blog/aws-iam-roles-instance-profiles
AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.
#IAM #EC2
Как это происходит и почему в деталях описано здесь:
https://www.uptycs.com/blog/aws-iam-roles-instance-profiles
AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.
#IAM #EC2
Uptycs
An Unholy Marriage: AWS Instance Profile & IAM Role
Explore the intricate dynamics between AWS instance profile & IAM roles. Dive deep into quirks, behaviors & impact on EC2 instances for improved security.
👍13
📙 AWS IAM Actions:
https://www.awsiamactions.io/
Хорошая штука для реализации Principle of Least Privilege, уточнения ARN, осознания непостижимости IAM и просто для медитации.
Как-то писал про https://aws.permissions.cloud/ со сходным функционалом, но этот вариант выглядит более удобным.
#IAM
https://www.awsiamactions.io/
Хорошая штука для реализации Principle of Least Privilege, уточнения ARN, осознания непостижимости IAM и просто для медитации.
Как-то писал про https://aws.permissions.cloud/ со сходным функционалом, но этот вариант выглядит более удобным.
#IAM
👍13❤3
Вдруг вы не заметили в AWS IAM Actions есть Generator:
https://www.awsiamactions.io/generator
В нём можно не только собрать нужную конструкцию политик в JSON, но и сразу же конвертировать это в Terraform и CloudFormation.
#IAM #Terraform #CloudFormation
https://www.awsiamactions.io/generator
В нём можно не только собрать нужную конструкцию политик в JSON, но и сразу же конвертировать это в Terraform и CloudFormation.
#IAM #Terraform #CloudFormation
🔥37👍1
Sensitive IAM Actions
https://github.com/primeharbor/sensitive_iam_actions
This repo contains a list of IAM Actions that fall into one of four risk categories:
• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure
#IAM #security
https://github.com/primeharbor/sensitive_iam_actions
This repo contains a list of IAM Actions that fall into one of four risk categories:
• Credential Exposure
• Data Access
• Privilege Escalation
• Resource Exposure
#IAM #security
GitHub
GitHub - primeharbor/sensitive_iam_actions: Crowdsourced list of sensitive IAM Actions
Crowdsourced list of sensitive IAM Actions. Contribute to primeharbor/sensitive_iam_actions development by creating an account on GitHub.
👍8
🆕 EKS Pod Identity или IRSA уходит на пенсию
https://aws.amazon.com/blogs/aws/amazon-eks-pod-identity-simplifies-iam-permissions-for-applications-on-amazon-eks-clusters/
Теперь вместо IRSA для выдачи IAM прав поду можно (нужно) использовать EKS Pod Identity:
1. Ставим add-on EKS Pod Identity.
2. Делаем IAM Role с
3. Мапим сделанную роль на нужный
Отличия EKS Pod Identity от IRSA:
▫️ Нет OIDC.
▫️ Обычная IAM Role для всех кластеров.
▫️ Меньше нагрузка на ноду (How EKS Pod Identity works).
⚠️ Ограничения использования EKS Pod Identity:
▫️ Поддерживается с EKS 1.24+
▫️ Fargate, а также Windows-контейнеры не поддерживаются
▫️ Умеют лишь IRSA (как минимум пока): AWS Load Balancer Controller, амазоновские VPC CNI и CSI storage drivers (self-managed при этом работают)
#EKS #IAM
https://aws.amazon.com/blogs/aws/amazon-eks-pod-identity-simplifies-iam-permissions-for-applications-on-amazon-eks-clusters/
Теперь вместо IRSA для выдачи IAM прав поду можно (нужно) использовать EKS Pod Identity:
1. Ставим add-on EKS Pod Identity.
2. Делаем IAM Role с
pods.eks.amazonaws.com в trusted.3. Мапим сделанную роль на нужный
service account с помощью pod-identity-association (пока лишь в консоли или AWS CLI, ждём поддержки в IaC).Отличия EKS Pod Identity от IRSA:
▫️ Нет OIDC.
▫️ Обычная IAM Role для всех кластеров.
▫️ Меньше нагрузка на ноду (How EKS Pod Identity works).
⚠️ Ограничения использования EKS Pod Identity:
▫️ Поддерживается с EKS 1.24+
▫️ Fargate, а также Windows-контейнеры не поддерживаются
▫️ Умеют лишь IRSA (как минимум пока): AWS Load Balancer Controller, амазоновские VPC CNI и CSI storage drivers (self-managed при этом работают)
#EKS #IAM
👍11
AWS Notes
Resource control policies — RCPs https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/ Как SCP, но для ресурсов. https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html…
Диаграмма работы IAM в AWS с учётом RCP
RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.
Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.
#RCP #IAM
RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.
Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.
#RCP #IAM
👍7
Root access management
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html
С помощью Root access management можно централизованно на уровне всей организации выключить root-пользователей оптом сразу во всех под-аккаунтах.
Чтобы выполнить действия, требующие именно root-юзера, например, снятие неудачно применённой S3 bucket policy, то используем perform a privileged task. Когда можно переключиться из главного аккаунта в под-аккаунт в специальную "short-term" root-сессию.
Таким образом у вас (у нас) появляется официальная возможностьпослать всех безопасников с их проверками на root-пользователей нафиг упростить механизмы соответствия compliance требованиям.
P.S. Кто не может найти у себя такую картинку — это доступно только в главном (management) аккаунте или аккаунте delegated administrator for IAM.
#IAM #Organizations #root
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html
С помощью Root access management можно централизованно на уровне всей организации выключить root-пользователей оптом сразу во всех под-аккаунтах.
Чтобы выполнить действия, требующие именно root-юзера, например, снятие неудачно применённой S3 bucket policy, то используем perform a privileged task. Когда можно переключиться из главного аккаунта в под-аккаунт в специальную "short-term" root-сессию.
Таким образом у вас (у нас) появляется официальная возможность
P.S. Кто не может найти у себя такую картинку — это доступно только в главном (management) аккаунте или аккаунте delegated administrator for IAM.
#IAM #Organizations #root
🔥24❤3👏1
RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:
Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:PrincipalOrgID": "o-012345aabb"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
👍23🔥11
Roman Siewko
Недоступные AWS сервисы на новом Free Tier:
Control Tower
Organizations
...
стоп, што-а-а?! А как же мультиаккаунты, бестпрактики, все дела?!
Control Tower
Organizations
...
стоп, што-а-а?! А как же мультиаккаунты, бестпрактики, все дела?!
Специально для счастливых обладателей нового Free Tier (заведённого после
НЕ следуйте рекомендациям в AWS Console по включению AWS Organizations для создания IAM Identity Center! Иначе ваш план автоматически будет проапгрейжен на платную версию (Paid plan).
Для включения IAM Identity Center используйте его отдельный инстанс в аккаунте. Для этого выбирайте вторую опцию мелким текстом.
P.S. Кто пропустил — можно создавать IAM Identity Center в отдельных аккаунтах кроме одного общего на AWS Organization:
https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html
#FreeTier #organizations #IAM
July 15, 2025):НЕ следуйте рекомендациям в AWS Console по включению AWS Organizations для создания IAM Identity Center! Иначе ваш план автоматически будет проапгрейжен на платную версию (Paid plan).
Для включения IAM Identity Center используйте его отдельный инстанс в аккаунте. Для этого выбирайте вторую опцию мелким текстом.
P.S. Кто пропустил — можно создавать IAM Identity Center в отдельных аккаунтах кроме одного общего на AWS Organization:
https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html
#FreeTier #organizations #IAM
😁21