Security group vs Network ACL
Відмінна картинка з документації - на яких рівнях вони працюють.
https://docs.aws.amazon.com/en_us/vpc/latest/userguide/VPC_Security.html
Network ACL (NACL) умовно можуть робити все те ж, що і Security Group, плюс дозволяють фільтрувати з урахуванням підмереж (subnets) - коли, наприклад, потрібно на мережевому рівні ізолювати якусь приватну підмережу.
Зазвичай фільтрацію реалізують лише з використанням Security group, однак якщо дістався чужої проект і там до чогось ніяк не виходить достукатися - є сенс глянути в VPC → Security → Network ACLs.
Варто також відзначити, що ні Security group, ні NACL не фільтрують трафік з
#security #VPC
Відмінна картинка з документації - на яких рівнях вони працюють.
https://docs.aws.amazon.com/en_us/vpc/latest/userguide/VPC_Security.html
Network ACL (NACL) умовно можуть робити все те ж, що і Security Group, плюс дозволяють фільтрувати з урахуванням підмереж (subnets) - коли, наприклад, потрібно на мережевому рівні ізолювати якусь приватну підмережу.
Зазвичай фільтрацію реалізують лише з використанням Security group, однак якщо дістався чужої проект і там до чогось ніяк не виходить достукатися - є сенс глянути в VPC → Security → Network ACLs.
Варто також відзначити, що ні Security group, ні NACL не фільтрують трафік з
169.254.0.0/16 і що завжди можна отримати мета-дані інстанси звідти, в тому числі з запущених на інстанси докерів.#security #VPC
Що таке ключі доступу AWS Access Keys, їх типи і де вони можуть зберігатися:
https://www.nojones.net/posts/aws-access-keys-a-reference/
Якісна і дуже докладна стаття по AWS Access Keys — точно варто прочитати і користуватися.
#IAM #security
https://www.nojones.net/posts/aws-access-keys-a-reference/
Якісна і дуже докладна стаття по AWS Access Keys — точно варто прочитати і користуватися.
#IAM #security
www.nojones.net
AWS Access Keys - A Reference - Nick Jones
<p>AWS Access Keys are the credentials used to provide programmatic or CLI-based access to the AWS APIs. This post outlines what they are, how to identify the different types of keys, where you’re likely to find them across the different services, and the…
Приклади SCP політик від AWS.
https://github.com/aws-samples/service-control-policy-examples
#security #SCP #Organizations
https://github.com/aws-samples/service-control-policy-examples
#security #SCP #Organizations
GitHub
GitHub - aws-samples/service-control-policy-examples: Example AWS Service control policies to get started or mature your usage…
Example AWS Service control policies to get started or mature your usage of AWS SCPs. - aws-samples/service-control-policy-examples
👍6
Як сканувати Lambda за допомогою Inspector на наявність уразливостей у коді та залежностях:
https://aws.amazon.com/blogs/security/how-to-scan-your-aws-lambda-functions-with-amazon-inspector/
#Lambda #Inspector #security
https://aws.amazon.com/blogs/security/how-to-scan-your-aws-lambda-functions-with-amazon-inspector/
#Lambda #Inspector #security
👍2
AWS Security Reference Architecture є важливим документом, як правильно будувати безпечні оточення в AWS:
https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture
#security
https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture
#security
👍3😱1
Forwarded from Updates rtfm.co.ua 🇺🇦 (rtfmcoua)
AWS: RDS з IAM database authentication, EKS Pod Identities та Terraform
Готуємось мігрувати базу даних нашого Backend API з DynamoDB до AWS RDS з PostgreSQL, і нарешті вирішив спробувати що ж таке AWS RDS IAM database authentication, який з’явився здається ще десь у 2021. IAM database authentication, як, в принципі, можна здогадатись з назви, дозволяє нам виконувати аутентифікацію в RDS за допомогою AWS IAM, а не…
https://rtfm.co.ua/aws-rds-z-iam-database-authentication-eks-pod-identities-ta-terraform/
#333399 #AWS #AWS_RDS #Kubernetes #Security #Terraform
Готуємось мігрувати базу даних нашого Backend API з DynamoDB до AWS RDS з PostgreSQL, і нарешті вирішив спробувати що ж таке AWS RDS IAM database authentication, який з’явився здається ще десь у 2021. IAM database authentication, як, в принципі, можна здогадатись з назви, дозволяє нам виконувати аутентифікацію в RDS за допомогою AWS IAM, а не…
https://rtfm.co.ua/aws-rds-z-iam-database-authentication-eks-pod-identities-ta-terraform/
#333399 #AWS #AWS_RDS #Kubernetes #Security #Terraform
RTFM: Linux, DevOps та системне адміністрування | DevOps-інжиніринг та системне адміністрування. Випадки з практики.
AWS: RDS з IAM database authentication, EKS Pod Identities та Terraform
Знайомство з AWS RDS IAM database authentication, використання AWS EKS Pod Identities в Terraform, та Kubernetes Pod ServiceAccount для підключення до RDS.
👍1
Forwarded from Updates rtfm.co.ua 🇺🇦 (rtfmcoua)
AWS: IAM Access Analyzer policy generation – створення IAM Policy
Доволі частий кейс, коли на новому проекті, який тільки створює свою інфраструктуру і CI/CD, робиться це як MVP/PoC, і на початку на тюнінг AWS IAM Roles та IAM Policies час не витрачається, а просто підключається AdministratorAccess. Власне, саме так відбувалось і в моєму проекті, але ми ростемо, і прийшов час навести лад в IAM. Contents…
https://rtfm.co.ua/aws-iam-access-analyzer-policy-generation-stvorennya-iam-policy/
#AWS #AWS_IAM #Security
Доволі частий кейс, коли на новому проекті, який тільки створює свою інфраструктуру і CI/CD, робиться це як MVP/PoC, і на початку на тюнінг AWS IAM Roles та IAM Policies час не витрачається, а просто підключається AdministratorAccess. Власне, саме так відбувалось і в моєму проекті, але ми ростемо, і прийшов час навести лад в IAM. Contents…
https://rtfm.co.ua/aws-iam-access-analyzer-policy-generation-stvorennya-iam-policy/
#AWS #AWS_IAM #Security
RTFM: Linux, DevOps та системне адміністрування | DevOps-інжиніринг та системне адміністрування. Випадки з практики.
AWS: IAM Access Analyzer policy generation – створення IAM Policy
Використання AWS IAM Access Analyzer policy generation для створення fine grained IAM Policy
👍6
Forwarded from Updates rtfm.co.ua 🇺🇦 (rtfmcoua)
AWS: Kubernetes та External Secrets Operator для AWS Secrets Manager
Маємо на проекті новий EKS кластер 1.30, на якому хочемо повністю відмовитись від старого IRSA з OIDC і почати користуватись EKS Pod Identities – див. AWS: EKS Pod Identities – заміна IRSA? Спрощуємо менеджмент IAM доступів. І все наче працює чудово, але коли почав деплоїти наш Backend API – поди не стартують, і висять в…
https://rtfm.co.ua/aws-kubernetes-ta-external-secrets-operator-dlya-aws-secrets-manager/
#333399 #AWS #Kubernetes #Security
Маємо на проекті новий EKS кластер 1.30, на якому хочемо повністю відмовитись від старого IRSA з OIDC і почати користуватись EKS Pod Identities – див. AWS: EKS Pod Identities – заміна IRSA? Спрощуємо менеджмент IAM доступів. І все наче працює чудово, але коли почав деплоїти наш Backend API – поди не стартують, і висять в…
https://rtfm.co.ua/aws-kubernetes-ta-external-secrets-operator-dlya-aws-secrets-manager/
#333399 #AWS #Kubernetes #Security
RTFM: Linux, DevOps та системне адміністрування | DevOps-інжиніринг та системне адміністрування. Випадки з практики.
AWS: Kubernetes та External Secrets Operator для AWS Secrets Manager
Знайомство з External Secrets Operator для AWS Secrets Manager замість Kubernetes Secrets Store CSI Driver в AWS EKS, і його використання з EKS Pod Identity
👍5❤1