AWS Notes

🤖 Агенты зажигают. 🔥

#aws #rds #troubleshooting Приходят как-то коллеги, говорят - нет прав включить Enhanced Logging на RDS Proxy. Для дебага очень надо на пару часов. Ок, смотрю политику, а там rds:* на Resource = "*". Говорю - всё есть, всё должно работать. Хоть дропайте всё к херам (stage account). Возвращаются - нет, всё равно не работает. Проверяю глазами ещё раз полиси. Да вроде всё ок. Говорю сделайте релогин и попробуйте ещё, все права есть. Снова возвращаются, сделав релогин. Говорят "включаем, а оно не включается". Делаю невозмутимое лицо, хотя внутри уже кривлюсь как хурма: описание проблемы уровня "включаем, а не включается, ошибок нет" звучит слишком уныло, чтобы воспринимать его всерьёз. Прошу объяснить подробнее. Мне показывают по шагам: - зашли в консоль - зашли в RDS - нашли нужный proxy - нажали Edit/Modify (я не помню название кнопки) - поставили галочку "Activate enhanced logging" - нажали "Modify proxy" - видят надпись "Modifying proxy ..." - видят зелёный баннер "Successfully modified proxy ..." - выходят, заходят снова - галочки нет Нигде ни одной ошибки. Всё выглядит как успех. Но изменение не применяется. В ивентах пусто. Повторяю сам под своим admin пермишнсетом - у меня работает, галочка стоит. В ивентах изменения появились. Ладно, добавляю себя временно в эту группу и начинаю воспроизводить. Захожу под их пермишнсетом, повторяю их действия. Та же история - "Successfully modified", а галочка не стоит. Думаю что не так. Выхожу из SSO, захожу снова - галочки нет. Сбрасываю кеш браузера - галочки нет. Пробую другой браузер - галочки нет. Смотрю в developer tools в браузере - никаких ошибок, никаких 403, всё 200. Смотрю в сам UI консоли - ни единого красного баннера, ни единого намёка на проблему. Само собой инкогнито мод браузера не помог. Ивентов нет. Потратил на это ещё чуть времени, пока до меня наконец не дошло. Дурачок, - думаю я, - а CloudTrail-то ты проверил? Иду в CloudTrail, фильтрую по ModifyDBProxy. Нахожу событие. И там:

"errorCode": "AccessDenied",
"errorMessage": "User: ... is not authorized to perform: iam:PassRole
on resource: arn:aws:iam::ACCOUNT_ID:role/rds-proxy-wanker
because no identity-based policy allows the iam:PassRole action"

Вот оно. AWS при вызове ModifyDBProxy передаёт IAM роль прокси в Secrets Manager. Для этого нужно право передать (PassRole) именно эту роль. rds:* тут ни при чём - это отдельное действие на отдельный ресурс. В политике группы iam:PassRole был разрешён только для одной конкретной роли. Про rds-proxy-* никто не подумал. Добавляем в политику:

{
  "Effect": "Allow",
  "Action": "iam:PassRole",
  "Resource": "arn:aws:iam::ACCOUNT_ID:role/rds-proxy-*"
}

Применяем, перелогиниваемся. Галочка встаёт и остаётся стоять. Ивенты пишутся. Итоги: - "Successfully modified" в AWS консоли не гарантирует, что изменение применилось 🥲 - AccessDenied может прилетать не на само действие, а на зависимое - в данном случае на iam:PassRole - Консоль эту ошибку не показывает совсем. Молча глотает. Никакого красного баннера. Никаких ошибок. Никаких ивентов. 😎 - CloudTrail - первое место, куда надо смотреть, когда "всё работает, но не работает" - rds:* не равно "всё для RDS". Некоторые операции тащат за собой зависимости на другие сервисы - нехер снова кривить свою морду, коллеги всё же солнышки-зайчики и правы, даже если пояснение проблемы тупорылое

Got an update from AWS:

Update on AppRunner: The blog post is not valid as of now and there is NO formal announcement at this time on the Status of AppRunner. The Product Lifecycle page is still the source of truth. Official Statement on AppRunner: AWS App Runner remains available and supported. As we continuously evaluate our services to best meet customer needs, we plan to share updates soon on the future direction of App Runner. Existing customers will not experience any disruption, and we will provide clear guidance and migration options well in advance of any changes

App Runner всё ▪️ AWS App Runner stops accepting new customers April 1, 2026 ▪️ Для существующих пользователей без изменений В качестве миграции рекомендуется ECS Express Mode. https://dev.to/aws-builders/aws-app-runner-vs-ecs-express-mode-git-ecr-scaling-and-security-explained-5673 #AppRunner #ECS

🚀 Join the RS School AWS Fundamentals Course! 🚀 We are happy to announce that RS School is launching a free AWS Fundamentals course starting on March 2, 2026. AI tools can suggest architectures and recommend services like EC2, RDS, or S3. But to use these recommendations effectively, you still need to understand the terminology: what these services actually do, how they fit together, and what trade-offs you’re making. This course is designed for developers and engineers who want a practical introduction to AWS fundamentals and cloud-native thinking. COURSE DETAILS ▪️Duration: 5 weeks ▪️Format: weekly assignments + online sessions ▪️Prerequisites: no previous AWS experience required ▪️Trainer: Anton Kustikov (Senior Systems Engineer, AWS DevOps Engineer) By the end of the course, you will earn the AWS Cloud Quest: Cloud Practitioner digital badge. Find out more and enroll via the link below: https://wearecommunity.io/events/aws-fundamentals-2026q1

We’re excited to invite you to our AWS Cost Optimization Game Day — a hands-on, interactive session focused on improving cloud efficiency and reducing costs in real-world scenarios. You’ll collaborate, analyze architectures, uncover cost-saving opportunities, and compete in a fun, gamified environment. Ready to optimize and win? Let’s play smart with AWS! When: Wednesday, Mar 11 · 4:30 PM to 7:30 PM GMT+2 Language: English Registration link is here

По уточнённым данным, Terraform — 76.1%. CloudFormation при этом ещё более страшный инструмент. Будьте бдительны. Берегите своё окружение! https://answersforaws.com/2025/iac/ #IaC

⚡️ Более 50% падений Prod окружений в 2025-м году произошло из-за использования Terraform. #пятничное

RS School is launching a Node.js course (Starts March 2, 2026) Want to reduce LLM spend and still make your AI agents ship full-stack features in real-world conditions - legacy code, complex architecture, and hidden pitfalls? Agents can accelerate delivery, but only if you can set constraints, validate decisions, and spot wrong assumptions fast. That requires strong Node.js + backend fundamentals. This course helps you build that foundation - so you can guide agents effectively and speak the same language as Claude Opus. Course Details: * Duration: 2 months * Workload: minimum 8 hours per week * Format: self-paced learning + group chat + Q&A webinars * Requirement: solid JavaScript (ES6) * Coordinator: Maksim Shylau (Senior Software Engineer, EPAM Systems) Topics: Node.js, HTTP/WebSockets, testing, REST, SQL/PostgreSQL, Docker, logging and error handling, JWT, Nest.js. Enrollment: https://wearecommunity.io/events/nodejs-2026q1

🚨 𝗔𝗪𝗦 𝗖𝗲𝗿𝘁𝗶𝗳𝗶𝗰𝗮𝘁𝗶𝗼𝗻 𝗨𝗽𝗱𝗮𝘁𝗲 🚨 The 𝗔𝗪𝗦 𝗖𝗲𝗿𝘁𝗶𝗳𝗶𝗲𝗱 𝗠𝗮𝗰𝗵𝗶𝗻𝗲 𝗟𝗲𝗮𝗿𝗻𝗶𝗻𝗴 - 𝗦𝗽𝗲𝗰𝗶𝗮𝗹𝘁𝘆 exam is retiring on March 31, 2026. If you hold this cert, you're good! It remains valid for 3 years from your pass date.

Всем добрейшего дня! 🔥 Выпущена 0.28.1 версия платформы для изучения SRE! 🔥 GitHub 📌 Что нового: - Istio Certified Associate (ICA) mock exam 2 - Istio Certified Associate (ICA) mock 2 решения 🧪 Доступные пробные экзамены: CKA CKAD CKS ICA KCNA KCSA LFCS 🧪 Доступные лабораторные работы Скрипты и видео с решениями экзаменов: документация ping-pong сервера Отличного настроения и пусть ваш прод живёт без падений!

Nested virtualization на non-metal EC2! 💪 Теперь можно запускать свои виртуалки внутри обычных виртуалок! На текущий момент работает только для Intel-инстансов: • c8i / m8i / r8i • c8i-flex / m8i-flex / r8i-flex Но, как понимаю, это лишь потому, что они используют последнюю версию Nitro v6. Когда AWS прокидывает внутрь гостевой EC2 доступ к Intel VMX (Virtual Machine Extensions). А значит, ждём вскоре добавление и для AMD-V / AMD SVM (Secure Virtual Machine). ⚠️ На Windows виртуализация используется ещё и для VSM (Virtual Secure Mode), поэтому, чтобы виртуализации не бодались друг с другом, при включении NestedVirtualization VSM отключается автоматически. В общем, супер-круто — теперь можно будет запускать AI агентов в своих виртуалках для полной изоляции! #EC2

Especially the upcoming days.. Love is in the air. or should we say "in the Cloud" ? 😁 We designed a few special 𝐀𝐖𝐒 𝐕𝐚𝐥𝐞𝐧𝐭𝐢𝐧𝐞'𝐬 𝐂𝐚𝐫𝐝𝐬. 𝐍𝐨𝐰 𝐆𝐨 𝐋𝐨𝐯𝐞 ! 💌 Let us know in the comments which one is your vibe and what other crazy analogies came to your mind? 🥹

𝗕𝗲𝗦𝗔 Q1 cohort is OPEN! 🎉 BeSA (Become a Solutions Architect) is a 6-week FREE mentoring program led by AWS professionals. They focus not only on technical skills with hands-on labs, but on behavioral skills too. 𝗪𝗵𝗮𝘁 𝗬𝗼𝘂'𝗹𝗹 𝗟𝗲𝗮𝗿𝗻: 🔧 Technical Track: Agentic AI on AWS 🧠 Behavioral Track: Developing the SA Mindset in AI Era 𝗪𝗵𝗼 𝗶𝘀 𝗶𝘁 𝗳𝗼𝗿? Whether you're aspiring to become a Solutions Architect, leveling up your cloud skills, or diving deep into Agentic AI - this program is built for you. 📅 Start: 21 February 2026 ⏱️ Duration: 6 weeks ✍️ Register now to secure your spot - https://shorturl.at/wMyz6 Learn from experienced AWS professionals at no cost. 😎

Вкладка "Related resources" для "Security Groups" позволяет теперь быстро найти противные ресурсы, которые не позволяют удалить секюрити группу. 💪

Имя аккаунта в AWS Console! 🎉

IAM Identity Center + multi-Region replication 💪 Теперь можно добавить реплику для IAM Identity Center в другом регионе (или нескольких): https://aws.amazon.com/blogs/aws/aws-iam-identity-center-now-supports-multi-region-replication-for-aws-account-access-and-application-use/ А значит при падении региона, где настроен IAM Identity Center, не нужно больше иметь "breaking glass" IAM User-ов, чтобы иметь возможность залогиниться во время таких проблем с регионом. Всё, теперь окончательно никаких IAM User-ов, ура! 🎉 Управление пользователями и основной функционал при этом остаётся лишь в главном регионе. В других регионах функционал управления IAM Identity Center обрезан, по сути read only, лишь для возможности логиниться через него. И с поддержкой сервисов (последняя колонка) пока беда (в других регионах): https://docs.aws.amazon.com/singlesignon/latest/userguide/awsapps-that-work-with-identity-center.html Денег за мульти-регион IAM Identity Center как таковой не берут, однако фича подразумевает использование лишь KMS CMK (не поддерживает дефолтные AWS Managed KMS, которыми и не рекомендуется пользоваться, т.к. они лишь "однорегионные"). #IAM #KMS

#kubernetes #aws #eks #helm Тихо и незаметно вышла мажорная версия AWS Load Balancer Controller - 3.0.0. https://github.com/kubernetes-sigs/aws-load-balancer-controller Вместе с ней и Helm-чарт тоже прыгнул на 3.x. https://github.com/aws/eks-charts/tree/master/stable/aws-load-balancer-controller Как я понял по заявлению мейнтейнеров, breaking changes в пользовательском API (Ingress, Service, Gateway) они не предполагают. Но issue на GitHub уже висят, так что посмотрим. ​ Что важного и интересного (для меня): - Gateway API объявлен GA (production ready) - теперь можно смело использовать в бою, а не в тестовых проектах 🔥 ​- Версия Helm-чарта выровнена с версией контроллера - раньше было 2.x контроллер с чартом 1.x, теперь 3.0.0 = 3.0.0. Наконец-то! ❤️ ​- Новые фиксы NLB target groups, порядка сабнетов, AZ mismatch и webhook-сертификатов ​- CRD ListenerRuleConfiguration добавлен, но пока экспериментальный - не использовать в проде - Минимальная версия Kubernetes - теперь официально требуется 1.24+ (интересно, кто ещё на таком старье сидит 😁) ​- IPv6 для internet-facing ALB/NLB - теперь нативно поддерживается без костылей, раньше были ограничения 🎉 Нюансы с апгрейдом: - перед helm upgrade до 3.0.0 нужно вручную обновить CRD'ы. Issue #4555 прямо про это - люди натыкаются на проблемы, потому что в release notes это не очень явно прописано. Но как по мне так это и очевидно, так как мы все знаем, что при хелм апгрейде​ CRD не обновляется никогда и ни у кого, архитектурная особенность самого хелма. - для Gateway API нужны не только CRD самого контроллера, но и базовые Gateway API CRD (HTTPRoute, GatewayClass и т.д.), если их ещё нет в кластере Сам, конечно же, я пока обновляться не буду. Почитаю issues ещё недельку, потом с командой решим - стоит ли сразу или подождать патч-релиз. Better safe than sorry, особенно с ингресс-контроллерами, которые держат весь трафик.

🚀 Join our AWS Workshop: AI Agents on EKS Workshop on February 4! 🚀 This workshop demonstrates how to build and deploy AI agents on Amazon Elastic Kubernetes Service (EKS). You'll learn how to create intelligent, autonomous systems that can interact with various AWS services, process natural language requests, and execute complex workflows using containerized applications running on Kubernetes. The workshop will be led by Uladzimir Karaleu, Senior Systems Engineer at EPAM, who will guide you through real-world implementation of AI agents on EKS and share best practices from production environments. We will provide a dedicated training account for each participant who registers via the Google Form: 👉 https://forms.gle/3n3HaRGqJiLTVCSh7 However, you can also use your personal AWS account. ⚠️ IMPORTANT: Please complete the registration by 21:00 CET on February 3. 🔗 Find out more details and register here: https://wearecommunity.io/events/ai-agents-on-eks-workshop