AWS Notes

Just-in-time node access для SSM Manager Теперь можно выдавать временный доступ к какой-то виртуалке, например, на прод (не делайте так, только через IaC!): https://aws.amazon.com/blogs/mt/introducing-just-in-time-node-access-using-aws-systems-manager/ В любом случае, реально круто, безопасная безопасность, попользовался и через одобренное время доступ у просившего пропал. Но. Нет, НО. Price per node per month $10.00 Десять баксов в месяц за каждую виртуалку — алё, гараж! Хотя нет, вру, если больше сотни виртуалок, то будет всего $7.5. В общем, жду через полгодика-год "Снижение цен на 90% для Just-in-time node access". #SSM

С радостью сообщаем, что 8 мая пройдет наша третья встреча "Хакерского кружка” 🥷 ИИ везде — от банальных чат-ботов до принятия решений в энтерпрайз системах. Он автоматизирует, советует, пишет код… и открывает новые двери для атак. Потому что вместе с крутыми фичами приходят и неочевидные уязвимости. На встрече: ▪️ обсудим, почему безопасность AI — это не "поставили авторизацию — и свободны", а целая новая парадигма проектирования, ▪️ разложим по полочкам Model Context Protocol — свежий способ управлять контекстом AI, его сильные стороны и подводные камни, ▪️ покажем, как AI может стать частью supply chain атаки, и почему prompt injection — это не шутка, а прям серьёзно Встречу проведyт: ▪️ Vladimir Fedotov (Security Architect II @EPAM Systems) ▪️ Egor Miasnikov (Senior Solutions Architect @AWS Munich) Чат кружка: https://discord.com/invite/NtNvsHmXw8 Встреча пройдет в MS Teams 8 мая в 16:00 CET. Регистрация на встречу: https://wearecommunity.io/events/hacker-club3

Вы уже переписали свои Лямбды на Rust? Нет? Тогда до августа у вас есть ещё время! https://aws.amazon.com/blogs/compute/aws-lambda-standardizes-billing-for-init-phase/

Effective August 1, 2025, AWS will standardize billing for the initialization (INIT) phase across all AWS Lambda function configurations. This change specifically affects on-demand invocations of Lambda functions packaged as ZIP files that use managed runtimes, for which the INIT phase duration was previously unbilled.

TL;DR: Раньше, и пока ещё, cold-start время не биллится (нахаляву). Поэтому можно было писать на Java и не париться не обращать внимания на эффективность кода Лямбд, который просто долго стартует. Если у вас не было проблем с такими функциями, то ничего и не заметите. Ежели заметите — стоит почитать про LLRT, оптимизацию производительности Lambda или наконец просто перейти на Step Functions. 😁 #Lambda

🛡 Issue #173 | 27 April 2025 ▪️ Account Management IAM-based account name updates ▪️ AppConfig IPv6 support ▪️ AppSync Events data source integrations for channel namespaces ▪️ Bedrock Data Automation modality controls, hyperlinks and larger docs ▪️ Bedrock Intelligent Prompt Routing | GA ▪️ Bedrock Prompt Optimization | GA ▪️ CodeBuild EC2 instance type and configurable storage size ▪️ Cognito refresh token rotation ▪️ Connect agent workspace contact-related actions for 3rd party apps ▪️ Customer Carbon Footprint Tool new features and methodology ▪️ Deadline Cloud macOS installer for submitters ▪️ DMS Serverless automatic storage scaling ▪️ EBS resource-level permissions for copying EBS snapshots ▪️ EC2 new C8gd, M8gd, and R8gd instances ▪️ Kinesis Data Streams default shard limits to up to 20,000 per AWS account ▪️ MSK Kafka version 3.9 ▪️ OpenSearch Ingestion guided visual pipeline builder ▪️ Q Business integrations for M365 Word and Outlook ▪️ Q Developer releases state of the art agent for feature development ▪️ Redshift history mode support to 8 third-party SaaS applications ▪️ Redshift Serverless Serverless Reservations ▪️ Resource Explorer PrivateLink support ▪️ Resource Groups +160 more resource types ▪️ SageMaker Lakehouse attribute based access control ▪️ SQS IPv6 Support ▪️ Thinkbox Deadline v10.4.1 release ▪️ Transfer Family Terraform module for deploying SFTP server endpoints

#aws #rds Короткий материал на уровне senior+ Нырни на самое дно. Без страховки. Иногда, когда проект достиг своего максимума на данный момент, приходится оптимизировать уже не софт и не пайплайны, а саму инфраструктуру. Например параметры движка или базу. Так и вышло в этот раз. Традиционные параметры типа CPU/memory usage, connections, memory usage, latency, IOPS, lags, cache, CRUD throughput, slow logs и прочее мы научились мониторить и алёртить, что заставило нас оптимизировать запросы к бд и серьёзно снизило нагрузку. Совсем недавно мы нырнули глубже и поменяли пару параметров в ущерб потери 1 секунды данных в случае аутейджа со стороны Амазон. Данный проект не использует критически важные операции для транзакций типа финансовых операций, так что мы имеем право это включить. Если у вас финансовые операции или любые критичные операции вам НЕЛЬЗЯ это включать. Нельзя и запомните это. innodb_flush_log_at_trx_commit Значение 2 означает, что журнал транзакций (redo log) записывается в буфер операционной системы при каждой фиксации (commit), но сброс на диск происходит только раз в секунду - Улучшает производительность, так как уменьшает операции ввода-вывода диска - Снижает надежность: возможна потеря транзакций последней секунды при сбое сервера/ОС - Компромисс между производительностью (выше) и надежностью (ниже) по сравнению со значением 1 innodb_trx_commit_allow_data_loss Значение 1 означает, что система разрешает возможную потерю данных для увеличения производительности - Значительно ускоряет операции фиксации транзакций - Снижает гарантии сохранности данных - Может привести к потере транзакций при сбоях Результат дал о себе знать почти сразу, но нам явно придётся ещё несколько раз нырять для более точного тюнинга. Будем наблюдать и изменять под себя. DevOps это не всегда общение, ямлоделие, пайплайны и кубер. Иногда это тюнинг БД, когда все остальные элементы уже исчерпаны или нет на это бюджета(выше тип инстанса, gravitron v4, больше read реплик, RDS proxy, queries tuning etc). Ну и код для примера:

resource "aws_rds_cluster_parameter_group" "this" {
...
  parameter {
    apply_method = "immediate"
    name         = "innodb_flush_log_at_trx_commit"
    value        = "2"
  }
  parameter {
    apply_method = "immediate"
    name         = "innodb_trx_commit_allow_data_loss"
    value        = "1"
  }
}

Уже 24 апреля пройдет вторая встреча "Хакерского кружка” 🥷 Хватит скучных рассказов — время увидеть настоящий хакерский драйв в действии! На новой встрече нашего этичного хакерского кружка мы окунемся в живые примеры задач с популярных платформ и соревнований. Разберём, как выявлять реальные уязвимости веб-приложений и научимся мыслить как пентестеры. Приготовьтесь увидеть, как решаются задачи из CTF и где скрываются самые интересные ошибки безопасности в сети. Готовы прокачать своё кибер-видение и ощутить дух настоящего хакерского соревнования? Встречу проведут: ▪️ Егор Мясников (Senior Solutions Architect @AWS Munich) ▪️ Константин Периков (единственный 😱 Principal Software Engineer в EPAM) Чат кружка: https://discord.com/invite/NtNvsHmXw8 Встреча пройдет в MS Teams 24 апреля в 17:00 CET. Регистрация на встречу: https://wearecommunity.io/events/hacker-club2

Resource Groups + PrivateLink You can use PrivateLink to create a private connection between your VPC and Resource Groups. https://docs.aws.amazon.com/ARG/latest/userguide/vpc-interface-endpoints.html You can access Resource Groups as if it were in your VPC, without the use of an internet gateway, NAT device, VPN connection, or Direct Connect. Instances in your VPC don't need public IP addresses to access Resource Groups. #ResourceGroup #VPC #PrivateLink

Когда в присланном письме есть ошибки — радуйтесь. А не возмущайтесь безграмотности автора. Ибо это писал живой человек. Неспособный настроить Spell Check, но, всё же, человек. #пятничное #AI

В RS School стартует "Хакерский кружок". Первую встречу проведут Егор Мясников (Senior Solutions Architect @ AWS Munich) и Константин Периков (единственный 😱 Principal Software Engineer в EPAM). На встрече Егор и Костя: - поделятся своим взглядом на кибербезопасность и расскажут, почему эта тема особенно актуальна в 2025 году - расскажут, как они прокачивали свои хакерские навыки (например https://tryhackme.com/hacktivities/) - обсудят полезные платформы и с чего стоит начать путь в этичном хакинге Чат кружка: https://discord.gg/NtNvsHmXw8 Встреча пройдет в MS Teams завтра (10 апреля) в 16:00 CET Регистрация на встречу https://wearecommunity.io/events/hacker-club-1

We are happy to announce that on Friday, April 11, we are hosting an AWS Workshop: ECS Cats and Dogs, open to everyone! During this practical AWS workshop, participants will: ▪️ Build & Deploy: Create a containerized web application with Docker and launch it on ECS using both EC2 and Fargate. ▪️ Manage & Automate: Learn to effectively manage images with ECR, create ECS Tasks and Services, and automate CI/CD workflow with AWS CodePipeline. ▪️ Observe & Scale: Implement CloudWatch logging and monitoring and configure Auto Scaling for optimal resource management. ▪️ Explore Copilot: Discover how to simplify Fargate deployments using Copilot. We will provide a dedicated training account for each participant who registers via the Google Form. However, you can also use your personal AWS account. ⚠️ IMPORTANT: Please complete the registration form [https://forms.gle/xXFrHQFMh5z5FQzW9] by 21:00 CET on April 10. 🔗 Find out more details and register here: https://wearecommunity.io/events/ecs-cats-and-dogs

Начиная с Terraform AWS Provider v6.0.0 алиасы уже не нужны — можно указывать AWS Region непосредственно в ресурсах, используя лишь один провайдер. #Terraform

Intel vs AMD vs Graviton: Performance & Price https://www.youtube.com/watch?v=kV6YizoFuPU TL;DR: ▫️ Graviton is the best ▫️ AMD is the fastest ▫️ Intel is Intel #cost_optimization

VPC + BGP = VPC Route Server with dynamic routing inside VPC https://docs.aws.amazon.com/vpc/latest/userguide/dynamic-routing-route-server.html You can now dynamically update VPC and internet gateway route tables with your IPv4 or IPv6 routes. Features include: - Automatically update route tables with routes learned from BGP peers - Propagation of the best available routes based on BGP attributes - Dynamically update routes when network conditions change - Failure endpoints using BFD There are still some gaps like the support for route tables associated with virtual private gateways or propagation of routes into a transit gateway route table. #VPC

Here are some ways you can work with MCP across AWS today: 🟠 Bedrock Agents now supports MCP tools through the new Inline Agents API ➡️ here 🟠 Learn how to run MCP servers and clients on AWS using open source MCP libraries ➡️ here 🟠 Get started with open-source AWS MCP servers for code assistants ➡️ here More integrations are coming soon☺️

KAI (Kubernetes AI) Scheduler from NVidia - dynamically allocate GPU resources to workloads: https://github.com/NVIDIA/KAI-Scheduler #Kubernetes

🚀 Join our AWS Workshop: Amazon ECS Finhack on April 4! 🚀 The Amazon ECS Finhack workshop introduces a series of hands-on labs designed to help you understand key cost optimization levers for ECS container infrastructure. The modules will cover: ✅ Cost Visibility – Understanding costs with container infrastructure ✅ Auto Scaling – Improving compute utilization with elasticity ✅ Compute Optimization – Optimizing compute costs with Spot and AWS Graviton The workshop will be led by Aliaksandr Chernak, an experienced AWS specialist and Lead Systems Engineer at EPAM Systems. We will provide a dedicated training account for each participant who registers via the Google Form [https://forms.gle/9RdYT9kmh6hzwMVn7]. However, you can also use your personal AWS account. ⚠️ IMPORTANT: Please complete the registration form [https://forms.gle/9RdYT9kmh6hzwMVn7] by 21:00 CET on April 3. 🔗 Find out more details and register here: https://wearecommunity.io/events/amazon-ecs-finhack-workshop

EKS community Add-ons https://aws.amazon.com/blogs/containers/announcing-amazon-eks-community-add-ons-catalog/ Теперь можно уменьшить набор стандартных чартов для установки и поставить их через эдд-оны: metrics-server kube-state-metrics prometheus-node-exporter cert-manager external-dns #EKS

Amazon Nova Act - new AI model trained to perform actions within a web browser: https://labs.amazon.science/blog/nova-act Amazon Nova Act SDK research preview is available from today: https://nova.amazon.com #Nova