Características do AWS Compute Optimizer

 

 

AWS Compute Optimizer

 

AWS Compute Optimizer é um serviço que analisa as métricas de configuração e utilização AWS de seus recursos para fornecer recomendações de dimensionamento correto. O serviço informa se seus recursos estão em condições ideais e gera recomendações de otimização para reduzir o custo e melhorar a performance de suas workloads. O Compute Optimizer também vem com gráficos que mostram dados recentes do histórico de métricas de utilização, além da utilização projetada para recomendações, que você pode usar para avaliar qual recomendação tem a melhor relação preço-desempenho. A análise e a visualização dos padrões de uso podem ajudar você a decidir quando mover ou redimensionar os recursos em execução e ainda atender aos requisitos de desempenho e capacidade.

O Compute Optimizer fornece uma experiência de console, e um conjunto APIs delas permite que você visualize as descobertas da análise e as recomendações para seus recursos em várias regiões. AWS Se você optar pela conta de gerenciamento de uma organização, também poderá ver descobertas e recomendações em várias contas. As descobertas do serviço também são relatadas nos consoles dos serviços suportados, como o EC2 console da Amazon.

 

Atributos suportados

O Compute Optimizer gera recomendações para os seguintes recursos:

Instâncias do Amazon Elastic Compute Cloud (AmazonEC2)

 

Grupos do Amazon EC2 Auto Scalin

 

Volumes da Amazon Elastic Block Store (AmazonEBS)

 

AWS Lambda funções

 

Serviços do Amazon Elastic Container Service (AmazonECS) em AWS Fargate

 

Licenças de software comercial

 

Instâncias de banco de dados e armazenamento do RDS Amazon Relational Database Service (Amazon)

Para que o Compute Optimizer gere recomendações para esses recursos, eles devem atender a um conjunto específico de requisitos e ter dados suficientes acumulado de métricas.

 

Inclusão

Você deve optar por fazer com que o Compute Optimizer analise seus recursos. AWS O serviço oferece suporte a contas autônomas da AWS , a contas de membros de uma organização e à conta de gerenciamento de uma organização.

 

Analisar métricas

Depois de se inscrever, o Compute Optimizer começa a analisar as especificações e as métricas de utilização de seus recursos da CloudWatch Amazon nos últimos 14 dias. Por exemplo, para EC2 instâncias da Amazon, o Compute Optimizer analisa vCPUs a memória, o armazenamento e outras especificações. Ele também analisa a CPU utilização, a entrada e saída da rede, a leitura e gravação do disco e outras métricas de utilização das instâncias em execução no momento.

 

Melhorar as recomendações

Depois de aceitar a inclusão, você pode aprimorar suas recomendações ativando as preferências, como o recurso pago de métricas de infraestrutura aprimoradas. Ele estende o período de análise de métricas para EC2 instâncias, incluindo instâncias em grupos de Auto Scaling, para três meses (em comparação com o padrão de 14 dias).

 

Visualizar as descobertas e as recomendações

As descobertas de otimização de seus recursos são exibidas no painel do Compute Optimizer.

As principais recomendações de otimização para os recursos estão listadas na página de recomendações. As três principais recomendações de otimização e gráficos de utilização de um recurso específico estão listados na página de detalhes do recurso.

Exporte suas recomendações de otimização para registrá-las ao longo do tempo e compartilhar os dados com outras pessoas.

 

Disponibilidade

Para ver as AWS regiões e os endpoints atualmente compatíveis com o Compute Optimizer, consulte Endpoints e cotas do Compute https://docs.aws.amazon.com/pt_br/general/latest/gr/compute-optimizer.html

 

 

 

         Diferenças entre AWS PrivateLink e VPC Peering

 

Este artigo compara duas opções de rede fornecidas pela AWS: AWS PrivateLink e VPC Peering. Ambas as opções permitem a conectividade entre ambientes de nuvem privada virtual (VPC), mas possuem recursos e casos de uso distintos.

AWS PrivateLink é um serviço que facilita a comunicação segura e privada entre VPCs e serviços AWS sem a necessidade de IPs públicos ou do Internet Gateway. Ele estabelece uma conexão de rede privada entre a VPC e o serviço AWS, permitindo o acesso usando endereços IP privados.

Por outro lado, o peering de VPC permite conectividade direta entre VPCs na mesma região da AWS ou em regiões diferentes. Ele permite que instâncias em uma VPC se comuniquem diretamente com instâncias em outra VPC usando endereços IP privados.

Ao compreender os recursos e capacidades do AWS PrivateLink e do peering de VPC, você pode tomar uma decisão informada sobre qual opção atende aos seus requisitos específicos. Se você precisa de acesso seguro a serviços específicos da AWS em sua VPC ou de 

comunicação direta entre VPCs, este explicador o ajudará a avaliar os pontos fortes e os casos de uso de cada opção de rede.

 

 

AWS PrivateLink

AWS PrivateLink é um serviço que permite comunicação segura e privada entre VPCs e serviços AWS sem usar IPs públicos ou o Internet Gateway. Ele cria uma conexão de rede privada entre a VPC e o serviço AWS, permitindo acessar o serviço usando endereços IP privados.
 

Para estabelecer o AWS PrivateLink, você precisa criar um endpoint de interface em sua VPC. Esse endpoint atua como uma interface de rede que se conecta ao serviço da AWS por meio de um VPC Endpoint Service. O serviço de endpoint é fornecido pela AWS e serve como ponto de entrada para o serviço.

Depois que o endpoint da interface for criado, o tráfego entre sua VPC e o serviço AWS será roteado por meio de uma conexão PrivateLink no backbone da rede AWS. Isto garante que a comunicação permaneça isolada da Internet pública, ao mesmo tempo que reduz os custos de transferência de dados.

O AWS PrivateLink oferece suporte a vários serviços da AWS, incluindo Amazon S3, Amazon EC2 e Amazon RDS. Ele oferece controle de acesso refinado usando políticas de VPC Endpoint, permitindo restringir o acesso a recursos ou intervalos de IP específicos dentro do serviço.

 

 

Benefícios de usar o AWS PrivateLink

Alguns dos benefícios de usar o AWS PrivateLink são:
 

Segurança aprimorada: O AWS PrivateLink facilita a comunicação segura entre VPCs e serviços da AWS, eliminando a necessidade de IPs públicos e do gateway de Internet. Isso garante que seus dados permaneçam isolados da Internet pública, reduzindo a área de superfície para possíveis ameaças à segurança.

 

Desempenho aprimorado: Ao estabelecer uma conexão de rede privada no backbone da rede AWS, o AWS PrivateLink permite comunicação rápida e de baixa latência entre sua VPC e o serviço AWS conectado. Isso pode resultar em melhor desempenho e redução de custos de transferência de dados.

 

Arquitetura de rede simplificada: O AWS PrivateLink permite que você acesse os serviços da AWS diretamente de sua VPC, sem depender de conectividade com a Internet. Isso simplifica sua arquitetura de rede, eliminando a necessidade de gateways NAT ou conexões VPN.

 

Conformidade e privacidade: O AWS PrivateLink ajuda você a atender aos requisitos de conformidade e privacidade, permitindo a troca de dados com serviços da AWS de forma segura por meio de conexões privadas. Isto é particularmente útil para setores que possuem requisitos regulatórios rigorosos, como saúde e finanças.

 

Disponibilidade do serviço: O AWS PrivateLink está disponível para uma ampla variedade de serviços da AWS, incluindo Amazon S3, Amazon EC2 e Amazon RDS. Isso significa que você pode aproveitar o PrivateLink para acessar e utilizar com segurança esses serviços em seu ambiente VPC. 

Casos de uso comuns

Alguns dos casos de uso comuns são:
 

Acesso aos serviços da AWS: O AWS PrivateLink permite que você acesse com segurança vários serviços da AWS, como Amazon S3, Amazon EC2 e Amazon RDS, a partir de sua VPC, sem depender da Internet pública. Isto é particularmente útil quando você precisa trocar dados com esses serviços de forma privada, garantindo maior segurança e conformidade.

 

Integrações de terceiros: Se você usar serviços de terceiros hospedados na AWS, o AWS PrivateLink permitirá estabelecer comunicação privada com esses serviços. Ele permite que você se conecte e troque dados com segurança, evitando a necessidade de IPs públicos ou conexões VPN.

 

Conectividade multicontas: Em uma arquitetura AWS multicontas, o AWS PrivateLink pode ser usado para estabelecer conectividade privada entre VPCs em contas diferentes. Isso permite que você compartilhe recursos ou troque dados com segurança entre contas, sem expô-los à Internet pública.

AWS VPC Peering

O peering de VPC, por outro lado, permite a conectividade entre duas VPCs na mesma região da AWS ou em regiões diferentes. Ele permite que instâncias em uma VPC se comuniquem diretamente com instâncias em outra VPC usando endereços IP privados.
 

Para estabelecer o peering de VPC, você precisa criar uma conexão de peering entre as VPCs que deseja conectar. Essa conexão é estabelecida pela troca de entradas da tabela de rotas entre as VPCs, permitindo que elas roteem o tráfego entre si.

Depois que a conexão de peering for estabelecida, as instâncias em ambas as VPCs poderão se comunicar como se estivessem na mesma rede. Eles podem acessar os recursos uns dos outros usando endereços IP privados sem passar pela Internet pública.

O peering de VPC é benéfico para cenários em que você precisa compartilhar recursos ou estabelecer comunicação entre VPCs pertencentes à mesma organização. Ele simplifica a administração da rede, permitindo conectividade direta entre VPCs.

 

Benefícios de usar o AWS VPC peering

O peering de VPC oferece vários benefícios para conectar VPCs na mesma região da AWS ou em regiões diferentes. Algumas das principais vantagens incluem:
 

Administração de rede simplificada: O peering de VPC simplifica o gerenciamento e a administração da conectividade de rede entre VPCs. Ele permite a comunicação direta entre instâncias em diferentes VPCs usando endereços IP privados, eliminando a necessidade de configurações de roteamento complexas ou gateways NAT.

 

Recursos compartilhados: O peering de VPC permite o compartilhamento de recursos entre VPCs. As instâncias em uma VPC podem acessar recursos, como bancos de dados ou armazenamento, em outra VPC de forma integrada. Isso facilita a colaboração e o compartilhamento de recursos dentro da infraestrutura de uma organização.

 

Economia de custos: Ao utilizar o peering de VPC, você pode evitar os custos associados à transferência de dados pela Internet pública. A comunicação entre VPCs com peering é roteada internamente na rede AWS, resultando em custos reduzidos de transferência de dados.

 

Desempenho e latência: Com o peering de VPC, instâncias em diferentes VPCs podem se comunicar diretamente entre si, resultando em conexões de baixa latência e alto desempenho. Isto é especialmente benéfico para aplicações que exigem troca de dados rápida e eficiente entre diferentes VPCs.

 

Segurança e isolamento: O peering de VPC permite estabelecer comunicação privada entre VPCs pela AWS. Isso garante que a transferência de dados permaneça dentro da infraestrutura da AWS e não atravesse a Internet pública, aumentando a segurança e o isolamento.

 

Escalabilidade: O peering de VPC permite escalabilidade horizontal, permitindo uma comunicação perfeita entre VPCs. À medida que a infraestrutura da sua organização cresce, você pode adicionar facilmente novas VPCs e estabelecer conexões de peering para facilitar a comunicação entre VPCs.

Casos de uso comuns

O peering de VPC é comumente usado nos seguintes cenários:
 

Aplicativos multicamadas: O peering de VPC é ideal para implantar aplicativos multicamadas em uma única região da AWS. Cada camada pode ser hospedada em uma VPC separada, e o peering de VPC permite a comunicação entre as diferentes camadas, mantendo o isolamento e a segurança.

 

Serviços compartilhados: As organizações geralmente têm VPCs dedicadas para serviços compartilhados, como registro, monitoramento ou segurança. O VPC Peering permite que outras VPCs acessem esses serviços compartilhados, promovendo a centralização e a reutilização de recursos.

 

Recuperação de desastres: O peering de VPC pode ser aproveitado para arquiteturas de recuperação de desastres, estabelecendo conexões entre VPCs em diferentes regiões. Isso permite a replicação de dados e o failover entre regiões, garantindo alta disponibilidade.

 

 

Conclusão:

Em resumo, AWS PrivateLink e VPC Peering são duas opções de rede fornecidas pela AWS para conectar ambientes VPC.

O AWS PrivateLink oferece conectividade segura e privada aos serviços da AWS sem expô-los à Internet pública. É adequado para cenários em que você precisa de acesso direto a serviços específicos em sua VPC.

O peering de VPC, por outro lado, permite a comunicação direta entre VPCs, dentro da mesma região ou entre regiões diferentes. Ele simplifica a arquitetura de rede e permite que as instâncias se comuniquem usando endereços IP privados.

Ao escolher entre AWS PrivateLink e VPC Peering, considere seus requisitos específicos, como o nível de isolamento necessário e os serviços aos quais deseja se conectar. Ao compreender os recursos e capacidades de cada opção, você pode tomar uma decisão informada para sua arquitetura técnica.

 

Características do AWS Migration Evaluator e AWS Migration Hub

 

AWS Migration Evaluator

 

O AWS Migration Evaluator é um serviço de avaliação de migração amplamente utilizado para planejamento e migração de nuvem AWS personalizados e específicos para casos de uso de negócios. Este serviço oferece aos usuários acesso gratuito a dados e insights para ajudá-los a tomar melhores decisões sobre a migração para a AWS.

Quando uma empresa tenta apresentar um caso de negócio por conta própria, geralmente acaba demorando muito e nem sequer consegue descobrir as opções mais rentáveis ​​no final do exercício. Com o AWS Migration Evaluator, as empresas podem planejar suas metas específicas de migração e aproveitar análises para descobrir as melhores estratégias de migração para necessidades e objetivos personalizados.

Recursos e benefícios do AWS Migration Evaluator

Projeta custos precisos

O AWS Migration Evaluator fornece uma linha de base clara do que uma organização está executando no momento e quais serão seus custos projetados da AWS, medidos com provisionamento e utilização no local. Os modelos de software calculam padrões para diferentes cenários e mostram os custos projetados para realocar na AWS.

 

Fornece descoberta do inventário

Para os usuários que não possuem dados de inventário e consumo de recursos existentes ou que precisam de um alto nível de precisão, a AWS recomenda a instalação de um coletor sem agente gratuito. Se um usuário já tiver inventário, o Migration Evaluator poderá fazer upload com segurança de exportações de software de descoberta e monitoramento de terceiros. Se houver lacunas no fornecimento ou utilização de hardware durante a importação, os benchmarks do setor serão aplicados automaticamente.

Fornece insights rápidos

A avaliação de pré-migração do Quick Insights dá visibilidade às partes interessadas técnicas e de negócios sobre o custo estimado de execução de cargas de trabalho locais na Nuvem AWS. As partes interessadas nas empresas podem obter um resumo de uma única página das economias esperadas com a realocação na AWS com base nos padrões de uso, com despesas divididas por infraestrutura e licenças de software. Além disso, os relatórios são atualizados automaticamente de acordo com os dados de descoberta locais para fornecer as informações mais atualizadas. Se você precisar de mais insights de dados depois de receber os insights rápidos do Migration Evaluator, basta perguntar ao arquiteto de soluções de migração designado e ele criará um relatório de caso de negócios com base nos seus motivadores de negócios.

Fornece mapeamento de dependência de servidor do AWS Migration Hub

O Migration Evaluator pode integrar a descoberta de recursos locais usados ​​para um caso de negócios com o Mapeamento de Dependência de Servidor do Migration Hub. Com o Migration Hub, os usuários obtêm uma visão das dependências de servidor para servidor, criam grupos de aplicativos e determinam o primeiro conjunto de servidores a serem migrados.

Fornece experiência para análises mais profundas

Se a empresa usuária determinar que precisa de mais informações após obter a avaliação Migration Evaluator Quick Insights, ela poderá obter acesso ao Migration Evaluator Business Case. Uma equipe de arquitetos de soluções analisará suas metas de migração e utilizará essas informações para restringir um subconjunto dos melhores padrões de migração.

Em poucas palavras, o relatório inclui 5 seções: o que foi incluído na avaliação, um resumo executivo das economias, um detalhamento do que foi incluído nos orçamentos locais, além de vários cenários hipotéticos específicos da carga de trabalho para recompra e traga suas próprias licenças (BYOL) (com ou sem hosts dedicados). O mesmo conclui com uma recomendação ao cliente sobre os próximos passos para uma migração bem-sucedida.

Descubra mais métricas de otimização de custos

Acelere sua tomada de decisão de migração para a nuvem com uma avaliação personalizada para reduzir custos em até 50%. Com o avaliador de migração da AWS, você também pode detectar instâncias locais com provisionamento excessivo e obter recomendações para alternativas da AWS mais econômicas.

Crie um caso de negócios baseado em dados para AWS

O Migration Evaluator fornece os insights que os líderes empresariais precisam para criar um caso de negócios bem documentado e orientado por dados para a jornada de migração da AWS. As conclusões ajudam a alinhar as partes interessadas empresariais e tecnológicas, ao mesmo tempo que recomendam o próximo passo no processo de migração.

Elimine as suposições nas estratégias de migração

Com o Migration Evaluator, você obtém acesso direto ao conhecimento premium da AWS, visibilidade de vários cenários econômicos de migração para a nuvem e insights valiosos sobre a reutilização de licenciamento de software existente para reduzir ainda mais os custos.

AWS Migration Hub

 

AWS Migration Hub é um serviço da Amazon Web Services que permite aos usuários da AWS simplificar a migração para a nuvem pública da AWS. Seu objetivo é simplificar a descoberta, avaliação, planejamento e execução para agilizar as migrações ponta a ponta e as jornadas de modernização das organizações.

O AWS Migration Hub oferece suporte e integração com ferramentas de migração nativas, como AWS Server Migration Service e AWS Database Migration Service, bem como diversas ferramentas de parceiros para fornecer migrações de dados precisas.

Objetivo do AWS Migration Hub

Com o AWS Migration Hub, os usuários empresariais podem planejar migrações, acompanhar o status de migração de cada aplicativo, obter visibilidade total de todo o portfólio de aplicativos e coletar e visualizar dados de recursos locais, incluindo servidores. O AWS Migration Hub facilita a descoberta de aplicações, a execução de migrações, o agrupamento de servidores em aplicações e a aceleração da refatoração de aplicações. O serviço também permite que os usuários gerenciem aplicativos e microsserviços existentes como um único aplicativo.

O AWS Migration Hub fornece orientações, ferramentas, recomendações de automação e planos prescritivos para acelerar a migração para a nuvem. Ele também fornece modelos de jornada comprovados e facilita a colaboração e o rastreamento entre equipes, permitindo que as empresas definam a estratégia de migração e modernização que provavelmente ajudará a acelerar o processo de rehospedagem, replataforma ou refatoração de aplicativos. O console do AWS Migration Hub permite que os usuários acompanhem o progresso da migração de seus aplicativos para a AWS.

Recursos importantes do AWS Migration Hub

O AWS Migration Hub inclui vários recursos para facilitar o planejamento, a execução e o rastreamento de migrações pelas organizações. Por exemplo, ele fornece modelos de jornada para oferecer orientação sobre as tarefas recomendadas para todas as fases de migração, runbooks passo a passo personalizáveis ​​para executar diversas subtarefas e modelos de fluxo de trabalho predefinidos para acelerar a migração e aprimorar as experiências do usuário. Ao aproveitar as orientações, modelos e runbooks, as empresas podem acelerar o planejamento de projetos e reduzir a dependência de consultores externos de nuvem.

Os usuários podem importar informações sobre servidores e aplicativos locais e descobrir aplicativos para determinar quais deles podem ser migrados e modernizados. Outra opção é usar ferramentas de descoberta como o AWS Discovery Agent ou o AWS Discovery Collector sem agente para ambientes VMware se for necessário um processo de descoberta mais profundo.

Um recurso de visualização de rede permite que os usuários identifiquem rapidamente servidores e dependências associadas, identifiquem funções de servidor e agrupem servidores em aplicativos. Isso pode ajudar a acelerar o planejamento da migração. Para criar uma estratégia de migração e modernização para aplicativos locais ou da AWS, o AWS Migration Hub fornece recomendações estratégicas, um recurso que analisa aplicativos e determina as estratégias de migração ideais.

Assim que a migração começar, os usuários poderão usar o painel do AWS Migration Hub para visualizar o status e as métricas da migração. O painel é particularmente útil para acompanhar o progresso das migrações de rehost e replataforma e para identificar e solucionar problemas.

Para refatoração incremental de aplicativos para microsserviços, o AWS Migration Hub oferece um recurso Cobrável de Refactor Spaces que elimina o trabalho indiferenciado de construção e operação da infraestrutura da AWS, minimiza o risco de evolução de aplicativos para microsserviços e conecta redes entre contas da AWS. Além disso, o Refactor Spaces mantém a transparência das mudanças na arquitetura subjacente, fornecendo um proxy de aplicativo.

 

  Características do AWS IAM e AWS IAM Identity Center

 

 

 

AWS é o maior provedor de nuvem do mundo. De acordo com o Synergy Research Group, a AWS tem uma participação de mercado de 32% no setor de provedores de nuvem (IaaS ou infraestrutura como serviço). Para organizações que gerenciam permissões de usuários e grupos, acesso a contas e recursos, a AWS oferece dois serviços: AWS Identity and Access Management (IAM) e AWS IAM Identity Center.

Existem várias semelhanças entre os serviços: ambos supervisionam o gerenciamento de acesso, garantem que seus usuários tenham acesso apenas aos recursos de que precisam e podem ser gerenciados centralmente com um provedor de identidade externo (IdP). Dadas as semelhanças, veremos o motivo de uma organização escolher um em vez de outro

 

 

Conta

Uma conta AWS é um contêiner de recursos AWS. Usar várias contas da AWS é uma prática recomendada para escalar ambientes, pois fornece um limite natural de faturamento para custos, isola recursos para segurança, dá flexibilidade para indivíduos e equipes, além de ser adaptável a novos processos de negócios.
 

 

Organização

Uma organização AWS é uma coleção de contas AWS que podem ser organizadas em uma hierarquia e gerenciadas centralmente. As organizações ajudam a criar novas contas de forma programática e a alocar recursos, além de simplificar o faturamento configurando um único método de pagamento para todas as contas. Além disso, o AWS Organizations é integrado a outros serviços da AWS para que os administradores possam definir configurações centrais, mecanismos de segurança e compartilhamento de recursos entre contas. 

Usuário

Um usuário da AWS é uma identidade da AWS criada diretamente no console de administração do AWS IAM ou do AWS IAM Identity Center que consiste em um nome e credenciais.
 

 

Usuário Federado

Um usuário federado é uma identidade de usuário criada e gerenciada centralmente e autenticada por um provedor de identidade externo. Os usuários federados assumem uma função ao acessar contas da AWS.

Grupo

Um grupo é uma coleção de usuários. Os grupos permitem que os administradores especifiquem permissões para vários usuários, o que pode facilitar o gerenciamento das permissões. Qualquer usuário nesse grupo terá automaticamente as permissões atribuídas ao grupo. Qualquer usuário removido do grupo perderá essas permissões. Por exemplo, se Bob colocar um novo funcionário no grupo Engenharia, que tem acesso à conta de produção do Lambda e do DynamoDB, o novo funcionário também terá acesso aos recursos dessa conta.

Role

Uma role é semelhante a um usuário, pois é uma identidade da AWS com permissões e políticas que determinam o que a identidade pode ou não fazer em uma conta da AWS. No entanto, em vez de ser associado exclusivamente a uma pessoa, pretende-se que uma role seja assumida por qualquer pessoa que dela necessite. Uma role não possui credenciais padrão de longo prazo, como senha ou chaves de acesso associadas a ela. Em vez disso, quando um usuário assume uma role, ele fornece um conjunto de credenciais de segurança temporárias para essa sessão. Os administradores podem usar roles para delegar acesso a usuários, aplicativos ou serviços que normalmente não têm acesso a esses recursos da AWS.

 

Conjunto de permissões do AWS IAM Identity Center

Um conjunto de permissões define o nível de acesso que um usuário tem aos recursos da AWS em uma conta da AWS. Para Bob, depois de fornecer acesso às contas necessárias no AWS IAM Identity Center, ele poderá usar conjuntos de permissões predefinidos ou personalizados para controlar o nível de acesso.

 

AWS IAM

O AWS Identity and Access Management permite que os administradores gerenciem o acesso aos serviços e recursos da AWS em uma conta da AWS com segurança para o que ele chama de “entidades”: usuários do IAM criados no console de administração do AWS IAM, usuários federados, código de aplicativo ou outro serviço da AWS. Os administradores podem criar e gerenciar usuários e grupos da AWS diretamente e usar permissões para permitir e negar acesso aos recursos da AWS. Os administradores criam funções para gerenciar o acesso de todas as outras entidades.

Por exemplo, se Bob quiser controlar quem tem acesso a um bucket específico do S3 Standard, ele poderá criar uma função e adicionar permissões a essa função para controlar quais usuários terão acesso.

AWS IAM Identity Center

O AWS IAM Identity Center também gerencia o acesso aos serviços e recursos da AWS. A diferença entre AWS IAM e AWS IAM Identity Center é que o último gerencia o acesso a todas as contas AWS dentro de uma organização AWS, bem como o acesso a outros aplicativos em nuvem, por exemplo, Salesforce.

O AWS IAM Identity Center inclui um portal de usuário onde os usuários finais podem encontrar e acessar suas contas atribuídas da AWS, aplicativos em nuvem e aplicativos personalizados em um só lugar.

AWS IAM vs. AWS IAM Identity Center

Adicionando contas

Você tem 10 contas AWS. Você precisa criar duas novas contas AWS, uma conta de teste e uma conta de produção para Lambda e DynamoDB, para isolar seus ambientes e garantir o acesso adequado.

Usando o AWS IAM, você precisará criar duas novas contas após o processo de inscrição.

Usando o AWS IAM Identity Center, você precisará abrir o serviço AWS Organizations e adicionar duas novas contas a partir dele.

 

Configurando provedores de identidade
 

Você está usando o JumpCloud como seu único provedor de identidade.

O AWS IAM oferece suporte à configuração de vários provedores de identidade por conta. Usando o AWS IAM, você precisará fazer login em cada conta da AWS e configurar o JumpCloud como provedor de identidade.

O AWS IAM Identity Center oferece suporte apenas a um único provedor de identidade. Usando o AWS IAM Identity Center, você configura o JumpCloud como seu provedor de identidade uma vez, e o JumpCloud se torna o provedor de identidade para todas as suas contas AWS novas e existentes.

 

Definição de permissões e roles
 

Você precisa definir as permissões e políticas que regem o que seus usuários podem ou não fazer em uma conta da AWS e a quais recursos da AWS eles têm acesso. Assim você precisará fazer isso no console de administração do serviço que está usando.

Usando o AWS IAM, você precisará fazer login em cada conta da AWS e criar novas funções ou, a partir de uma conta da AWS, Conta A, criar políticas que permitam que uma função seja assumida em outra conta da AWS e controlar o nível de acesso ao S3, Lambda e/ou CloudWatch na Conta B, por exemplo.

Usando o AWS IAM Identity Center, você pode reutilizar políticas e conjuntos de permissões existentes do AWS IAM Identity Center. As políticas e os conjuntos de permissões são definidos no nível da organização e aplicados a grupos ou usuários no nível da conta. Se as que já estão definidas não forem aplicáveis ​​a essas novas contas, você poderá criar novas no console de administração do AWS IAM Identity Center.

 

Provisionamento de usuários e grupos

Usando o AWS IAM, os usuários federados fazem login como uma função e não como sua identidade de usuário específica. Bob não precisa criar usuários ou grupos. Se você tiver uma necessidade específica de criar uma conta de usuário que não seja gerenciada por um provedor de identidade e possa fazer login como uma identidade de usuário, você precisará criar um usuário diretamente no AWS IAM. Se você tiver um caso de uso para ter vários usuários da AWS, você poderá criar grupos para organizar esses usuários e simplificar a atribuição de acesso a esses usuários.

Usando o AWS IAM Identity Center, você pode configurar uma integração SCIM e criar usuários automaticamente no AWS IAM Identity Center quando forem criados em seu provedor de identidade. Caso contrário, você precisaria criar usuários e grupos manualmente no console de administração do AWS IAM Identity Center.

 

Atribuindo acesso

Com as funções definidas, você está pronto para atribuir funções aos seus usuários e grupos.

Usando o AWS IAM, as funções são atribuídas a usuários federados usando atributos na declaração SAML para cada conta da AWS. Para cada função, você precisará definir um atributo de função no nível do conector, grupo ou usuário no JumpCloud. Você precisará obter o nome de recurso da Amazon (ARN) para cada conta e cada uma das funções que definiu e construir o valor do atributo SAML a partir dos ARNs da função e da conta.

Usando o AWS IAM Identity Center, as funções são atribuídas por meio de associação ao grupo ou diretamente ao usuário para cada conta da AWS. Depois que os grupos forem criados, você precisará atribuir permissões a cada grupo em cada conta. Você é capaz de refinar ainda mais quem dentro do grupo obtém as permissões usando tags, que usam atributos específicos do usuário, como departamento ou função, para determinar se a permissão deve ser concedida.

Essas permissões serão então herdadas pelos usuários que são membros do grupo e atendem a quaisquer condições adicionais da(s) permissão(ões). Se houver determinados usuários que precisem de privilégios específicos além dos que herdam de seu grupo, você poderá atribuir permissões a esses usuários diretamente em cada conta.

 

Conclusão:

 

O AWS IAM Identity Center é ideal para gerenciar várias contas da AWS. Com seu grupo de engenharia configurado no AWS IAM Identity Center, você agora pode conceder aos usuários acesso às contas necessárias no nível do usuário ou do grupo.

No serviço AWS IAM Identity Center, se você quiser conceder ao seu grupo de engenharia acesso à conta de produção do Lambda e do DynamoDB, tudo o que você precisará fazer é selecionar contas da AWS, marcar a caixa da conta e atribuir ao grupo ou nível de usuário. Para aprimorar ainda mais o tipo de acesso que seus usuários ou grupos têm, você terá que especificar os níveis de permissão. Isso inclui o uso de permissões existentes, ou seja, usuário avançado, ou a criação de um conjunto de permissões personalizado.

Um benefício adicional do AWS IAM Identity Center é que qualquer novo usuário adicionado ao grupo receberá automaticamente o mesmo nível de acesso que outros membros do grupo. Se você adicionar Mary Adams ao grupo de Engenharia, ela também receberá acesso de usuário avançado à conta de produção do Lambda e do DynamoDB.

Curiosamente, a AWS também está incentivando seus usuários a mudarem do AWS IAM para o AWS IAM Identity Center. Na guia de provedores de identidade do AWS IAM, a Amazon tem um banner promovendo o AWS IAM Identity Center. 

 

 

 

 

   Características do AWS DataSync e AWS Database Migration Service (DMS)

 

 

 

AWS DataSync e AWS Database Migration Service (DMS) são dois serviços diferentes oferecidos pela Amazon Web Services (AWS) que atendem a propósitos distintos:

 

 

AWS DataSync

 

O AWS DataSync é um serviço de transferência de dados que facilita a automatização da movimentação de dados entre sistemas de armazenamento locais e serviços de armazenamento da AWS, como Amazon S3, Amazon EFS e Amazon FSx for Windows File Server.

 

É usado principalmente para transferir grandes quantidades de dados de forma eficiente, segura e automática.

 

O AWS DataSync é adequado para cenários em que você precisa sincronizar dados regularmente entre sistemas de armazenamento locais e armazenamento na nuvem AWS, como backups, recuperação de desastres, migração de dados ou distribuição de conteúdo. 

 

AWS Database Migration Service (DMS)

 

AWS DMS é um serviço gerenciado projetado para ajudar você a migrar bancos de dados para a AWS com facilidade e segurança. Ele oferece suporte a migrações homogêneas (por exemplo, Oracle para Oracle), bem como migrações heterogêneas (por exemplo, Oracle para Amazon Aurora, SQL Server para Amazon RDS).

 

O DMS facilita tarefas de migração de esquemas e dados, incluindo replicação contínua entre os bancos de dados de origem e de destino, com tempo de inatividade mínimo.

 

Ele suporta replicação contínua de dados, permitindo migração de dados em tempo real e sincronização entre bancos de dados.

 

O AWS DMS é comumente usado para projetos de migração de banco de dados, como migração de bancos de dados locais para a AWS, migração entre diferentes mecanismos de banco de dados e configuração de soluções de recuperação de desastres.

 

Em resumo, o AWS DataSync se concentra na transferência de grandes volumes de dados entre o armazenamento local e os serviços de armazenamento da AWS, enquanto o AWS Database Migration Service é feito sob medida para migrar bancos de dados para a AWS, oferecendo suporte tanto a migrações únicas quanto a tarefas de replicação contínua.

 

Características do AWS Secrets Manager e AWS Systems Manager Parameter Store

 

 

 

Gerenciar a segurança de seus aplicativos é parte integrante de qualquer organização, especialmente para infraestruturas implantadas na nuvem. Um aspecto da segurança do aplicativo é como os parâmetros, como variáveis ​​de ambiente, senhas de banco de dados, chaves de API, chaves de produto, etc., são armazenados e recuperados. Como prática recomendada, as informações secretas não devem ser armazenadas em texto simples e nem incorporadas ao seu código-fonte. Também é recomendável configurar um sistema automatizado para alternar senhas ou chaves regularmente (o que é fácil de esquecer quando você gerencia chaves manualmente).

Gerenciar e proteger esses tipos de dados pode ser problemático, por isso a Amazon fornece os serviços AWS Systems Manager Parameter Store e AWS Secrets Manager para essa finalidade. Parameter Store e Secrets Manager são dois serviços distintos, mas oferecem funcionalidades semelhantes que permitem gerenciar e proteger centralmente suas informações secretas. 

 

 

AWS Secrets Manager

 

O AWS Secrets Manager permite alternar, gerenciar e recuperar credenciais de banco de dados, chaves de API e outros segredos durante todo o ciclo de vida. Também torna muito fácil seguir as práticas recomendadas de segurança, como criptografar segredos e alterná-los regularmente.

Se você for um administrador de segurança responsável por armazenar e gerenciar segredos e garantir que sua organização siga os requisitos regulatórios e de conformidade, poderá usar o Secrets Manager para executar essas tarefas em um local central. O Secrets Manager pode descarregar o gerenciamento de segredos dos desenvolvedores, como senhas de banco de dados ou chaves de API, para que eles não precisem se preocupar com onde armazenar essas credenciais.

O AWS Secret Manager também segue o mesmo fluxo de processo do Parameter Store que mostraremos abaixo. 

 

AWS Systems Manager Parameter Store

 

O Parameter Store faz parte das ferramentas de gerenciamento de aplicativos oferecidas pelo serviço AWS Systems Manager (SSM). O Parameter Store permite criar parâmetros de valor-chave para salvar configurações de aplicativos, variáveis ​​de ambiente personalizadas, chaves de produto e credenciais em uma única interface.

O Parameter Store permite proteger seus dados por meio de criptografia integrada ao AWS KMS. 

Depois de criar seus parâmetros no Parameter Store, você poderá recuperá-los pelo SSM Run Command, SSM State Manager ou referenciá-los em seu aplicativo em execução no EC2, ECS e Lambda ou até mesmo em aplicativos que executam seu data center local . Isso elimina a necessidade de codificar variáveis ​​ou incorporar credenciais de texto simples em seu código. O Parameter Store facilita a atualização dessas variáveis ​​sem modificar seu código-fonte, além de eliminar a necessidade de incorporar informações confidenciais, como senhas de banco de dados, em seu código.

Esta é uma visão geral de como os aplicativos podem recuperar informações no Parameter Store.

 

Seu aplicativo (servidores locais, EC2, ECS, Lambda etc.) envia uma solicitação de parâmetro ao SSM Parameter Store. 

 

Se esta for uma solicitação de parâmetro de texto simples, o Parameter Store verificará com o IAM se o usuário/função tem permissão para recuperar o parâmetro. 

 

Se esta for uma solicitação de parâmetro criptografado, o Parameter Store verificará com o IAM se o usuário/função tem permissão para recuperar e descriptografar o parâmetro com o AWS KMS. A descriptografia requer que o IAM tenha permissão de descriptografia KMS.

 

Se a verificação do IAM for bem-sucedida, o Parameter Store enviará de volta o valor do parâmetro ao aplicativo.

Semelhanças

Criptografia

Tanto o Secrets Manager quanto o Parameter Store podem aproveitar o AWS KMS para criptografar valores. Ao usar o KMS, as políticas do IAM podem ser configuradas para controlar as permissões nas quais os usuários e funções do IAM têm permissão para descriptografar o valor. Embora o acesso aos valores possa ser restringido através do IAM, a criptografia fornece uma camada adicional de segurança e às vezes é necessária para conformidade.
 

 

Armazenamento de chave/valor

Ambos os serviços permitem armazenar valores sob um nome ou chave.
Ambos permitem que as chaves tenham prefixos. Por exemplo, parâmetros ou segredos podem ser colocados no seguinte esquema de prefixo application/environment/parametername ou qualquer outra combinação de prefixos que atenda à necessidade do aplicativo. Isso é útil porque a implantação do aplicativo pode fazer referência a diferentes parâmetros/segredos com base no ambiente de implantação.
Integração 

 

 

CloudFormation

CloudFormation é usado como um modelo de infraestrutura como código (IaC), e armazenar segredos no CloudFormation é uma prática de segurança ruim. Você pode armazenar os segredos (por exemplo, nome de usuário e senha do banco de dados) no Parameter Store ou no Secrets Manager, que podem ser referenciados no modelo CloudFormation para que você tenha apenas um ponteiro para o valor em seu modelo, em vez de conter os segredos em texto simples.
 

 

Versionamento

Ambos os serviços suportam versionamento de valores secretos. Isso permite que você visualize versões anteriores de seus parâmetros secretos caso precise deles. Você pode optar por restaurar a versão mais antiga dos parâmetros.
O Parameter Store permite que apenas uma versão do parâmetro esteja ativa a qualquer momento.
O Secrets Manager permite que várias versões existam ao mesmo tempo quando você executa uma rotação secreta usando os rótulos de preparação.

Principais diferenças

Custo
 

Secrets Manager: É pago. O custo de armazenamento é de US$ 0,40 por segredo por mês e o custo de interações de API é de US$ 0,05 por 10.000 chamadas de API.
 

Parameter Store: Para parâmetros padrão, sem custo adicional para armazenamento e taxa de transferência padrão. Para maior rendimento, o custo das interações de API é de US$ 0,05 por 10.000 chamadas de API.
Para parâmetros avançados, o custo de armazenamento é de US$ 0,05 por parâmetro avançado por mês e o custo de interações de API é de US$ 0,05 por 10.000 chamadas de API.

 

Rotação de segredos
 

Secrets Manager: Oferece a capacidade de trocar segredos a qualquer momento e pode ser configurado para alternar regularmente dependendo de seus requisitos. Ele fornece integração completa de rotação de chaves com alguns serviços AWS, como RDS, Redshift, DocumentDB. Para outros serviços, a AWS permite escrever uma lógica de rotação de chave personalizada usando uma função AWS Lambda.

Parameter Store: Você pode escrever sua própria função que atualiza credenciais gerenciadas pelo Parameter Store e invocá-las por meio de um evento agendado do CloudWatch ou Eventbridge.

 

 

Acesso entre contas

Secrets Manager: Os segredos podem ser acessados ​​de outra conta da AWS. É mais fácil compartilhar os segredos entre contas. Isso é útil se os segredos forem gerenciados centralmente a partir de outra conta da AWS ou benéfico para casos de uso em que um cliente precisa compartilhar um segredo específico com um parceiro.
 

Parameter Store: Não suportado.

 

 

Tamanho secreto

Secrets Manager: Pode armazenar até 10 KB de tamanho secreto.

Parameter Store: Os parâmetros padrão podem armazenar até 4.096 caracteres (tamanho de 4 KB) para cada entrada, e os parâmetros avançados podem armazenar até 8 KB de entradas.

 

 

Limites

Secrets Manager: Possui limitação de armazenamento de 500.000 segredos por região por conta.
 

Parameter Store: Possui limitação de armazenamento de 10.000 parâmetros padrão por região por conta.

 

 

Replicação de múltiplas regiões

Secrets Manager: Permite replicar facilmente seus segredos em várias regiões da AWS para oferecer suporte a aplicativos espalhados por essas regiões, bem como a cenários de recuperação de desastres.

Parameter Store: Não oferece suporte à replicação entre regiões pronta para uso.

 

 

Casos de uso

Escolha Secrets Manager se:
 

Você deseja armazenar apenas valores criptografados e uma maneira super fácil de gerenciar a rotação dos segredos. Por exemplo, para organizações que precisam ser compatíveis com PCI, onde a obrigação é alternar suas senhas a cada 90 dias, o AWS Secrets Manager torna esse processo muito fácil e contínuo.

Escolha Parameter Store se:
 

Você deseja uma opção mais barata para armazenar segredos criptografados ou não criptografados.