本文描述了如何对Workspaces的外部网络访问行为进行限制,例如用户希望关闭单个桌面的互联网访问,而不影响其他桌面访问互联网的场景。
一、背景
Workspaces的网络管控能力分两种场景:
Continue reading “通过修改NAT Gateway所在子网的NACL实现限制Workspaces的外网访问”Author: pcman
在Amazon Linux(CentOS)和Ubuntu系统的EC2上使用EFS服务
2年前写过一篇EFS挂载使用说明,一晃2年过去。EFS界面已经大幅优化,挂载命令对中国区支持也更加友好,不需要以前步骤的人工修改挂载点了。因此重新编写了本文档。
新版EFS操作界面简化了创建过程,可实现几次点击即可配置好EFS。本文描述如何创建EFS服务,并在Amazon Linux(CentOS)和Ubuntu系统的EC2挂载使用。
Continue reading “在Amazon Linux(CentOS)和Ubuntu系统的EC2上使用EFS服务”HIPAA 定义的PHI
HIPAA 是《健康保险流通与责任法案》。 制定 HIPAA 是为了提高医疗保健系统的效率和有效性,并建立美国联邦安全标准来保护受保护的健康信息 (PHI) 的安全和隐私。
HIPAA is the Health Insurance Portability and Accountability Act. HIPAA was enacted to improve the efficiency and effectiveness of the health care system and establishes federal security standards to protect the security and privacy of Protected Health Information (PHI).
Continue reading “HIPAA 定义的PHI”通过API查询Amazon OpenSearch服务(ElasticSearch)版本和可用机型
一、确认要使用的版本
Amazon OpenSearch Service 是一款开源的分布式搜索和分析套件,衍生自 Elasticsearch。Amazon OpenSearch Service 是 Amazon Elasticsearch Service 的后继者,提供最新版本的 OpenSearch,支持 19 个版本的 Elasticsearch(1.5 到 7.10 版本),并支持由 OpenSearch Dashboards 和 Kibana(1.5 到 7.10 版本)提供的可视化功能。
引擎版本差异在这里。
至此的插件版本差异在这里。
更多信息参考官网的FAQ页面这里(中文)。
Continue reading “通过API查询Amazon OpenSearch服务(ElasticSearch)版本和可用机型”使用STS服务和STS Tag标签、通过AssumeRole方式为应用生成临时授权
一、背景
在某些环境内,需要为某个系统生成一个临时访问授权,例如某应用允许用户发起对S3存储桶的特定目录的写入操作,而且有超时时间,过期后失效。此时,可使用STS服务临时生成AK/SK密钥,然后将临时AK/SK作为应用程序上传时候调用的角色即可。
本文编写参考了这篇博客,并针对AWS中国区的IAM策略添加了aws-cn标签。
Continue reading “使用STS服务和STS Tag标签、通过AssumeRole方式为应用生成临时授权”使用STS服务Assume为一个Role角色时候提示超过最大session时间的限制
使用sts服务assume为一个角色的时候,提示超过Session时间限制:
An error occurred (ValidationError) when calling the AssumeRole operation: The requested DurationSeconds exceeds the MaxSessionDuration set for this role使用命令行创建RDS不同版本
使用命令行(以及SDK)创建RDS MySQL或Aurora MySQL之前,首先要查询可用的版本。
Continue reading “使用命令行创建RDS不同版本”SageMaker新账号提升常用的Limit限制
新创建的AWS账号出于防恶意的角度,默认限制给的很低仅允许使用t3机型作为Notebook运行环境和推理节点。为进入正常业务使用,可能需要提升如下limit配额。
Continue reading “SageMaker新账号提升常用的Limit限制”EKS 101 & 201 动手实验合辑
EKS 1.30 版本 @2024-07 AWS Global区域测试通过
本套实验材料也托管在Github上。本文动手实验部分所采用的脚本,遇到引用Github content服务的,已经考虑了中国大陆访问Github困难,因此提供了额外的镜像便于完成实验和快速部署。
Continue reading “EKS 101 & 201 动手实验合辑”实验八、为VPC扩展IP地址并配置EKS Pod使用独立的IP地址段
EKS动手实验合集请参考这里。
EKS 1.30 版本 @2024-07 AWS Global区域测试通过
一、背景及网络场景选择
1、关于EKS的默认CNI
AWS EKS默认使用AWS VPC CNI(了解更多点这里),所有的Pod都将自动获得一个本VPC内的IP地址,从外部网络看Pod,它们的表现就如同一个普通EC2。这是AWS EKS默认的网络模式,也是强烈推荐的使用模式。
Continue reading “实验八、为VPC扩展IP地址并配置EKS Pod使用独立的IP地址段”EKS 101 动手实验(七)解决AWS中国区的EKS部署Container Insight从海外拉取镜像失败的问题
海外区使用AWS Client VPN设置超时时间主动断开服务
AWS Client VPN是用于海外员工访问海外AWS云上资源的主要方式。之前做过配置手册和效果演示视频两个素材,请点击这以上链接跳转。
AWS Client VPN按照连接的用户数和时长收费。AWS Client VPN默认24小时断开,并且此参数不支持在AWS控制台上调整。Anyway,此参数可以使用配置文件调整。方法如下。
Continue reading “海外区使用AWS Client VPN设置超时时间主动断开服务”AWS WAF已经为Java Spring漏洞提供防护
请参考AWS Managed Rules changelog 更新日志:
https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-changelog.html
Known bad inputs managed rule group 规则组说明:
无服务器直播方案部署手册补充版
AWS中国区提供了开箱即用的无服务器直播方案,其官方网址如下:
https://www.amazonaws.cn/solutions/serverless-video-streaming/?nc2=hqlsol_all
这个方案是基于CloudFormation的Quickstart快速部署,源代码参考这里。本文在官方部署手册基础上进行了简化和补充。
Continue reading “无服务器直播方案部署手册补充版”实验六、将IAM用户或角色授权为EKS集群管理员
EKS动手实验合集请参考这里。
EKS 1.30 版本 @2024-07 AWS Global区域测试通过
使用EKS服务过程中,经常出现创建EKS集群和管理EKS集群的不是一个人。由此会导致在AWS控制台上显示EKS服务不正常,无法获取有关配置。在AWS控制台上访问EKS服务时候,会提示错误信息如下:
Your current IAM principal doesn’t have access to Kubernetes objects on this cluster.
This might be due to the current IAM principal not having an access entry with permissions to access the cluster.