Please enable JavaScript.

Coggle requires JavaScript to display documents.

Amazon Web Services, Security and Compliance, Lightsail(PaaS), Batch, IPs,…

- - - - conectar usando SSH
        
        key pair, chmod 400
        
        On demand
        
        escalar recurso e pagar somente pelo que usa
        
        Reserved
        
        contrato de 1 - 3 anos da maquina estavel em memoria e disco(desconto bom)
        
        pagamento antes
        
        Spot
        
        como se fosse um leilao
        
        mais barato
        
        pode ser desligado qualquer momento pela AWS
        
        Dedicated Hosts
        
        normalmente no ramo financeiro
        
        mais caras mas maior seguranca
        
        Link Title
      - Instance Conect (browser)
      - User Data
        
        automatizar o processo de boot
      - conectar usando SSM
  - - - discos virtuais
        
        por AZ
        
        para utilizar o mesmo volume em outra AZ, precisa de um snapshot
        
        pode associar e desassociar nas EC2
        
        GBs e IOPS
      - 4 TIPOS
        
        GP2
        
        volume SSD balanceia preco e performance para varios tipos de trabalho
        
        IO1
        
        elevada performance SSD volume, baixa latencia e varios trabalhos
        
        ST1
        
        baixo custo, HDD volume frequente acesso, trabalhos intensos
        
        SC1
        
        baixo custo HDD, feito para baixo acesso
        
        GP2 e IO1 pode ser usado como boot volumes
      - network drive
    - - multi az
        
        pode ser associado a mais de uma EC2 diferentemente do EBS
    - - nstance Store provide the best disk performance
        
        buffer/cache/scratch data/temporary content
        
        high-performance but
        lose their storage if they are stopped
  - - - escopo: VPC
      - Troubleshoot
    - - Firewall para EC2
        
        controlam
        
        acessos a portas
        
        IPs permitidos
        
        inbound rules: chegando na instancia
        
        todo trafego é bloqueado por padrao
        
        pode ser outro SG tbm, ao invez do IP
        
        outbound rules: saindo da instancia
        
        exemplos??
        
        todo trafego é permitido por padrao
  - - - para IP publico fixo
        
        ate a delecao
      - nao usar em producao
        
        o uso demonstra uma arquitetura de baixa qualidade
        
        em prod: route 53 ou LB
        
        elb: ec2 nem precisa de IP publico, quem se expoe pra internet é elb
  - - - criar EC2 para atender aumento demanda
    - - terminar EC2 para diminuir demanda
    - - registra novas instancias no LB associado
    - - Launch Configuration
        
        AMI + tipo de instancia
        
        EC2 user data
        
        EBS
        
        SG
        
        referenciar SG em outro recurso sempre é a regra mais segura
        
        p.e: ALB acessar EC2, SG do ec2 referenciar SG do ALB
        
        SSH key
      - min max desejavel
      - LB
      - Regras de escalonamento
        
        Alarms(CloudWatch)
      - Metrics and Custom Metrics and Agendamento
- - - - Contas
        
        minima permissao requirida para executar determinadas tarefas
        
        least privilege principles
    - - organizacao das contas
        
        p.e: DB, engenheiro, developer
    - - regras que associamos a usuarios e grupos
        
        Regra de acesso
        
        Regra de servico
        
        ec2 acessar o db
    - - regras para o servico
        
        pode aplicar a role, groups e users
        
        escritas em JSON
      - Policies pre-definidas
        
        managed policies
  - - - melhora a seguranca
  - - - use SAML
  - - - p.e: para cada caso de uso
- - - - Latency
        
        Servidores mais proximos, calculo de ms para cada um e escolhe o menor caminho, do usuario que acessa ao DNS
        
        priorizar a latencia entre usuario e servidor
      - Failover
        
        Define o Primary Server e se cair tera um secondary server
      - Weighted
        
        Controlar a Porcentagem de request pra cada maquina
        
        vantagens
        
        dividir/testar o trafego em regioes
      - Simple
        
        nao da pra ter health check
        
        uso: quando vc precisa redirecionar pra um unico recurso
      - Geoproximity
        
        traffic flow: por onde o trafego esta passando e pode setar politicas
        
        varias policy na mesma regra
      - Geolocation
        
        Todos os usuarios de uma regiao se limitarao aos servidores associados a essa regiao P.e: usuario do BR só mandara request a um servidor de SP
    - - Colecao de Records e Rules que auxiliam a encontrar o servidor, usando uma URL
        
        A: URL para ipv4
        
        AAAA: URL para ipv6
        
        CNAME:url para url
        
        nao funciona aplicado ao root da url
        
        Alias: url para recursos aws(melhor performance que cname)
        
        TTL
        
        tempo de cache de resposta do DNS.p.e 10s: depois desse tempo faz outra request pra o route53
        
        High TTL
        
        menor numero de trafego de request no DNS
        
        Less TTL
        
        Maior numEro de trafego de request no DNS
      - como fazer para direcionar seu próprio domínio (nuvemguru.com) para o seu Load Balancer usando Route53?
        
        A record com alias
  - - - É correto afirmar que políticas de roteamento no Route53 são mais focadas para balancear entre Regions distintas enquanto load balance seria para rotear entre AZ's de uma Region, formando assim duas camadas de balanceamento
    - - Pode ser TCP/HTTP/HTTPS, sem verificação SSL
- - - - mp4, docs, jpg, etc
        
        5TB por arquivo - ilimitado
        
        99.9% de disponibilidade
        
        99.999999999% de durability (integridade)
        
        Consistency model
        
        Ler depois de escrever para Puts de arquivos
        
        se fizer um Get pra ler um objeto que nao existe
        
        depois fizer um Put pra escrever
        
        1 more item...
        
        eventual consistency para DELETE e PUT
        
        ler um objeto apos um update, pode retornar a versao antiga ao update
        
        se o objeto for deletado pode ser que ainda fique acessivel por um curto periodo de tempo
        
        maior 5GB : multipart upload
    - - folders
      - nome exclusivo mundialmente
        
        comecar com letra minuscula ou numero
    - - 4 tipos
        
        standard
        
        replica para no minimo 2 AZ
        
        mais rapido/mais caro por ter uma dispnibilidade e escalabilidade maior
        
        nao cobra taxa pra recuperar dados
        
        IA
        
        Infrequence access
        
        mais barato, toda vez que acessa paga uma taxa
        
        2 AZ
        
        nao cobra taxa para recuperar dados
        
        one zone
        
        mais mais barato
        
        pequena taxa, acesso em menor frequencia que o IA
        
        1 AZ
        
        glacier
        
        indicado para arquivos backup
        
        muito mais barato
        
        taxa(retrieval)
        
        pode demorar de 3 a 5 horas, para 'descongelar'
    - - SSE-S3
        
        criptografa usando Key gerenciada pela AWS
        
        objeto criptografado no lado do servidor
        
        header: x-amz-server-side-encryption: AES265
      - SSE-KMS
        
        key gerenciada pelo servico KMS-aws
        
        controlado pelo usuario+ rastreamento para auditoria
        
        limite ~1000 dowloads/uploads por segundo
        
        performance pode ser ruim se ultrapassar
        
        header: x-amz-server-side-encryption: aws:kms
      - SSE-C
        
        usuario gerencia a propria key
        
        Data key gerado pelo cliente no header
        
        enviado para servidor da aws
        
        feita a criptografia
        
        nao armazena a key, descartada
        
        1 more item...
      - Client Side Encryption
        
        criptografia acontece do lado do cliente e vai critografado para o S3
        
        aka End to End encryption
      - in flight: SSL/TLS
  - - - salva as alteracoes, tendo um controle de versoes de arquivos
        
        nivel bucket
        
        se habilitar depois de arquivos existentes
        
        os anteriores ao versionamento terao version null
      - facil rollback
    - - baseado no nome do arquivo
    - - dados do arquivo/conteudo
    - - armazenamento dos dados: tag, local
        
        usado para seguranca/lifecycle
  - - - cloudfront
        
        cache ao redor do mundo para optimizar a leitura
  - - - para maior disponibilidade e melhor acesso de usuarios de outras regioes
        
        nao deleta no replicado
  - - - Resource: bucket and object. Action: Allow or deny api Effect:allow/deny Principal: conta para aplicar a police
        
        permitir acesso publico ao bucket
        
        forcar objetos serem criptografados so fazer upload
        
        permitir acesso de outras contas(cross account)
    - - controle mais granular
    - - menos comum
  - - - 403
        
        ver se s3 ta publico
      - alem de acesso publico e como site estatico ativado , precisa ter politica
    - - acesso de outros buckets
        
        permite limitar o numero de websites que podem requisitar, diminuindo o custo
- - - - Datacenter isolado fisicamente dos outros, para evitar que desastre afete mais de uma AZ
      - DE A a Z
  - - - servidores web
      - banco de dados
    - - LB, static websites,files..
    - - com permissao do SG e NACL[firewal da subnet]
  - - - ajuda a monitorar e troubleshoot de conexao
        
        logs podem ser armazenados no s3 ou ir para o CloudWatch
  - - - mesma conta ou outra conta
        
        connect two VPC, privately using AWS network
  - - - ajuda a VPC subnet publica conectar na internet
    - - permite a instancia na subnet privada acessar a internet enquanto esta privada
  - - - com isso tem seguranca e menor latencia no acesso aos recursos da rede
- - - - camada de aplicacao (camada 7)
        
        HTTP e HTTPS. websockets
        
        certificado SSL
        
        SNI
        
        extensao do TLS
        
        SNI (Server Name Indication) is a feature allowing you to expose multiple SSL certs if the client supports it
      - multiplas aplicacoes em maquinas diferentes
        
        target groups
      - multiplas aplicacoes na mesma maquina
        
        containers
      - baseado em rotas(URL)
      - baseado em hostname
      - port mapping pra redirecionar para porta dinamica
    - - camada de redes (camada 4)
        
        TCP
        
        TLS = TCP + SSL
        
        SSL/TLS
        
        UDP
        
        camada de transporte do modelo OSI
      - menor latencia
      - usado para aplicacoes com alto volume de trafego
    - - os dois juntos
  - - - Assim a aplicacao nao ve o endereco IP da maquina
  - - - 503
        
        capacidade max atingida ou TG nao definido
      - Curiosidade: quando a pagina da 504, a requisicao chegou no LB, ele entendeu pra onde precisa ir, mas nao identifica o servidor, que nao responde e da timeout.
  - - - tem dns exposto
        
        impede bater direto na instancia
    - - health check
        
        informa se a instancia é capaz de receber requisicao
    - - balanceamento
    - - primeira instancia da primeira conexao
  - - - deregistration Delay
        
        time to complete "in-flight requests" while the instance is de-registering or unhealthy
        
        ELB para de mandar request para instancia enquanto ta desregistrando
- - - - not support IAM authentication
  - - - gerenciado
      - patching responsabilidade da aws
      - backup continuo
        
        pode ser restaurado para um timestamp
        
        snapshot diario do DB
        
        iniciado pelo usuario e pode ser guardado
        
        log de todas transacoes em tempo real
        
        7 dias de backup padrao, podendo aumentar ate 35 dias
      - painel de controle para monitoramento
      - read replicas para otimizar leituras
        
        ate 5 read replicas
        
        mesma ou outra AZ/region
        
        é ASYNC: eventually consistent
        
        assim que escrito no DB master demora pra ir pra replica
        
        a aplicacao pode ler das replicas, diminuindo o fluxo na master
        
        replica pode ser promovida pra master
        
        se falhar precisa mudar o endereco de conexao
        
        para analise de dados
        
        quando ta em outra AZ tem custo de rede
      - multi az para recuperacao de desastres
        
        usa um DNS e failover é automatico
        
        o multi AZ cria uma instancia de STANDBY
        
        SYNC, sem delay
        
        se o master falhar o master automaticamente grava e le o standby
        
        mais disponibilidade
        
        nao usado para escalonamento
        
        utilizado par recuperacao em caso de desastre com o master
        
        note: a read replicas podem ser configuradas como multi AZ para Disaster Recovery
      - janela de manutencao para upgrades
      - escalonamento: vertical e horizontal
      - nao é possivel ssh no rds
  - - - forcar
        
        postgreSQL
        
        rds.force_ssl=1 no console RDS(parameter group)
        
        MySQL
        
        dentro do DB: GRANT USAGE ON '.' TO 'mysqluser''%' REQUIRE SSL
  - - - private subnate, sem internet gateway
  - - - 5x mais rapido que Mysql e 3x mais rapido que Postgress
      - os drivers como se Aurora fosse Mysql e PostGress tbm
  - - - Redis
        
        DB do tipo Key value que armazena os dados na RAM
        
        Latencia baixa
        
        cache nao perde quando instancia reinicia
        
        ideal
        
        sessao do usuario
        
        alivia carga no DB
        
        suporta read replicas
      - MemCached
        
        perde os dados quando reiniciado
        
        leitura rapida de objetos armazenados
    - - Lazy Loading/Cache Aside/ Lazy population
        
        Lazy Loading would only cache data that is actively requested from the database
      - Write Through
        
        Add or update cache when database is updated
        
        this has longer writes, but the reads are quick and the data is always updated in the cache
- - - - anexar iam role
  - - - cuidado pois se executados podem custar caro
        
        p.e: criar uma instancia com 64GB de RAM
    - - (DryRunOperation) when calling the RunInstances operation: Request would have succeeded, but DryRun flag is set
  - - - pode ser decodificando usando STS
        
        aws sts decode-authorization-message --encoded-message Jnf99GIvLZkt5ZUnYLfO12Z2_4iktfYl2miUgp558w8iUGQC4wwg-paXRrDRbrACb9Gf_X2TQDjtffF0IwnuszFvBwCg8dQzBehqY3nSo_ehTgGVE7aji9VmkG7jKPRj30cNGZMnPoyouQ_OIXrUAAIrv3tv4cfe-CgpGTIAdqON5X4VVmqFtEwWshsMTCsrPMZ8XP4iPB4480lA3fZSAsIzqznWKZl-qXRhbm0OE2svOfAaHZh4eQUN1m5gvljLJ8d5nmTHNEXvjkyP9DFVdCzW3MmEN18L8mKkj6EAAeWduqpokWLJ9W-hf5c-YLKRsEH2yAHnqTR19UhvhsMomkFI3Xbujo6okWdCJEqTRc2Ckx2vR2wXdal0_m4rit_8rPN7i0FjfYd7TKsj-MHk2INZpy-dBiii3b3RUebHyJWrXTtcehAinXShKSTNft45mQngeM-0JM0-eFgrq4Hahv393b0wUWNxPB4sYuD60gAtQd1LYK-8WixAo4R9TFg8XqIm6MCm6VU1Z1uoalnRTldkzLqExy5CDF26-FvvoYezIlIyJhQYkdd5DVPECFkW1x58ECyrWXOvQAjg5pZdTPnojut9BUUVySMiCHhnx1CudU8zkkqV2c9eOuHOnJX7i1N5bcyfjk6dqP1ui3dzr_Pt0RL55VDpDCQ19a_ILfZxBtL4woVlbFU
  - - - curl http://169.254.169.254/latest/meta-data
  - - - aws configure
        
        nao é pratico
        
        aws configure --profile contaB
        
        aws s3 ls --profile contaB
- - - - /.aws/credentials
      - instance profile credentials usando IAM role para EC2
      - Enviroment variables
        
        AWS_ACCESS_KEY_ID
        
        AWS_SECRET_ACCESS_KEY
      - 111 e 112 Menino Jovem
  - - - Rate Limited API
      - 1 tentativa falha espera 1UT 2 tentativa falha espera 2 UT 3 tentativa falha espera 4 UT
        
        dobrando tempo
- - - - serveles
        
        developers dont need to manage server
        
        just deploy functions
        
        FaaS
        
        S3 | DynamoDB| fargate| lambda
        
        Serverless does not mean that there are no servers, you just do not manage, provision and see them, but they do exist.
- - - - Acesso aos associados do Cloud Support pelo e-mail em horário comercial**
        Casos ilimitados/um contato primário
        **8:00 AM to 6:00 PM in the customer country as set in My Account console
    - - Menos de 12h
  - - - Acesso aos engenheiros do Cloud Support por telefone, e-mail e chat 24 horas por dia, 7 dias por semana
        Casos ilimitados/contatos ilimitados (com suporte do IAM)
    - - Menos de 1h
  - - - Acesso aos engenheiros do Cloud Support por telefone, e-mail e chat 24 horas por dia, 7 dias por semana
        Casos ilimitados/contatos ilimitados (com suporte do IAM)
    - - Menos de 15 minutos
  - - - NÃO TEM
- - - - Prove protecao contra ataques como SYN/UDP floods, reflection e outros ataquees na camada 3 e 4
  - - - protege a aplicacao web de common web exploits
        
        camada 7
        
        HTTP
      - ALB, GATEWAY, CLOUDFRONT
      - ACL
- - - - ativando o Lambda ou SNS
- - - - se o acesso SSH è irrestrito ao sg
      - se o bucket tem acesso publico
- - - - s3
- - - - image name
      - port binding for container and host
      - memory and cpu
      - networking information and enviroment variables
  - - - dynamic port: multiplas tasks em uma unica instancia
  - - - IAM permissions
        
        policy
- - - - binpack
        
        ajuda em econimizar, pq usa a ec2 com o maximo de container possivel antes de instanciar outra maquina
      - random
      - spread
        
        por AZ ou outra regra
    - - distinctInstance
        
        cada task em uma instancia de container diferente
      - memberOf
        
        tasks que satisfazem a espressao
        
        por exemplo tasks que so rodam em t2.micro
- - - - messages are deleted after they are read by consumers
    - - kept up to 14 days
  - - - no message retention
    - - com eventos inscritos para ouvir
        
        os incritos podem ser outros recursos aws que ouvem as mensagens
- - - - asg, ec2, sns
  - - - scripts
        
        rules to react to a service doing something
- - - - os 3 ultimos paga por recurso criado por meio deles
- - - - podendo ter desconto, tipo um atacado
- - - - http://awstcocalculator.com/
        
        CLOUD VS ON-PREMISES
    - - estima o custo da arquitetura
  - - - tag: createdBy
        
        PESQUISAR