AWS on Teddy Ferdinand

Pourquoi vous utilisez mal l'IAM d'AWS

Mon, 27 Jun 2022 06:00:31 +0000

Je travaille sur des environnements AWS depuis plus de 6 ans maintenant. Que ce soit en tant qu’Ops, architecte, ou architecte sécurité, il y toujours une constante que je constate autour de moi : l’IAM d’AWS est très souvent mal utilisé.

Dans ce billet, je vous propose de faire un petit tour d’horizon des raisons probables.

Parce que la doc vous indique de mettre du wildcard

La documentation est censée être le pilier sur lequel s’appuyer. Toutefois, force est d’admettre que la documentation d’AWS est loin d’être un exemple en ce qui concerne l’IAM.

Bref, j'ai passé ma certification AWS

Mon, 22 Feb 2021 06:00:00 +0000

Au début de l’année, je vous expliquais que j’avais comme ambition une certification AWS. Vendredi dernier, j’ai donc passé et obtenu ma première certification.

J’ai donc décidé de vous parler dans ce billet de ma préparation et de mon ressenti sur cette dernière.

Hard mode: ON

La seule certification que j’avais passée jusqu’à présent était la certification Ansible, qui soit dit en passant est une énorme blague. AWS propose en effet plusieurs certifications et pour le socle de base il existe trois niveaux : Practitioner, Associate, Professional.

Obtenir des clés temporaires pour le CLI AWS, c'est possible!

Mon, 12 Oct 2020 05:21:00 +0000

Lorsque l’on veut utiliser le CLI AWS pour piloter ses ressources en ligne de commande, la solution la plus simple est de passer par des access keys. Ces clés APIs, gérées par AWS permettent de s’authentifier simplement en passant par un utilisateur IAM.

Toutefois, quand on veut centraliser en dehors d’AWS ses utilisateurs, la tâche se gâte ! Aujourd’hui, je vais vous expliquer comment j’ai mis en place une gestion de credentials AWS temporaires avec une fédération externe à AWS, et pourquoi.

AWS CDK, le gamechanger ?

Tue, 01 Sep 2020 14:30:26 +0000

Il y a quelques semaines, AWS annonçait la disponibilité publique de son nouvel outil AWS Cloud Development Kit (AWS CDK).

Plus qu’un nouvel outil parmi d’autres chez AWS, je pense qu’il a le potentiel de changer les règles du jeu en ce qui concerne le déploiement.

Dans ce billet, j’ai pris le parti de ne le comparer qu’aux deux autres solutions populaires sur AWS : CloudFormation, l’outil d’Amazon et Terraform, l’outil open source d’HashiCorp. Pour avoir mon point de vue sur ces outils, je vous invite à lire mon billet associé.

Sécuriser son application web sur AWS

Wed, 26 Aug 2020 06:00:14 +0000

Lorsque l’on déploie son application web sur AWS, il est nécessaire de sécuriser son utilisation.

On pense souvent qu’il s’agit de déployer tout dans AWS et que notre application est directement en ligne et sécurisée. Ce qui est faux. Si la protection DDOS au niveau 4 (TCP/UDP) est effectivement effectuée par Amazon Web Services, le niveau 7 doit quant à lui être géré par le client.

Je vous propose dans cet article de voir les différentes couches de sécurité que l’on peut mettre en place pour sécuriser son application web sur AWS.

AWS IAM : Entre rêve et cauchemar

Sat, 15 Aug 2020 06:51:26 +0000

J’utilise professionnellement AWS depuis plus de 4 ans maintenant.

Pour faire un peu mon vieux, lorsque j’ai commencé sur AWS, les services et fonctionnalités suivantes n’existaient pas :

Les ALB/NLB
ACM
ElasticSearch Service
Les lambda dans les VPC ou avec durée supérieure à 5 minutes
ECS/EKS/ECR

Durant ces 4 années, j’ai eu l’occasion de faire beaucoup d’IAM, indispensable pour déployer des solutions sécurisées sur Amazon.

IAM et least privilege

Le service IAM (Identity and Access Management) est le service d’AWS qui définit les utilisateurs ou rôles ainsi que les permissions qui leur sont associées.

Accélérez le test de vos fonctions lambda avec Docker

Mon, 27 Apr 2020 06:00:00 +0000

Lambda est un outil AWS très puissant. L’exécution de scripts en mode serverless permet de réduire drastiquement les coûts et la complexité d’avoir à gérer une infrastructure scalable, néanmoins, tester directement ses fonctions sur Lambda peut parfois être frustrant, car nécessitant des allers retours entre le poste de développement et l’environnement AWS.

Il existe des fonctionnalités de tests intégrées au toolkit AWS pour les éditeurs les plus populaires (pour Microsoft Visual Studio Code / PyCharm, par exemple), néanmoins, cela restreint les éditeurs possibles et créé une adhérence que l’on ne souhaite pas particulièrement.

Comprendre le succès du modèle "Serverless"

Thu, 19 Dec 2019 12:30:30 +0000

Quiconque à déjà fait de l’infrastructure sur un provider cloud a déjà entendu parler du modèle serverless, derrière ce nom se cache en réalité beaucoup d’aspects. Petit tour d’horizon…

Le modèle serverless : Evolution logique des containers ?

Depuis maintenant plusieurs années, on parle de containers. Révolution de ces 5 dernières années, les containers (et les orchestrateurs) ont profondément changé l’approche de l’infrastructure, permettant de déployer de plus en plus simplement et rapidement des applications composées de microservices. Je ne vais pas parler de cette évolution ici.

Terraform VS CloudFormation : Quel outil pour déployer sur AWS?

Fri, 13 Dec 2019 11:00:00 +0000

Terraform ou CloudFormation, les deux outils sont souvent mis en opposition, demandant au DevOps de trancher et choisir un outil ou l’autre. Pourtant, de mon point de vue, ces deux outils n’adressent pas forcément les même besoins.

Se poser la question de son besoin exact

Avant de savoir vers quel outil aller, il est important de savoir quel est le besoin exact qu’on doit adresser:

Est-ce que je veux déployer uniquement sur AWS?
Est-ce que je dois m’interfacer avec des outils (notament CI/CD) déjà existants?
Est-ce que je veux héberger moi-même la solution de déploiement ou dépendre d’un service managé?
Est-ce que j’utilise déjà d’autres outils de l’écosystème HashiCorp (Nomad, Packer, Consul ou Vault par exemple)?

En effet, avec ces questions on peut déjà cibler plus facilement l’outil que l’on souhaite utiliser.

Linux sans SSH ? C'est possible avec Amazon SSM

Thu, 18 Jul 2019 07:10:54 +0000

Dans un parc informatique possédant des machines linux, le SSH est quelque chose de classique. Très souvent scanné, régulièrement mal sécurisé, il s’agit aussi d’une porte d’entrée possible pour des attaques. De plus la problématique de la tracabilité du SSH pousse souvent les entreprise à mettre en place des process spécifiques.

Sur Amazon, il est possible depuis l’année dernière de se connecter en SSH sans avoir besoin de clé, de login ou de mot de passe… et sans SSH.

Migrer son infrastructure dans AWS de manière optimale

Fri, 12 Apr 2019 12:39:56 +0000

Le cloud apparaît comme un Eldorado pour beaucoup d’entreprises: déploiement plus simple des applications, réduction des coûts, utilisation de technologies innovantes, autant d’avantage qu’Amazon fait miroiter devant ses potentiels clients, mais est-ce si simple ?

AWS, et le cloud de manière plus générale, peut être un excellent levier sur les points cités précédemment, néanmoins il est assez facile d’y perdre des plumes. Dans cet article, je vais lister ce qui, pour moi, me semble les erreurs à éviter.

AWS Summit 2019 - Paris : Entre succès et déception

Thu, 04 Apr 2019 18:27:27 +0000

J’étais il y a quelques jours à l’AWS Summit à Paris. Pour ceux qui ne connaissent pas cet événement, il s’agit d’une journée entière de conférences autour du cloud d’Amazon, AWS. Ce rendez-vous est assez intéressant car il permet d’avoir les retours d’expérience de beaucoup d’entreprises venant de milieux différents.

Pour ma part, j’y allais pour la seconde fois, la première fois étant en 2017. J’attendais cette journée vu l’agenda des conférences annoncées.