AWS on Teddy Ferdinand

Pourquoi vous utilisez mal l'IAM d'AWS

Mon, 27 Jun 2022 06:00:31 +0000

Je travaille sur des environnements AWS depuis plus de 6 ans maintenant. Que ce soit en tant qu’Ops, architecte, ou architecte sécurité, il y toujours une constante que je constate autour de moi : l’IAM d’AWS est très souvent mal utilisé.

Dans ce billet, je vous propose de faire un petit tour d’horizon des raisons probables.

Parce que la doc vous indique de mettre du wildcard

La documentation est censée être le pilier sur lequel s’appuyer. Toutefois, force est d’admettre que la documentation d’AWS est loin d’être un exemple en ce qui concerne l’IAM.

Les GAFAM aussi ont des incidents

Mon, 11 Oct 2021 05:11:49 +0000

Dernièrement Facebook a eu un incident majeur et a disparu du net pendant plusieurs heures.

Les réactions que cela a suscitées, dans la sphère technique, m’ont quelque peu surpris, donc nous allons parler dans ce billet des pannes chez les big tech.

Par big tech, j’entends ces boites que l’on pense bien trop grandes pour avoir le moindre incident visible de l’extérieur.

Facebook : Tu me vois, tu me vois plus !

Facebook a rencontré un incident réseau impressionnant et très simple en même temps. Une erreur de manipulation a conduit à la suppression des routes BGP vers Facebook.

API VS bibliothèques : comprendre l'intérêt

Mon, 21 Jun 2021 04:35:47 +0000

Lorsque l’on doit communiquer avec des services tiers, des APIs sont souvent mises en place pour simplifier l’échange d’information.

Très souvent, en parallèle de ces dernières, on peut trouver des SDK, fourni par l’éditeur ou bien en open source.

Aujourd’hui, nous allons voir pourquoi l’utilisation des SDK est souvent à préférer à celles des API au travers d’un exemple simple : AWS et son SDK Boto3.

Le choix d’AWS est arbitraire, tout autant que Boto3, simplement parce que ce sont des technologies que je maîtrise, mais cet exemple est transposable à beaucoup de fournisseurs et langages de programmations différents. Les codes indiqués dans ce billet n’ont pas été testés et sont simplement indiqués à titre d’illustration.

Mon métier de Cloud Security Architect

Mon, 15 Mar 2021 06:53:09 +0000

Pour faire écho aux articles récents de Damy.R, et mcorbin, je me suis dit qu’il serait sympa que je vous explique en quoi consistait mon métier :

À la découverte du métier de consultant cloud et DevOps

Envie de découvrir le quotidien d’un consultant cloud et DevOps ?

Damy.R

(mcorbin.fr): Le métier de développeur Cloud

(mcorbin.fr)

En effet les métiers de l’IT sont très nombreux, et il est parfois compliqué de comprendre ce qui se cache derrière nos étiquettes.

Bref, j'ai passé ma certification AWS

Mon, 22 Feb 2021 06:00:00 +0000

Au début de l’année, je vous expliquais que j’avais comme ambition une certification AWS. Vendredi dernier, j’ai donc passé et obtenu ma première certification.

J’ai donc décidé de vous parler dans ce billet de ma préparation et de mon ressenti sur cette dernière.

Hard mode: ON

La seule certification que j’avais passée jusqu’à présent était la certification Ansible, qui soit dit en passant est une énorme blague. AWS propose en effet plusieurs certifications et pour le socle de base il existe trois niveaux : Practitioner, Associate, Professional.

AWS re:Cap (Semaine 3)

Thu, 24 Dec 2020 10:05:17 +0000

Fêtes de fin d’année obligent, ce dernier re:Cap arrive avec quelques jours de retard.

Le re:Invent s’est terminé ce 18 décembre, l’occasion pour moi de vous parler des annonces de cette dernière semaine.

Comme tous les ans, cet événement a été une avalanche d’annonces, certaines sur lesquelles AWS était attendu, d’autres qui ont largement surpris.

Une fois de plus, AWS a pu affirmer sa position de leader dans le domaine du cloud public.

AWS re:Cap (Semaine 2)

Mon, 14 Dec 2020 07:53:35 +0000

Comme la semaine passée, je vous propose un billet récapitulatif des annonces que j’ai retenues du re:Invent sur cette seconde semaine.

Vous pouvez retrouver la première semaine ici :

AWS re:Cap (Semaine 1)

Cette année, j’ai décidé de vous faire un billet chaque semaine avec lesannonces que j’ai retenu du Re:Invent. Ce billet est purement subjectif, ce que j’ai retenu n’est pas forcément le plusimportant, mais plutôt les informations que j’ai jugé pertinentes. En complément de ce billet, vous pouve…

Teddy FERDINAND

Une fois de plus, ces annonces sont sélectionnées de manière complètement arbitraire, et ne sont pas forcément les plus intéressantes pour tout le monde.

AWS re:Cap (Semaine 1)

Sun, 06 Dec 2020 20:29:14 +0000

Cette année, j’ai décidé de vous faire un billet chaque semaine avec les annonces que j’ai retenu du Re:Invent.

Ce billet est purement subjectif, ce que j’ai retenu n’est pas forcément le plus important, mais plutôt les informations que j’ai jugé pertinentes.

En complément de ce billet, vous pouvez aussi suivre les annonces via le GitHub de mon ami Victor :

zoph-io/awscon-onepager

📝 AWS Conferences One-Pagers. Contribute to zoph-io/awscon-onepager development by creating an account on GitHub.

zoph-io

Accrochez vous, il y a de l’annonce à la pelle !

Arretez Internet : AWS ne répond plus!

Sat, 28 Nov 2020 12:30:00 +0000

Il y a quelques jours, un incident impactant le fournisseur cloud AWS a eu un écho important chez beaucoup d’entreprises et de services, directement touchés par cette instabilité.

J’ai vu sur les réseaux sociaux de nombreuses réactions, souvent à côté du sujet (malheureusement) et je me suis dit qu’il pouvait être utile de vous donner mon analyse du sujet.

On rembobine

Commençons par rappeler un peu l’incident.

Mercredi soir (heure française), AWS a rencontré un nombre d’erreurs de plus en plus important sur certains de ces services dans la région us-east-1 (North Virginia).

Obtenir des clés temporaires pour le CLI AWS, c'est possible!

Mon, 12 Oct 2020 05:21:00 +0000

Lorsque l’on veut utiliser le CLI AWS pour piloter ses ressources en ligne de commande, la solution la plus simple est de passer par des access keys. Ces clés APIs, gérées par AWS permettent de s’authentifier simplement en passant par un utilisateur IAM.

Toutefois, quand on veut centraliser en dehors d’AWS ses utilisateurs, la tâche se gâte ! Aujourd’hui, je vais vous expliquer comment j’ai mis en place une gestion de credentials AWS temporaires avec une fédération externe à AWS, et pourquoi.

AWS CDK, le gamechanger ?

Tue, 01 Sep 2020 14:30:26 +0000

Il y a quelques semaines, AWS annonçait la disponibilité publique de son nouvel outil AWS Cloud Development Kit (AWS CDK).

Plus qu’un nouvel outil parmi d’autres chez AWS, je pense qu’il a le potentiel de changer les règles du jeu en ce qui concerne le déploiement.

Dans ce billet, j’ai pris le parti de ne le comparer qu’aux deux autres solutions populaires sur AWS : CloudFormation, l’outil d’Amazon et Terraform, l’outil open source d’HashiCorp. Pour avoir mon point de vue sur ces outils, je vous invite à lire mon billet associé.

Sécuriser son application web sur AWS

Wed, 26 Aug 2020 06:00:14 +0000

Lorsque l’on déploie son application web sur AWS, il est nécessaire de sécuriser son utilisation.

On pense souvent qu’il s’agit de déployer tout dans AWS et que notre application est directement en ligne et sécurisée. Ce qui est faux. Si la protection DDOS au niveau 4 (TCP/UDP) est effectivement effectuée par Amazon Web Services, le niveau 7 doit quant à lui être géré par le client.

Je vous propose dans cet article de voir les différentes couches de sécurité que l’on peut mettre en place pour sécuriser son application web sur AWS.

AWS IAM : Entre rêve et cauchemar

Sat, 15 Aug 2020 06:51:26 +0000

J’utilise professionnellement AWS depuis plus de 4 ans maintenant.

Pour faire un peu mon vieux, lorsque j’ai commencé sur AWS, les services et fonctionnalités suivantes n’existaient pas :

Les ALB/NLB
ACM
ElasticSearch Service
Les lambda dans les VPC ou avec durée supérieure à 5 minutes
ECS/EKS/ECR

Durant ces 4 années, j’ai eu l’occasion de faire beaucoup d’IAM, indispensable pour déployer des solutions sécurisées sur Amazon.

IAM et least privilege

Le service IAM (Identity and Access Management) est le service d’AWS qui définit les utilisateurs ou rôles ainsi que les permissions qui leur sont associées.

Transformez votre pipeline AWS DevSecOps en bunker - Partie 1

Thu, 18 Jun 2020 15:16:01 +0000

Ce billet a été co-écrit par Victor Grenu. Qui travaille en tant que Cloud Architect

Introduction

Dans cette série, nous parlerons de l’émergence du mouvement DevSecOps, et plus particulièrement, quels sont les avantages de l’introduction d’une approche DevSecOps sur vos pipelines CI/CD existants.

Pipeline CI/CD

Pour vous donner un peu de contexte, vous trouverez dans le diagramme ci-dessous un pipeline standard de CI/CD.

DevSecQuoi?

Le DevSecOps pourraient être définies comme un passage d’une équipe centrale de sécurité interne à l’inclusion de pratiques de sécurité dans les équipes DevOps existantes : DevSecOps

Accélérez le test de vos fonctions lambda avec Docker

Mon, 27 Apr 2020 06:00:00 +0000

Lambda est un outil AWS très puissant. L’exécution de scripts en mode serverless permet de réduire drastiquement les coûts et la complexité d’avoir à gérer une infrastructure scalable, néanmoins, tester directement ses fonctions sur Lambda peut parfois être frustrant, car nécessitant des allers retours entre le poste de développement et l’environnement AWS.

Il existe des fonctionnalités de tests intégrées au toolkit AWS pour les éditeurs les plus populaires (pour Microsoft Visual Studio Code / PyCharm, par exemple), néanmoins, cela restreint les éditeurs possibles et créé une adhérence que l’on ne souhaite pas particulièrement.

Les GAFAM : Souriez, vous offrez vos données

Tue, 18 Feb 2020 07:33:29 +0000

Les GAFAM, ils sont partout, parfois clairement visibles, comme lorsque vous allez sur Google, parfois beaucoup moins, comme par exemple Amazon qui détient le site IMDB.

Les GAFAM, qu’est-ce c’est ?

Je met ce petit point pour ceux qui ignoreraient en quoi consiste les GAFAM. Ce qu’on appelle couramment ainsi ne sont autres que :

Google
Apple
Facebook
Amazon
Microsoft

Ces cinq entreprises dominent aujourd’hui largement internet, et il est très difficile de s’en passer réellement.

Est-ce vraiment plus vert dans le cloud ?

Mon, 10 Feb 2020 19:35:31 +0000

“It’s greener on AWS”, je ne compte plus le nombre de fois où j’ai entendu cette phrase lors de conférence autour d’Amazon.

Ce mantra que se répètent des entreprises pour avoir l’air cool est-il vrai ?

L’écologie, nouveau fer de lance des entreprises

D’année en année, les entreprises, et surtout les grands groupes, mettent en avant leur effort pour être toujours “plus vert”. Chaque entreprise étant bien sûr plus engagée que son concurrent. Je me demande d’ailleurs comment nous pouvons avoir encore des problème liés à la pollution avec autant d’engagement…

Comprendre le succès du modèle "Serverless"

Thu, 19 Dec 2019 12:30:30 +0000

Quiconque à déjà fait de l’infrastructure sur un provider cloud a déjà entendu parler du modèle serverless, derrière ce nom se cache en réalité beaucoup d’aspects. Petit tour d’horizon…

Le modèle serverless : Evolution logique des containers ?

Depuis maintenant plusieurs années, on parle de containers. Révolution de ces 5 dernières années, les containers (et les orchestrateurs) ont profondément changé l’approche de l’infrastructure, permettant de déployer de plus en plus simplement et rapidement des applications composées de microservices. Je ne vais pas parler de cette évolution ici.

Terraform VS CloudFormation : Quel outil pour déployer sur AWS?

Fri, 13 Dec 2019 11:00:00 +0000

Terraform ou CloudFormation, les deux outils sont souvent mis en opposition, demandant au DevOps de trancher et choisir un outil ou l’autre. Pourtant, de mon point de vue, ces deux outils n’adressent pas forcément les même besoins.

Se poser la question de son besoin exact

Avant de savoir vers quel outil aller, il est important de savoir quel est le besoin exact qu’on doit adresser:

Est-ce que je veux déployer uniquement sur AWS?
Est-ce que je dois m’interfacer avec des outils (notament CI/CD) déjà existants?
Est-ce que je veux héberger moi-même la solution de déploiement ou dépendre d’un service managé?
Est-ce que j’utilise déjà d’autres outils de l’écosystème HashiCorp (Nomad, Packer, Consul ou Vault par exemple)?

En effet, avec ces questions on peut déjà cibler plus facilement l’outil que l’on souhaite utiliser.

Linux sans SSH ? C'est possible avec Amazon SSM

Thu, 18 Jul 2019 07:10:54 +0000

Dans un parc informatique possédant des machines linux, le SSH est quelque chose de classique. Très souvent scanné, régulièrement mal sécurisé, il s’agit aussi d’une porte d’entrée possible pour des attaques. De plus la problématique de la tracabilité du SSH pousse souvent les entreprise à mettre en place des process spécifiques.

Sur Amazon, il est possible depuis l’année dernière de se connecter en SSH sans avoir besoin de clé, de login ou de mot de passe… et sans SSH.

Le "chaos day", un outil pour rapprocher Devs et Ops ?

Tue, 09 Jul 2019 07:50:10 +0000

Je suis chez mon employeur actuel depuis plusieurs années, et je constate comme chez d’autres employeurs, que des clivages existent malheureusement entre développeurs (Devs) et ingénieurs de production (Ops).

Un rôle différent au sein de l’IT

Peut-on vraiment en vouloir à des gens dont le métier, la formation, les attentes et les objectifs sont différent d’avoir des difficultés à se comprendre ?

Attention, je ne jete la pierre d’aucun des deux côtés, mais force est d’admettre que les rôles des deux parties ne sont pas les mêmes, quand bien même dev et ops sont complémentaires pour avoir une production efficace et performante, tout en étant innovant.

Migrer son infrastructure dans AWS de manière optimale

Fri, 12 Apr 2019 12:39:56 +0000

Le cloud apparaît comme un Eldorado pour beaucoup d’entreprises: déploiement plus simple des applications, réduction des coûts, utilisation de technologies innovantes, autant d’avantage qu’Amazon fait miroiter devant ses potentiels clients, mais est-ce si simple ?

AWS, et le cloud de manière plus générale, peut être un excellent levier sur les points cités précédemment, néanmoins il est assez facile d’y perdre des plumes. Dans cet article, je vais lister ce qui, pour moi, me semble les erreurs à éviter.

AWS Summit 2019 - Paris : Entre succès et déception

Thu, 04 Apr 2019 18:27:27 +0000

J’étais il y a quelques jours à l’AWS Summit à Paris. Pour ceux qui ne connaissent pas cet événement, il s’agit d’une journée entière de conférences autour du cloud d’Amazon, AWS. Ce rendez-vous est assez intéressant car il permet d’avoir les retours d’expérience de beaucoup d’entreprises venant de milieux différents.

Pour ma part, j’y allais pour la seconde fois, la première fois étant en 2017. J’attendais cette journée vu l’agenda des conférences annoncées.

Et si nous nous disions que le cloud est juste un datacenter comme un autre?

Thu, 28 Feb 2019 19:54:58 +0000

Je travaille au quotidien sur des infrastructures sur le cloud d’Amazon (AWS pour les intimes), et je réfléchis à la manière la plus adaptée de mettre en place de nouvelles solutions techniques sur cette plateforme.

Amazon, et le cloud de manière générale, a apporté une liberté impressionnante :

Déployer sur des infrastructures taillées sur mesure
Apporter de l’élasticité dans les infrastructures
Pouvoir profiter de machines à la demande

Néanmoins, ces nouvelles approches de l’infrastructure ont aussi apporté leur lot de points négatifs.