Size: a a a

2020 September 09

AT

Al T in AWS_RU
Да можно конечно, просто не так удобно, плюс можно настроить алерты например кто-нибудь задеплоил S3 бакет открытый или базу наружу выставил..
источник

VM

Viktor Mazankin in AWS_RU
Al T
Да можно конечно, просто не так удобно, плюс можно настроить алерты например кто-нибудь задеплоил S3 бакет открытый или базу наружу выставил..
Так и тут можно, есть даже сторонние тулы которые на основе этого ещё серьезнее конфига работают
источник

AT

Al T in AWS_RU
👍
источник

AP

Alexander Patrushev in AWS_RU
источник

N

NB in AWS_RU
Подскажите, как лучше реализовать общие для энва тэги, в cf темплейте, который в себя включает nested темплейты. Я думал импортить какой-то ямлик и передавать его словарём во все элементы
источник

VP

Valery Pilia in AWS_RU
Всем привет.
Подскажите, кто-то включал vpc gateway s3 endpoint на существующей инфре? После этого для ec2 инстансов внутри vpc для аппок меняется то, как надо обращаться к бакетам? Не пропадает ли обычная возможность обращаться по публичным урлам к бакетам? И какие вообще дополнительные настройки надо будет сделать? Есть опасения, что если сейчас включить gateway, то существующая работа с s3 может сломаться.
источник

AD

Andrey Devyatkin in AWS_RU
Все работает как обычно, никаких изменений делать не надо. По крайней мере не сталкивались ни с какими проблемами
источник

VP

Valery Pilia in AWS_RU
То есть вариант «включили vpc gateway s3 endpoint — обломалась существующая работа с s3» не произойдет?
А вы включали для всех route tables в своей vpc или только для некоторых?
источник

AD

Andrey Devyatkin in AWS_RU
надо посмотреть. уже не помню. как доберусь до компьютера посмотрю
источник

AD

Andrey Devyatkin in AWS_RU
пока вот хорошая статься с деталями https://medium.com/@gkzz/what-is-the-differences-between-vpc-endpoint-gateway-endpoint-ae97bfab97d8
источник

AP

Alexander Patrushev in AWS_RU
Valery Pilia
Всем привет.
Подскажите, кто-то включал vpc gateway s3 endpoint на существующей инфре? После этого для ec2 инстансов внутри vpc для аппок меняется то, как надо обращаться к бакетам? Не пропадает ли обычная возможность обращаться по публичным урлам к бакетам? И какие вообще дополнительные настройки надо будет сделать? Есть опасения, что если сейчас включить gateway, то существующая работа с s3 может сломаться.
Фактически для приложения ничего не меняется. Меняется только маршрут (вы вносите исправления в таблицу маршрутизации)
источник

AP

Alexander Patrushev in AWS_RU
Valery Pilia
То есть вариант «включили vpc gateway s3 endpoint — обломалась существующая работа с s3» не произойдет?
А вы включали для всех route tables в своей vpc или только для некоторых?
На мой взгляд имеет смысл включать для всех.
источник

VP

Valery Pilia in AWS_RU
Alexander Patrushev
Фактически для приложения ничего не меняется. Меняется только маршрут (вы вносите исправления в таблицу маршрутизации)
Просто была какая-то инфа, что при включении этого гейтвея перестает быть доступным с3 по обычной схеме. А вот этого очень не хочется. )) Если найду, где это пробегало, покажу.
источник

VP

Valery Pilia in AWS_RU
Спасибо!
источник

ZA

Zhanibek Azhimov in AWS_RU
Что то ошибка при загрузке файлов в S3 с lambda. Создал роль и дал доступ к S3. Роль привязал к функции. Но все равно выходит ошибка AccessDenied
источник

AD

Andrey Devyatkin in AWS_RU
Проверь bucket policy - там может быть политика которая конфиликтует
источник

AD

Andrey Devyatkin in AWS_RU
ты только s3:PutObject разрешил?
источник

AD

Andrey Devyatkin in AWS_RU
там еще нужно list bucket и listobjects разрешать
источник

AD

Andrey Devyatkin in AWS_RU
вот так примерно
data "aws_iam_policy_document" "s3" {
 statement {
   sid = "AllowPut"

   actions = [
     "s3:ListObjectsV2",
     "s3:ListBucket",
     "s3:PutObject",
     "s3:PutObjectAcl"
   ]

   resources = [
     "${module.release_bucket.this_s3_bucket_arn}",
     "${module.release_bucket.this_s3_bucket_arn}/*"
   ]
 }
}
источник

AD

Andrey Devyatkin in AWS_RU
так же проверяй cloudtrail - в event'е будет детальное описание ошибки и из нее будет понятно что делать дальше
источник