Читаю про EKS managed node groups - в  чём основное отличие от self-managed ASGs?
Как я радость почувствую от перехода на managed groups? :)

простое обновление) имхо всё

Обновление AMI?

ага

ну тир инстансов туда же

гайс, я тут вопросы разбираю к экзамену на солюшнс архитектора профессионала и попалась парочка непростых для меня:
Компания делает миграцию из он-премиз в авс и сейчас приложение хранит апи ключ в локальном файле, нужно, чтобы приложение использовало ключ более секьюрно. Требования: каждый энв должен иметь свой апи ключ, все запросы апи ключа должны быть залоггированы , ключ должен быть зашифрован at rest через СМК, доступ должен быть гранулярным - дев аккаунт не должен достучаться до прод ключей.

В ответах предлагается выбрать кроме совсем уж дичи либо ССМ и секурную строку, либо динаму дб. Есть ли принципиальная разница что секьюрнее? Шифрование и там и там есть, доступ через иам роль, не могу сказать какое решение более эффективно c точки зрения бесзопасности, в примерах видел секреты и в динаме и в ссм

А почему ссм вы считаете дичью?

Ой, неверно понял ваше сообщение

Ссм параметры вполне ок подходят для этой задачи, версионирование и кмс ключи в комплекте, плюс поддержка всеми сервисами и iam полиси

В ссм логирование на уровне cloud trail сделано. А как в Динамо будете делать мониторинг доступа к значению?

смотреть getItem вызовы по нужной таблице как вариант

Да, но лучше выгружать клаудтрейл ивенты куда-то в афину

Можно еще в кинезис файрхос и потом прямиком в спланк, эластик серч и тд

Не сталкивался ли кто-то с проблемой при записи данных из лямбды в documentdb? Лямбда в той же VPC, отваливается по таймауту выполнения на этапе подключения к базе. Никаких ошибок нет. Из EC2 в той же VPC подключаюсь тем же скриптом к documentdb без проблем. SG без ограничений. Та же лямбда нормально читает и пишет в SQS/S3. Неужели лямбду только с RDS базами можно использовать?

А если у вас там 10 секретов хранится, разве можно будет увидеть, какую именно запись дёрнули в getItem?
А если там фул скан сделать? - тоже будет видно?

Несколько моментов почему ssm:
1. Параметры из ssm можно использовать в codebuild нативно. Те например когда вы делаете описание в CloudFormation вы можете сделать задать переменные окружения через Ref на конкретный параметр. С динамкой такого не выйдет и кроме того вам придётся hardcore адрес базы.
2. Dynamo не strong consistency и не все это помнят. А значит у части пользователей могут начать происходить странные вещи )
3. SSM это best practices от AWS, а именно их и проверяют на экзамене

Попробуйте посмотреть в этом блоге. https://aws.amazon.com/ru/blogs/database/running-aws-lambda-based-applications-with-amazon-documentdb/

Подключайтесь к серии вебинаров «Хостинг веб-сайтов на AWS»
 
Некоторые сайты работают на веб-серверах, некоторые - на контейнерах! Но все они могут работать в облаке! Итак, что вы нужно сделать, чтобы запустить эти сайты на AWS? Присоединяйтесь к серии вебинаров, где мы покажем, как построить свои веб-серверы на EC2, блоги Wordpress на LightSail, некоторый статический контент на Amplify, и, может быть, даже некоторые контейнеры на AWS.

17:00 - 19:00, GMT+3 | Апрель 2021 | Формат мероприятия: Online
Регистрируйтесь!

Спасибо, выглядит интересно

кто юзал AWS Batch ?
есть джоба со статусом FAILED

у Job attempts status reason
Host EC2 (instance i-0d84hf7ff3df7) terminated

- по логам у CloudWatch все отработало, ошибок нету
- у таймаут джоба влезла, джоба 2 минуты ранилась, максимум 240 секунд
- Exit кода нету ( пусто )

юзаем spot инстансы, может быть из-за спотов что их забрали ?