
Sejam muito bem-vindos ao treinamento AWS na Prática!
É um prazer tê-los aqui nesta jornada de aprendizado onde vamos explorar, na prática, os principais serviços da AWS. Preparem-se para colocar a mão na massa, desvendar conceitos e construir soluções reais que farão a diferença na sua carreira.
Vamos juntos transformar conhecimento em resultados!
Nesta aula, faremos uma visão geral completa de todos os módulos que compõem este treinamento, destacando os objetivos principais de cada um deles. Além disso, apresentaremos a estrutura e a lógica por trás do desenvolvimento do curso, explicando como ele foi pensado para facilitar a absorção gradual e eficaz de todo o conteúdo que será abordado ao longo das próximas aulas.
Essa introdução servirá para que você tenha um panorama claro do caminho que iremos percorrer, ajudando a manter o foco e o engajamento durante todo o treinamento.
Vamos juntos nessa jornada!
Nesta aula, iremos apresentar todos os pré-requisitos técnicos necessários para que você possa acompanhar este treinamento com tranquilidade e aproveitar ao máximo todo o conteúdo que será apresentado.
É fundamental que você leia com atenção cada um dos pré-requisitos, garantindo que seu ambiente esteja preparado para os exercícios e práticas que realizaremos.
Assim, evitamos surpresas e garantimos uma experiência de aprendizado fluida e produtiva.
Durante a produção deste treinamento, a AWS lançou (e continuará lançando) novos layouts experimentais para o Console Web de alguns serviços. Por isso, decidi registrar estas Notas de Gravação para explorar e destacar as alterações introduzidas.
Fiquem tranquilos: essas mudanças não afetarão o conteúdo nem o andamento do nosso treinamento. Seguiremos focados em ensinar tudo conforme planejado, independentemente do layout que estiver disponível.
Além disso, todas as atualizações do material serão feitas, então pode ser que, quando vocês assistirem às aulas, essas mudanças já nem estejam visíveis!
Vamos continuar firmes, sem preocupações!
Nessa primeira aula prática, vamos criar juntos uma conta na AWS, passo a passo. A ideia é mostrar todo o processo de forma clara, desde o cadastro até a ativação completa. Vamos dar uma atenção especial ao Free Tier, que é a camada gratuita da AWS — perfeita pra quem está começando e quer testar os serviços sem gastar nada ?
Nesta aula, faremos um overview prático da console da AWS — a interface que utilizaremos durante todo o nosso treinamento. Para quem está tendo o primeiro contato com a AWS, essa introdução é fundamental para garantir que você navegue com segurança e facilidade ao longo do curso.
Recomendo que assistam à aula até o final, para não perder nenhum detalhe importante que facilitará seu aprendizado e a execução dos exercícios práticos.
Boa aula a todos!
Um dos recursos mais importantes para aumentar a segurança e mitigar problemas relacionados a acessos não autorizados à conta AWS (via console web) é a configuração do Multi-Factor Authentication (MFA) — ou Autenticação Multifator.
Nesta aula, vamos explorar detalhadamente o conceito por trás do MFA, sua relevância e como implementá-lo corretamente, com foco especial na conta raiz (root) da AWS. Também abordaremos a importância de aplicar essa camada extra de segurança para as demais contas e usuários dentro do seu ambiente AWS, garantindo proteção reforçada em toda a sua infraestrutura.
Ao final, você terá o conhecimento necessário para configurar e gerenciar o MFA, fortalecendo significativamente a segurança das suas contas.
Boa aula a todos!
Nesta aula, abordaremos o processo de configuração dos contatos de segurança em cada conta AWS, destacando sua importância para a recuperação de acesso e a comunicação em situações críticas.
? Importante: As respostas de segurança para recuperação de senha do usuário root, foi descontinuado pela AWS em 5 de janeiro de 2024. A documentação pode ser encontrada em: https://aws.amazon.com/pt/about-aws/whats-new/2024/01/aws-accounts-discontinues-security-challenge-questions/. Em breve, atualizarei a aula.
Fora isso, as demais configurações e práticas continuam válidas sendo fundamentais para garantir a segurança e a correta gestão da sua conta AWS.
Tudo o que realizamos na console web da AWS, na verdade, são chamadas feitas via APIs (REST API). Essas mesmas chamadas podem ser executadas diretamente pela linha de comando através do AWS CLI (Command Line Interface).
Nesta aula, faremos uma introdução ao AWS CLI, conhecendo suas funcionalidades e aprendendo a instalá-lo corretamente em seu ambiente. Esse recurso será fundamental para podermos explorar e automatizar diversas tarefas ao longo de todo o nosso treinamento.
Prepare-se para ganhar mais agilidade e flexibilidade no gerenciamento dos serviços AWS!
Boa aula a todos.
Uma das principais premissas da AWS é evitar o uso do usuário root para tarefas administrativas do dia a dia, garantindo maior segurança e controle no ambiente. Por isso, recomendamos sempre a criação de usuários IAM específicos para realizar as operações.
Nesta aula, faremos um passo a passo detalhado para criar o nosso primeiro usuário IAM, mostrando as melhores práticas desde o início.
Fique tranquilo, pois mais adiante teremos um módulo exclusivo e aprofundado sobre IAM, onde exploraremos todas as funcionalidades e configurações avançadas.
Boa aula a todos!
Dando continuidade ao tema da aula passada sobre o AWS CLI, nesta aula iremos abordar todo o processo de configuração do AWS CLI em seu ambiente.
Além disso, aprenderemos a gerar as credenciais necessárias — Access Key e Secret Key — que permitem o acesso seguro e autorizado à sua conta, AWS por meio da linha de comando.
Com esses conhecimentos, você estará apto a utilizar o AWS CLI para automatizar e gerenciar recursos de forma prática e eficiente ao longo de todo o treinamento.
Boa aula a todos e vamos adiante!
Nesta aula, vamos conhecer um pouco da Infraestrutura Global da AWS, trazendo os principais conceitos que serão necessários entendimentos para avançarmos com o treinamento.
Atente-se aos detalhes e leia a documentação em anexo.
Abraços, e boa aula.
Muitas pessoas que estão começando sua jornada na nuvem AWS têm dúvidas importantes sobre a segurança do ambiente. Afinal, de quem é a responsabilidade de garantir a segurança?
A resposta correta é: depende!
Nesta aula, vamos explorar esse tema em profundidade, apresentando o conceito fundamental da Responsabilidade Compartilhada. Você entenderá quais são as responsabilidades da AWS e quais cabem a você, garantindo uma visão clara para proteger seus recursos e dados na nuvem.
Boa aula a todos!
O Amazon EC2 é um dos serviços de computação mais populares e amplamente utilizados da AWS. Ele é geralmente o primeiro serviço que muitos utilizam para iniciar suas jornadas na nuvem, permitindo a criação de máquinas virtuais (instâncias), ambientes altamente disponíveis e escaláveis, entre diversas outras funcionalidades.
Nesta aula, faremos uma introdução ao Amazon EC2, explorando suas principais características e funcionalidades. Também apresentaremos uma visão geral dos recursos que iremos aprofundar ao longo deste módulo, preparando você para tirar o máximo proveito desse serviço fundamental.
Bons estudos!
No serviço Amazon EC2, temos a possibilidade de criar diversas máquinas virtuais, conhecidas como instâncias EC2.
Para trabalharmos com essas instâncias, a AWS oferece uma ampla variedade de tipos, cada um focado em diferentes características, como maior capacidade de memória RAM, processamento de CPU, GPU, entre outros.
Nesta aula, faremos um panorama sobre as principais categorias de instâncias EC2 disponíveis, entendendo as especificidades e aplicações de cada uma — informações essenciais para o desenvolvimento das atividades ao longo de todo o treinamento.
Boa aula a todos!
A AWS disponibiliza basicamente duas modalidades de contrato para trabalhar com instâncias EC2:
? Sob demanda (padrão): você paga somente pelo que utilizar, sem compromisso de longo prazo.
? Instâncias Reservadas: você realiza um contrato de 1 ou 3 anos, reservando uma categoria específica de instância, geralmente com preços mais vantajosos.
Nesta aula, exploraremos todos os detalhes dessas duas modalidades, discutindo as vantagens e desvantagens de cada uma para que você possa escolher a melhor opção conforme a necessidade do seu ambiente.
Boa aula a todos!
Na aula passada, conhecemos os quatro tipos de modelos de aquisição de instâncias do Amazon EC2. Agora, nesta aula, faremos uma simulação prática do processo de contratação de um desses modelos.
Mas atenção! Essa é somente uma simulação — não queremos que você conclua o processo de contratação de verdade agora, hein? ?
Fique atento para entender cada etapa sem cometer erros e prepare-se para aplicar o conhecimento com segurança no futuro.
Bons estudos!
Agora que já conhecemos o que são instâncias do Amazon EC2, seus tipos e as modalidades de aquisição disponíveis, chegou a hora de criarmos nossa primeira instância.
Nesta aula, acompanharemos todas as etapas do processo de criação, sem aprofundar em todos os detalhes — esses serão abordados ao longo do módulo, para facilitar o aprendizado gradual.
⚠️ Importante: Esta aula é uma atualização criada alguns meses atrás. Como o console e o processo não sofreram alterações significativas, não foi necessário regravá-la como as demais.
Boa aula a todos!
Toda instância EC2 possui um ciclo de vida, que vai desde o seu processo de criação até o término (encerramento). Conhecer essas etapas é fundamental para administrar corretamente suas instâncias e evitar problemas.
Além disso, é essencial entender como configurar mecanismos de segurança para prevenir encerramentos acidentais ou indesejados.
Nesta aula, abordaremos todo esse conteúdo de forma teórica e prática, garantindo que você tenha o domínio completo sobre o ciclo de vida das instâncias EC2.
Boa aula a todos!
Nesta aula, veremos os detalhes referentes as chaves de SSH utilizadas dentro da AWS para conexão em instâncias EC2 Linux. Para instâncias Microsoft Windows, essas são utilizadas para resgatar a senha do usuário administrador, e conceder então acesso a console Microsoft.
Veremos então um pouco de teoria e claro, o processo prático de criação das chaves através da console do Amazon EC2.
Na aula passada, estudamos um pouco sobre as chaves de SSH disponíveis dentro do Amazon EC2. Vimos um pouco de teoria e prática. Nesta aula, veremos as etapas para conexão em uma instância EC2 Linux e Windows utilizando essas chaves.
Então, caso nunca tenha realizado esse processo, fique de olho :)
A AWS nos permite realizarmos a criação de "clones" de nossas instâncias EC2 para serem utilizadas posteriormente como templates para determinadas tarefas/serviços, como Auto Scaling, que veremos mais adiante.
Nesta aula, conheceremos um pouco a respeito do serviço conhecido como Amazon Machine Image (AMI), entendendo um pouco sobre os principais conceitos e usabilidade so mesmo.
Nesta aula, abordaremos todo o processo passo a passo para criação de uma AMI, baseando-se em uma instância EC2 previamente criada. Então, se você possui disponibilidade, venha comigo nesta aula para aprendermos todos os detalhes.
AMI são recursos regionais e pertencentes a um único dono (owner account). Entretanto, pode-se haver necessidades de compartilharmos nossa AMI com outras regiões ou até mesmo outras contas AWS. Felizmente a AWS nos permite realizar tal ação. Entretanto, temos de seguir uma série de particularidades, nas quais iremos abranger nesta aula.
Importante: Evite AMI públicas, exceto caso seja necessário (última instância).
Praticamente todos os recursos da AWS são tarifados, se utilizarmos, é claro. As AMI funcionam da mesma forma. Uma AMI, basicamente é um "snapshot" no qual é armazenado em um Bucket S3 gerenciado pela própria AWS. Desta forma, ela também é tarifada. O que veremos nesta aula, é o processo de remover esta AMI caso não seja mais necessária. Este processo dentro da AWS é conhecido como desregistrar uma AMI.
Lembre-se, a remoção de itens não mais utilizados, é de extrema importância para que não sejamos tarifados de forma desnecessária ;)
Nas aulas anteriores, estudamos bastante sobre Amazon Machine Image (AMI). Vimos como elas funcionam, como criá-las, etc. Entretanto, todo o processo aprendido anteriormente foram realizados manualmente, o que no dia-a-dia não é interessante. Pensando nisso, a AWS lançou o AWS Image Builder, um serviço que permite gerenciar nossas AMI de forma automática através de pipelines. Além do processo de geração (criação), podemos configurar também o processo de deploy delas em produção, e até mesmo em grupos do serviço Auto Scaling/Loab Balancer (calma, veremos isso ainda).
Dito tudo isso, os objetivos desta aula é trazer um pouco dos principais conceitos sobre este tema, para podermos, a partir da próxima aula, criarmos alguns laboratórios sobre.
Agora que já sabemos o que é e para que serve o AWS Image Builder, vamos criar nosso primeiro pipeline. Lembrando que isso é apenas um modelo, um exemplo. No ambiente de vocês, provavelmente quase tudo irá mudar. Então analise, interprete e ajuste antes de colocar em seu ambiente.
Importante: Leia sempre para não ser enganado :)
Continuando a aula anterior...
Importante: Leia sempre para não ser enganado.
Um dos recursos mais fantásticos para gerenciamento, controle e automação dentro da AWS são as TAGs. Elas nos permite desde realizar um simples gerenciamento de nossos recurso, como também manter um control de nossos custos (Billing), assim como processo utilizados para automação, nos quais veremos mais adiante.
Nesta aula, começaremos a entender um pouco mais sobre as TAGs, analisando-as como elas funcionam e como podem de fato serem utilizadas.
Na aula passada aprendemos o que são as TAG no serviço do Amazon EC2 (e claro, dentro da AWS). Nesta aula, veremos alguns exemplos de como trabalhar com elas de forma prática.
Em anexo, deixei a documentação e também um guia de boas práticas. Se não for atrapalhar, gostaria desse uma olhada. Certamente irá ajudar :)
Em uma instância do Amazon EC2, podemos trabalhar com vários tipos de armazenamentos, sendo volumes EBS, compartilhamentos via EFS, FSx, entre outros. O objetivo desta aula é explanar um pouco sobre os armazenamentos permitidos do Amazon EC2, para que depois possamos entrar em detalhes sobre alguns deles, especialmente, volumes EBS.
Bons estudos!
Na aula passada, vimos que os volumes EBS (discos) são uma das possibilidades de armazenamento utilizados em instâncias do Amazon EC2. Nesta aula, iremos entrar um pouco mais afundo sobre esta modalidade, tendo em vista que são os mais utilizados atualmente.
Na aula passada conhecemos um pouco sobre volumes EBS. Entretanto, quando vamos trabalhar com esses volumes, temos de ter em mente qual o melhor tipo/categoria destinada para a nossa aplicação/serviço.
Nesta aula, iremos explorar e conhecer um pouco mais sobre as categorias de volumes EBS disponíveis para utilização, para que possamos saber a definir a melhor categoria que se enquadrará em nosso cenário, visando custo/benefício e o desempenho de seu ambiente.
Nesta aula, veremos na prática todas as etapdas necessárias para criarmos nosso volume EBS, e posteriormente, associarmos a uma determinada instância.
Na aula passada, realizamos a criação de um volume EBS novo para uma instância EC2. Nesta aula, iremos explorar o processo de associação (attach) do mesmo em uma instância EC2 Linux.
Lembrando que o objetivo é apresentarmos sobre o processo de associação dos volumes em uma instância, e não o seu gerenciamento interno no Sistema Operacional.
Assim como em ambiente On-primeses utilizando hypervisors como Vmware, Xen, Proxmox, entre outros, dentro da AWS temos também a possibilidade de criarmos snapshots de um determinado disco e/ou instância. O principal objetivo do mesmo, é mitigar problemas oriundos de configurações erradas, recuperação de disastre recovery, e até mesmo backup de seu ambiente.
Nesta aula, iremos realizar uma introdução sobre Snapshots, analisando todos os detalhes, para que possamos então, na próxima aula, vermos na prática como tudo isso funciona.
Na aula passada, conhecemos a teoria sobre o funcionamento dos Snapshots aqui dentro da AWS. Nesta aula, veremos na prática, todo o processo aprendido na aula anterior, realizando a criação de nosso primeiro Snapshot.
Durantes as aulas passadas, vimos um pouco sobre Amazon Snapshots de instâncias EC2. Vimos também que, temos a possibilidade de refinarmos suas permissões. Nesta aula, veremos um pouco sobre este processo, incluindo o compartilhamento entre contas AWS, o que em alguns casos (alguns) pode fazer total sentido.
Lembre-se, teste tudo em ambientes seguros e sem dados sensíveis em seus snapshots (por segurança).
Além do compartilhamento de snapshots entre contas AWS como vimos na aula passada, nesta iremos aprender a copiar snapshots entre regiões, o que pode ser completamente necessário dependendo do seu ambiente.
Então, mão na massa!
Antigamente na AWS, para criarmos rotinas de snapshots, tinhamos que trabalhar com API e/ou SDK desenvolvidos e automatizados através de agendadores como crontab (linux). Felizmente, de uns anos pra cá, a AWS desenvolveu o Lifecycle Snapshot, que é basicamente um agendador de rotinas para geração de Snapshot de forma automatizada, facilitando muito o dia-a-dia de um Sysadmin/SysOps.
No Lifecycle, podemos criar diferentes políticas de backups baseando-se em cada cenário/ambiente. Nesta aula, iremos explorar um pouco mais a respeito deste recurso e ver na prática como é o seu funcionamento.
Um recurso relativamente novo que temos dentro do Amazon EC2, são as lixeiras dos Snapshots de volumes EBS. Como é uma premissa, essa lixeira tem o objetivo de armazenar os Snapshots deletados (acidentalmente ou não) por um determinado período, pré-determinado.
Se não conhecia, veja agora em detalhes, ela pode de fato salvar seu emprego :)
Por padrão, quando criamos uma instância na AWS do tipo pública (com acessos expostos para Internet), ela vem associada com um endereço IP válido, porém dinâmico, ou seja, toda vez que desligarmos e/ou reiniciarmos nossa instância, existe uma enorme possibilidade deste endereço IP ser alterado, assim como geralmente possuimos em nossas casas.
Para cenários onde há real necessidades de mantermos os mesmos endereços IP públicos em uma instância (IP estático), devemos utilizar um recurso que chamamos de Elastic IP. Este recurso nos permite registrarmos um IP válido e fixo em uma instância. Entretanto, existem alguns aspectos de extrema importância que devemos nos atentar. Então, convido vocês a assistirem esta aula para entenderem todos os detalhes deste recurso.
Como vimos no início de nosso treinamento, a segurança de nossas instâncias EC2 (Sistemas Operacional, serviços, etc) é de nossa total responsabilidade. Baseando-se nisso, um dos recursos mais utilizados e de extrema importância são os Security Groups (SG). Os SG são Firewalls do tipo Statefull que nos permite controlar o tráfego de entrada/saída em uma ou mais intâncias EC2.
Nessa aula, faremos uma introdução aos principais conceitos deste recurso de extrema importância para qualquer ambiente AWS.
Um dos recursos mais facinantes e mais utilizados dentro da AWS é o Elastic Load Balance, conhecido comumente apenas como ELB. O ELB, atua basicamente como um frontend, fazendo o papel de um Proxy Reverso (assim como temos com nginx, apache) para suas aplicações, sejam através de protocolos HTTP/HTTPS, ou TPC/UDP, aplicando assim, o balanceamento do tráfego de entrada (INBOUND) para todos os seus Targets (destinos). Além disso, ele permite também ocultar o endereço IP de suas aplicações, criando uma camada a mais de segurança para o seu ambiente.
O ELB é dividido basicamente em três tipos (desconsiderando o CLB):
Application Load Balances (ALB)
Network Load Balancer (NLB)
Gateway Load Balancer (GLW)
Classic Load Balance (CLB) - Legado e não recomendado para utilização
Nesta aula, entenderemos cada um dessas modalidades, como que cada um funciona e quais os principais casos de uso de cada um deles. Então se você quer aprender um pouco mais sobre ELB, junte-se a esta aula ;)
Como visualizamos na aula passada, o ELB possui três modalidades diferentes (recomendadas), cada uma delas destinada a um determinado nicho de aplicações/serviços/ambiente.
Nesta aula iremos conhecer em detalhes cada um desses tipos, para podermos posteriormente, aplicarmos tudo, na prática.
Após aprendermos os principais conceitos sobre Elastic Load Balancer, podemos iniciar nossos laboratórios para visualizarmos na prática a teoria aprendida.
Nesta aula, iremos preparar nosso cenário que utilizaremos durante as próximas aulas, para a criação de um Application Load Balancer (ALB). Com este cenário, aprenderemos também sobre “EC2 User Data”, que permite customizar nossas instâncias durante sua criação, de forma automática.
É importante ressaltar que, isso é um laboratório, e que em seu ambiente, as configurações podem e devem ser alteradas. Fique atento a isto.
No mais, boa aula!
Para que um Elastic Load Balancer (ELB) funcione, independente de sua categoria, temos que criar um Target Group, que como já vimos, é um conjunto de instâncias, containers e/ou endereços IP que receberão requisições do ELB em questão.
Nesta aula, iremos criar nosso Target Group com nossas instâncias EC2 criada na aula passada. Este Target Group, será vinculado ao nosso ALB posteriormente.
Após a criação dos pré-requisitos, podemos partir para criação do nosso Application Load Balancer. Então, sem mais enrolações, vamos à prática.
Nesta aula, veremos alguns atributos disponíveis nas configurações de um Application Load Balancer. Esses atributos, são utilizados para customização do comportamento de um ALB. Desta forma, não iremos modificar as configurações, apenas conheceremos sobre cada uma dela, para que vocês possam customizar conforme suas necessidades.
Além dos atributos, também veremos uma feature conhecida como “Resource Map”, muito interessante para análises do ambiente, principalmente em casos de erros.
Para quem esta acostumado a trabalhar com proxy reverso, seja com Apache ou com Nginx, sabe-se que é possível realizar o roteamento das requisições baseados em:
origem/destino
server_name, Nameserver
cabeçalho HTTP
Path
Entre outros
Dentro do ELB, mais precisamente utilizando o Application Load Balancer, é possível aplicar todo esse roteamento da mesma forma, o que pode ser de extrema utilidade em seu dia-a-dia. Nesta aula, veremos na prática todos os detalhes sobre Roteamento Avançado com ALB.
Quando trabalhamos em um cluster, é comum as solicitações serem distribuídas igualmente entre os nós desse Cluster. Entretanto, em determinados momentos, de acordo com cada aplicação/serviço, pode ser que haja a necessidade de mantermos a requisição de um determinado cliente em um único nó.
Este recurso dentro do ELB, falando precisamente de ALB, é conhecido como Stick Session. Nesta aula, iremos entender como é o funcionamento deste recurso, e como ele pode impactar em seu ambiente.
Quando estamos trabalhando com Application Load Balancer, podemos configurar um certificado TLS para conexão segura com o site, utilizando protocolo HTTPS. Nesta aula, veremos como fazer esta configuração utilizando o serviço nativo e gratuito da AWS conhecido como ACM (AWS Certificate Manager).
Lembrando que, para esta configuração, você deve ter acesso a um domínio público para configuração de registros de DNS ou acesso ao e-mail configurado no domínio (método de validação). É importante ressaltar também que, as informações de criação dos registros de DNS, assim como sua teoria, não serão apresentados nesta aula, e sim no módulo sobre Route 53.
Nesta aula, montaremos um Network Load Balancer (privado), balanceando as conexões para dois servidores rodando MySQL. O objetivo aqui é apresentar o comportamento e quais as principais diferenças entre um ALB e NLB.
É importante ressaltar que, não serão apresentadas as configurações do MySQL, pois esta fora do escopo do treinamento. Além disso, você pode utilizar também, qualquer outro serviço. A escolha do MySQL foi baseada apenas na simplicidade e também em cenários do dia-a-dia.
Em tempos atuais, cada vez mais temos que nos preocupar com o escalonamento de nosso ambiente. Datas como Black Friday, Natal, entre outras, exigem, geralmente um acréscimo considerável de recursos computacionais no ambiente. Se tratando de um ambiente On-primese, costuma-se realizar esse processo dias antes e totalmente de forma manual (quem atua como Sysadmin sabe muito bem como é isso, rsr).
Felizmente, na AWS não precisamos mais virarmos noites configurando novos recursos em nosso ambiente. Tudo isso é graças ao processo automatizado de Auto Scaling.
Nesta aula, começaremos a entender como o mesmo funciona, e quais os benefícios do mesmo.
Para trabalharmos com Auto Scaling na AWS, temos de criar um template (pré requesito) determinando como será o comportamento e o que está instalado/configurado em nossas instâncias que pertencerão ao grupo de Auto Scaling. Este recurso, é conhecido como Launch Template.
Nesta aula, veremos como criar e configurar um Launch Template. Lembrando que, verem os um modelo. Você deve ajustar conforme suas necessidades.
Após a criação do Launch Template, temos que realizar a configuração de nosso Auto Scaling Group, que de fato é o que dá vida ao nosso processo de Auto Scaling.
Basicamente, este grupo será destinado por informar quantas instâncias, por exemplo, estarão rodando por default, qual o máximo que pode ser criada, entre outros.
Sem mais enrolações, bora para prática.
Umas das grandes vantagens de trabalhar com Auto Scaling, é os processos automatizados de Scaling Up e Scaling Down. Isso, sim, proporciona tranquilidades para o dia-a-dia de um SysOps.
Nesta aula, veremos a configuração de um Automatic Scaling, baseando-se em métricas do Cloudwatch através de políticas (calma, que ainda teremos um módulo sobre). Todo o processo será realizado gerando cargas excessivas (utilizando o binário stress do Linux) em um servidor, e analisando o comportamento do Auto Scaling Group, no qual irá criar novas instâncias conforme necessidades.
Uma das possibilidades de se trabalhar com Auto Scaling Group, é a integração com balanceadores de carga, como Application Load Balancer. O processo, basicamente, se resume em integrar as instâncias do grupo de Auto Scaling em um Target Group de um ELB.
Nesta aula, faremos a criação de um novo grupo de Auto Scaling, integrado com um Application Load Balancer. Após a integração, testaremos e analisaremos os destalhes do processo.
Fechando a sessão sobre Auto Scaling, vamos conhecer agora uma feature chamada de Instance Refresh. Esse recurso pode ser útil quando uma alteração na configuração exige que você substitua instâncias, especialmente se seu grupo de Auto Scaling contiver inúmeras instâncias.
Nesta aula, analisaremos na prática como funciona este recurso, e como podemos trabalhar com ele em cenários reais.
Dentro do Amazon EC2, recentemente, a AWS adicionou um novo recurso conhecido como Console to Code. O objetivo, é facilitar a criação de scripts para automatizar ações. Basicamente, tudo feito na console AWS é registrado em eventos (chamadas de API). A AWS criou este serviço para coletar essas informações e transcrever em chamadas de API utilizando o AWS CLI.
Além das linhas do AWS CLI apresentadas, é possível convertê-las em scripts, como Python e Java.
É importante ressaltar que, no ato da gravação desta aula, o recurso ainda se encontrava como preview. Dependendo de quanto estiver assistindo, pode ser que tenha mudado alguma coisa, principalmente layout (AWS adora fazer isso). Caso ocorra, não se desespere, leia tudo com calma que certamente conseguirá evoluir. E claro, se precisar de ajuda, conte comigo. Ah, e obviamente, as atualizações irão surgindo conforme necessidades.
AWS CloudShell é um shell pré-autenticado baseado em navegador que você pode iniciar diretamente da console AWS. Através dele, podemos enviar/receber arquivos, instalar pacotes, entre outros. Ele foi desenvolvido visando facilitar o processo de execução de pequenas automações e testes, sem a necessidade de utilizarmos uma instância EC2 ou qualquer outro recurso para isso. Vale muito a pena conferir.
PS: os amantes de Linux irão amar. Os amantes de Ruwindow$ irão perguntar: cadê o mouse, srsr
Um dos campeões: instâncias EC2 públicas.
Muitos lugares, ainda utilizam instâncias EC2 públicas dentro de seus ambientes, e, na maioria das vezes, não sabem outras formas de resolverem isso, principalmente no que tange os acessos remotos as mesmas.
Se você utilizar uma instância pública para armazenar seu site, devido a uma restrição financeira, OK, vida que segue. Entretanto, se você ainda utiliza a instância pública para realizar acesso remoto a ela, me desculpe, mas você esta colocando em risco o seu ambiente.
Nesta aula, nos veremos alguns pontos sobre a utilização de instâncias públicas dentro da AWS, e quais soluções podemos adotar para minimizar esses impactos.
Baseando-se na aula anterior, sobre acessos privados a instâncias EC2, vamos conhecer um pouco mais a fundo sobre as possibilidades de temos para realizarmos acesso de forma segura em nossas instâncias EC2. E para começar, vamos falar sobre o AWS Session Manager.
Nesta aula, veremos os principais conceitos sobre o serviço, para que nas próximas, apliquemos as configurações no ambiente.
No mais, bons estudos.
Agora que já temos conhecimentos sobre os principais conceitos do AWS Session Manager, vamos agora iniciar nossas configurações, que serão divididas em duas aula, visando um melhor aprendizado.
Continuando o setup do AWS Session Manager :)
Nesta aula, começaremos a conversar um pouco sobre os Metadados de Instâncias EC2. Entenderemos o que de fato é este recurso, como ele pode nos auxiliar no dia-a-dia, e também, como ele pode nos prejudicar, caso o mesmo seja negligenciado.
Em posse dos conhecimentos sobre Metadados de Instâncias EC2 apresentado na aula anterior, vamos agora entender uma das problemáticas existentes por trás disso.
Continuando a aula passada, vamos finalizar os testes sobre a problemática apresentada.
Agora que já vimos a problemática, como podemos mitigar, minimizar os riscos? Nesta aula veremos todos esses detalhes, de forma totalmente prática. Então abra a console AWS e me acompanhe :)
Nesta aula, trago algumas configurações globais do Amazon EC2 que certamente ajudará no dia-a-dia. A ideia dessas configurações é aplicar “políticas” que sobressaiam sobre algumas configurações, como criptografia de volumes EBS, AZs, experimentações de novas features, entre outros.
Lembre-se, é importante validar o que deseja aplicar no ambiente, e que essas configurações irão prevalecer sobre as demais.
Agora, sim, chegamos ao final de nosso módulo de EC2. Nesta aula, faremos uma revisão de alguns pontos apresentados durante o módulo.
Além disso, gostaria de reforçar que vocês devem limpar a bagunça criada até o momento, ou seja, remover tudo que foi criado durante as aulas passadas. Esta é uma etapa bem importante, e super recomendada, para que você não sejam tarifados indevidamente pela AWS.
Então corre, abre a console AWS, acesse o serviço EC2, e remova TODOS os recursos, a não ser, claro, que vocês continuem os estudos por conta própria. :)
Abraços, e até o próximo módulo.
Sejam bem vindos ao módulo do Amazon VPC!
Amazon VPC é o serviço responsável por prover toda a parte de conectividade (redes) dentro da AWS, para todo e qualquer serviço. É na VPC onde atuamos com todo o escopo de rede (máscaras, bloco CIDR), VPNs, tabelas de roteamento, conectividade com a Internet, entre outros.
Nesta aula, iremos realizar uma introdução a respeito de VPC, no qual iremos trabalhar durante o restante de nosso módulo.
Ah, prestem atenção nos pré-requisitos, são fundamentais e indispensáveis.
Boa aula a todos.
Como visualizamos na aula passada, a AWS cria uma VPC padrão para todas as contas em todas as regiões. A ideia é facilitar a utilização de recursos que dependem de uma conectividade. Entretanto, existem algumas problemáticas, como a sobreposição de blocos CIDR.
Nesta aula, além de conhecer sobre esta VPC, vamos também, fazer um giro sobre a console do Amazon VPC.
PS: Não usem a VPC padrão em ambientes corporativos. Na verdade, minha recomendação é para não usar em nenhum lugar, rsrs.
Agora que já temos o embasamento sobre VPC, sabemos como funcionam e quais os pré-requisitos para sua utilização, podemos finalmente criar a nossa VPC que utilizaremos durante o módulo, afinal, como já foi informado, não é recomendado trabalharmos com a VPC padrão da AWS.
Lembrando que nesta aula, iremos criar a VPN manualmente, para posteriormente, iremos trabalhando na criação dos recursos isolados, para um melhor aproveitamento.
Boa aula a todos.
Comumente, pode haver a necessidade de criarmos novas subnets para separarmos por exemplo, zonas privadas de públicas.
Nesta aula, veremos em detalhes quais os passos necessários para realizarmos tais ações, e como podemos segmentar o ambiente de rede de nosso ambiente.
Dentro da AWS, existem basicamente duas formas de compartilharmos o acesso à Internet com uma instância EC2:
Internet Gateway (IGW)
NAT Gateway (NGW)
O IGW, permite que uma instância fique pública, “exposta” à Internet. Já o NGW, compartilha apenas acesso de saída (OUTBOUND) de uma instância com a Internet (ou até mesmo outra rede local), fazendo o que conhecemos de NAT (exatamente igual à forma que computadores/desktops utilizam a internet em uma empresa).
Nesta aula, iremos entender como cadas um desses recursos funcionam, e como podemos utilizá-los de acordo com nosso ambiente.
Lembrando que, existem outros Gateways que podem contribuir para este cenário, entretanto, por se tratarem de assuntos mais complexos, não iremos estudá-los em nosso treinamento (quem sabe no futuro).
Bom, agora que já temos o embasamento teórico sobre Internet e NAT Gateway, vamos nesta aula aprender a criar uma subnet pública, utilizada quando precisamos expor algum serviço diretamente para Internet, como servidores web, e afins.
Seguindo a mesma premissa da aula anterior, nesta iremos aprender a criar uma subnet privada, destinada a recursos computacionais que não precisam estar expostos para Internet, como servidores de banco de dados.
Ah, lembre-se que, para acessar recursos privados, podemos utilizar o AWS Session Manager, como vimos no módulo anterior :)
Após criarmos nossas subnets públicas e privadas, chegou a hora de testarmos, e validarmos se de fato estão funcionando corretamente, conforme desejado.
Em uma VPC/Subnet, temos uma configuração que permite adicionar ou não, endereços de DNS vinculados aos recursos (como EC2). Esses nomes de DNS podem ser públicos ou privados, a depender da configuração de sua subnet.
Além disso, temos também a possibilidade de configurarmos de forma automática a associação de endereços IP públicos para recursos, muito utilizado para subnets públicas.
Nesta aula, veremos esses dois itens, e como são recomendados para ambientes coorporativos.
Em diferentes casos, precisamos criar várias regras de security groups com destino/origem a mesma porta, ou então várias rotas em uma tabela de roteamento apontando para o mesmo gateway. Em um passado bem distante, precisávamos criar uma regra, ou uma rota para cada item. Entretanto, na prática, isso ficava insustentável de gerenciar.
Pensando nisso, a AWS criou um serviço conhecido como Prefix Lists. Este permite criar grupos gerenciáveis de endereços de rede e/ou endereços IP (conotação CIDR) para serem utilizados em outros lugares, como os citados acima.
Nesta aula, veremos como o mesmo funciona e como ele pode ser útil em nossos dias.
Assim como em um ambiente On-primises, na AWS podemos determinar as informações que serão entregues via serviço DHCP para os clientes de uma VPC. Por padrão, a AWS, com a Default VPC, cria uma estrutura de DHCP, entregando servidores de DNS, Netbios, sufixo DNS, entre outras informações para seus clientes.
Entretanto, caso haja necessidade de customizar tais informações, basta realizar a criação de um “escopo de DHCP”. Todos os detalhes para isso serão apresentados nesta aula.
Nesta aula, conheceremos um recurso de extrema importância para segurança de um ambiente AWS, o VPC Endpoint. Resumidamente, este recurso permite acessar os demais recursos da AWS (compatíveis) através de um link privado, sem conexão com a rede pública (Internet), trazendo maior segurança para o ambiente.
O objetivo aqui é explicar o funcionamento deste, para que vocês possam aplicar na prática, os conceitos aqui apresentados.
Recentemente, a AWS lançou um VPC Endpoint para instâncias do Amazon EC2. Este, é mais um recurso disponível, para acessarmos nossas instâncias privadamente, sem a necessidade de expô-las para Internet. Nesta aula, veremos as principais funcionalidades, e claro, o procedimento para configuração.
PS: Agora quero ver desculpas para usar instâncias de forma pública ao invés de privadas, hehehhehe :)
Em ambientes corporativos, é comum termos mais de uma Conta AWS e/ou mais de uma VPC. Apesar de não terem sido feitos para isso, em alguns momentos, precisamos prover a comunicação entre essas VPC/Contas.
Existe uma alguns recursos disponíveis para realizarmos tal ação. Entretanto, o mais conhecido e recomendado é o VPC Peering, no qual realiza uma interconexão entre duas VPCs distintas, estando ou não na mesma conta AWS.
Nesta aula, iremos entender os conceitos teóricos, para na próxima aulir, possamos colocar em prática :)
Depois da teoria, vem a prática.
Divirtam-se :)
Uma aula simples e objetiva para aprendermos a remover uma conexão de VPC Peering.
Na AWS, temos basicamente dois Firewalls Layer 3 e 4 (Camadas de rede e transporte do modelo de referência Ozzy... ops, OSI, srs): os Security Group que atua como Firewall Statefull e vimos no módulo passado, e o Network ACL, que atua como Firewall Stateless, que iremos analisar a partir de agora.
Nesta aula, iremos conhecer suas principais diferenças e entender, como as ACLs funcionam dentro da AWS, e como podemos utilizá-las para agregar segurança em nosso ambiente.
Certamente, você já deve ter recebido uma solicitação para bloquear determinados domínios de DNS de serem acessados em seu ambiente. Na AWS, podemos utilizar o DNS Firewall para realizar esta ação.
O DNS Firewall utiliza o Route 53 Resolver e permite que você crie “listas de bloqueios” para domínios com os quais não deseja que seus recursos de VPC se comuniquem via DNS. Você também pode adotar uma abordagem de isolamento mais rigorosa, criando “listas de permissão” que permitem consultas DNS de saída apenas para domínios especificados.
Nesta aula, veremos todos os detalhes sobre esse serviço, e como ele pode agregar segurança para seu ambiente.
Inevitavelmente, temos de conectar nossa VPC com ambientes externos, seja ele um ambiente on-premises, outro provedor de nuvem, ou até mesmo outra conta/VPC AWS. Pensando nisso, criei esta aula para ilustrar as principais possibilidades que temos para realizar essas comunicações.
Lembrando que, o objetivo aqui, é apenas trazer para vocês o famoso caminho das pedras, para que, através das documentações disponíveis, vocês possam evoluir de acordo com suas necessidades.
No mais, boa aula a todos!
Inevitavelmente, quem trabalha como Sysops, ou o bom e velho Sysadmin, já precisou prover a comunicação entre dois ou mais ambientes, seja eles qual for. Na AWS, isso também pode ocorrer (e vai, cedo ou tarde). Para isso, um dos caminhos mais recomendados, é através de um túnel de VPN do tipo IPSec, implementando uma comunicação Site-to-Site.
Nesta aula, faremos uma simulação de implementação de uma VPN IPSec, onde aprenderemos a realizar todas as etapas do lado da AWS. Infelizmente, por razões meio óbvias, não iremos implementar na outra ponta, pois, além de fugir do escopo do treinamento, não temos apenas um cenário. Pode ser desde um provedor de nuvem e/ou um ambiente on-premises, com um Mikrotik (só lamento, srsrsr).
No mais, boa aula a todos e leiam a documentação em anexo :)
Chegamos ao nosso 5º módulo. E neste módulo, iremos estudar o serviço mais importante e a base para o funcionamento da Internet, o Domain Name System (DNS).
Na AWS, o serviço de DNS é representado pelo Route 53. Entretanto, antes de avançarmos para trabalharmos com o R53 propriamente dito, é de extrema importância entendermos alguns conceitos básicos sobre DNS.
Nesta aula, iremos abordar todos os principais conceitos a respeito de DNS, como tipos de zonas, consultas diretas e reversas, tipos de registros, entre outros.
Caso você já domine os conceitos básios de DNS, fique à vontade para pular esta aula ;)
Na aula passada fizemos uma breve introdução a respeito dos principais conceitos sobre DNS, nos quais são de extrema importância para darmos segmento no restante deste módulo.
Nesta aula, iremos inciar nossos passos a respeito do servidor de DNS Route 53 da AWS, onde entenderemos as principais funcioalidades, características e usabilidade do mesmo.
Agora que já temos o embasamento teórico sobre DNS e também Route 53, podemos avançar no assunto. Entretanto, antes de mais nada, é importante conhecermos os detalhes da console que iremos trabalhar durante todo o módulo. Assim sendo, nesta aula, veremos a console do Amazon Route 53, trazendo os principais menus, detalhes, para não ficarmos perdidos.
Se já está habituado a esta console, fique à vontade para pular esta aula :)
O serviço de DNS, nos permite trabalharmos com zonas públicas e/ou privadas. Baseando-se nisso, nesta aula iremos demonstrar o processo de criação de uma zona privada, para registro de um domínio privado, no qual estará disponível somente dentro da rede da AWS.
Em nossa primeira aula deste módulo, trabalhamos com os conceitos iniciais sobre DNS. Dentre esses conceitos, nos estudamos na teoria os registros de DNS.
Nesta aula, veremos na prática, como os mesmos se aplicam e como são configurados aqui dentro de uma zona de DNS do Route 53.
Em determinados momentos, especialmente em processos de migração de ambientes, precisamos criar muitos registros de DNS de uma só vez. Para isso, a AWS criou o processo de importação de arquivo de zona de DNS. Este recurso, permite criarmos uma lista de registros de DNS a serem importados para dentro da zona previamente criada.
Nesta aula, veremos o passo a passo para realizar este procedimento.
Realizamos anteriormente a criação/configuração de uma zona de DNS do tipo privada, onde a mesma ficaria disponível apenas na rede interna da AWS (VPC). Para darmos sequência em nosso treinamento, vamos criar nesta aula uma zona de DNS do tipo pública, onde ficará disponível para toda a Internet (consulta de DNS). É importante ressaltar, que infelizmente, não conseguimos fazer esta e algumas outras aulas sem investimentos, como a aquisição de um domínio público e também a tarifação de uma zona pública. Entretanto, adianto para você que, o investimento é super baixo e vale muito a pena.
Então, desejo a todos uma excelente aula!
Por padrão, o servidor de DNS possui um registro conhecido como CNAME. Sua finalidade é criar “apelidos” de determinados registros. Podemos ter, por exemplo, um registro do tipo A chamado WWW, e um alias com o nome de ftp apontando para o mesmo lugar.
No serviço de Route 53 temos uma ideia parecida com o registro do tipo Alias, entretanto, com algumas particularidades, diferenças e benefícios sobre o registro CNAME.
Nesta aula, iremos analisar em detalhes e ver na prática cada um deles.
No serviço do Route 53, é possível realizarmos também o balanceamento de carga entre servidores/aplicações (sim, um Load Balance via Route 53). E assim como vimos anteriormente no ELB, o Route 53 também possui um Health Check para garantir a integridade dos serviços ali configurados.
Nesta aula, iremos entender como funciona na teoria esses testes de saúde, para podermos utilizá-los posteriormente em algumas políticas de roteamento.
Agora que já temos o embasamento sobre Health Check, podemos iniciar nossa introdução sobre as políticas de roteamento. Nesta aula, conversaremos sobre as 7 possibilidades de roteamento, conhecendo as principais características de cada uma delas.
Após esta aula, iniciaremos as aulas práticas sobre cada um dos tipos.
Boa aula a todos.
Agora que já conhecemos todos os tipos de roteamento disponíveis no route53, vamos agora aprender a implementar um por um. O primeiro deles, será a política do tipo Failover.
Prestem bastante atenção nos recursos criados. Lembre-se de removê-los depois, ao término do laboratório :)
Dando continuidade aos tipos de Roteamento do Route 53, vamos analisar agora o roteamento do tio ponderado, no qual permite distribuir a carga entre endpoints do ambiente, criando clusters do tipo ativo-ativo.
Prestem bastante atenção nos recursos criados. Lembre-se de removê-los depois, ao término do laboratório :)
Sem dúvidas um dos tipos de roteamentos mais interessantes disponíveis dentro do serviço Route 53, o roteamento baseado em Geolocalização.
Continuando...
Roteamento baseado em latência.
O roteamento baseado em multi-valores é um roteamento parecido com o roteamento simples, entretanto, permite a utilização de Health Checks para garantir a integridade dos valores ali configurados. Além disso, na prática, ele funciona parecido com um “load balancer”. Nesta aula, veremos todos esses detalhes, de forma totalmente prática.
Boa aula a todos!
Em alguns momentos, temos aplicações acessadas por determinadas origens apenas, como nossos clientes, etc. Para isso, podemos filtrar a origem em nossos Firewalls de borda, nossos webservers, etc. Entretanto, a AWS permite também, criar este filtro através do Route53, baseando-se no bloco CIDR de origem.
Nesta aula, veremos todos os detalhes de como fazer isso acontecer, e qual seria a principal vantagem de utilizar o Route53 ao invés de um Firewall e/ou webserver, por exemplo.
Para fechar a nossa sequência de aulas sobre roteamentos do Route53, vamos estudar agora o roteamento baseado em geo proximidade. Antes que diga: “pH, nós já vimos isso”, pode assegurar a vocês que roteamento baseado em geo localização e em latência são coisas completamente diferentes, e veremos isso de forma prática nesta aula.
É importante ressaltar que, até a data de gravação desta aula, não existe nenhuma outra possibilidade de roteamento via Route53. Entretanto, se a AWS mudar isso (o que deve acontecer, certamente), trazei ASAP para vocês.
Boa aula a todos!
O Fluxo de tráfego simplifica muito o processo de criação e manutenção de registros em configurações grandes e complexas. Nesta aula, iremos entender alguns pontos importantes como vantagens, funcionamento, e também, claro, avaliar na prática, todo o seu funcionamento.
Boa aula a todos!
Chegamos a nossa última aula do módulo do Route53 (pelo menos por enquanto). Sabemos que a AWS lança novas features com muita frequência, então, possivelmente, nos veremos nesse módulo novamente.
Para fechar o módulo, veremos o processo de registro de um domínio no Route53. Veremos todas as etapas, mas não clicaremos em submit, pois, não queremos gastar dinheiro à toa. Mas, se você precisar de fato, ai, sim, segue o jogo até o final.
No mais, boa aula a todos, e nos vemos no próximo módulo.
O Amazon Simple Storage Service (S3) é um serviço de armazenamento para a Internet de forma a “facilitar a vida” de desenvolvedores, permitindo trabalhos em grandes escalas de forma simples e objetiva.
Atualmente, ele é um dos serviços mais utilizados da AWS, além disso, é o serviço mais antigo da AWS, o primeiro a ser lançado, neste ano de 2024, completando 18 anos. Com ele é possível hospedarmos arquivos, fotos, armazenar backups e até publicarmos Website totalmente através do que chamamos de Serveless.
Neste módulo vamos dar início aos estudos do S3 e conhecer um mais sobre esta excelente ferramenta.
Divirtam-se e leiam sempre para não ser enganados :)
Nesta aula de atualização, abordaremos duas novas modalidades de buckets lançadas pela AWS: os buckets de tabelas e os buckets de vetores. Ao longo da aula, exploraremos suas principais características, os motivos que levaram à criação desses novos modelos e as necessidades que eles atendem dentro dos cenários atuais de armazenamento e processamento de dados. Também serão apresentadas as boas práticas e recomendações de uso, destacando em quais situações cada tipo de bucket é mais indicado.
No mais, boa aula a todos!
Para quem já trabalha com o serviço do Amazon S3, sabe que existem diferentes categorias de armazenamento que podemos utilizar. Conhecer bem essas categorias, é de extrema importância para mantermos o melhor custo benefícios para armazenarmos nossas informações em um Bucket S3.
Nesta aula, iremos entender em detalhes cada uma das classes de armazenamento existentes, e como utilizá-las para obter o melhor proveito das mesmas.
A criptografia sempre foi e sempre será um dos principais mecanismos para garantir a segurança de dados, independente de sua natureza.
Nesta aula, vamos analisar em detalhes quais são os tipos de criptografia existentes dentro do serviço Amazon S3 e entender em detalhes como que cada um deles funciona, para que possamos então, utilizá-los na prática.
Agora que já temos os principais conceitos sobre buckets, classes de armazenamento e criptografia, podemos iniciar nossas aulas práticas (finalmente, né, srsrsr).
Assim sendo, nesta aula, iremos aprender a criar um novo bucket entendendo os conceitos, e regras sobre sua nomenclatura. Além disso, veremos também, como ajustar a criptografia do bucket conforme nossas necessidades.
Boa aula a todos!
Recentemente, a AWS lançou uma nova categoria de bucket, sendo denominado de “buckets de diretório”. Esta nova categoria, é destinada a aplicações que necessitam de um alto desempenho com baixa latência. Isso é possível, devido à utilização de uma categoria conhecida como Express One Zone, onde os dados são armazenados em apenas uma única AZ. Isso traz, benefícios mas também malefícios, como já vimos anteriormente.
Nesta aula, nos veremos de forma prática, o processo de criação desta nova categoria de bucket, que em suma, não muda muito para o que já conhecemos.
Boa aula!
Agora que já sabemos criar buckets de uso geral e buckets de diretório, é importante também conhecer o processo para removê-los. O processo é muito simples, entretanto, antes de torcer o nariz, recomendo que assista à aula, para entender as problemáticas que estão por trás do simples delete.
Boa aula a todos!
Dá série “isso é muito simples”, vamos analisar nesta aula, todas as possibilidades que temos durante o processo de envio de objetos para um bucket do Amazon S3. Analisaremos os processos de classe de armazenamento, criptografia, dentre outros.
Especialmente para você que esta começando, preste bastante atenção nos detalhes e aproveite bastante :)
Boa aula a todos!
O serviço do Amazon S3 possui um recurso bem interessante para trabalhar com seus objetos, que é o versionamento. Para quem trabalha com soluções de versionamento de códigos como o legado SVN, Git e afins, entre outros, sabe que é possível manter várias versões de um mesmo arquivo, podendo assim realizar a rastreabilidade e a restauração do mesmo sempre que possível.
Baseando-se neste mesmo conceito, o versionamento do Amazon S3, nos permite mantermos várias cópias de um mesmo arquivo para podermos utilizá-los sempre que necessário.
Nesta aula, iremos entender sobre esse recurso, como ele trabalha e quais suas principais finalidades.
Boa aula a todos!
Agora que já temos os conceitos teóricos referente a parte de versionamento de objetos, podemos avançar para a prática. Nesta aula, veremos então, como habilitar o versionamento e qual é o comportamento esperado.
Boa aula a todos!
Inevitavelmente, dentro do Amazon S3, teremos de gerenciar nossos objetos, determinando classe de armazenamento, versionamento, tempo de vida, etc. Por default, este processo é feito manualmente. Entretanto, fazer isso manualmente para uma grande quantidade de objetos, acaba sendo muito trabalhos e uma completa perda de tempo.
Pensando nisso, a AWS disponibilizou (há muitos anos) uma feature chamada de S3 Lifecycle Policy, que permite aplicar o gerenciamento de nossos objetos de forma pré-determinada e claro, automática.
Nesta aula, estudaremos os conceitos teóricos sobre, para que na próxima aula, possamos aplicar de forma prática tudo aqui apresentado.
No mais, boa aula a todos!
Agora que já temos o embasamento teórico sobre S3 Lifecycle Policy, podemos iniciar nossos laboratórios. Então, sem mais, boa aula a todos!
PS: lembre-se, que cada ambiente é diferente do outro e tem suas particularidades. Então, leia bastante para não ser enganado.
Em alguns casos, seja por necessidades de backup e/ou migrações, precisamos transferir os dados de um determinado bucket para outro. Para isso, a AWS disponibiliza um recurso conhecido como “replicação de objetos”.
Nesta aula, conheceremos os principais conceitos a respeito deste tema, e posteriormente, claro, teremos nossa aula prática sobre.
Bons estudos a todos!
Na aula passada, tivemos uma introdução sobre os principais conceitos referente a replicação de objetos dentro do Amazon S3. Agora, nesta, iremos aplicar de forma prática, a implementação de uma replicação entre dois buckets, inicialmente, na mesma conta e na mesma região.
Então, boa aula a todos.
Agora que já estudamos bastante sobre o gerenciamento de armazenamento, ciclo de vida de objetos do Amazon S3, podemos avançar. E a partir desta aula, começaremos a estudar sobre o gerenciamento de acessos aos nossos buckets e seus respectivos objetos. O objetivo é conhecermos as opções que temos disponíveis para configurar corretamente os acessos dentro de nosso ambiente, para não ocorrer, em nenhuma hipótese, nenhuma mesmo, de um bucket ser público (lembre-se disso).
No mais, boa aula a todos.
Nesta aula, nós iremos conhecer sobre as Access Control List, conhecidas comumente como ACL. Antes de mais nada, saibam que elas não são recomendadas para utilização. Mas, mesmo assim, RECOMENDO que assista à aula para entender o motivo e como você poderá fazer análises técnicas nos buckets de sua empresa e ajustar para o bom funcionamento.
No mais, boa aula.
O serviço do Amazon S3 é um dos serviços mais utilizados dentro da AWS (fato). Ele também é um dos serviços que mais sofrem problemas no quesito de segurança da informação, vazamento de dados (outro fato).
Infelizmente, todos esses problemas de segurança no S3 são oriundos da má configuração de SysOps/Sysadmins no ambiente. Pensando nisso, esta aula foi desenvolvida visando ajudar vocês a mitigaremos problemas de segurança/vazamento de dados, trabalhando sempre com as melhores práticas possíveis dentro da AWS.
Como já vimos na aula passada ACL (legado), vamos agora iniciar os estudos sobre as políticas de buckets no Amazon S3, entendendo seu escopo, estrutura e funcionamento, para a partir da próxima aula, começarmos as aulas práticas sobre.
Na aula passada, conhecemos a teoria sobre a políticas de segurança no serviço do Amazon S3. Vimos ali seus elementos principais e sua estrutura. Nesta aula, iremos começar a colocar a mão na massa para analisarmos na prática o que foi visto na aula passada.
É importante ressaltar que essa é uma das aulas mais importantes deste módulo. Então se preciso, reveja várias vezes, e claro, entre em contato sempre que precisar.
Boa aula a todos.
Dando continuidade, mas prática sobre políticas de buckets :)
O “Gerador de Políticas” disponível pela AWS, é um recurso cujo objetivo é auxiliar o processo de criação de novas políticas de segurança para alguns recursos, como Amazon S3, VPC, IAM, SES, entre outros. Nesta aula, veremos como ele funciona, e como podemos criar nossas políticas de buckets de forma mais simples e direta.
É importante ressaltar que, a escolha da forma em que serão criadas as políticas, variam de pessoa para pessoa, sintam-se à vontade para escolher a forma que mais lhe agradar.
Boa aula a todos.
Deny explícito > do Allow independente de onde esteja, isso é um fato!
Nesta aula, iremos analisar na prática este comportamento. Mas peço a todos muita cautela ao realizarem os testes, afinal, isso pode ser prejudicial a seu ambiente, se não feito corretamente. Ah, e faça em laboratório, não em produção :)
As condições em uma política, seja ela de qualquer natureza, ajuda a minimizar os impactos relacionados a possíveis explorações, fazendo com que camadas extras de segurança, sejam criadas no ambiente. Nesta aula, faremos alguns testes utilizando condições dentro de nossas políticas de buckets, e demonstrando cenários reais que possam ser úteis no dia-a-dia.
Já vimos que a opção de Block Public Access dentro dos buckets, em conjunto com políticas permissivas, podem fazer nossos buckets ficarem públicos. E já sabemos também que, isso NÃO É RECOMENDADO.
A AWS, disponibilizou recentemente, uma feature interessante, para bloquearmos essas alterações ao nível de conta, o que é bem interessante.
Nesta aula, veremos isso de forma totalmente prática.
O Amazon S3, como foi dito anteriormente, nos permite hospedarmos sites extremamente complexo dentro dele, sem a necessidade de gerenciarmos nenhum Web Server.
Nesta aula, veremos em detalhes como realizar tal procedimento, publicando uma página web (em anexo) para ilustrarmos todo o serviço de Web Hosting.
No serviço do Amazon S3, temos disponível um recurso conhecido como URL pré-assinada. Este recurso, gera um token randômico, com um tempo de validade para o compartilhamento de objetos através de uma URL, sem a necessidade de credenciais válidas dentro da AWS. Este tipo de solução, é muito interessante para quando precisamos fazer o compartilhamento de objetos de forma segura, e sem a necessidade de expor o objeto e/ou o bucket publicamente.
Nesta aula, veremos como este processo funciona, e claro, tudo de forma prática.
Em ambientes corporativos, manter o controle dos acessos é de extrema importância. Entretanto, de nada adianta o controle, se não temos rastreabilidade. Se te perguntar hoje, quem acessou o objetivo XYZ em seu bucket, você saberia dizer? Geralmente a resposta é não. Entretanto, se você não precisa de fato dessas informações, vida que segue. Porém, se você possui dados sensíveis, nos quais passam por auditoria, certamente vai precisar.
Pensando nisso, nessa aula veremos uma introdução sobre a feature de Access Logs no Amazon S3, analisando suas principais características, qual os possíveis cenários alvos, e arquiteturas modelos.
Prestem bastante atenção nos pontos apresentados na aula, e siga os conselhos ali apresentados :)
No mais, boa aula a todos.
Agora que já temos o embasamento teórico sobre Access Logs, podemos de fato realizar sua implementação.
Lembre-se de que, em ambientes produtivos, você deve analisar se de fato precisa deste recurso habilitado. Mas, é mais que recomendado que você faça todos os testes aqui apresentados.
Boa aula a todos!
Em alguns momentos, precisamos enviar arquivos para um bucket do Amazon S3 de diferentes localidades, ou então, arquivo com alguns terabytes de tamanho. Pode ser que nesses casos, os tempos decorrentes para isso, não sejam satisfatórios.
Para atender essas necessidades, a AWS lançou o Transfer Acceleration, um recurso que promete acelerar a transferência de arquivos para um bucket.
Nesta aula, iremos conhecer esse recurso, e claro, analisar de forma prática, utilizando uma ferramenta exclusiva da própria AWS.
Nesta aula, você vai entender como o novo Amazon S3 Files permite acessar dados armazenados no Amazon S3 como um verdadeiro sistema de arquivos, sem precisar mover ou duplicar dados.
Vamos explorar como funciona sua arquitetura, o conceito de armazenamento de performance, cache inteligente para arquivos pequenos, sincronização automática com o S3 e os principais detalhes de precificação e custos do serviço. ?
Ah, e na próxima aula, teremos o passo-a-passo de sua implementação ?
Nesta aula, você aprenderá como configurar o Amazon S3 Files utilizando uma instância Amazon EC2 para montar um filesystem baseado em S3.
Vamos passar por todo o processo de criação do ambiente, incluindo:
criação do bucket S3,
habilitação de versionamento,
criação do filesystem,
configuração da IAM Role,
permissões necessárias,
associação do ponto de montagem na EC2,
e testes de acesso e escrita no filesystem.
Além disso, você entenderá como o S3 Files funciona internamente, como ocorre a integração com o Amazon S3 e quais cuidados devem ser tomados com permissões, conectividade e acesso aos arquivos. ?
Para quem atua na área de operações, sabe que um dos itens mais importantes de um ambiente é o monitoramento. Sabemos o quanto é ruim sermos notificados de um problema pelo nosso cliente final. Atualmente temos uma infinidade de soluções de monitoramento, desde as mais antigas como Nágios, até soluções mais atuais como Prometheus. Além disso, o monitoramento ajuda na parte de segurança, e atualmente, muito utilizado também para FinOps.
Dentro da AWS, é de extrema importância realizarmos o monitoramento de todo o nosso ambiente. Para isso, podemos utilizar qualquer ferramenta que nos permita isso. Entretanto, a AWS disponibiliza nativamente o Amazon CloudWatch, uma ferramenta que possibilita realizar o monitoramento totalmente eficiente de todo o ambiente, e não somente o ambiente AWS, mas também o seu ambiente On-premises.
Nesta aula, iremos abrir o módulo sobre esta ferramenta, abordando os principais conceitos, para podermos colocar em prática durante todo o nosso módulo.
Nesta aula, iremos fazer um overview sobre a console do Amazon CloudWatch, onde o principal objetivo é trazer os principais itens envolvidos neste serviço, demostrando suas localizações, e divisões. A partir da próxima aula, começaremos a estudar os itens individualmente, com aulas teóricas e práticas sobre.
Antes da parte técnica, para todo e qualquer projeto, vem o planejamento (pelo menos deveria, srsr). Para implantação do CloudWatch, não é diferente. Nesta aula, irei apresentar para vocês uma série de itens que devemos considerar antes de implementar o CloudWatch, ou melhor, antes de implementar toda e qualquer solução de monitoramento.
Não pule esta aula (depois não diga que não avisei).
Métricas, em todo e qualquer solução de monitoramento, é a alma, a base de tudo. São elas as responsáveis por trazer os dados, informações pertinentes ao desempenho de seu ambiente. Nesta aula, explanaremos sobre este tema, entendendo em detalhes como elas são utilizadas dentro do CloudWatch, quais são seus tipos, tempo de armazenamento, dentre outros itens de extrema importância.
Agora que já conhecemos o que são as métricas do Amazon CloudWatch, nesta aula iremos trabalhar com elas na diretamente na console, aprendendo a fazer filtros, buscas e explorar as métricas disponíveis dentro de nosso ambiente.
Lembre-se que, a quantidade de métricas, namespaces, varia de acordo com a utilização do ambiente que estiver utilizando.
Conforme já vimos neste módulo, o CloudWatch permite o envio de métricas customizadas, trazendo informações mais detalhadas sobre os recursos monitorados. Uma das formas de envio, é através da CLI/SDKs, realizando o processo de Put Metrics.
Nesta aula, veremos um exemplo de como trabalhar com este tipo de envio para dentro do CloudWatch. O objetivo, é trazer as possíveis possibilidades que temos com este tipo de monitoramento.
Ah, antes que me esqueça, preste atenção nos detalhes.
Abraços,
pH
Sabemos que, além do modo de métricas customizadas apresentados na aula passada, temos também a possibilidade de enviá-las através do agente do CloudWatch. Nesta aula, iremos entender o que é de fato este agente, como ele funciona, processo de instalação e configuração. Depois, analisar na console AWS, o Namespace criado, com suas métricas específicas.
Então se já entende os conceitos apresentados até o momento, convido a seguir com mais esta aula.
Agora que já estudamos sobre as métricas do Amazon CloudWatch, tanto as padrões, quanto também as customizadas, podemos avançar para começarmos a estruturar suas visualizações.
A partir desta, começaremos uma sequência de aulas sobre dashboards. Para começar, veremos os dashboards automáticos, gerados pela própria AWS, baseando-se nas métricas padrões.
Posteriormente, veremos os dashboards customizados.
No mais, boa aula a todos.
Em alguns casos (na verdade, grande maioria), os dashboards automáticos não são suficientes para nossos ambientes. Nestas situações, temos de aprender a customizar nossos próprios dashboards, conforme nossos ambientes, atendendo as nossas necessidades.
Nesta aula, iremos estudar o caminho das pedras para criar nossos dashboards, explorando algumas possíveis opções.
Ah, é claro, nas próximas aulas, continuares a explorar mais este recurso :)
Em alguns casos, pode haver a necessidade de compartilharmos nossos dashboards com outras pessoas, seja internas ou externas a AWS. Para isso, temos três opções diferentes, sendo com SSO, pública (NÃO RECOMENDADO) ou autenticada baseando-se em usuário/senha.
Nesta aula, veremos duas dessas opções. Aplicaremos os compartilhamentos e veremos na prática como tudo isso funciona.
Para todo e qualquer sistema de monitoramento que se preze, é indispensável a existência de alarmes. Estes, são as notificações que serão enviadas para os administradores do ambiente quando algo sair do comportamento padrão, ou melhor dizendo, sair da linha de base.
Nesta aula, nós faremos a introdução a respeito dos alarmes do Amazon CloudWatch, validando que, além do envio de notificações, ele pode fazer muito mais.
Agora que já temos o embasamento teórico sobre alarmes do Amazon CloudWatch, podemos avançar para a parte prática, com a criação de nosso primeiro alarme. E como vocês já sabem, o objetivo é trazer para vocês um exemplo, mostrar o caminho das pedras, para que vocês possam seguir com as parametrizações dentro de seus ambientes.
Nesta primeira aula, criaremos o alarmes, para nas próximas, continuarmos a customizá-lo, como, por exemplo, criar as ações, etc.
No mais, prestem atenção nos detalhes, e qualquer coisa, estou à disposição.
Até hoje, um dos tipos de notificações mais utilizados para alarmes de monitoramento, ainda são os e-mail. Isso traz uma formalização de um evento, enumeração de problemas, rastreabilidade, etc.
Nesta aula, iremos aprender a configurar um tópico do Amazon SNS (Simple Notification Service) para envio de um e-mail sempre que um evento do CloudWatch for gerado.
Lembre-se: o objetivo não é trazer uma explanação total sobre SNS, mas sim, mostrar como configurar para atender nossas necessidades.
Alarme implementado, notificações configuradas, e agora, será que funcionou corretamente conforme planejado? Vamos testar isso nessa aula e entender alguns pontos importantes.
Como vimos nas aulas passadas, temos diferentes ações para nossos alarmes do Amazon Cloudwatch. Cada ação, com uma finalidade diferente.
Nesta aula, veremos a ação para instâncias do Amazon EC2, onde podemos configurar um reboot, stop ou até mesmo um terminate. Entretanto, antes de sair configurando este tipo de ação, valide bem o seu ambiente, e veja se realmente faz sentido.
No mais, boa aula a todos!
Dando seguimento sobre Cloud Watch alarmes, temos também a possibilidade de monitorarmos não apenas nossa infraestrutura, mas também o que ela esta gastando.
Podemos colocar métricas para sermos notificados sobre nosso consumo, e até mesmo determinar valores limites para gasto, nos quais seremos alarmados sempre que o mesmo for alcançado.
Então, para não ser surpreendido no final do mês com valores exorbitantes, assita esta aula e veja na prática como monitorar seu Billing mensal.
“Leia bastante para não ser enganado!”
Essa frase clássica do Gastão Moreira que utilizo tanto em nosso treinamento, nunca teve tanta relevância como para esta e as próximas aulas que virão.
Estamos iniciando agora uma sequência de aulas sobre CloudWatch Logs. O objetivo é demonstrar a importância dos mesmos para qualquer ambiente, e como utilizar este serviço da AWS para nos ajudar em nossos dia-a-dia.
Inicialmente, faremos uma introdução sobre o mesmo, para que a partir da próxima aula, possamos começar nossos laboratórios práticos.
No mais, boa aula a todos, e leia bastante (ah, o resto já sabem né, srsrs).
Agora que já temos o embasamento teórico sobre CloudWatch Logs, podemos avançar. E como pré-requisito, temos de criar o nosso grupo de logs para armazenar os eventos de logs enviados posteriormente. Nesta aula, veremos todos esses detalhes, de como criar, quais os pontos importantes e o que temos de nos preocupar durante o processo.
Boa aula a todos e qualquer dúvida, estou à disposição.
Dando sequência na aula anterior, nesta vamos aprender a ajustar o agente do CloudWatch (já conhecido por vocês) em uma instância EC2 para enviar determinados logs (exemplos) para dentro do CloudWatch Log Group criado anteriormente. Lembrando que, a instalação do agente do CloudWatch não será apresentada novamente, tendo em vista, que a mesma, já foi mostrada aqui no módulo :)
Boa aula a todos!
Em nossos log groups, temos a possibilidade de criarmos dois tipos de filtros. Um deles, é um filtro simples, cujo objetivo é buscar por strings, parâmetros dentro dos log streams (equivalente ao grep do Linux). O outro tipo de filtro, é um tipo de filtro destinado à criação de métricas do CloudWatch, e consequentemente, criação de dashboars, alarms, etc.
Nesta aula, iremos aprender a trabalhar com os dois tipo, trazendo alguns exemplos que possam ser uteis no dia-a-dia de vocês.
Boa aula a todos!
Finalmente chegamos a um dos serviços mais importantes da AWS no quesito Segurança da Informação: o Identity and Access Management (IAM). Sem dúvida, o IAM é fundamental para manter um ambiente estável, seguro e bem gerenciado dentro da AWS.
Nesta aula, faremos uma introdução detalhada ao serviço, explorando seus principais conceitos, funcionalidades e sua importância estratégica para a segurança da sua infraestrutura na nuvem.
? Lembre-se: a segurança do seu ambiente AWS depende diretamente das configurações e boas práticas que você aplicar no IAM.
Nesta aula, exploraremos tanto na teoria quanto, na prática os conceitos fundamentais relacionados a usuários e grupos no IAM.
Você aprenderá como criar, gerenciar e organizar usuários em grupos, facilitando o controle de permissões e o gerenciamento de acessos em seu ambiente AWS.
Esta base é essencial para garantir uma gestão segura e eficiente das identidades na nuvem.
Esta é uma aula de atualização que contempla o processo de criação de usuários no IAM seguindo o novo formato disponibilizado pela AWS.
Abordaremos as mudanças recentes na interface e no fluxo de criação, garantindo que você esteja sempre alinhado com as melhores práticas e a forma mais atualizada de gerenciar usuários no IAM.
Nesta aula, faremos uma demonstração prática do novo processo de configuração do MFA (Autenticação Multifator) para usuários do IAM na AWS.
Você aprenderá passo a passo como habilitar essa camada extra de segurança, fundamental para proteger o acesso à sua conta e aos recursos da AWS.
É aqui que toda a mágica (ou macumba) acontece. Vamos começar a trabalhar nesta aula sobre as Políticas do IAM, onde basicamente determinando tudo que é ou não possível aqui dentro da AWS.
Um política de IAM bem construida pode proporcionar uma segurança excepcional em seu ambiente.
É importante ressaltar que começa aqui uma sequencia de aulas sobre essas políticas, nas quais devem ser feitas e refeitas quantas vezes forem necessárias, afinal, é com a práticas que chegamos a perfeição (ou perto dela, srs).
Continuando um pouco mais sobre políticas do IAM.
Na aula passada conhecemos a teoria sobre as políticas do IAM. Agora, a partir desta aula, vamos começar a trabalhar com a prática, para fixarmos o conhecimento absorvido até então.
Nesta aula, iremos explorar diversos cenários para entendermos de fato como essas políticas funcionam. Para isso, iremos montar uma estrutura de usuários/grupos com permissões diferente, para analisarmos o comportamento de cada uma delas.
Trabalhando um pouco mais com politicas do IAM.
Nas aulas anteriores, abordamos a teoria sobre permissões do tipo Allow e Deny no IAM.
Nesta aula, faremos um comparativo prático entre essas duas permissões, analisando detalhadamente o comportamento de cada uma quando aplicadas isoladamente e em conjunto.
Esse entendimento é fundamental para garantir configurações seguras e eficazes no controle de acesso da sua conta AWS.
A construção de políicas do IAM é algo extremamente complexo, e que exige prática, muita prática. Entretanto, existem inumeras ferramentas que podem nos auxiliarmos durante o processo de criação dessas políticas.
Uma dessas ferramentas que gostaria de compartilhar com você é a parliament. Esta ferramenta possibilita a análise de uma policy construída previamente, apresentando como resultado as boas práticas e erros da mesma.
Nesta aula veremos ná prática todo o processo de instalação e alguns exemplos de utilização desta ferraementa.
Após a construção de uma política do IAM, é de extrema importância realizarmos testes de usabilidade antes de aplicarmos em produção.
Para realização desses testes, a AWS disponibiliza a ferramenta nativa Policy Simulator.
Nesta aula, veremos na prática como essa ferramenta trabalha e como ela pode nos apoiar em nossos testes.
Uma função (Role) do IAM é uma identidade do IAM que você pode criar em sua conta com permissões específicas semelhantes a um usuário do IAM com políticas de permissão que determinam o que a identidade pode e não pode fazer na AWS.
Nesta aula, começaremos a estudar um pouco mais sobre roles, em sua teoria, para entendermos bem como a mesma funciona e como podemos absorver seus benefícios de utilização.
Na aula passada conhecemos um pouco da teoria e aplicabilidade das Roles.
Nesta aula, trabalharemos na prática para exemplificar os conceitos apresentados anteriormente.
Trabalhando um pouco mais com Roles...
“De graça até injeção na testa”.
Certamente você já escutou essa expressão. Mas será que é verdade? Posso garantir que não, não para tudo.
Na AWS existem vários serviços categorizados como Free Tier Ever, ou seja, gratuito, 0800, de graça! Mesmo assim, muitas pessoas insistem em não utilizá-los (spoiler: em nosso curso, veremos vários desses serviços).
Um desses serviços gratuitos da AWS é o Access Analyzer, que possibilita uma análise detalhada de nossos usuários, Roles para nos auxiliarmos na criação de políticas pensando no mínimo privilégio, e evitar exposição de recursos de forma pública.
Nesta aula, veremos a primeira parte deste assunto, fazendo uma pequena introdução e entendermos ali quais são os benefícios reais para nosso dia-a-dia.
PS: a continuação deste tema encontra-se disponível no treinamento AWS Security Foundation.
Provavelmente, em algum momento, você já recebeu uma demanda para liberação de acessos superiores aos que você determina para uma entidade (usuário e/ou Role). Muitas das vezes, os acessos liberados não são utilizados, ficando uma brecha de segurança enorme ao ambiente.
Mas e aí, como resolver tal situação?
Seguindo a linda de Least Privilege, nesta aula falaremos um pouco sobre o serviço (ou sub-serviço) conhecido como Access Advisor. Resumidamente, este serviço ajuda a refinar as permissões de nossos usuários, roles do IAM baseando-se nos últimos acessos a determinadas permissões.
Nesta aula veremos como emitir relatórios de todos os usuários criados dentro do IAM, trazendo diferentes informações como login, última alteração de senha, se possui MFA ativo, tempo de validade da Access_key, entre outros.
Nesta aula vamoa analisar algumas configurações de segurança de contas AWS, como por exemplo, definir políticas de senhas, regiões ativas, entre outras parametrizações que somadas com tudo que já vimos até o momento, pode agregar mais ainda na segurança de seu ambiente.
Nesta aula, iremos conhecer um pouco a respeito do serviço CloudFront, responsável pela solução de CDN da AWS. Faremos uma breve introdução, explorando os principais conceitos de CDN e consequentemente, CloudFront.
Para explorarmos alguns recursos do CloudFront, iremos utilizar um laboratório composto por um Website estático, hospedado através de um bucket S3 (sim, nós já vimos isso, srsr), no qual atuará como origem de uma Distribution do CloudFront.
Nesta aula, iremos montar o nosso laboratório, para que possamos começar a de fato trabalhar com o CloudFront, aplicando suas principais funcionalidades.
Nesta aula, iremos de fato iniciar nossas configurações do CloudFront, de modo que ele atue como solução de CDN para nosso Website, hospedado no bucket do S3. Iremos iniciar com algumas configurações básicas (padrões), e evoluindo com as aulas.
Além dessa integração inicial, veremos diferentes possibilidades de utilização com o CloudFront.
Nesta aula, veremos como realizamos a integração do serviço do CloudFront com o Route53, solução de DNS da Amazon. Existem algumas formas de aplicarmos essa configuração. Veremos a forma mais eficiente e mais recomendada pela documentação oficial da AWS.
Um dos recursos disponíveis no CloudFront, é a possibilidade de tratarmos a requisição HTTP do cliente, aplicando inumeras "modificações". Uma delas, é o redirecionamento de HTTP para HTTPS, forçando a utilização de uma conexão criptografada. Para isso, iremos aprender a configurar esse redirecionamento, aplicando a utilização de um certificado SSL através do ACM (Amazon Certification Manager).
Além disso, veremos também como trabalharmos com mais de um domínio (domínio e sub-domínio) dentro do CloudFront, nos dando a possibilidade de "hospedarmos" diferentes soluções web em uma mesma distribuição.
Infelizmente, ainda temos muitos buckets públicos espalhados por ai. Isso acaba colocando em risco os dados ali presentes. Muitos destes buckets, são acessados através de uma distribuição do CloudFront. E ai vem a pergunta:
Realmente isso é necessário? É preciso ter um bucket público para hospedar uma solução web?
A resposta é NÃO.
Nesta aula veremos como colocar uma camada extra de segurança em buckets do S3, de forma a limitarmos seus acessos extermos a somente o CloudFront, evitando assim, a utilização de um bucket público.
Uma grande caracterísitca de serviços de CDN, é a possibilidade de aplicarmos cache de conteúdo estático/dinâmico em nosso ambiente. Isso ajuda a preservar nossos servidores (origin) e melhorar significamente a entrega de conteúdo para nossos clientes.
Nesta aula, entenderemos como funciona essa política de cache dentro do Cloudfront. Vamos aplicar algumas configurações e ver de perto o funcionamento.
Nesta aula, iremos aprender como limitar o acesso a nossa aplicação web baseando-se em Geo Localização. Cada cliente ao acessar uma aplicação web, utiliza-se de um endereço IP público, registrado em um determinado país. Através desta localização, conseguimos determinar quais países poderão ou não consumir nossas aplicações.
Monitoramento sempre foi e sempre será um dos items mais importantes de quaisquer ambientes. Aqui no CloudFront, isso não é diferente, e nesta aula, veremos como coletar métricas importantes que irão nos auxiliar em futuras análises e troubleshooting.
Na aula passada, analisamos algumas métricas que conseguimos extrair do CloudFront. Nesta aula, veremos como utilizar dessas métricas para enviarmos alertas por e-mail sobre os problemas ocorridos. Além dos alertas por e-mail, veremos também que é posível enviarmos alertas para diferentes items como SMS, funções Lambda, push, entre outros.
"Contra logs não há argumentos!"
Com certeza você já deve ter escutado essa frase. Logs sempre foi e sempre serão o maior aliado de um bom profissional na resolução de problema/análises/evidências. Com isso, veremos como extrair os logs do CloudFront para que possamos analisá-los, tanto em formato de "histórico", quanto real-time.
Chegamos ao final de nosso módulo referente ao serviço do CloudFront (pelo menos nesta primeira versão (: ).
Entretanto, não poderiamos terminá-lo sem antes falarmos um pouco sobre os relatórios disponíveis para consulta. Aqui dentro do serviço do CloudFront, temos disponíveis uma série de relatórios de extrema importância/qualidade para análise do comportamento de nosso ambiente, e, com base nesses nisso, poderemos aplicar as devidas melhorias/correções no ambiente.
Outro item importante também é que a partir dos mesmos, poderemos ter a nossa linha de base bem elaborada, afinal, deveremos entender nossa distribuição e aplicação para que possamos obter os melhores resultados possíveis para nossos clientes finais.
Bom, esta é a última aula sobre CloudFront, pelo menos por enquanto, pois, em breve, pretendo aplicar cenários mais complexos utilizando essa solução de CDN fantástica que a AWS disponibiliza
Até em breve (:
Antes de iniciarmos os assuntos relacionados a solução de Web Application Firewall da AWS, é importante conhecermos alguns termos/conceitos sobre soluções de WAF de forma geral. Isso ajudará nos entendimentos dos itens futuros que serão abordados durante todo esse módulo.
Agora que já temos um alinhamento sobres os conceitos básicos de um Web Application Firewall, podemos conhecer um pouco a respeito da solução de WAF da AWS. Nesta aula, realizaremos uma pequena introdução a alguns termos, nos quais serão explorados individualmente durante o módulo.
Com os entendimentos teóricos principais aplicados, vamos agora conhecer a console de gerenciamento do WAF da AWS, no qual iremos utilizar durante todo este módulo.
Sem sombras de dúvidas, um dos items mais importantes (se não o mais) de um WAF na AWS, são as Web ACLs. É através delas que conseguimos "dar vida" e construir nossa solução para mitigar problemas de segurança em aplicações Web. Nesta aula, iniciaremos a abordagem de alguns conceitos pontuais, para que possamos assim, explorarmos nas próximas aulas os conceitos de forma prática.
Finalmente, hora de colocar a "mão na masa", e começarmos a colocar em prática os conceitos apresentados até o momento. Nesta aula, iremos criar nossa primeira Web ACL, baseando-se em tudo que foi visto até o momento.
É importante ressaltar que, caso ainda não esteja de fato com o entendimento necessário, reveja as aulas antes de avançar. Se necessário, entre em contato :)
Para que uma Web ACL consiga de fato aplicar uma camada de proteção dentro de um ambiente, temos que configurar regras de WAF, o que representam a computação lógica para tratar explorações de vulnerabilidade de N categorias. Nesta aula, iremos conhecer um pouco mais sobre AWS Rules, entendendo como que funcionam, e como podemos utilizar dentro do ambiente.
Antes de fato iniciarmos a criação de regras, é importante conhecermos um pouco a respeito de sua console de gerenciamento. Nesta aula, iremos fazer um pequeno tour nesta console, analisando os principais recursos ali existente.
Agora que já sabemos criar uma Web ACL, podemos começar a trabalhar com algumas regras, explorando alguns recursos interessantes. Neste primeiro cenário, iremos conhecer um pouco a respeito de "IP Set", onde trata um conjunto de endereços IPs/Redes que podemos estar filtrando dentro de uma Web ACL e aplicando então, a política que julgarmos necessário.
Além de trabalharmos com filtros com base em endereços IP/Redes (como vimos na aula passada - IP Set), podemos também trabalharmos com filtros baseados na localização geográfica de um cliente. Com o recurso de Geolocation (Geo IP), aplicamos filtros em endereços de origem com base em sua localização geográfica. Nesta aula, iremos aprender a confdigurar este recurso, o que pode ajudar muito no nosso dia-a-dia, afinal, não queremos pessoas não autorizadas do Iraque, acessando nossas aplicações destinadas ao Brasil :)
Já vimos nas aulas anteriores, que as regras de uma Web ACL são interpretadas utilizando o conceito Top Down, ou seja, de cima para baixo. Nesta aula, iremos validar na prática o funcionamento e como configurá-lo no dia-a-dia em seu ambiente.
Uma grande característica do WAF da AWS (e grande maioria), é a possibilidade de trabalharmos com os operadores lógicos AND, OR e NOT. Isso permite uma grande flexibilidade na hora de criarmos nossas regras e, concatená-las. Neta aula, iremos aprender a utilizar tais operadores (apresentado o caminho das pedras), e identificarmos o grande potêncial que elas possibilitam para o nosso WAF.
Rate limit, é um recurso que podemos esta aplicando ao WAF da AWS para tratarmos determinadas ações (geralmente bloqueio) de determinadas origens quando realizarem uma grande quantidade de requisições em um curto período de tempo. Isso ajuda muito a bloquear ataques de negação de serviço, por exemplo. Nesta aula, veremos na prática, como aplicar tal configuração e entender o comportamento do WAF da AWS junto ao recurso de Rate Limit.
Criação de regex sempre foi e sempre será algo bastante complexo. Quando o assunto é regex relacionado a regas de WAF, a situação piora um pouco mais. No WAF da AWS, existe um "Padrão de regex" que podemos criar, quando houver a necessidade de duplicar tal lógica dentre várias regras. Nesta aula, veremos como criamos esses padrões e como aplicá-los dentro de uma regra na Web ACL.
NO WAF da AWS, podemos utilizar de Labels para criarmos rótulos em determinadas Web ACLS, no qual, a partir disso, conseguimos utilizá-los para duplicar a lógica ali apresentada. Além disso, podemos utilizar dos Labels para uma melhor identificação junto a monitoração do nosso WAF. Nesta aula, iremos validar isso na prática.
Além de trabalharmos com regras de WAF de forma individual, temos a possibilidade também de criamos Grupos de Regras. Os grupos de regras podem ser customizadas e/ou gerenciadas. Nesta aula, iremos aprender um pouco mais a respeito deste recurso que facilita muito nossa gestão do WAF da AWS.
Agora que já conhemos um pouco mais sobre grupo de regras, vamos realizar o processo de criação nesta aula, onde criaremos nosso primeiro grupo de regras customizados para nosso ambiente.
Em determinadas situações, pode haver a necessidade de atuarmos com grupos de regras gerenciadas por determinados provedores de WAF. Aqui na AWS, através do Marketplace, temos diferente opções de vendors destinados ao desenvolvimento de grupo de regras gerenciadas para o WAF da AWS. Nesta aula, iremos conhecer o processo de "contratação" de alguns desses grupos de regras. Entretanto, devio aos custos excessívos, não iremos de fato efetivar tal contratação. Mas caso queira, fiquem totalmente à vontade :)
No WAF da WAF, temos a possibilidade de customizarmos a mensage e o código HTTP de erro. Isso permite realizarmos determinadas customizações, visando um melhor entendimento de nossos usuários finais. Nesta aula, iremos aplicar tal customização na prática, passo a passo, definindo assim, uma mensagem de erro totalmente customizada para nossos clientes.
Atualmente, existem diferentes bot (robôs) desenvolvidos, tanto de forma benéfica quanto maliciosa. O objetivo desses bots, de certa forma é, coletar informações de determinados ambiente. Nesta aula, veremos de uma forma resumida, como podemos mitigar problemas relacionados a bots que podem de alguma forma, trazer consequências para seu ambiente.
Nesta aula, vamos entender uma limitação de body size exposta pela AWS (limitação de inspeção), e como podemos mitigar problemas relacionados.
Chegamos ao final de mais um módulo de nosso treinamento. Neste módulo, conseguimos aprender um pouco sobre a solução de WAF da AWS, explorando diferentes recursos aqui presente. O nosso maior objetivo, era passar o caminho das pedras para vocês, de forma que através dos recursos aqui abordados, vocês consigam proteger o ambiente de vocês (mitigar problemas).
É importante ressaltar que, somente as aulas aqui deste módulo não são suficientes. É necessário dar uma lida profunda na documentação oficial da AWS, e também, obter um relacionamento de paz com todos os envolvidos, em especial, os desenvolvedores de aplicações :)
Foi um prazer novamente compartilhar um pouco mais dos conhecimentos com vocês e espero que possam aproveitar bastante. E lembre-se, qualquer dúvida, basta entrar em contato.
Forte abraço e até o próximo módulo!
Bem-vindo ao treinamento AWS, na prática!
Se você é um profissional de infraestrutura ou atua em áreas relacionadas, e está iniciando sua jornada em nuvem AWS ou busca aprofundar seus conhecimentos no principal provedor de nuvem pública do mercado, este treinamento é para você.
Aqui, você vai aprender de forma prática e direta como trabalhar com os principais serviços da AWS, desde os primeiros passos — como a criação e estruturação de contas — até a implementação de ambientes completos e seguros.
Neste treinamento, você será capacitado a:
Criar e gerenciar contas AWS com boas práticas;
Configurar e administrar instâncias EC2;
Implementar redes utilizando VPC, sub-redes, gateways e security groups;
Configurar monitoramento e alertas com Amazon CloudWatch;
Criar ambientes escaláveis com Load Balancers e Auto Scaling Groups;
Trabalhar com serviços essenciais de segurança como IAM, WAF, CloudFront entre outros.
Tudo isso baseado em cenários reais e práticos do dia a dia de quem atua como SysAdmin, SysOps ou DevOps, com foco na aplicabilidade das soluções e no domínio técnico necessário para manter ambientes de produção operando com alta disponibilidade, segurança e eficiência.
Ao longo do curso, você também verá exemplos concretos, baseados em situações vividas em minha trajetória profissional, além de receber orientações sobre as melhores práticas de Segurança da Informação, especialmente no que diz respeito ao Control Plane da AWS — um ponto crítico para quem quer construir ambientes resilientes e seguros.
Se você está começando com AWS ou deseja evoluir para um novo nível de conhecimento e domínio da nuvem, esse treinamento foi feito para você.
Nos vemos nas aulas!