чувак, у тебя талант делать уроки, спасибо за труд!

спасибо клевый4увак, большую работу сделал)

4:54 это בדיוק то, что нужно : D

все как всегда, легко просто и доходчиво рассказал, без воды, спасибо за труд)))

7:50 - лучше бы конечно было замочить, и сделать новые. Новый урок - новые инстансы, да и вообще все новое. Я так с предыдущих уроков по твоему совету все мочу, чтоб не набежала оплата)

תודה! (;

Шикарную работу проделал. Спасибо.

Первое что пришло в голову: Офигеть как круто! жаль что под санкциями не могу сам потыкать,пока Read only режим)) но скоро сменю регион свой и будет Full-access,смогу потыкать в AWS ручками. За Видео огромное спасибо,UI будет меняться,но это мелочи. Главное что в голове есть картинка,того как это работает.

все круто проолжай, полезная инфа!

Спасибо, за урок, водопад огонь)))

Спасибо шикарная подача.

Спасибо, смотрю с удовольствием

Спасибо, за урок🙏

Спасибо тебе, добрый человек.

Спасибо!

Спасибо сэр, уроки бомба! Поддержал тебя на Paypal ;)

@ADV-IT

4 жыл бұрын

Спасибо!!

Amazing automatisation!

О крутой лайфхак! Спасибо!

Thank you so much.

классный урок, спасибо огромное! но перед началом обьяснения про роли, наверное стоит сказать что на инстанс нужно поставить awscli чтобы иметь возможность работать с бакетами.

@MaksimKovtun-gm4pd

Жыл бұрын

он стоит по умолчанию, если брать AMI от Amazon

Величайший!

respect you

@ADV-IT

6 жыл бұрын

Alexander Andrejtschenko Thanks

Теперь перед "Next:Review" надо добавить "Add tags"

@ADV-IT

4 жыл бұрын

Можно не добавляя продолжать

@ADV-IT подскажи, а как сделать доступ юзеру только к определенному бакету, то есть у меня например несколько серверов за пределами AWS и мне с них нужно делать бэкапы в S3, но так как конторы разные не хочу чтоб они могли почитать данные друг друга?

@ADV-IT

4 жыл бұрын

Два варианта: 1. Сделать свою IAM Policy c доступом только определенному бакету и приатачить этот Policy к юзеру. 2. Сделать Bucket Policy на самом бакете и указать кто может и что делать в этом бакете. На сайте AWS есть куча примеров как это делается

Здравствуйте. Позвольте спросить. Есть инстансы в ec2, и как известно, при создании машин ubuntu создаётся key pair с УЗ ubuntu. Как регулировать доступ к одной и той же машине среди команд - кому-то полные root права а кому-то read only. Или что посоветуете?

@ADV-IT

6 ай бұрын

При создании EC2 ты указываешь какой sshkey будет админом. А дальше просто логинишся и создаёшь юзеров и раздаешь им права как обычно.

@ADV-IT

6 ай бұрын

Или лучше делаеш это через Ansible

@xeonxeon1150

6 ай бұрын

@@ADV-ITспасибо. А как сделать так, чтобы в любой момент я бы мог дать определённой УЗ root права и также одним щелчком мог это убрать? Да, я понимаю, что в терминале я это могу регулировать, но согласитесь, это слишком неудобно. К примеру пользователь просит у меня root права на инсталляцию, я даю ему временно root, а потом вновь убираю. Скажем в IAM это можно регулировать?

ГДЕ пофиксить?: An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied

@ADV-IT

2 жыл бұрын

AccessDenied значит нету доступа. добавь Policy S3 Read Only

Кроме ролей, там есть еще instance profile. Не могли бы вы пояснить, что это такое?

@ADV-IT

Жыл бұрын

Это тоже самое, просто для EC2

А можно ли примонтировать s3bucket к машине на UBUNTU и использовать его на прямую как файловое хранилище, не используя дисковое пространство самой машины?

@ADV-IT

6 жыл бұрын

Можно! s3fs проэкт называется github.com/s3fs-fuse/s3fs-fuse Я его один раз использовал.

@alextimezero

6 жыл бұрын

То есть в данном случае все файлы можно будет сохранять на s3 минуя жесткий диск инстанса? И кстати удачно ли получилось примонтировать s3 к машине, я 4 раза с нуля на разных машинах делал, но хоть убей не монтируется и все. Может ли это кстати быть связано с тем что у меня пробная учетная запись?

@ADV-IT

6 жыл бұрын

Ага минуя диск. У меня получилось монтировать даже несколько одновременно успешно и работает вроде неплохо. На халявном аккаунтевсе работает. Я пробовал на Ubuntu и на Amazon Linux.

@alextimezero

6 жыл бұрын

Спасибо большое!

@user-tg3xs6mh7q

4 жыл бұрын

@@ADV-IT Я правильно понимаю, что зависит от ОС? У меня red hat при атаче ни в какую роли не видит.

Security Assertion Markup Language (SAML) is a standard protocol for web browser Single Sign-On (SSO) using secure tokens. Some info from AWS .... " Microsoft Active Directory Federation Service (AD FS, part of Windows Server) or another compatible SAML 2.0 provider." docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html

Это в рамках одного аккаунта. А если в процессе развертывания ес2 в другом акке надо стянуть инсталяшки с первого аккаунта, то какой вариант будет лучше?

@ADV-IT

3 жыл бұрын

Всё что Cross Account делается через IAM Roles

Role ReadOnly не позволила просмотреть каталог S3. Получилось при создании роли AdminAccess.

@Danilkim2310

4 жыл бұрын

смори, чтобы Рид они прописался. в случае если у тебя на весь пакет стоит Block access, но никакие добавления Рид полиси применяться не будут. Я это тоже во время урока заметил и расковырял, почему же не применяется Рид акксесс.

Расскажи как-нибудь про MFA. Как сделать виртуальный или физический токен?

@ADV-IT

6 жыл бұрын

А я обяснил и даже показал про MFA. kzread.info/dash/bejne/gHZ2q8x_hbSYh5M.html смотри с 7:37

Клево. Единственное что не ясно - каким образом утилита aws на сервере понимает что у нее есть роль? Допустим, если ты пропишешь что-то в ~/.aws/credentials, она считает ключи, и будет юзать их при каждом запросе на s3 ендпоинт. а вот если ключей нету - S3 как-то сам понимает от куда идет запрос, и по правилам роли просто не требует авторизацию?

@ADV-IT

4 жыл бұрын

IAM Role даёт временные credentials для доступа. Не парься на этом, просто: IAM Role даёт права доступа серверу к которому она прикреплена.

+

@ADV-IT

6 жыл бұрын

Сорри за отмененную рыбалку :)

@pitonic74

6 жыл бұрын

;)

Я уже тут!!)

Попробовал потренироваться и сделать, при изменении или добавлении файлов на s3 - ничего не происходит, не подхватывает изменения, зашел по ssh на сервер - и увидел, что там все старое, попробовал перезапустить сервер, чтобы скрипт скопировал новые файлы, но нет, тоже не вышло... Как тогда быть? Спасибо

@ADV-IT

10 ай бұрын

Добавил файлы, ничего не происхоит? Происходит конечно: добавились файлы.

@AntonioStudioOfficial

10 ай бұрын

@@ADV-IT ну, они добавились на s3, а на инстансе они не появились, и поэтому отображается старая версия сайта

@ADV-IT

10 ай бұрын

@@AntonioStudioOfficial запусти aws s3 ls s3://bucket_name и увидишь

что происходит, если инстансу дать роль amazon EC2 ReadOnly Access?

@ADV-IT

4 жыл бұрын

У иснстанса будет подступ к сервису EC2 в привилегиями ReadOnly

@maliy_ct

4 жыл бұрын

@@ADV-IT можно пример) то я что-то туплю....я создал инстанс, даю ему роль ReadOnly и... Про S3 было понятно, а здесь не совсем Буду очень благодарен!

@ADV-IT

4 жыл бұрын

Ну теперь если запустить команду aws ec2 describe-instances с сервера с IAM Role то получишь список серверов с их данными, а если запустить это БЕЗ приаттаченной IAM Role то получишь ошибку

у меня нет четкого понимания что такое роль. Это набор permissions для программ которые даются вместо создания юзера?

@ADV-IT

2 жыл бұрын

Да!

Как часто он меняет клавиатуру?_ так ебошит по клавише Enter )))

@ADV-IT

Жыл бұрын

Всё работает уже много лет!

Большое спасибо за урок! Я правильно понимаю, что самый простой и оптимальный способ автоматически закидывать файлы из S3 в инстанс по мере и появления это создать cron job типа "aws sync s3://bucket /path/to/folder"?

@ADV-IT

2 жыл бұрын

Да, это оптимальный и самый простой. Сложный это сделать trigger на появление нового файла в бакете и запуска SSM RunCommand на сервере aws sync s3://bucket /path/to/folder