Search
Close this search box.

blog://post

Workflow com execução de script e EC2 Command, IAM Instance Profile, India

  • Cloud8
  • Blog
  • Home
  • Workflow com execução de script e EC2 Command, IAM Instance Profile, India

Workflow com execução de script e EC2 Command, IAM Instance Profile, India

Workflow com execução de scripts e EC2 Command

Implementamos a tarefa de execução de scripts no agendador.

ec2command-1

Por enquanto (em breve mais novidades!), é possível executar 2 tipos de scripts:

  • Chamada HTTP/HTTPS. Encapsule um script por meio de uma chamada HTTP. O Cloud8 irá aguardar 60 segundos e enviar a resposta desta chamada. Caso o retorno do status seja diferente de 2xx, considera-se erro e você será notificado. Para proteger este webservice, sugerimos algo como passar um código na chamada e checar dentro do script. Ex: http://site/meuscript?cod=abcxyz
  • EC2 Command. É a forma recomendada pelo AWS para executar scripts. Não é necessário passar credenciais (senhas ou certificados digitais). Deve-se instalar um aplicativo do próprio AWS se for Linux, ter um IAM Instance Profile associado e uma saída para a internet. Clique no link para os requisitos completos.

Lembrando que a execução de scripts, vale tanto para Linux e Windows. No caso do EC2 Command, o AWS já possui uma série de comandos pré cadastrados (shell, powershell) que você já pode usar.

Sugestões de uso:

  • Executar scripts de manutenção, reduzindo necessidade de acesso e documentando as alterações na auditoria: aplicação de patches, checagem de segurança, execução de recipes, relatórios, instalação de aplicativos, etc.
  • Agendamentos: após iniciar ou fazer upgrade/downgrade de um servidor, executar script para checar se está tudo OK – banco subiu? espaço em disco OK? serviços?
  • no ambiente de desenvolvimento, integrar o início do servidor com a execução de um script que copie o banco de produção e remova campos críticos como senhas, dados pessoais, etc;
    antes de desligar, fazer um shutdown ‘limpo’, parando serviços, banco de dados, notificando outros aplicativos, etc;
  • antes de fazer backup, dar um ‘freeze’ nos filesystems, fazer o backup e depois fazer um ‘unfreeze’ – melhora a consistência dos snapshots;
  • manutenção mensal/semanal de aplicação de patches de segurança;
  • manipular algum serviço AWS como copiar arquivos para o S3, etc

Segurança: monitoração de IAM Instance Profile

O Cloud8 está sempre preocupado em melhorar a segurança do seu cloud. Acrescentamos à monitoração do IAM mais um componente: IAM Instance Profile.

O IAM Instance Profile é uma espécie de ‘Role’ que está diretamente atrelado a servidores. Quando cria um servidor, pode associá-lo a um Instance Profile. Desta forma, este servidor incorpora as permissões do Role e não é necessário ter credenciais locais hardcoded. Como melhor prática, é recomendável criar servidores associados a um Instance Profile – mesmo que não tenha nenhuma permissão. No futuro, se precisar executar scripts neste servidor, pode utilizar o EC2 Command que é a maneira melhor indicada!

Também já mostramos na lista de servidores aqueles que possuem um Instance Profile e os detalhes das policies no relatório de IAMs!

Por que esta monitoração é importante?

Se você possuir servidores associados a um Instance Profile (lembrando que BeanStalk e OpsWorks automaticamente são atrelados a um) e eles foram comprometidos de alguma forma, o hacker/(ex-)funcionário pode executar chamadas das APIs do AWS sem precisar de chaves. Dependendo das permissões que tiver, isto pode colocar em risco a sua infraestrutura. É importante saber se as permissões foram mudadas e se os servidores estão com permissões ‘altas demais’ – geralmente se coloca policies administrativas com baixo impacto (como executar EC2 Command pré cadastrados).

Suporte a nova região da Índia

Como de praxe, automaticamente suportamos a nova região da Índia/Mumbai. Incluimos todas as funcionalidades já presentes nas outras regiões!

Mais novidades

Continuamos a implementar novas melhorias em todas as funcionalidades do Cloud8.

  • Alerta de infraestrutura: incluimos a data de início do servidor – melhora o diagnóstico para saber se pode ser um falso positivo e o servidor acabou de ser iniciado ou se é um alerta real de um servidor que está a bastante tempo ligado;
  • Agendador: melhoria na usabilidade de criação das tarefas do workflow;
  • RDS Aurora: tratamento de mais cenários de alerta (ex: finalização de failover);
  • BUG: melhoria nas checagens das credenciais customizadas para enviar email no cadastro de logotipo;
  • BUG: exportação dos gráficos de custos e uso em CSV podia trazer o uso do próxima dia e não o uso do dia atual;

Dúvidas, críticas, sugestões? Entre em contato!

Equipe Cloud8

 

Conheça o Cloud8! Acesse nossa calculadora e simule o seu cenário, ou crie sua conta para um teste de 15 dias sem compromisso clicando aqui.

 

 

Compartilhe esse texto:

EXPERIMENTE por 15 dias

COMECE SEU TESTE GRÁTIS AGORA!

Comentários
Ver posts em:
Facebook Twitter Linkedin

contato@cloud8.com.br | (11) 3280-7888

Facebook Twitter Linkedin

Disclaimer: AWS, images, and associated services are property of Amazon Web Services Inc. and its affiliates. Azure, images, and associated services are property of Microsoft Corporation. GCP, images, and associated services are property of Google Inc. Huawei, images, and associated services are property of Huawei Technologies Co Ltd. Oracle, images, and associated services are property of Oracle Corporation.

design by MadHat Haus