7 Tipps zu Amazon Web Services

7 Tipps zu Amazon Web Services

In den vergangenen Wochen habe ich mich etwas näher mit Amazon Web Services (AWS) beschäftigt und dabei sind mir einige Dinge aufgefallen, die ich in 7 Tipps zu Amazon Web Services zusammengefasst habe.

Mein erster Zugang zu AWS war das Aufsetzen des eXperinox Chat, was das Anlegen einer EC2 Instanz und das Aufsetzen von node.js (und unseren Chat-Scripts) beinhaltet hat. Im Rahmen dessen sind diese Tipps dann auch entstanden.

1. Putty Timeouts

Immer wenn ich eine SSH Verbindung über Putty (Windows) geöffnet hatte, verabschiedete sich diese nach kurzer Zeit. Ärgerlich irgendwie. Dieses Problem lässt sich aber sehr einfach beheben: einfach unter Connection den Wert für Keepalives auf zum Beispiel 60 setzen.

Putty Keep Alive
Putty Keep Alive

2. Security Groups

Wie beim Aufsetzen einer Instanz erwähnt, kann man jeder Instanz eine eigene Security Group zuweisen. In dieser ist definiert, wie auf die Instanz zugegriffen werden kann, wie z.B. über eine Secure Shell (SSH).

Neben der Angabe des Ports kann man auch zulässige Quellen für den Zugriff wählen. Standardmäßig ist dieser Wert auf 0.0.0.0/0 gesetzt, was bedeutet, dass man von überall aus per SSH auf diese Instanz zugreifen kann. Vorausgesetzt natürlich, dass man den private Key kennt.

Über die Angabe einer zulässigen Quelle unter Source kann man die Sicherheit weiter erhöhen, indem man hier eine bestimmte IP-Adresse angibt.

3. Identity and Access Management (IAM)

Wenn man einen AWS Account anlegt, definiert man seine eigenen Credentials. Will man nun anderen Leuten Zugang zu den Web Services geben, so will man dabei nicht seine eigenen Zugangsdaten weitergeben.

Über das Service IAM kann man Benutzer und Rollen anlegen und diesen dann entsprechende Rechte geben.

Die Rechte für Benutzer und Rollen kann man sehr detailliert vergeben. So kann man den Zugang nur zu bestimmten Services, wie Amazon EC2, erlauben. Wirklich easy!

Einen Zugriff auf eine einzelne Instanz zu vergeben, ist nicht ganz so einfach. Man muss dazu seine Instanzen über Tags entsprechend markieren und eigene Policies definieren, die diese Tags dann verwenden. Ein guter Blog-Artikel dazu ist Resource-Level Permissions for EC2–Controlling Management Access on Specific Instances. Getestet habe ich das (bisher) aber noch nicht.

Der IAM Service ist ein kostenloser Service, es fallen also keine zusätzlichen Gebühren an, egal, wie viele Benutzer man anlegt.

4. IAM Root Login verschwunden?

Das Dashboard von IAM zeigt ganz oben den IAM users sign-in link. Man kann diesen Link auch anpassen, um damit eine Sign-Url zu bekommen, die man sich auch merken kann 🙂

Über diese Login-Url erreicht man die Benutzer spezifische Login-Seite. Dabei wird ein Cookie gesetzt und man bekommt ab sofort nur noch die IAM Login-Seite zu sehen.

Um später wieder den Root Login verwenden zu können, muss man den Link unterhalb des Buttons zur Anmeldung anklicken. Dieser kann leicht übersehen werden – für jene, die sich verzweifelt wieder als Root einloggen möchten.

5. Instanz neu starten – neue Adresse

Und ein kleiner Hinweis am Rande: nachdem man eine Instanz in der Cloud stoppt und neu startet, bekommt diese eine neue Public DNS.

Wenn man also (wie wir bei unserem Chat) auf den Server über diese Adresse zugreift, so darf man nach dem Neustart einer Instanz in der Cloud nicht vergessen, die Zugriffsadresse zur Instanz entsprechend anzupassen. Das gilt z.B. natürlich auch für eine gespeicherte Putty-Konfiguration.

6. Billing Alert einrichten

Man sollte in jedem Fall einen Billing Alert einrichten, wenn man vor hat, intensiver die Amazon Web Services zu testen! Warum? Weil nicht alle Services kostenlos sind und man sonst schnell in eine kleine Kostenfalle tappen könnte. Siehe Punkt 7.

Das ist sehr einfach bewerkstelligt. Einfach den CloudWatch Services nutzen und einen Alarm einrichten, der anschlägt, wenn die Kosten 0,00 Cent übersteigen.

7. Vorsicht bei Amazon SES

„Mit dem kostenlosen Kontingent für AWS können Sie 62.000 Nachrichten im Monat kostenlos versenden, wenn Sie Amazon SES direkt aus einer Amazon EC2-Instance aufrufen.“

Wichtig ist der fett markierte Teil. Innerhalb des Free tier, also des kostenlosen Angebotes, sind nur jene Mails enthalten, die man aus einer EC2 Instanz verschickt. Mails über das Dashboard kosten auf jeden Fall Geld. Details dazu bitte direkt auf der Amazon SES Seite abrufen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.