Im März sind eine Viel­zahl von Ankün­di­gun­gen der ver­gan­ge­nen re:invent in den Sta­tus „GA“ gewech­selt. Die­ser Blog­bei­trag stellt einen Aus­schnitt aus den Neue­run­gen und Ankün­di­gun­gen des Monats März dar, erhebt aber nicht den Anspruch auf Voll­stän­dig­keit. Das Haupt­au­gen­merk liegt hier­bei auf Ver­än­de­run­gen, bei denen wir von einem direk­ten Ein­fluss auf unsere Kun­den aus­ge­hen. In die­sem Bei­trag wer­den ins­be­son­dere Ände­run­gen und Ankün­di­gun­gen der Ser­vices AWS Clean Room, Ama­zon S3 Object Lambda sowie Ama­zon VPC Lat­tice thematisiert.

Com­pute

Ama­zon S3 und Lamb­da­funk­tio­nen sind – ähn­lich wie SQS und S3 – ein fast schon unzer­trenn­li­ches Paar in der Welt der AWS. Mit den aktu­el­len Neue­run­gen der S3 Object Lamb­das wird dies nun auch wei­ter ver­stärkt. Wei­ter­hin kann Guard­Duty nun auch für das Moni­to­ring einer EKS Run­time genutzt werden.

AWS Object Lambda

AWS Object Lambda erlaubt es sei­nen Nut­zern, selbst­er­stel­len Code bzw. Code­frag­mente bei der Ver­ar­bei­tung von S3-Abru­fen zu ver­wen­den. Das bedeu­tet, dass bei­spiels­weise Daten, die mit­tels GET-Request abge­fragt wer­den, wäh­rend ihrer Abfrage von einer Lambda-Funk­tion mani­pu­liert wer­den kön­nen, sodass sen­si­ble Daten mas­kiert wer­den. Neben GET-Requests wer­den aber auch wei­tere Abfra­gen wie LIST und HEAD unter­stützt. Nun war es aber so, dass die End­punkte des Objekts und der Lambda-Funk­tion sich unter­schie­den haben bzw. unter­schei­den konn­ten. Dies ist zukünf­tig jetzt nicht mehr der Fall. 

Im März hat Ama­zon nun soge­nannte Ali­ase ein­ge­führt für S3 Object Lambda-Funk­tio­nen. Diese Ali­ase wer­den auto­ma­tisch gene­riert, wenn ein Object Lambda Access Point erstellt wird. Diese Ali­ase kön­nen exakt so wie die Namen der Buckets ver­wen­det wer­den, d.h. in jeder Appli­ka­tion und bei jedem Auf­ruf, in der übli­cher­weise der Name des Buckets stand, kann ab jetzt auch der Alias des Access Points ein­ge­tra­gen werden. 

Die Ali­ase sind seit März in allen kom­mer­zi­el­len AWS-Regio­nen ohne zusätz­li­che Kos­ten ver­füg­bar und wer­den auto­ma­tisch für Nut­zer erstellt. Letz­te­res gilt sowohl für neu­erstellte Access Points als auch für bereits exis­tie­rende Access Points.

AWS Guard­Duty

AWS Guard­Duty dient der Ana­lyse von Ereig­nis­sen in der AWS Cloud und fin­det so häu­fig Ein­satz in Kom­bi­na­tion mit Cloud Trail, VPC Flow Logs oder EKS Audit Logs. Guard­Duty nutzt Machine Lear­ning Algo­rith­men, um die Logs der Netz­werke, Ser­vices und Objekte zu auf Auf­fäl­lig­kei­ten zu ana­ly­sie­ren. Sollte eine sol­che Auf­fäl­lig­keit ent­deckt wer­den, kön­nen Nut­zer über Event­Bridge, den AWS Secu­rity Hub oder Ama­zon Detec­tive die Nach­rich­ten weiterverarbeiten. 

Seit März kann nun, neben den Audit Logs von EKS, auch die Run­time selbst mit­tels Guard­Duty über­wacht wer­den. Dies geschieht mit­tels fully-mana­ged EKS Add-On, wel­cher die Akti­vi­tä­ten der ein­zel­nen Con­tai­ner, wie bei­spiels­weise File­zu­griffe, Aus­füh­run­gen und Netz­werk­zu­griffe offen­legt und ana­ly­siert. Dies erlaubt es, mit­tels Guard­Duty kom­pro­mit­tierte Con­tai­ner inner­halb eines Clus­ters schnell zu identifizieren. 

Guard­Duty ist in Europa in allen rele­van­ten Regio­nen ver­füg­bar – selbst in der noch jun­gen Region in Zürich. Für bestehende Nut­zer des Ser­vices ist das Moni­to­ring von EKS die ers­ten 30 Tage kos­ten­los, danach fal­len Gebüh­ren in Abhän­gig­keit der Menge der zu ana­ly­sie­ren­den Ereig­nisse an. Das EKS Run­time Moni­to­ring ist aller­dings nicht auto­ma­tisch akti­viert und muss zunächst manu­ell akti­viert wer­den. Dies ist aller­dings schnell im „EKS Pro­tec­tion“ Rei­ter von Guard­Duty erledigt.

Secu­rity

Wie jedes Jahr wur­den wäh­rend der re:invent eine Viel­zahl neuer Ser­vices ange­kün­digt. AWS Clean Room wurde bereits im Januar in die Pre­view gereicht. Nun ist der Ser­vice auch all­ge­mein ver­füg­bar. Ähn­li­ches gilt auch für VPC Lat­tice. Auch die­ser Ser­vice wurde wäh­rend der re:invent ange­kün­digt und vor­ge­stellt und ist nun seit März für alle Nut­zer der AWS verfügbar.

AWS Clean Room

Wie bereits erwähnt, wurde Clean Room wäh­rend der re:invent als Neue­rung ange­kün­digt und soll die Zusam­men­ar­beit von Unter­neh­men ver­ein­fa­chen. AWS Clean Room reiht sich in die Liste der Ana­ly­tics-Ser­vices ein. Der Ser­vice erlaubt es, Daten­sätze mit bis zu fünf aus­ge­such­ten Part­nern zu tei­len, ohne die Daten phy­sisch zu kopieren. 

Wei­ter­hin erlaubt Clean Room sei­nen Nut­zern, Sicher­heits­maß­nah­men zu kon­fi­gu­rie­ren und so bei­spiels­weise Queries zu kon­trol­lie­ren, den Out­put bestimm­ter Abfra­gen zu sichern und für spä­tere Ana­ly­sen eben jene Queries zu log­gen. Außer­dem bie­tet Clean Room die Mög­lich­keit, dass die Daten auch wäh­rend ihrer Ver­ar­bei­tung ver­schlüs­selt bleiben. 

AWS Clean Room ist in Europa in Frank­furt, Irland, Lon­don und Stock­holm ver­füg­bar. Preis­tech­nisch berech­net Clean Room soge­nannte CRPUs/Stunde und es wird nur die benutzte Kapa­zi­tät in Rech­nung gestellt. Clean Room ska­liert hier­bei auto­ma­tisch hoch und run­ter, um den aktu­el­len Anfor­de­run­gen gerecht zu werden.

AWS VPC Lattice

Mit VPC Lat­tice bie­tet Ama­zon nun eine wei­tere Mög­lich­keit, die Kom­mu­ni­ka­tion zwi­schen Ser­vices in der AWS Cloud zu über­wa­chen und zu kon­trol­lie­ren. VPC Lat­tice erlaubt es, Regeln zu defi­nie­ren, die auf den Netz­werktraf­fic zwi­schen Ser­vices, Con­tai­ners und auch ser­ver­less Appli­ka­tio­nen ange­wandt wer­den. Der Ser­vice war bereits einige Monate in der Pre­view und im Ver­gleich zur Pre­view sind noch wei­tere Fea­tures hin­zu­ge­kom­men. So kann nun zum Bei­spiel der AWS Gate­way API Con­trol­ler in Kom­bi­na­tion mit VPC Lat­tice genutzt wer­den, um den Ser­vice in Kom­bi­na­tion mit Kuber­netes Deploy­ments zu ver­wen­den und auch Ver­bin­dun­gen, die auf IPv6 zurück­grei­fen, wer­den nun unterstützt. 

Der Ser­vice selbst ist zum aktu­el­len Zeit­punkt in Europa ledig­lich in Irland ver­füg­bar. Die Kos­ten für die Nut­zung des Ser­vices basie­ren auf der Daten­größe und der Anzahl an Auf­ru­fen, die über VPC Lat­tice gelei­tet werden.

Deve­lo­p­ment

Ebenso wie Clean Room und VPC Lat­tice wurde auch Appli­ca­tion Com­po­ser wäh­rend der re:invent 2022 vor­ge­stellt und ist nun für alle Nut­zer der AWS verfügbar.

AWS Appli­ca­tion Composer

Nach lan­ger Zeit der on-premises Ser­ver­war­tung und des Auf­bau­ens von mono­li­thi­schen Archi­tek­tu­ren kann der Sprung in die Welt des ser­ver­less Com­pu­ting zunächst ein­mal ver­wir­rend sein. Wo soll man anfan­gen? Wel­che Ser­vices sind sinn­voll oder gar not­wen­dig? Und wieso macht mein IaC-Tem­p­late nicht das, was ich möchte? Und wie schaffe ich es, dass meine ser­ver­less Appli­ka­tio­nen über gesi­cherte Kanäle mit­ein­an­der kommunizieren? 

Mit Appli­ca­tion Com­po­ser möchte AWS genau den oben beschrie­be­nen Sprung nun ver­ein­fa­chen. Appli­ca­tion Com­po­ser besteht schluss­end­lich aus einem gra­fi­schen Inter­face, in wel­chem PowerPoint‘esk ser­ver­less Ser­vices auf einem Can­vas mit­ein­an­der ver­bun­den wer­den kön­nen. Das Resul­tat ist ein Tem­p­late, wel­ches dann deployed wer­den kann. 

Wie ein­gangs erwähnt ist nun der Appli­ca­tion Com­po­ser für alle Nut­zer der AWS ver­füg­bar. Seit der Pre­view sind auch wei­tere Fea­tures hin­zu­ge­kom­men. So kann nun bei­spiels­weise eine API-Route des API Gate­ways mit der „Send Mes­sage“ Akti­vi­tät von SQS ver­knüpft wer­den und mit­tels „Change Inspec­tor“ kön­nen unter­schiede zwi­schen Deploy­ments visu­ell auf­ge­ar­bei­tet wer­den. In Europa ist der Appli­ca­tion Com­po­ser in Frank­furt, Irland und Stock­holm ver­füg­bar und für die Nut­zung des Ser­vices fal­len keine Kos­ten an – natür­lich aber für die durch ihn erzeugte Infrastruktur. 

Für wei­tere regel­mä­ßige Updates zum Thema AWS Cloud, fol­gen Sie unse­rer Prä­senz auf Xing und Insta­gram oder direkt unse­rem Blog.