AWS Bits: Amazon Linux 2023, Cluster Auto Scaling, AWS Security Hub und MFA-Devices in IAM

11. April 2023

Nach dem verlängerten Oster-Wochenende haben wir etwas ganz Besonderes für euch. Dieses Mal gibt es nicht nur eine News aus dem AWS-Universum – und auch nicht zwei. Aller guten Dinge sind nämlich drei!

… und weil uns auch das nicht genug erschien, beschäftigen wir uns gleich mit vier Themen: Amazon Linux 2023, Schnelleres Cluster Auto Scaling in Amazon ECS, Best Practices im AWS Security Hub und MFA-Devices in IAM.

Amazon Linux 2023

Amazon Linux 2023 ist eine neue Linux-Distribution für Amazon AWS und folgt auf Amazon Linux 2. Mit der neuen Version wird sich auch der Releasezyklus von Amazon Linux ändern: Künftig wird es alle zwei Jahre eine neue Version der Distribution geben und bestehende Versionen werden fünf Jahre lang unterstützt.

Zusätzlich zum neuen Releasezyklus kommt Amazon Linux 2023 mit folgenden Features:

SELinux
SELInux ist jetzt standardmäßig im permissive Mode aktiviert.
OpenSSL 3
Das Kryptographie-Toolkit ist nun in Version 3 verfügbar.
IMDSv2
Amazon-Linux-2023-Instanzen setzen per Defaultwert den Instance Meta Data Service in Version 2 voraus. IMDSv1 wird zwar weiterhin unterstützt, muss aber manuell aktiviert werden. Ebenso unterstützen die verschiedenen IAM Controls um IMDS weiterhin beide Versionen.
Deterministische Upgrades für mehr Stabilität
Amazon Linux 2023 erhält ein vollständig versioniertes Package Repository. Per Default verwendet AL2023 ausschließlich eine vorher festgelegte Version des Repositories. Sobald eine neue Version eines Packages verfügbar ist, wird auch eine neue Version des Repositories verfügbar sein, auf die eine Instanz dann zugreifen kann und für die neue AMIs zur Verfügung stehen werden.

Auch ein neuer Packagemanager hält Einzug in AL2023: DNF wird yum als Standard-Packagemanager ersetzen. Dabei unterstützt DNF natürlich auch die deterministischen Upgrades in AL2023.

Eine Gegenüberstellung der von Amazon Linux 2 und Amazon Linux 2023 findet sich in den AWS Docs.

Schnelleres Cluster-Auto-Scaling durch erhöhtes Servicekontingent in Amazon ECS

Um das Auto-Scaling bei einer größeren Menge von Tasks zu beschleunigen, wird das Servicekontingent “Task in provisioning state per cluster” auf 500 erhöht. Damit ist es ECS nun möglich, für bis zu 500 statt vorher 300 Provisioning-Tasks Kapazität in einem einzigen Skalierungsschritt bereitzustellen.

Kunden, die eine große Anzahl von Tasks (>300) in ihrem Amazon ECS Cluster starten müssen, sollten nun feststellen, das ihre Cluster-Infrastruktur merklich schneller skaliert.

Wer mehr darüber wissen will wie ECS skaliert, wird im AWS-Blog fündig.

AWS Security Hub: Sieben neue Best-Pratice-Tests

AWS Security Hub integriert sieben neue Prüfungen, die den User dabei unterstützen, den AWS Foundational Security Best-Practice-Standard (FSBP) einzuhalten. Im Fokus der Prüfungen stehen Best Practices rund um ElastiCache. Ist die automatische Übernahme von neuen Prüfungen im Security Hub konfiguriert, laufen diese Tests automatisch ohne weiteres zutun.

Details zu den neuen Prüfungen gibt es direkt bei AWS.

Mehrere MFA Devices in IAM

Das Absichern des AWS-Root-Zugangs mit Hilfe von Multi-Faktor-Authentifizierung gehört zum Best Practice in AWS. Bisher war es jedoch lediglich möglich, ein einziges MFA Device pro Root-Account zu verwenden. Hier schafft AWS Abhilf:. Künftig können bis zu acht Devices pro Root-Account registriert werden.

Verschiedene Use Cases sind dabei für die Verwendung mehrerer MFA Devices denkbar:

Verliert man ein MFA Device oder kommt es anderweitig abhanden, muss der Account nicht umständlich wiederhergestellt werden. Stattdessen kann einfach ein anderes Gerät verwendet werden. Unbedingt sollte das abhanden gekommene Device schnellstmöglich vom verwendeten Account entfernt werden.
Teams die an unterschiedlichen Standorten arbeiten können nun ohne umständliches herumreichen des MFA Device remote arbeiten.
Der Zugang zu den Root-Account- und IAM-Principals ist nicht mehr von nur einer Person (dem Träger des MFA Devices) abhängig.

Änderungen in Cloudtrail

In Zukunft wird Cloudtrail nicht nur den Anmeldevorgang mitprotokollieren, sondern auch die ID des entsprechenden MFA Devices. Dies geschieht, wie beim Anmeldevorgang auch schon, in additionalEventData.

"additionalEventData": {
    "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true",
    "MobileVersion": "No",
    "MFAIdentifier": "arn:aws:iam::111122223333:mfa/root-account-mfa-device",
    "MFAUsed": "YES"
}

Die Kennung der MFA-Geräte, die für AWS-CLI-Sessions mit der sts:GetSessionToken-Aktion verwendet werden, werden im Feld requestParameters protokolliert.

"requestParameters": {
    "serialNumber": "arn:aws:iam::111122223333:mfa/root-account-mfa-device"
}

Mehr Details finden sich im AWS-Blog.

Weitere News aus dem AWS-Universum

Andreas ist ein erfahrener Fullstack Entwickler mit über 10 Jahren Berufserfahrung. Mit fundiertem Wissen über Frontend- und Backend-Technologien hat er zahlreiche Projekte erfolgreich geliefert und komplexe Herausforderungen gemeistert.

Kommentare

Schreibe einen Kommentar Antworten abbrechen

Newsletter

Aktuelle Artikel per Mail

Verpasse keinen Artikel mehr und lass Dich von uns benachrichtigen, sobald es etwas Neues im Blog gibt.

Für das Handling unseres Newsletters nutzen wir den Dienst HubSpot. Mehr Informationen, insbesondere auch zu Deinem Widerrufsrecht, kannst Du jederzeit unserer Datenschutzerklärung entnehmen.