Основы AWS: EC2, S3, RDS и VPC

Краткий обзор AWS для разработчика инфраструктуры: VPC (подсети public/private, IGW, NAT), EC2 (виртуальные машины), S3 (объектное хранилище), RDS (управляемые БД). Детальная IaC — Terraform: AWS и GCP. Serverless — AWS Lambda.

---

1. VPC

CIDR планирование (например 10.0.0.0/16), AZ для HA, route tables: public → Internet Gateway, private → NAT для исходящего интернета без публичного IP на инстансах.

---

2. EC2

AMI, instance types, Security Groups (stateful firewall), IAM role для доступа к API без ключей на диске.

---

3. S3

Бакеты глобально уникальны; версионирование, lifecycle на Glacier, encryption SSE-S3/SSE-KMS. Не публиковать бакет публично по ошибке.

Presigned URL даёт временный доступ к объекту без публичного ACL — удобно для выдачи загрузок клиентам. Ограничивайте срок действия, HTTP-метод (GET vs PUT) и не передавайте такие ссылки в логах. Для списка объектов по префиксу предпочтительнее ListObjects с авторизацией на бэке, а не «широкие» политики на весь бакет.

---

4. RDS

Multi-AZ для failover, read replicas для чтения, parameter groups, бэкапы и maintenance window.

---

5. IAM

Least privilege, OIDC для GitHub Actions, SCP на уровне организации в Enterprise.

---

6. ELB, Route 53 и границы сети

Application/Network Load Balancer для входящего трафика, health checks на целевые группы. Route 53 — DNS с политиками failover/latency. VPC endpoints (Interface/Gateway) для S3 и DynamoDB из приватных подсетей без NAT.

---

7. Наблюдаемость и стоимость

CloudWatch метрики и логи; AWS Config для дрейфа конфигурации. Cost Explorer + теги по CostAllocation — разбор по команде/продукту. Резервирование Reserved / Savings Plans для предсказуемых нагрузок.

---

8. Чек-лист

• Billing alerts.
• Теги ресурсов (Owner, Env).
• CloudTrail для аудита API.
• GuardDuty (по политике) и огранение публичных SG (0.0.0.0/0).
• Secrets Manager или SSM Parameter Store для секретов, не plain text в user-data.

---

Дальше: тег AWS