SW BBANG P

Você está escrevendo um script de inicialização ou uma rotina de automação que precisa saber em qual instância EC2 está rodando — e a pergunta natural é: como obter o Instance ID de dentro da própria máquina, sem depender de variáveis de ambiente ou arquivos de configuração externos? A resposta está no Instance Metadata Service (IMDS), mas a forma como você o acessa faz toda a diferença do ponto de vista de segurança. TL;DR — Resumo Rápido Aspecto IMDSv1 IMDSv2 Autenticação Nenhuma — requisição direta Token de sessão obrigatório Vulnerabilidade SSRF Exposta Mitigada pelo token Método HTTP GET simples PUT para obter token, depois GET Recomendação AWS Legado — evitar Padrão recomendado Configuração necessária Nenhuma Nenhuma (habilitado por padrão em novas instâncias) Como o Instance Metadata Service Funciona O IMDS é um endpoint HTTP local disponível em http://169.254.169.254 — um endereço lin...

Você está provisionando um volume EBS e vê duas opções de SSD de uso geral: gp2 e gp3. A diferença não é apenas de geração — o modelo de performance e custo entre eles é fundamentalmente diferente, e escolher errado significa pagar mais por menos controle. Em workloads de banco de dados ou aplicações com picos de I/O previsíveis, essa decisão impacta diretamente o comportamento da instância em produção. TL;DR: gp2 vs gp3 — Comparação Direta Característica gp2 gp3 IOPS base 3 IOPS/GB (mín. 100, máx. 16.000) 3.000 IOPS fixos incluídos IOPS independente do tamanho Não — acoplado ao tamanho do volume Sim — configurável até 16.000 IOPS Throughput máximo 250 MiB/s 1.000 MiB/s Throughput base incluído Acoplado ao modelo de burst 125 MiB/s incluídos Custo por GB Maio...

Se você já tentou configurar uma aplicação rodando em EC2 para acessar o S3 e ficou em dúvida entre criar um IAM User com chaves de acesso ou anexar uma IAM Role, você não está sozinho — essa é uma das confusões mais comuns em ambientes AWS e a escolha errada deixa credenciais estáticas expostas em código ou variáveis de ambiente por meses sem ninguém perceber. TL;DR: IAM User vs IAM Role Característica IAM User IAM Role Identidade Pessoa ou sistema fixo Identidade assumível temporariamente Credenciais Access Key + Secret (estáticas) Credenciais temporárias via STS Rotação Manual, propensa a esquecimento Automática (gerenciada pela AWS) Uso em EC2 Não recomendado Recomendado (Instance Profile) MFA Suportado Suportado (ao assumir a role) Auditoria Por usuário Por sessão de role (com contexto) Como IAM User e IAM Role Funcionam na Prática Um IAM User representa uma identidade permanente den...

Você acabou de lançar uma instância EC2, tenta conectar via SSH e recebe ssh: connect to host X.X.X.X port 22: Connection timed out . Esse erro específico — timeout, não recusa — quase sempre aponta para bloqueio de rede antes mesmo do pacote chegar ao sistema operacional. O culpado mais comum é o Security Group, mas não é o único. TL;DR — EC2 SSH Connection Timeout: O Que Verificar Camada O Que Verificar Impacto se Errado Security Group Regra inbound TCP/22 com source correto Pacote descartado silenciosamente Network ACL Regra allow na porta 22 e portas efêmeras no outbound Timeout sem log de erro Rota da Subnet Internet Gateway associado à route table Pacote sem caminho de retorno IP Público / EIP Instância tem endereço IP público atribuído Destino inalcançável Firewall do SO iptables / firewalld bloqueando porta 22 Conexão recusada ou timeout Como o Tráfego SSH Chega à Instância EC2 Antes d...

Você criou uma VPC do zero, subiu uma instância EC2 em uma subnet pública e tentou um simples ping google.com — sem resposta. Esse é um dos problemas mais comuns ao trabalhar com VPCs customizadas no AWS, e a causa quase sempre está na ausência de um Internet Gateway associado ou em uma Route Table que não sabe para onde mandar o tráfego de saída. TL;DR — EC2 Sem Acesso à Internet em VPC Customizada Componente O que precisa estar configurado Internet Gateway (IGW) Criado e anexado à VPC Route Table Rota 0.0.0.0/0 apontando para o IGW Subnet Associada à Route Table com a rota para o IGW IP Público Instância com Elastic IP ou auto-assign de IP público habilitado Security Group Regra de saída permitindo o tráfego desejado Network ACL Regras de entrada e saída permitindo o tráfego (stateless) Como o Roteamento de Internet Funciona em uma VPC Customizada Quando a AWS cria a VPC padrão da su...