AWS CloudShell ou la fin des access keys portables

Description

[NEW LAUNCH!] AWS à travers son CTO Werner VOGELS vient récemment d’annoncer lors du re:Invent le lancement du service CloudShell. 

AWS CloudShell est un shell disponible depuis un navigateur et lancé à partir de l’AWS Management Console. L’accès à CloudShell requiert la permission AWSCloudShellFullAccess. Après s’être connecté à la console de gestion, l’utilisateur peut démarrer une session CloudShell en cliquant simplement sur l’icône CloudShell.

La session CloudShell donne à l’utilisateur un accès immédiat à un environnement Amazon Linux 2 avec l’AWS Command Line Interface (CLI) préinstallée et pré-authentifiée à l’aide des mêmes informations d’identification utilisées pour se connecter à la console.

Il est possible de charger et télécharger des fichiers jusqu’à 1 Go dans votre répertoire de base CloudShell ($HOME) et les fichiers, scripts et outils enregistrés dans $HOME persisteront entre les sessions (au sein de la même région).

CloudShell facilite la gestion, l’interaction et l’exploration sécurisées des ressources depuis une ligne de commande. Les outils courants et les AWS CLI sont préinstallés. D’autres outils selon vos besoins en utilisant l’accès racine fourni. Python, Node.js, Bash, PowerShell, jq, git, ECS CLI, SAM CLI, npm et pip sont également préinstallés.

Intérêt

Quelque soit son niveau de maturité en IaC et d’automatisation, l’ingénieur DevOps a dans la vraie vie souvent besoin d’effectuer certaines actions en dehors de ses pipelines. CloudShell offre simplement aux Dev/Ops un moyen efficace et sécurisé d’opérer sur la plate-forme AWS sans que ceux-ci n’aient à se soucier du stockage et de la sécurité de leurs identifiants sur leur poste de travail. Le tout pour un faible coût au-delà du niveau gratuit.

Conclusion

Parmi les avantages de CloudShell, citons:

• Pas de frais supplémentaires pour l’usage de CloudShell. On ne paye que pour les autres ressources AWS utilisées avec CloudShell pour créer et exécuter des applications. Il n’y a pas non plus de frais minimum et aucun engagement initial requis. Le transfert de données est facturé aux taux de transfert de données AWS standard .
• La première session démarre en moins de 10 secondes (7 sec lors de mon test) mais les sessions suivantes démarrent instantanément tant que la session de la console de management reste active.
• Bien que la session démarre sous profil utilisateur non-privilégié, on est en mesure d’exécuter des commandes sudo. Ce qui peut être fort utile pour installer des packages. D’ailleurs même si la session CloudShell s’exécute au sein d’un VPC isolé et qu’aucune connexion entrante n’est autorisée, la session dispose bien d’un accès à l’internet.
• Les raccourcis clavier tels que Ctrl+v, Ctrl+c, Ctrl+u sont pris en charge mais Ctrl+K lui ne l’est pas.
• Il est possible de lancer plusieurs sessions simultanément au sein de la même fenêtre (ou du même onglet) jusqu’à 5 pour le même utilisateur et jusqu’à 10 sessions dans une même région.
• On a le choix entre 2 thèmes et 5 tailles de caractères.

Je n’ai trouvé aucun reproche à faire au service si ce n’est l’absence de la prise en charge d’un raccourci clavier (ci-haut). Aussi, il pourrait être intéressant d’instancier des OS différents (en cours de développement ???).

En conclusion, voilà bien longtemps que nombre d’entre nous attendions un tel outil. Plus besoin de se connecter à un bastion qui tournerait en 24/7 ($$$).

Vous l’aurez compris ce service va sans aucun doute trouver sa place dans la boîte à outils Dev(Sec)Ops. ?