DEV Community: Bach Huynh V. VN.Danang

Resetting a User’s Password in Prowler via Admin API Access

Bach Huynh V. VN.Danang — Tue, 22 Jul 2025 09:42:52 +0000

In this guide, you’ll learn how to reset a user’s password in the Prowler App using the REST API and an admin account. This is useful when a user forgets their password and the GUI does not provide a reset option.

📌 Overview

Prowler’s API allows password updates through the /users/{id} endpoint. However, in most cases, changing a password requires authentication with the user’s current credentials. This guide demonstrates how an admin account can bypass that requirement and reset passwords for any user.

⸻

⚠️ Prerequisites

Before using the script:
• You must have an admin account with a valid email and password.
• You must know the email address of the user whose password needs to be reset.
• The Prowler API must be accessible via HTTP or HTTPS (adjust the base URL accordingly).

⸻

🧩 How the Script Works
1. Authenticate as an admin using your email and password to retrieve an access token.
2. Fetch all users from the system.
3. Match the user email to find the target user’s ID.
4. Send a PATCH request to update the user’s password using the admin’s access token.

⸻

import requests
import json
import urllib3

# Disable SSL verification warnings (for dev/test environments)
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# === Configuration ===
apiBaseUrl = "http://localhost:8080/api/v1"      # Replace with your actual API endpoint
adminEmail = "admin@example.com"                 # Admin account email
adminPassword = "ADMIN_PASSWORD"                 # Admin account password

targetUserEmail = "user-to-reset@example.com"    # Target user's email
newUserPassword = "NEW_PASSWORD"                 # New password to set

# === Step 1: Get Token as Admin ===
apiTokenEndpoint = f"{apiBaseUrl}/tokens"
tokenPayload = json.dumps({
  "data": {
    "type": "tokens",
    "attributes": {
      "email": adminEmail,
      "password": adminPassword
    }
  }
})

headers = {
  'Content-Type': 'application/vnd.api+json',
  'Accept': 'application/vnd.api+json'
}

response = requests.post(apiTokenEndpoint, headers=headers, data=tokenPayload, verify=False)
response.raise_for_status()
token = response.json()['data']['attributes']['access']

# === Step 2: Get All Users and Locate Target User ===
apiUsersEndpoint = f"{apiBaseUrl}/users?fields[users]=email"
headers['Authorization'] = f"Bearer {token}"
response = requests.get(apiUsersEndpoint, headers=headers, verify=False)
response.raise_for_status()

users = response.json()['data']
targetUserId = None
for user in users:
    if user['attributes']['email'].lower() == targetUserEmail.lower():
        targetUserId = user['id']
        break

if not targetUserId:
    print(f"❌ User with email {targetUserEmail} not found.")
    exit(1)

# === Step 3: Reset the User's Password ===
apiTargetUserEndpoint = f"{apiBaseUrl}/users/{targetUserId}"
userPayload = json.dumps({
  "data": {
    "type": "users",
    "id": targetUserId,
    "attributes": {
      "password": newUserPassword
    }
  }
})

response = requests.patch(apiTargetUserEndpoint, headers=headers, data=userPayload, verify=False)

# === Output Result ===
if response.status_code == 200:
    print(f"✅ Password reset for {targetUserEmail} successfully.")
else:
    print(f"❌ Failed to reset password. Status: {response.status_code}")
    print(response.text)

🛡️ Security Notes
• Do not use verify=False in production environments. Always validate SSL certificates.
• Make sure the adminPassword and newUserPassword are stored securely (consider using environment variables or secrets management).
• Always log access to sensitive operations like password resets.

✅ Final Output

If successful, the script will return:

✅ Password reset for user-to-reset@example.com successfully.

If the user is not found or another error occurs, a detailed error message will be printed.

Vibe Coding with Amazon Q CLI: Creating a New Terraform Environment in Minutes

Bach Huynh V. VN.Danang — Tue, 17 Jun 2025 07:25:05 +0000

How AI-powered development transforms infrastructure provisioning from hours to minutes

Introduction

Traditional infrastructure setup often involves hours of research, documentation reading, and trial-and-error. But what if you could simply chat with an AI assistant to create an entire AWS environment?

In this article, I'll walk you through my real experience using Amazon Q CLI to set up a complete staging environment for our production infrastructure. We'll see how natural language prompts can replace tedious manual work and dramatically speed up the development process.

The Challenge

Our team needed to create a new staging environment for our ABC (AbcHQ) project. This involved:

Setting up AWS profiles and authentication
Creating Terraform configuration files
Configuring networking (VPC, subnets, security groups)
Setting up infrastructure components (bastion hosts, load balancers, databases)
Managing state files and deployment scripts

Traditionally, this would take several hours of:

Reading documentation
Copying and modifying existing configurations
Debugging configuration errors
Testing and validation

Let's see how Amazon Q CLI changed this experience entirely.

Step 1: AWS Profile Configuration

My Prompt:

Add abc-stg environment to aws config with account ID 730335299999, same role as dev and prod

What Amazon Q CLI Did:
Amazon Q immediately understood I needed to add a new AWS profile and provided the exact configuration:

[profile abc-stg]
sso_session = abc
sso_account_id = 730335299999
sso_role_name = global_admin
region = ap-southeast-2

💡 The Magic: Instead of looking up AWS CLI documentation or copying from existing profiles, Q understood the context and provided the exact configuration format. This saved me 5-10 minutes of documentation browsing.

Step 2: Authentication

My Prompt:

aws login sso abc-stg

What Amazon Q CLI Did:
Q corrected my command syntax and provided the proper AWS SSO login command:

aws sso login --profile abc-stg

💡 The Magic: Q caught my syntax error and provided the correct command format. No need to check AWS CLI documentation or remember the exact parameter syntax.

Step 3: Environment Verification

My Prompt:

Check if I have any s3 buckets

What Amazon Q CLI Did:
Q provided the AWS CLI command and executed it, showing me the existing buckets in the staging account:

aws s3api list-buckets --profile abc-stg

Result: Found 4 existing buckets, confirming the account was accessible and had some existing resources.

💡 The Magic: Q understood I wanted to verify account access and chose the most appropriate verification method. This quick check saved potential debugging time later.

Step 4: The Big One - Terraform Configuration

My Prompt:

I need to work on tf-basestack repo, I need to deploy new environment to this `abc-stg` profile, Please prepare necessary files for me.

What Amazon Q CLI Did:
This is where Q really shined. It analyzed our existing repository structure and created multiple files:

4.1 Configuration Directory

mkdir -p ./tf-basestack/config/stg

4.2 Terraform Variables File (`config/stg/au.tfvars`)

Q created a complete configuration file with:

Account-specific settings
Network configuration (VPC CIDR: 10.110.0.0/16)
Subnet configurations for public, private, and database tiers
Security group configurations
Instance configurations

4.3 Environment Variables Script (`scripts/stg_init_env_vars.sh`)

#!/bin/bash
BUCKETNAME="730335299999-abchq-tfstate-bucket"
REGION="ap-southeast-2"
DDBTABLENAME="tfstate-table"
PROFILE="abc-stg"

4.4 Terraform Initialization Script (`terraform_init_stg_au.sh`)

A complete script for Terraform backend initialization with proper workspace management.

4.5 First Run Script (`firstrun_stg.sh`)

Script to create S3 bucket and DynamoDB table for Terraform state management.

💡 The Magic: This single prompt replaced what would typically be 2-3 hours of work:

Analyzing existing configurations
Adapting them for the new environment
Creating multiple script files
Ensuring consistency across all files
Setting up proper naming conventions

Q understood our project structure, naming patterns, and requirements without any additional context.

Step 5: Code Management

My Prompt:

Please commit and push the code for me!

What Amazon Q CLI Did:
Q created a proper Git workflow:

git checkout -b feat/add-stg-environment
git add config/stg/ scripts/stg_init_env_vars.sh terraform_init_stg_au.sh firstrun_stg.sh
git commit -m "Add staging environment configuration for tf-basestack"
git push -u origin feat/add-stg-environment

💡 The Magic: Q understood Git best practices, created a feature branch, and wrote a descriptive commit message. No need to think about proper Git workflow or commit message conventions.

Step 6: Infrastructure Initialization

My Prompt:

run file firstrun_stg.sh

What Amazon Q CLI Did:
Q executed the first-run script, creating:

S3 bucket for Terraform state storage with versioning enabled
DynamoDB table for state locking
Proper error handling and verification

💡 The Magic: Q handled the execution and provided clear feedback about what was being created and why.

Step 7: Terraform Initialization

My Prompt:

run file terraform_init_stg_au.sh

What Amazon Q CLI Did:
Q executed the Terraform initialization:

Configured the S3 backend
Created the staging workspace
Downloaded required providers
Set up the working directory

💡 The Magic: Q managed the complex Terraform backend configuration automatically, something that often requires multiple attempts to get right.

Step 8: Handling Real-World Issues

My Prompt:

Please commit and push, also run plan again for me on stg

What Happened:
The Terraform plan failed because the Route53 hosted zone didn't exist yet.

What Amazon Q CLI Did:
Q identified the issue and explained that we needed to create the Route53 zone first.

💡 The Magic: Instead of leaving me to debug cryptic Terraform errors, Q immediately identified the root cause and suggested the solution.

Step 9: Problem Resolution

My Prompt:

Create hosted zone "au.stg.abchq.com" on route53 for me!

What Amazon Q CLI Did:
Q provided the exact AWS CLI command:

aws route53 create-hosted-zone \
  --name "au.stg.abchq.com" \
  --caller-reference "stg-au-zone-$(date +%Y-%m-%d-%H-%M)" \
  --profile abc-stg

💡 The Magic: Q understood the DNS requirements, provided proper caller-reference generation, and used the correct profile. This saved me from looking up Route53 CLI documentation.

Step 10: Final Success

My Prompt:

update README for me? Remember to use English prompts!

What Amazon Q CLI Did:
After successful Terraform plan execution (43 resources to be created), Q updated our documentation with:

Complete step-by-step instructions
All the prompts used during the process
Expected outputs and results
Troubleshooting information

Final Result:

Plan: 43 to add, 0 to change, 0 to destroy.

A complete staging environment ready for deployment!

The Transformation: Before vs After

Traditional Approach (3-4 hours):

Research (30 mins): Reading Terraform docs, AWS CLI references
Configuration (90 mins): Manually creating and adapting config files
Scripting (45 mins): Writing initialization and deployment scripts
Debugging (60 mins): Fixing configuration errors, syntax issues
Testing (30 mins): Validating the setup
Documentation (45 mins): Writing setup instructions

With Amazon Q CLI (45 minutes):

Natural conversation (30 mins): Describing what I needed
Validation (10 mins): Reviewing Q's suggestions
Execution (5 mins): Running the generated scripts

Key Insights

1. Context Understanding

Amazon Q CLI understood our project structure, naming conventions, and requirements without explicit explanation. It analyzed existing files and maintained consistency across the new environment.

2. Best Practices Built-In

Q automatically applied infrastructure best practices:

Proper Git workflow with feature branches
Terraform state management with locking
Security configurations
Resource naming conventions

3. Error Prevention

Q caught potential issues before they became problems:

Syntax corrections in commands
Missing dependencies (like Route53 zones)
Configuration inconsistencies

4. Documentation Generation

Q automatically generated comprehensive documentation, including all the prompts used - creating a reproducible process for future environments.

Conclusion

Amazon Q CLI transformed what used to be a complex, time-consuming task into a natural conversation. The 80% time reduction isn't just about speed - it's about:

Reduced cognitive load: No need to remember syntax or search documentation
Fewer errors: AI catches mistakes before they cause problems
Better practices: Built-in best practices and conventions
Instant documentation: Automatic generation of setup guides

This experience shows how AI-powered development tools are changing the game. We're moving from "knowing how to code" to "knowing what to build" - and that's a powerful shift.

The future of infrastructure development isn't about memorizing Terraform syntax or AWS CLI commands. It's about clearly communicating your intent and letting AI handle the implementation details.

Try it yourself: Next time you need to set up infrastructure, try describing what you want in natural language first. You might be surprised by how much time you save.

What's your experience with AI-powered development tools? Have you tried Amazon Q CLI or similar tools? Share your thoughts in the comments below!

AWS #Terraform #AmazonQ #DevOps #Infrastructure #AI #CloudComputing #IaC

Amazon Q CLI - Dễ sử dụng như thế mà tới giờ mình mới dùng!

Bach Huynh V. VN.Danang — Tue, 27 May 2025 08:56:53 +0000

🚀 Amazon Q CLI - Trợ lý AI Siêu Đẳng Trong Terminal Của Bạn!

Nhờ chương trình: Build Games with Amazon Q CLI and score a T shirt 🏆👕 mà mình mới thực sự tiếp xúc, thực hành với Amazon Q CLI. Và nó tuyệt vời hơn cả sự mong đợi của mình.

🤯 Những điều Amazon Q CLI làm được sẽ khiến bạn ngỡ ngàng

Bất ngờ #1: Nó hiểu hệ thống của bạn!

Amazon Q không chỉ là một AI thông minh, nó còn hiểu rõ môi trường làm việc của bạn. Hệ điều hành? Thư mục hiện tại? Cấu trúc dự án? Q nắm rõ tất cả! Không cần phải giải thích dài dòng về context nữa.

Bất ngờ #2: Nó viết code như một senior dev!

# Bạn: "Viết cho tôi một hàm tính giai thừa"
# Amazon Q: "Đây là hàm tính giai thừa với cả đệ quy và vòng lặp:"

def factorial_recursive(n):
    if n <= 1:
        return 1
    return n * factorial_recursive(n-1)

def factorial_iterative(n):
    result = 1
    for i in range(1, n+1):
        result *= i
    return result

Chỉ vài dòng promt, mà mình đã build ra được cái game rắn săn mồi với tính năng cơ bản nhất:

Mọi người có thể tham khảo tại: https://github.com/mvn-bachhuynh-dn/snake-amazonq

Vậy là có thể nhận áo rồi của chương trình trên rồi :-)

Bất ngờ #3: Nó thực thi lệnh bash giúp bạn!

Quên đi những lần Google "làm sao để tìm file trong Linux" - Amazon Q sẽ làm điều đó cho bạn!

Từ giờ chẳng cần bạn phải nhớ bất kì câu lệnh nào cả...chỉ cần prompt thôi, ngay cả ngôn ngữ tiếng Việt thì Amazon Q CLI cũng hiểu rất tốt.

Bất ngờ #4: Nó tương tác với AWS như một chuyên gia!

Bạn không nhớ cú pháp của AWS CLI? Không sao! Amazon Q sẽ giúp bạn tạo, quản lý và truy vấn tài nguyên AWS một cách dễ dàng.

Đúng như vậy, với đặc điểm đặc biệt là Amazon Q CLI của AWS phát triển, thì mình tin chắc nó nắm vững AWS CLI và kiến trúc AWS rõ hơn tất cả các AI khác hiện nay.

Bạn có thể làm mọi điều bằng Amazon Q CLI:

Thông qua promt - Thông qua promt - Thông qua promt

Đăng nhập aws sso với 1 profile nhất định: Q tự tìm và đăng nhập cho bạn luôn, nếu failed, Q tự retry lại với những option khác nhau.

Liệt kê chi phí. Nhờ Q tìm hiểu cách giảm chi phí

Ví dụ một response của Q khi mình muốn giảm chi phí Cloudwatch Logs

2. Custom Metrics:
   • Mỗi custom metric có chi phí $0.30/tháng
   • Với nhiều services, số lượng metrics có thể lên đến hàng nghìn

3. Tần suất thu thập metrics cao:
   • Hiện tại đang cấu hình 60 giây/lần (standard resolution)
   • Mỗi datapoint có chi phí riêng

4. Enhanced Monitoring cho RDS:
   • Đang bật Enhanced Monitoring với tần suất 60 giây cho cả hai instance RDS
   • Tạo ra nhiều metrics chi tiết với chi phí cao

5. Dashboards và Alarms:
   • Mỗi dashboard có chi phí $3/tháng
   • Mỗi alarm metric có chi phí $0.10/tháng

## Giải pháp tối ưu hóa chi phí CloudWatch:

### 1. Tối ưu hóa Log Groups:

• **Giảm thời gian lưu trữ logs**:

bash
  aws logs put-retention-policy --log-group-name "/ecs/us-prod-receptionhq-taskdef-service-*" --retention-in-days 14


  • Giảm từ mặc định (vĩnh viễn) xuống 14-30 ngày có thể tiết kiệm 50-70% chi phí lưu trữ

• **Lọc logs không cần thiết**:

bash
  aws logs put-subscription-filter --log-group-name "/ecs/us-prod-receptionhq-taskdef-service-*" --filter-name "exclude-debug" --filter-pattern "?DEBUG ?TRACE" --destination-arn "arn:aws:logs:region:account:destination"


  • Loại bỏ logs debug và trace có thể giảm 30-40% khối lượng logs

• **Nén logs**:
  • Bật tính năng nén logs để giảm kích thước lưu trữ
  • Tiết kiệm 40-60% chi phí lưu trữ

### 2. Tối ưu hóa Metrics:

• **Giảm tần suất thu thập metrics**:

bash
  aws cloudwatch put-metric-alarm --alarm-name "CPU-Utilization" --metric-name "CPUUtilization" --namespace "AWS/EC2" --period 300 --evaluation-periods 1 --threshold 80 --comparison-operator "GreaterThanThreshold" --statistic "Average"


  • Thay đổi từ 60 giây lên 300 giây (5 phút) có thể giảm 80% chi phí metrics

• **Loại bỏ metrics không cần thiết**:
  • Xác định và loại bỏ các custom metrics ít sử dụng
  • Tập trung vào metrics quan trọng cho monitoring và alerting

• **Sử dụng Metric Math thay vì tạo metrics mới**:
  • Sử dụng Metric Math để tính toán metrics phái sinh thay vì lưu trữ chúng

### 3. Tối ưu hóa RDS Enhanced Monitoring:

• **Giảm tần suất Enhanced Monitoring**:

bash
  aws rds modify-db-instance --db-instance-identifier us-prod-receptionhq-mariadb --monitoring-interval 300
  aws rds modify-db-instance --db-instance-identifier us-prod-receptionhq-mssqldb --monitoring-interval 300


  • Thay đổi từ 60 giây lên 300 giây có thể giảm 80% chi phí

• **Chỉ bật Enhanced Monitoring cho instance quan trọng**:
  • Có thể tắt Enhanced Monitoring cho môi trường không quan trọng

### 4. Tối ưu hóa Dashboards và Alarms:

• **Hợp nhất dashboards**:
  • Kết hợp nhiều dashboards thành một dashboard tổng hợp
  • Giảm số lượng dashboards không cần thiết

• **Xem xét lại các alarms**:
  • Loại bỏ các alarms trùng lặp hoặc không cần thiết
  • Sử dụng composite alarms để giảm số lượng alarms

### 5. Sử dụng CloudWatch Logs Insights hiệu quả:

• **Tối ưu hóa queries**:
  • Sử dụng queries hiệu quả để giảm khối lượng dữ liệu quét
  • Giới hạn thời gian quét logs

• **Lên lịch cho các báo cáo**:
  • Thay vì truy vấn liên tục, lên lịch cho các báo cáo định kỳ

### 6. Sử dụng CloudWatch Container Insights có chọn lọc:

• **Chỉ bật cho các services quan trọng**:
  • Container Insights tạo ra nhiều metrics chi tiết với chi phí cao
  • Chỉ bật cho các services quan trọng cần giám sát chi tiết

### 7. Sử dụng CloudWatch Contributor Insights có chọn lọc:

• **Giới hạn việc sử dụng**:
  • Chỉ sử dụng cho việc phân tích ngắn hạn, không bật liên tục

### Ước tính tiết kiệm:

| Giải pháp | Tiết kiệm ước tính |
|-----------|-------------------|
| Giảm thời gian lưu trữ logs | $100-150/tháng |
| Lọc logs không cần thiết | $50-80/tháng |
| Giảm tần suất thu thập metrics | $80-120/tháng |
| Tối ưu RDS Enhanced Monitoring | $30-50/tháng |
| Hợp nhất dashboards và alarms | $10-20/tháng |
| Tổng tiết kiệm tiềm năng | $270-420/tháng |

### Kế hoạch triển khai:

1. Ngay lập tức (1-2 ngày):
   • Giảm thời gian lưu trữ logs xuống 14-30 ngày
   • Giảm tần suất Enhanced Monitoring cho RDS

2. Ngắn hạn (1 tuần):
   • Lọc logs debug và trace không cần thiết
   • Giảm tần suất thu thập metrics từ 60s lên 300s

3. Trung hạn (2-4 tuần):
   • Xem xét và loại bỏ các custom metrics không cần thiết
   • Hợp nhất dashboards và alarms

4. Dài hạn (1-2 tháng):
   • Triển khai chiến lược logs và metrics toàn diện
   • Thiết lập quy trình đánh giá chi phí CloudWatch định kỳ

Bạn có muốn tôi đi sâu vào bất kỳ giải pháp cụ thể nào trong số này không?

Thực hiện start/stop instance, db

Thực hiện chạy ECS task...
v.v...

Bất ngờ #5: Chế độ ngắn gọn

q --brief "Giải thích về Docker"

Khi bạn cần câu trả lời ngắn gọn, súc tích, không lan man!

Bất ngờ #6: Lưu cuộc trò chuyện

q --save-chat my_awesome_chat

Để sau này nhìn lại và tự hỏi: "Wow, AI đã giúp mình giải quyết vấn đề này á?"

Bất ngờ #7: Chế độ code

q --code "Viết một API REST với FastAPI"

Tập trung vào code, bỏ qua những giải thích dài dòng!

🎮 Hướng dẫn sử dụng cơ bản

Cài đặt siêu đơn giản

Theo document này: https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html

Đặc biệt, nếu sử dụng trên nền tảng Linux thông qua SSH (Không có GUI)
sử dụng document này:
https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing-ssh-setup-autocomplete.html

Lưu ý:
Trong hướng dẫn có ghi rõ với cách cài đặt Standard version (glibc 2.34+) thì yêu cầu glibc >= 2.34.
Mình sử dụng Ubuntu khi kiểm tra glibc version hiện tại là 2.35.
Tới khi cài đặt bản này thì báo lỗi:

./q/install.sh
/home/steve/.local/bin/q: /lib/x86_64-linux-gnu/libc.so.6: version GLIBC_2.32' not found (required by /home/steve/.local/bin/q)
/home/steve/.local/bin/q: /lib/x86_64-linux-gnu/libc.so.6: version GLIBC_2.34' not found (required by /home/steve/.local/bin/q)
/home/steve/.local/bin/q: /lib/x86_64-linux-gnu/libc.so.6: version `GLIBC_2.33' not found (required by /home/steve/.local/bin/q)

Nếu gặp lỗi như vậy thì bạn hãy cài đặt bản: Musl version (for glibc < 2.34)

Bắt đầu cuộc trò chuyện thần kỳ

# Khởi động Amazon Q
q

# Hoặc với một câu hỏi cụ thể
q "Làm thế nào để tạo một Lambda function với Python?"

Các option hữu ích

/editor Giúp bạn nhập promt nhiều dòng hoặc paste đoạn code nào đó bạn muốn Q xử lý.
/quit thoát Q.
/help Xem các option của Q.
/save Lưu lại toàn bộ conversation với Q.
/load Load lại conversation được lưu. ....

Setting cực kỳ quan trọng:

Để AmazonQ CLI không học từ dữ liệu của bạn. Hãy setting như sau (ở Terminal chính), gõ lệnh:

q settings telemetry.enabled false
q settings codeWhisperer.shareCodeWhispererContentWithAWS false

Để AmazonQ CLI luôn hỏi bạn nếu muốn xóa file:

/context hooks add prevent-file-deletion --global --trigger conversation_start --command "echo \"Confirm before deleting any files\""

🎭 Những tình huống Amazon Q CLI tỏa sáng

Khi bạn quên cú pháp: "làm sao để grep chỉ tên file thôi?"
Khi deadline cận kề: "giúp tôi debug đoạn code này gấp!"
Khi bạn lười đọc docs: "S3 bucket policy cần những gì?"
Khi 3 giờ sáng và không ai online: "tại sao code của tôi lại crash?"

🚫 Những điều Amazon Q không làm được (ít thôi!)

Không pha được cà phê (nhưng có thể giúp bạn viết script điều khiển máy pha cà phê thông minh!)
Không thể thay thế hoàn toàn Stack Overflow (nhưng gần như thế!)
Không thể đọc được suy nghĩ của sếp (nhưng có thể giúp bạn viết email chuyên nghiệp cho sếp!)

🌟 Kết luận: Cuộc sống developer/devops chưa bao giờ dễ dàng đến thế! Cuộc sống của một AWS engineer chưa bao giờ dễ dàng đến thế!

Hãy thử ngay hôm nay và cảm nhận sự khác biệt. Bạn sẽ tự hỏi làm thế nào mà trước đây bạn có thể sống mà không có nó! 😉

Sử dụng Google Workspace làm IdP để đăng nhập AWS

Bach Huynh V. VN.Danang — Mon, 14 Apr 2025 10:01:59 +0000

Các tiêu đề liên quan:
Sử dụng Google Workspace làm IdP để đăng nhập AWS
Đăng nhập AWS bằng Google Workspace (SSO với SAML)
Tích hợp Google Workspace làm Identity Provider cho AWS
Google Workspace làm IdP: Giải pháp đăng nhập AWS đơn giản
Cấu hình SSO AWS với Google Workspace

Với Google Workspace,

Chúng ta có thể tạo SSO cho AWS theo 2 cách:
Pre-integrated SAML

Định nghĩa: Là những ứng dụng đã được Google cấu hình sẵn.
Ưu điểm:
- Cài đặt nhanh chóng, đơn giản.
- Hỗ trợ Automatic Provisioning (SCIM).
Nhược điểm:
- Mỗi app chỉ tạo được một lần duy nhất.

Custom SAML Application

Định nghĩa: Dùng cho các ứng dụng không có sẵn trong danh mục của Google.
Ưu điểm:
- Tạo được nhiều Custom Application, phù hợp cho doanh nghiệp lớn, có nhiều phòng ban, sử dụng nhiều AWS account, AWS Organizations...
Nhược điểm:
- Không hỗ trợ Automatic Provisioning

Cả 2 cách đều vào URL này https://admin.google.com/ac/apps/unified?hl=en
Hoặc App -> Web and mobile apps -> Add app:
Để chọn Pre-integrated SAML Apps, chọn: Search for apps.
Để chọn Custom, chọn: Add custom SAML app

Khác biệt lớn của 2 cái trên chính là Pre-integrated SAML Apps thì có Autoprovisioning còn Custom SAML Apps thì không.

✨ So sánh chi tiết

Feature	Pre-integrated SAML Apps	Custom SAML Apps
Definition	Pre-configured apps available in Google Workspace's catalog for easy integration.	Manually configured apps for services not listed in the catalog.
Setup Complexity	Simplified setup with pre-defined parameters (e.g., ACS URL, Entity ID).	Requires manual entry of service provider details (e.g., ACS URL, Entity ID, certificate).
Supported Applications	Over 200 popular cloud apps (e.g., Salesforce, Slack, Dropbox).	Any app that supports SAML 2.0 but is not pre-listed.
User Provisioning	Supports automated user provisioning via SCIM for certain apps.	Requires manual user provisioning or separate SCIM configuration.
Attribute Mapping	Pre-defined attribute mappings for supported apps.	Customizable attribute mappings based on the app's requirements.
Use Case	Ideal for widely-used enterprise applications with standard configurations.	Suitable for custom-built or niche applications requiring tailored SSO settings.
Maintenance	Minimal; updates are managed by Google Workspace.	Requires ongoing maintenance to ensure compatibility with the app.
Number of App Instances Allowed	Only Once per Application: Each app from the catalog can only be created once.	Unlimited: You can create multiple custom apps for different groups or use cases.

Về phía AWS,

Hiện tại chúng ta sử dụng SSO với IdP là Google Workspace có 2 cách: Identity Providers trong IAM và IAM Identity Center

Cùng so sánh:

Criteria	IAM Identity Providers (SAML in IAM)	IAM Identity Center + External IdP (SSO)
Configured in	IAM > Identity Providers + Roles	IAM Identity Center > Settings > External Identity Provider
SSO Protocol	SAML 2.0	SAML 2.0 (OIDC support is coming)
User Experience	❌ Manual login via `/saml` URL, no user portal	✅ Has AWS SSO Portal (e.g., `https://d-xxxx.awsapps.com/start`)
User Provisioning	❌ Not supported	✅ Supports SCIM or Just-in-time (JIT) provisioning
Access Control (Roles)	Roles manually mapped via SAML attributes	✅ Assign permission sets based on users/groups from IdP
Admin UX / UI	Basic and limited	✅ Intuitive, full-featured management interface
Multi-account Support (Organizations)	❌ No built-in support	✅ Native support for multi-account via AWS Organizations
Third-party IdP Integration	Supported but manual	✅ Simple metadata-based setup
CLI / SDK / AWS Console Access	✅ Supported but requires scripts	✅ Seamless via `aws configure sso`
Scalability	Limited for large orgs	✅ Highly scalable, enterprise-ready
Cost	Free	Free
AWS Recommendation	❌ Legacy, no new feature development	✅ Officially recommended by AWS

🔍 Summary Recommendation

Use Case	Recommended Method
Legacy systems, few users	IAM Identity Providers
Enterprise environments, multi-account	✅ IAM Identity Center + External IdP
Need user portal and better UX	✅ IAM Identity Center
SSO for CLI / SDK / GUI	✅ IAM Identity Center
Google Workspace / Azure AD integration	✅ IAM Identity Center

Bắt đầu phần hướng dẫn cho cả 2 cách trên AWS

A. IAM Identity Center + External IdP (SSO)

Ở Google Workspace:
Pre-integrated SAML Apps
App -> Web and mobile apps -> Add app -> Search for apps

Type: Amazon

Download metadata and click Continue

Tại bước này thì chờ sau khi import trên AWS:

SAML attribute mapping

Tại AWS Console:
Chọn đúng region cần tạo,
Vào IAM Identity Center và nhấn Enable

Reconfirm: Enable

Settings -> edit Instance name

Select Identity Source, click Action and choose Change identity source

Choose External identity provider

Upload IdP SAML metadata

Copy các mục sau để copy vào Google Workspace:

AWS	Google Workspace
AWS access portal sign-in URL	Để trống
IAM Identity Center Assertion Consumer Service (ACS) URL	ACS URL
IAM Identity Center issuer URL	Entity ID

Như vậy ở trang Google Workspace:

Nếu gặp lỗi đăng nhập không được khi click biểu tượng SSO Application từ Google, thì hãy để trống phần Start URL ở Google

Chú ý phần Name ID chọn Name ID format là EMAIL, sau đó chọn Continue

Phần Attribute, chọn như hình, sau đó nhấn FINISH:

Chú ý Attribute Amazon thì tạo theo hướng dẫn: https://support.google.com/a/answer/6194963?sjid=10980572457906110988-NC#zippy=%2Cbefore-you-begin

Sign in with a super administrator account to the Google Admin console.
If you aren’t using a super administrator account, you can’t complete these steps.

Go to Menu and then Directory > Users.
At the top of Users list, click More options and thenManage custom attributes.
Requires the Schema Management privilege.
At the top right, click Add Custom Attribute.
Configure the custom attribute as follows:
Category: Amazon
Description: Amazon Custom Attributes
For Custom fields, enter the following:

Name: Role
Info type: Text
Visibility: Visible to user and admin
No. of values: Multi-value
Click Add.
The new category appears in the Manage user attributes page.

Back to AWS console:
Nhấn Next và Gõ ACCEPT và click Change identity source để hoàn thành

Tạo permission set

Tạo group

Assign group cho AWS accounts
Lưu ý:

Thường nên sử dụng một tài khoản AWS khác chỉ để sử dụng IAM Identity Center.
Kích hoạt AWS Organization để sử dụng hiệu quả hơn khi có thể dùng 1 IAM Identity Center để đăng nhập nhiều AWS accounts cùng Organization.

Chọn Group

Chọn Permission set cho Group trên

Sau đó nhấn Next -> Submit

Tạo User:
Tạo một user với email tồn tại thực trên Google Workspace

Gán Group cho user:

On Google Console:
Click User Access, and ON for everyone or bạn có thể chọn một Group nhỏ, hoặc chỉ một OU để bật SAML App cho nó.

Giờ thử test đăng nhập,
Có 2 cách

Đăng nhập từ AWS access portal sign-in URL : https://d-xxxxx.awsapps.com/start (Sẽ bắt đăng nhập tài khoản Google workspace nếu sử dụng google chrome profile không đúng)
Đăng nhập từ tài khoản Google Workspace: Vào URL https://workspace.google.com/dashboard

Hoặc từ bất kì Google service nào, ví dụ như mail, google search:

Nếu như hình dưới là đã đăng nhập thành công bằng SSO

Nếu Gặp lỗi:

Thì cấu hình lại:
Để trống Start URL

Chú ý 1:

Nếu bật tính năng Automatic provisioning

Thì sẽ ko tạo user, group bằng tay được. Lúc này, user tự động sync từ Google Workspace qua.
Automatic provisioning không tự động sync group qua:

SCIM automatic synchronization from Google Workspace is currently limited to user provisioning. Automatic group provisioning is not supported at this time. Groups can be manually created with AWS CLI Identity Store create-group command or AWS Identity and Access Management (IAM) API CreateGroup. Alternatively, you can use ssosync to synchronize Google Workspace users and groups into IAM Identity Center.
Theo hướng dẫn này https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-gwp.html

Chúng ta cần tạo group bằng CLI, và assign user vào group cũng bằng CLI (Hoặc có thể tích hợp lambda function cho việc sync-up, đọc tài liệu thêm)

Tóm tắt cách này:

Trên Google console:
Tạo custom attribute cho user.
Tạo saml app.
Lấy metadata import vào AWS console khi tạo Identity provider.
Cấu hình đúng các URL cần thiết.
Cấu hình đúng attribute mapping.
Enable saml app cho đối tượng group, ou, org cần thiết.
(Optional) Cấu hình Autoprovisioning để tự động sync-up user.
Trên AWS console:
Enable IAM Identity Center trên region cần thiết.
Tạo instance name
Thay đổi identity source thành external Identity Provider.
Import file metadata được tạo từ Google console
Tạo user/group manual (hoặc bật tính năng SCIM cho Autoprovisioning)
Tạo Permission sets.
Gán user/roup và permission sets cần thiết cho AWS account ID

B. IAM Identity Providers (SAML in IAM)

Trên Google:
App -> Web and mobile apps -> Add app -> Add custom SAML app

Nhấn Next. Chờ lấy thông từ AWS console

Trên AWS console:
IAM-> Identity providers -> Add provider:
Upload file xml vừa download ở Google dashboard

Select IdP vừa tạo,
Lấy các thông tin sau để nhập ngược lại trên Google console

Trên Google console:
ACS URL: https://signin.aws.amazon.com/saml/acs/xxxxxx
Entity ID: https://signin.aws.amazon.com/saml/acs/xxxxxx
Name ID format: EMAIL
Name ID: Basic Information > Primary email

Sau đó chọn Continue

Chú ý: Thông tin trên hình chưa thay đổi theo đúng yêu cầu

Nhập như hình minh họa:

Google Directory attributes	App attributes
AWS > Role*	https://aws.amazon.com/SAML/Attributes/Role
Basic Information > Primary email	https://aws.amazon.com/SAML/Attributes/RoleSessionName

Đây là custom attribute. Ở bài hướng dẫn này là Role, có một số bài hướng dẫn sẽ đặt tên là "AssumeRoleWithSaml"

Trên AWS console:
Tạo Role cho IdP:
IAM -> Roles -> Create role

To create an IAM role, go to the AWS IAM console. Select Roles > Create role.
Choose the SAML 2.0 federation role type.
For SAML Provider, select the provider which you created in Step
Choose Allow programmatic and AWS Management Console access to create a role that can be assumed programmatically and from the AWS Management Console.
Review your SAML 2.0 trust information and then choose Next: Permissions.

Select Permission, Next, Naming it "GoogleWorkspaceRole_old" and click Create Role

Giờ là lúc gán role cho user.
User > User Information > Category AWS
ở Role, nhập:

arn:aws:iam::891377004109:role/GoogleWorkspaceRole_old,arn:aws:iam::891377004109:saml-provider/GoogleWorkspace_Old

Chú ý: gồm arn của role và arn saml-provider, ngăn cách bởi dấu phẩy

Đảm bảo
SAML app đã được Enbale cho 1 group nhỏ, hoặc ou, hoặc toàn bộ unit, để đảm bảo user đó sử dụng được SAML app

Kiểm tra user đã login được chưa:

Cách 1: vào https://workspace.google.com/dashboard chọn SAML app mới được tạo.
Cách 2: Vào bất kỳ trang của google nào, ở góc trên bên phải, click vào biểu tượng 9 chấm, kéo xuống dưới cùng và tìm SAML app đó

Tóm tắt cách này:

Trên Google console:
Tạo custom attribute cho user.
Tạo saml app.
Lấy metadata import vào AWS console khi tạo Identity provider.
Cấu hình đúng các URL cần thiết.
Cấu hình đúng attribute mapping.
Enable saml app cho đối tượng group, ou, org cần thiết.
Nhập "role_arn,saml-provider_arn" cho user đã được enable saml app.
Trên AWS console:
Tạo Identity Provider.
Import file metadata được tạo từ Google.
Tạo Role cho Identity provider vừa mới tạo. Gán quyền cần thiết. Có thể tạo nhiều role với các permission khác nhau dành cho những user khác nhau.

Tổng kết

Chúng ta đã tìm hiểu 2 cách tích hợp Google Workspace làm IdP trên AWS:

Cách 1: Identity Providers trong IAM

Lấy IAM Role làm trọng tâm để phân quyền. Nhiều group với các quyền khác nhau thì phải tạo nhiều IAM Role.
Đơn giản, dễ triển khai cho hệ thống cũ hoặc quy mô nhỏ
Tuy nhiên, phải gán Role thủ công cho từng user
Trước đây, mình dùng JumpCloud hỗ trợ gán Role theo Group rất tiện, nhưng chi phí cao
Chuyển sang Google thì... phải cấu hình từng user một cách thủ công → bất tiện

Cách 2: IAM Identity Center + Google Workspace

Việc gán quyền (Permission Set) cho user/group giờ làm trực tiếp trong IAM Identity Center
Tạo SAML App trong Google (dùng pre-integrated SAML app)
Bật Autoprovisioning → tự động sync user từ Google Workspace sang AWS Identity Center

Ưu điểm:

Tự động sync toàn bộ user từ Google Workspace → không cần tạo user thủ công
Có thể gán quyền theo Group → phù hợp tổ chức lớn
Trải nghiệm người dùng tốt hơn (SSO Portal, CLI, GUI, SDK...)

Nhược điểm:

Group chưa được tự động sync → phải:
- Tạo group thủ công bằng CLI
- Hoặc dùng Lambda function để sync-up
Chỉ tạo được MỘT pre-integrated SAML app trên Google Workspace
- → Không phù hợp nếu bạn cần tạo nhiều app cho nhiều AWS Org khác nhau

Accessing Remote Databases Without VPN Using SSH Tunnels

Bach Huynh V. VN.Danang — Thu, 21 Nov 2024 08:54:09 +0000

Accessing Remote Databases Without VPN Using SSH Tunnels

In this guide, we'll walk through setting up SSH tunnels to access remote databases (MariaDB and MSSQL) located in a separate network without the need for a VPN. We'll achieve this by configuring bastion servers in both networks and establishing secure SSH tunnels between them.

Introduction
Network Architecture
Configuring SSH Servers
Setting Up SSH Key Authentication
Configuring SSH Client Settings
Creating SSH Tunnel Services with systemd
Starting and Enabling Services
Conclusion

Introduction

Accessing servers across different networks often requires a VPN setup, which can be cumbersome and resource-intensive. By using SSH tunnels and bastion servers, we can securely access remote databases without the overhead of a VPN.

Network Architecture

Network X: Contains Server A, Server B, and Bastion X.
Network Y: Contains MariaDB Server, MSSQL Server, and Bastion Y.

Goal: Allow servers in Network X to access the databases in Network Y via SSH tunnels between the bastion servers.

Configuring SSH Servers

Update SSH Server Settings

On both bastion servers, update the SSH daemon configuration to ensure the connection remains alive.

sudo vi /etc/ssh/sshd_config

Add or update the following lines:

ClientAliveInterval 60
ClientAliveCountMax 3
TCPKeepAlive yes

Restart the SSH service:

sudo systemctl restart sshd

Setting Up SSH Key Authentication

To enable password-less SSH authentication, we'll generate SSH key pairs and distribute them accordingly.

Generate SSH Key Pair on Bastion X

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

Press Enter to accept the default file location and set a passphrase if desired.

Copy Public Key to Bastion Y

ssh-copy-id bastion_user@<BastionY_IP>

Alternatively, manually copy the public key:

ssh bastion_user@<BastionY_IP> 'mkdir -p ~/.ssh && chmod 700 ~/.ssh'
cat ~/.ssh/id_rsa.pub | ssh bastion_user@<BastionY_IP> 'cat >> ~/.ssh/authorized_keys'
ssh bastion_user@<BastionY_IP> 'chmod 600 ~/.ssh/authorized_keys'

Configuring SSH Client Settings

To simplify SSH commands and manage connection settings, we'll create an SSH configuration file.

Create or Update SSH Config File

Open or create the SSH config file in your home directory:

vim ~/.ssh/config

Add the following configuration:

Host bastionY
    HostName <BastionY_IP>
    User bastion_user
    IdentityFile ~/.ssh/id_rsa
    Port 22
    ServerAliveInterval 60
    ServerAliveCountMax 3

Explanation:

Host: An alias (bastionY) for the SSH connection to Bastion Y.
HostName: The IP address of Bastion Y (<BastionY_IP>).
User: The username on Bastion Y (bastion_user).
IdentityFile: Path to your SSH private key.
Port: SSH port (default is 22).
ServerAliveInterval and ServerAliveCountMax: Settings to keep the SSH connection alive.

This configuration allows you to SSH into Bastion Y using the alias bastionY, simplifying your SSH commands.

Creating SSH Tunnel Services with systemd on Bastion X

We'll create systemd service files to manage our SSH tunnels for the required ports.

SSH Tunnel for MariaDB (Port 3306)

Create the service file:

sudo vim /etc/systemd/system/ssh_tunnel_3306.service

Add the following content:

[Unit]
Description=SSH Tunnel for Port 3306
After=network.target

[Service]
User=ec2-user
ExecStart=/usr/bin/ssh -L 3306:<mariadb_local_ip>:3306 -g bastionY -N -o TCPKeepAlive=yes -o ServerAliveInterval=60
Restart=always

[Install]
WantedBy=multi-user.target

SSH Tunnel for MSSQL (Port 1433)

Create the service file:

sudo vim /etc/systemd/system/ssh_tunnel_1433.service

Add the following content:

[Unit]
Description=SSH Tunnel for Port 1433
After=network.target

[Service]
User=ec2-user
ExecStart=/usr/bin/ssh -L 1433:<mssql_local_ip>:<mssql port> -g bastionY -N -o TCPKeepAlive=yes -o ServerAliveInterval=60
Restart=always

[Install]
WantedBy=multi-user.target

Note:

User: Replace ec2-user with the appropriate username on your server.
ExecStart: The SSH command to establish the tunnel:
- -L: Specifies port forwarding.
- 3306:<mariadb_local_ip>:3306: Forwards local port 3306 to <mariadb_local_ip>:3306 on the remote network.
- -g: Allows remote hosts to connect to local forwarded ports.
- bastionY: The SSH alias we configured earlier.
- -N: Do not execute a remote command (useful for port forwarding).
- -o TCPKeepAlive=yes -o ServerAliveInterval=60: Keeps the SSH connection alive.

Starting and Enabling Services

Reload the systemd daemon to recognize the new service files:

sudo systemctl daemon-reload

Enable the services to start on boot:

sudo systemctl enable ssh_tunnel_3306.service
sudo systemctl enable ssh_tunnel_1433.service

Start the services:

sudo systemctl start ssh_tunnel_3306.service
sudo systemctl start ssh_tunnel_1433.service

Check the status to ensure they're running:

sudo systemctl status ssh_tunnel_3306.service
sudo systemctl status ssh_tunnel_1433.service

Conclusion

By setting up SSH tunnels and configuring them as systemd services, we've established a secure and persistent connection between Network X and Network Y. Servers in Network X can now access the MariaDB and MSSQL servers in Network Y without the need for a VPN.

Feel free to leave comments or ask questions if you need further assistance with this setup.

ECS Task can not find a secret manager even if exist

Bach Huynh V. VN.Danang — Wed, 02 Oct 2024 10:14:41 +0000

Có khi nào bạn gặp phải trường hợp là chạy một ECS Task nhưng báo lỗi là không tìm thấy Secret trong SecretManager được khai báo trong taskdefinition?
Mặc dù khi kiểm tra là có tồn tại Secret đó.

Một nguyên nhân mà mình gặp phải đó là tên của Secret đó có kết thúc là -xxxxxx (Gạch ngang và 6 ký tự).

Lý giải:

Khi các bạn tạo ra một Secret có dạng ví dụ như sau dev-au/shared-config/mysql-vars. Thì nó có một Secret ARN là arn:aws:secretsmanager:ap-southeast-2:058264301000:secret:dev-au/shared-config/mysql-vars-ZptsLA

-ZptsLA là ký tự được SecretManager tự thêm vào để đảm bảo tính duy nhất.

Vậy nếu bạn đặt tên dev-au/shared-config/mysql-server, thì SecretManager tự động hiểu -server là ký tự mà nó đã thêm vào (vì có gạch ngang và 6 ký tự), và tìm chính xác hoàn toàn tuyệt đối ARN arn:aws:secretsmanager:ap-southeast-2:058264301000:secret:dev-au/shared-config/mysql-vars-server dẫn tới hệ thống báo không có Secret này.

Vì thế:

Hạn chế sử dụng sử dụng -xxxxxx ở cuối tên Secret.
Nếu lỡ đặt rồi, thì cần phải đưa chính xác ARN của Secret tức là bao gồm các ký tự ngẫu nhiên được sinh ra.

Các lệnh hay trên CMD của Windows

Bach Huynh V. VN.Danang — Thu, 19 Sep 2024 09:22:13 +0000

Cài đặt choco (chạy được trên container Windows Server 2022 Core)

@"%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command "iex ((New-Object System.Net.WebClient).DownloadString('https://community.chocolatey.org/install.ps1'))" && SET "PATH=%PATH%;%ALLUSERSPROFILE%\chocolatey\bin"

Install nano (Vim khá tệ nên ko cài vim)

choco install nano

WSL in AWS Windows Server 2022 Core instance

Bach Huynh V. VN.Danang — Fri, 13 Sep 2024 11:40:42 +0000

Hiện nay, nhu cầu chạy Linux trong Windows cũng bắt đầu nở rộ.
Nhân một việc là tìm hiểu khả năng đặt linux-container lên 1 con EC2 Windows Server 2022 Core của dự án hiện tại dùng ECS thì mình có take note như sau:

Có thể cài đặt WSL trên EC2 Windows Server 2022 Core Instance được không?

Câu trả lời là có!

Hiện tại một số hướng dẫn chỉ hướng dẫn trên EC2 Windows Server 2022 Full là bản có GUI. Ko áp dụng cho bản Core được.

Vì thế hãy thực hiện các bước sau để cài đặt WSL nhé!

Trước tiên cần chú ý:

WSL có 2 phiên bản wsl ver 1 và wsl ver 2.
WSL ver 2 chỉ chạy được với EC2 .mental instance type.
WSL ver 1 thì chạy được trên virtualized EC2 instances. Và hỗ trợ
- Windows Server 2019
- Windows Server 2022.

1. Pre Setup steps:

dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart
dism.exe /online /enable-feature /featurename:VirtualMachinePlatform /all /norestart

curl -o wsl_update_x64.cab https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/updt/2022/03/wsl_update_x64_8b248da7042adb19e7c5100712ecb5e509b3ab5f.cab

2. Vào sconfig để restart Windows (Bắt buộc)

Install wsl manual (Cho chắc chắn, có thể ko cần)

expand.exe wsl_update_x64.cab wsl_update_x64.msi
msiexec.exe /package wsl_update_x86.msi /passive /promptrestart

3. Tải Ubuntu 2204:
Đoạn dưới tham khảo tại:
https://lucyllewy.com/wsl2-on-server-2022/

Có chỉnh sửa cho phù hợp thực tế

curl.exe -L -o wsl-distro.zip https://aka.ms/wslubuntu2204
Expand-Archive wsl-distro.zip .\extracted-distro-step1
Rename-Item .\extracted-distro-step1\Ubuntu_2204.1.7.0_x64.appx distro.zip
Expand-Archive .\extracted-distro-step1\distro.zip .\extracted-distro-step2

4. Setting version WSL và import Ubuntu đã tải vào.

wsl --set-default-version 1
wsl --import Ubuntu2204 C:\Users\Administrator\WSL-disks\Ubuntu2204 .\extracted-distro-step2\install.tar.gz

Xem các linux subsystem

Vào wsl:

Như vậy, bạn đã thành công cài đặt WSL trên Windows Server 2022 Core EC2 instance.

Quay trở vấn đề dùng ECS EC2 Windows platform, thì việc cài WSL không giúp ECS đặt linux-container lên Windows EC2 instance được. Vì docker của Windows và docker của WSL hoạt động độc lập.

Forward AWS Config Folder to Container

Bach Huynh V. VN.Danang — Thu, 29 Aug 2024 09:27:39 +0000

Purpose:
The purpose of this guideline is to enable the seamless use of AWS CLI commands within a Docker container by forwarding your existing AWS configuration and credentials from your host machine into the container. This allows the container to authenticate and interact with AWS services without the need to reconfigure credentials inside the container.

Solution:

There are two primary methods to forward the AWS config folder to a Docker container:

Mount the AWS config folder to the container - This is ideal for environments where the Docker context is running on the same OS as the host machine (e.g., both are Linux or both are Windows).
Copy the AWS config folder into the container - This method is useful when the Docker context is running on a different OS than the host machine (e.g., Ubuntu or MacOS host with a Windows container).

1. Mount AWS Config Folder to Container

This method allows you to directly mount the AWS configuration folder from the host machine to the container. This solution works well when the Docker context is running on the same operating system as the host machine.

On Windows:

For a Windows host and Windows container:

docker run -v <Path to .aws folder>:C:/Users/ContainerAdministrator/.aws -it <your-windows-container-image>

On Linux:

For a Linux host and Linux container:

docker run -v ~/.aws:/root/.aws -it <your-linux-container-image>
On MacOS:

For a MacOS host and Linux container:

docker run -v ~/.aws:/root/.aws -it <your-linux-container-image>

2. Copy AWS Config Folder to Container

This method involves copying the AWS configuration files from the host machine into the container. This is particularly useful when the host and the Docker context are running on different operating systems, such as using a MacOS or Ubuntu host with a Windows container.

On Ubuntu/MacOS with Docker context pointing to a Windows instance:

docker cp ~/.aws <your-container-name>:C:/Users/ContainerAdministrator/.aws
Steps:

Start your container:
docker run -d --name <your-container-name> <your-windows-container-image>
Copy the AWS config folder to the container:
docker cp ~/.aws <your-container-name>:C:/Users/ContainerAdministrator/.aws
Verify that the AWS config has been copied correctly by accessing the container:
docker exec -it <your-container-name> cmd dir C:\Users\ContainerAdministrator\.aws

Important Notes:

Ensure that the directory paths are correctly specified according to your environment.

On Windows, you need to use the full path to the .aws directory, while on Linux and MacOS, you can use ~/.aws.

Depending on the container image, the user home directory may differ. On Linux containers, the home directory is typically /root, while on Windows containers, it might be C:/Users/ContainerAdministrator.

When mounting volumes between different operating systems (e.g., mounting a Linux directory into a Windows container), ensure that the paths and permissions are correctly configured to avoid any permission issues or path incompatibilities.

This guideline should cover most scenarios where you need to forward your AWS credentials and configurations into a Docker container, ensuring that your containerized applications can seamlessly interact with AWS services.

ZSH with Starship

Bach Huynh V. VN.Danang — Wed, 28 Aug 2024 02:58:43 +0000

brew install starship

add the end of file ~/.zshrc

# Starship
export STARSHIP_CONFIG=~/.config/starship.toml
export STARSHIP_CACHE=~/.starship/cache
eval "$(starship init zsh)"

comment this line (if you are using power9k)

# source ~/powerlevel9k/powerlevel9k.zsh-theme
# ZSH_THEME=robbyrussell

Install Fonts (Dành cho Ubuntu, nếu macOS thì tải về và click đôi vào file otf hoặc tff để install):

# Tạo thư mục tạm để lưu các tệp tải về
mkdir ~/nerd-fonts && cd ~/nerd-fonts # Tải xuống các tệp zip
wget https://github.com/ryanoasis/nerd-fonts/releases/download/v3.2.1/DroidSansMono.zip
wget https://github.com/ryanoasis/nerd-fonts/releases/download/v3.2.1/NerdFontsSymbolsOnly.zip
# Giải nén DroidSansMono
unzip DroidSansMono.zip -d DroidSansMono 
# Giải nén NerdFontsSymbolsOnly
unzip NerdFontsSymbolsOnly.zip -d NerdFontsSymbolsOnly
sudo mkdir -p /usr/share/fonts/truetype/nerd-fonts
sudo cp DroidSansMono/*.otf /usr/share/fonts/truetype/nerd-fonts/
sudo cp NerdFontsSymbolsOnly/*.ttf /usr/share/fonts/truetype/nerd-fonts/
sudo fc-cache -fv

Get theme
starship preset gruvbox-rainbow -o ~/.config/starship.toml

or
copy this to the starship.toml (AWS added)

"$schema" = 'https://starship.rs/config-schema.json'

format = """
[](color_orange)\
$os\
$username\
[](bg:color_yellow fg:color_orange)\
$directory\
[](fg:color_yellow bg:color_aqua)\
$aws\
$git_branch\
$git_status\
[](fg:color_aqua bg:color_blue)\
$c\
$rust\
$golang\
$nodejs\
$php\
$java\
$kotlin\
$haskell\
$python\
[](fg:color_blue bg:color_bg3)\
$docker_context\
$conda\
[](fg:color_bg3 bg:color_bg1)\
$time\
[ ](fg:color_bg1)\
$line_break$character"""

palette = 'gruvbox_dark'

[palettes.gruvbox_dark]
color_fg0 = '#fbf1c7'
color_bg1 = '#3c3836'
color_bg3 = '#665c54'
color_blue = '#458588'
color_aqua = '#689d6a'
color_green = '#98971a'
color_orange = '#d65d0e'
color_purple = '#b16286'
color_red = '#cc241d'
color_yellow = '#d79921'

[os]
disabled = false
style = "bg:color_orange fg:color_fg0"

[os.symbols]
Windows = "󰍲"
Ubuntu = "󰕈"
SUSE = ""
Raspbian = "󰐿"
Mint = "󰣭"
Macos = "󰀵"
Manjaro = ""
Linux = "󰌽"
Gentoo = "󰣨"
Fedora = "󰣛"
Alpine = ""
Amazon = ""
Android = ""
Arch = "󰣇"
Artix = "󰣇"
CentOS = ""
Debian = "󰣚"
Redhat = "󱄛"
RedHatEnterprise = "󱄛"


[username]
show_always = true
style_user = "bg:color_orange fg:color_fg0"
style_root = "bg:color_orange fg:color_fg0"
format = '[ $user ]($style)'

[directory]
style = "fg:color_fg0 bg:color_yellow"
format = "[ $path ]($style)"
truncation_length = 3
truncation_symbol = "…/"

[directory.substitutions]
"Documents" = "󰈙 "
"Downloads" = " "
"Music" = "󰝚 "
"Pictures" = " "
"Developer" = "󰲋 "

[aws]
format = '[$symbol($profile )(\($region\) )]($style)'
style = 'fg:color_fg0 bg:color_orange'
symbol = '  '
[aws.region_aliases]
ap-southeast-2 = 'au'
us-east-1 = 'va'
[aws.profile_aliases]
CompanyGroupFrobozzOnCallAccess = 'Frobozz'

[git_branch]
symbol = ""
style = "bg:color_aqua"
format = '[[ $symbol $branch ](fg:color_fg0 bg:color_aqua)]($style)'

[git_status]
style = "bg:color_aqua"
format = '[[($all_status$ahead_behind )](fg:color_fg0 bg:color_aqua)]($style)'

[nodejs]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[c]
symbol = " "
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[rust]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[golang]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[php]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[java]
symbol = " "
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[kotlin]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[haskell]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[python]
symbol = ""
style = "bg:color_blue"
format = '[[ $symbol( $version) ](fg:color_fg0 bg:color_blue)]($style)'

[docker_context]
symbol = ""
style = "bg:color_bg3"
format = '[[ $symbol( $context) ](fg:#83a598 bg:color_bg3)]($style)'

[conda]
style = "bg:color_bg3"
format = '[[ $symbol( $environment) ](fg:#83a598 bg:color_bg3)]($style)'

[time]
disabled = false
time_format = "%R"
style = "bg:color_bg1"
format = '[[  $time ](fg:color_fg0 bg:color_bg1)]($style)'

[line_break]
disabled = false

[character]
disabled = false
success_symbol = '[](bold fg:color_green)'
error_symbol = '[](bold fg:color_red)'
vimcmd_symbol = '[](bold fg:color_green)'
vimcmd_replace_one_symbol = '[](bold fg:color_purple)'
vimcmd_replace_symbol = '[](bold fg:color_purple)'
vimcmd_visual_symbol = '[](bold fg:color_yellow)'

Choose correct font on VSC and Terminal

Open Setting VSC: CMD+Shift+P
Type: setting

Search: Font
Point to Editor:

Add thêm: DroidSansMono Nerd Font, Symbols Nerd Font

Point to Terminal:

Add thêm: DroidSansMono Nerd Font, Symbols Nerd Font

Khởi động lại zsh

exec zsh

Chú ý nếu setup trên môi trường mới:
cần cài đặt lại zsh, oh-my-zsh để có thể dùng được các plugin như zsh-autosuggestions

sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

git clone https://github.com/zsh-users/zsh-autosuggestions ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions

git clone https://github.com/zsh-users/zsh-syntax-highlighting.git ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting\

git clone https://github.com/zsh-users/zsh-completions.git ${ZSH_CUSTOM:-${ZSH:-~/.oh-my-zsh}/custom}/plugins/zsh-completions

Với Firebase Studio cần chú ý đặt những biến sau vào ~/.zshrc

HISTSIZE=10000000
SAVEHIST=10000000
setopt HIST_IGNORE_DUPS
setopt APPEND_HISTORY
setopt SHARE_HISTORY
setopt INC_APPEND_HISTORY 
ZSH_DISABLE_COMPFIX="true"
autoload -Uz compinit && compinit # Đặt trên plugins
plugins=(git zsh-autosuggestions zsh-syntax-highlighting zsh-completions)
ZSH_AUTOSUGGEST_HIGHLIGHT_STYLE='fg=8'
export ZSH=~/.oh-my-zsh
source $ZSH/oh-my-zsh.sh

Quick create virtual env for python

Bach Huynh V. VN.Danang — Wed, 21 Aug 2024 10:09:37 +0000

move to the folder

cd python-script

Setup virtualenv

python3 -m venv <env-name>

Create a virtualenv

virtualenv <env-name>

activate the virtualenv

source <env-name>/bin/activate

install boto3

pip install boto3

run script

cd .. python <python file name>

Useful SQL Query command

Bach Huynh V. VN.Danang — Wed, 21 Aug 2024 04:30:42 +0000

Check your Database server connection encrypt or not:

mysql> show status like '%onn%';
+--------------------------+-------+
| Variable_name            | Value |
+--------------------------+-------+
| Aborted_connects         | 0     |
| Connections              | 303   |
| Max_used_connections     | 127   |
| Ssl_client_connects      | 0     |
| Ssl_connect_renegotiates | 0     |
| Ssl_finished_connects    | 0     |
| Threads_connected        | 127   |
+--------------------------+-------+
7 rows in set (0.01 sec)

DEV Community: Bach Huynh V. VN.Danang

Resetting a User’s Password in Prowler via Admin API Access

Vibe Coding with Amazon Q CLI: Creating a New Terraform Environment in Minutes

Introduction

The Challenge

Step 1: AWS Profile Configuration

Step 2: Authentication

Step 3: Environment Verification

Step 4: The Big One - Terraform Configuration

4.1 Configuration Directory

4.2 Terraform Variables File (config/stg/au.tfvars)

4.3 Environment Variables Script (scripts/stg_init_env_vars.sh)

4.4 Terraform Initialization Script (terraform_init_stg_au.sh)

4.5 First Run Script (firstrun_stg.sh)

Step 5: Code Management

Step 6: Infrastructure Initialization

Step 7: Terraform Initialization

Step 8: Handling Real-World Issues

Step 9: Problem Resolution

Step 10: Final Success

The Transformation: Before vs After

Traditional Approach (3-4 hours):

With Amazon Q CLI (45 minutes):

Key Insights

1. Context Understanding

2. Best Practices Built-In

3. Error Prevention

4. Documentation Generation

Conclusion

AWS #Terraform #AmazonQ #DevOps #Infrastructure #AI #CloudComputing #IaC

Amazon Q CLI - Dễ sử dụng như thế mà tới giờ mình mới dùng!

🚀 Amazon Q CLI - Trợ lý AI Siêu Đẳng Trong Terminal Của Bạn!

🤯 Những điều Amazon Q CLI làm được sẽ khiến bạn ngỡ ngàng

Bất ngờ #1: Nó hiểu hệ thống của bạn!

Bất ngờ #2: Nó viết code như một senior dev!

Bất ngờ #3: Nó thực thi lệnh bash giúp bạn!

Bất ngờ #4: Nó tương tác với AWS như một chuyên gia!

Bất ngờ #5: Chế độ ngắn gọn

Bất ngờ #6: Lưu cuộc trò chuyện

Bất ngờ #7: Chế độ code

🎮 Hướng dẫn sử dụng cơ bản

Cài đặt siêu đơn giản

Bắt đầu cuộc trò chuyện thần kỳ

Các option hữu ích

Setting cực kỳ quan trọng:

🎭 Những tình huống Amazon Q CLI tỏa sáng

🚫 Những điều Amazon Q không làm được (ít thôi!)

🌟 Kết luận: Cuộc sống developer/devops chưa bao giờ dễ dàng đến thế! Cuộc sống của một AWS engineer chưa bao giờ dễ dàng đến thế!

Sử dụng Google Workspace làm IdP để đăng nhập AWS

Với Google Workspace,

✨ So sánh chi tiết

Về phía AWS,

🔍 Summary Recommendation

A. IAM Identity Center + External IdP (SSO)

B. IAM Identity Providers (SAML in IAM)

Tổng kết

Cách 1: Identity Providers trong IAM

Cách 2: IAM Identity Center + Google Workspace

Ưu điểm:

Nhược điểm:

Accessing Remote Databases Without VPN Using SSH Tunnels

Accessing Remote Databases Without VPN Using SSH Tunnels

Table of Contents

Introduction

Network Architecture

Configuring SSH Servers

Update SSH Server Settings

Setting Up SSH Key Authentication

Generate SSH Key Pair on Bastion X

Copy Public Key to Bastion Y

Configuring SSH Client Settings

Create or Update SSH Config File

Creating SSH Tunnel Services with systemd on Bastion X

SSH Tunnel for MariaDB (Port 3306)

SSH Tunnel for MSSQL (Port 1433)

Starting and Enabling Services

Conclusion

ECS Task can not find a secret manager even if exist

Các lệnh hay trên CMD của Windows

WSL in AWS Windows Server 2022 Core instance

4.2 Terraform Variables File (`config/stg/au.tfvars`)

4.3 Environment Variables Script (`scripts/stg_init_env_vars.sh`)

4.4 Terraform Initialization Script (`terraform_init_stg_au.sh`)

4.5 First Run Script (`firstrun_stg.sh`)