DEV Community: Ménahem Houri

Comment avoir un nom de domaine sur une API GraphQL (AppSync)

Ménahem Houri — Fri, 27 Feb 2026 11:36:42 +0000

Vous souhaitez garder "privé" votre API GraphQL de AppSync pour y accéder uniquement depuis votre VPC tout en ayant un nom de domaine personnalisé la dessus ? Découvrez comment

En principe on aurait pu se dire qu'il était assez simple d'avoir un nom de domaine personnalisé sur AppSync, la réponse est oui pour la partie Events, la partie GraphQL elle est moins évidente.
Pourquoi ?
Pour la simple raison que le service ne supporte pas cette fonctionnalité et qu'il faut s'ajouter une configuration supplémentaire.
Voyons cela plus en détail.

Pour rendre l'API accessible via un nom de domaine personalisé il faut l'ajouter dans Route53 mais ça sera pas suffisant puisqu'il faut aussi que l'enregistrement pointe sur une ressource AWS.
L'ALB peut faire l'affaire pour garder la redondance et permettre d'atteindre le VPC Endpoint de AppSync créer en amont (nécessaire pour y accéder en privé depuis le VPC) mais il faudra également ajouter un header pour que le service puisse router la requete vers le bon "projet" de AppSync, puisque le service dispose de beaucoup de projets en dehors du notre et doit donc le reconnaitre (header : X-AppSync-Domain)
Si vous avez la possibilité au niveau de votre client de l'ajouter (le header) ça sera le plus simple sinon autrement il faudra ajouter un proxy (par ex. Nginx) qui ajoutera lui le header

Exemple de configuration au niveau de Nginx:

  location /graphql {
    proxy_set_header X-AppSync-Domain ${identifierDeLapi}.appsync-api.eu-west-1.amazonaws.com;
    proxy_pass https://${url};
    proxy_pass_request_headers on;
    proxy_ssl_session_reuse off;
    proxy_cache_bypass $http_upgrade;
    proxy_redirect off;
    ...
  }

  location /graphql/ws {
    proxy_set_header X-AppSync-Domain ${identifierDeLapi}.appsync-realtime-api.eu-west-1.amazonaws.com;
    proxy_pass https://${url};
    proxy_pass_request_headers on;
    proxy_ssl_session_reuse off;
    proxy_cache_bypass $http_upgrade;
    proxy_redirect off;
    ...
  }

Avec un schéma ça donne

How-to deploy GuardDuty from dedicated account on multi-accounts and multi-regions organization

Ménahem Houri — Thu, 02 Jan 2025 14:32:16 +0000

Amazon GuardDuty is an AWS service of threat detection that continously monitor AWS accounts and workload for malicious activity and anomalous behavior to protect AWS accounts, workloads, and data.

In that post we will see how to activate Amazon GuardDuty on multiples account's and multiples regions.

When you have multiples accounts the first account created on AWS is the "Management account". It utilizes in that account AWS Organisations as a management account (or the payer account to pay bills from different accounts), which gives the account the ability to create and financially manage member accounts.

We will use GuardDuty with AWS Organizations to "find" all the accounts in the organizations (if there's multiple accounts).
Also as a best practices we will have a dedicated account for the security part.
When initializing GuardDuty we have the option to delegate the administrator of GuardDuty to another account (in our case Security account)

In the delegated account we will have the option to enable GuardDuty on another accounts, and also to auto-enable in another accounts with different options

And, voila! GuardDuty is now enabled on different accounts (it can take 24h before all the data appear on the console)

But...wait, it's only activated on one region, how to enable on an another region ?
We will have to come-back on the management account and activate the second region with the same delegated administrator account, after that we can (again) activate GuardDuty on the security account on all the project account of region 2.

If you have any comments or observations on how to do better, feel free to comment below.
Thanks to Hugo for the idea

Amazon CodeCatalyst tour d'horizon du service

Ménahem Houri — Mon, 05 Jun 2023 15:55:32 +0000

CodeCatalyst encore un autre service de code sur AWS qui rejoint la suite CodeCommit, CodeBuild, etc... me diriez-vous ? pas tout à fait !
Tour d'horizon d'un service qui s'annonce comme étant la prochaine génération d'outil pour développeurs par AWS

Présentation

Amazon CodeCatalyst à été annoncé (en preview) par Werner Vogels le 1er décembre 2022 lors du re:Invent et est disponible en GA (General Availability) depuis le 20 Avril 2023.
Ce service se présente comme étant une "place unifié de service pour les développeurs".
Concrètement il permet aussi bien d'héberger son code (git), d'interagir et commenter en équipe sur le code, de créer et suivre les tickets que de lancer des pipelines de déploiement automatisés (CI/CD)

Par ou démarrer ?

L'idée de ce post étant de présenter brièvement le service mais surtout de montrer les particularités d'Amazon CodeCatalyst par rapport à d'autres services sur AWS, une des premières particularités est qu'il à le droit à une plateforme dédiée (hors de la console AWS) avec un modèle d'authentification nouveau et différent de ce qu'on à pu voir avec IAM (qui à été lancé en meme temps que CodeCatalyst)

Actuellement le service est disponible que sur une seule et unique région

D'autres régions arriveront surement très prochainement, en attendant...

Le site du service ayant une interface bien à lui le modèle d'authentification également.
En effet, il est basé sur AWS Builder ID qui est un nouveau service d'authentification dédié spécifiquement aux builders sur AWS, actuellement il fonctionne avec CodeCatalyst mais aussi CodeWhisperer (le service de génération de code via Machine Learning) et ne nécessite pas de carte bleu pour avoir un compte sur ce service (le compte administrateur (billing) de CodeCatalyst lui en aura bien besoin comme on le verra par la suite) et permet donc d'inviter des gens au(x) projet(s) sans nécessairement avoir un compte AWS.

Il suffit de s'enregistrer avec une adresse mail valide puis de créer son "espace" dans CodeCatalyst et ensuite de joindre son espace avec son compte AWS via un token ID créé au moment de l'initialisation de l'espace dans CodeCatalyst

Création d'un compte sur AWS Builder ID puis sur CodeCatalyst avec l'attachement a la console AWS (via token ID)

Prise en main

Une des forces de CodeCatalyst se trouve dans les blueprints mis à disposition, les blueprints sont des projets (templates) assez complet qui permettent de découvrir le service mais aussi d'avoir un premier point de démarrage lorsqu'on souhaite explorer des nouveaux patterns / architectures / technos notamment avec du CDK (pas de projet avec du Terraform à ce jour), de nombreux services sont présents

Liste des blueprints disponible à ce jour

Au delà des blueprints il est aussi possible de connecter un repo GitHub existant ou démarrer à partir de zéro en créant son repo directement dans CodeCatalyst

GitHub uniquement à ce jour mais pas surprenant que ça évolue dans le temps

L'utilisation d'un blueprint pour démarrer est assez rapide, les différents blueprints sont mis à jour et versionné directement par AWS et leur contenu est plutôt bien documenté

Utilisation d'un blueprint - idéal pour démarrer rapidement

Une fois dans le projet on à la possibilité d'ajouter des membres avec de la collaboration & échanges, des issues (également en provenance de Jira), des secrets et toute la richesse d'un workflow CI/CD

Les workflows sont éditables de manière graphique (low-code) ou en YAML et la possibilité d'importer en partie des GitHub Actions

Exemple de workflow en format graphique

Le code peut être éditer directement depuis différents environnements de développement (IDE) (avec un plugin CodeCatalyst dédié)

Il est bien entendu possible aussi de cloner le repo en local mais l'avantage de lier CodeCatalyst avec son IDE est qu'il intègre deja toute la phase de connexion avec le projet

Tarifs

CodeCatalyst à une offre "Free tier" pour démarrer et une offre "Standard tier" pour aller plus loin.
Ce qui est original c'est qu'on choisit l'offre dans laquelle on souhaite démarrer et si on part sur du "Free tier" l'upgrade ne se fait pas toute seule et le service est coupé (alors qu'habituellement AWS n'as pas l'habitude de stopper le service mais de facturer ce qui dépasse du free tier).
La facturation se fait par "espace" (dans un espace on peut mettre plusieurs projets), on peut créer jusqu'a 5 espaces dans CodeCatalyst par région et un seul en Free tier dans la région.
L'interface de billing est assez détaillée et se met à jour assez rapidement pour refléter l'usage au niveau de l'espace

Interface de billing assez détaillée et qui est mise à jour rapidement

A noter que cela n'inclut pas le cout de création des resources sur le(s) compte(s) AWS (S3, Lambda, ECS, etc...)

Architecture

Une des originalités de CodeCatalyst en tant que service AWS est son coté "modulable" et flexible au niveau des accès et du déploiement des ressources sur les comptes.

Comme on peut le voir dans le schéma il est possible de dissocier en plusieurs comptes AWS le déploiement des ressources avec différents projets sur un meme espace.
Il est possible dans un projet de créer plusieurs environnements pour les lier à différents comptes AWS (ex. dev et prod)

Conclusion

CodeCatalyst s'annonce clairement comme un nouveau service différenciateur et viendra surement en remplacement de la suite CodeCommit, CodeBuild etc... sur le long terme
Une interface et plateforme à part lui permet de partir sur des nouvelles fondations pour itérer plus efficacement, à suivre :-)

Pour aller plus loin

si vous souhaitez en savoir plus sur CodeCatalyst différents liens

N'hésitez pas à indiquer en commentaire si vous avez des questions

A la découverte de AWS IQ

Ménahem Houri — Thu, 02 Mar 2023 15:15:37 +0000

Depuis Septembre 2021, AWS à rendu accessible pour la France le service AWS IQ, ayant été un des premiers à pouvoir m'inscrire à ce service je vous propose un tour d'horizon du service que j'ai pu utiliser depuis plus d'un an, let's go !

Kesako ?

AWS IQ est un service qui permet de mettre en relation des clients AWS avec des experts tiers certifiés AWS pour les aider, accompagner dans leurs demandes (Freelance / ESN).
Il faut être certifié et résider dans un des pays éligibles pour s'inscrire en tant qu'expert, les détails dans ce lien

Concrètement

Une fois la phase d'inscription validée on arrive dans une interface qui présente les différentes demandes des clients

Et la bienvenue dans le marché !

Vous allez trouver de tout et à tout les niveaux !
Il faut pour le coup être prêt a trouver toutes sortes de demandes et en conséquence avec le temps savoir gérer celle qui seront pertinentes et pourront aboutir VS celles qui mèneront à rien

Exemple de demande peu pertinente

Il faut aussi savoir estimer le temps qu'on mettra dans un projet pour pouvoir faire une proposition correct, la aussi en fonction des clients et des demandes il faut pouvoir analyser le besoin correctement pour que le chiffrage soit juste !

Exemple de demande ou il faudra creuser

Le client aura souvent plusieurs propositions de différents experts, à lui de choisir ce qui lui convient le mieux.

Une fois que le client à validé la proposition qu'on lui soumet, chose pratique sur IQ, on peut directement demander un accès au compte de celui-ci avec les droits qu'on estime nécessaire pour l'intervention et ainsi avoir un accès direct au compte sans avoir à gérer les credentials.
Une fois l'intervention effectuée on passe à la partie paiement.
Il existe 3 formules :

Milestone : Par étape, on facture le client une fois la mission effectuée
Upfront : Le client est facturé dès le début de l'intervention
Scheduled : Paiement planifié à une date

Le paiement est ensuite géré coté AWS (prélèvement coté client et virement coté Freelance/ESN)
Lors du virement AWS prélève une commission de 2,5% et le paiement à l'origine se fait en Dollar qui sont ensuite converti en Euro

En fonction des périodes la fluctuation peut avoir son avantage comme son désavantage

Si on devrait résumer

+ Les avantages

L'international, avec le choix et la variété des propositions sur différents sujets et la possibilité de rencontrer de nouveaux clients
Accès managé et simplifié sur le compte AWS du client
Gestion du paiement par AWS mais pas à 100% puisqu'il suffit que le client bloque le prélèvement et la pas de solution (...)
Libre de choisir quand on veut travailler sur IQ en fonction de nos disponibilités

- Inconvénients

Beaucoup de "bruit" dans les propositions pour trouver des choses pertinentes et intéressantes
Chiffrage à faire sans que tout ne soit clair/détaillé
Désaccord avec le client non arbitré par IQ
Paiement en Dollar en fonction des périodes ou l'Euro est bas

Tip : How to assign users or groups on AWS SSO on all AWS accounts

Ménahem Houri — Fri, 06 May 2022 10:13:19 +0000

When you have configured AWS SSO and also created all the users and groups needed, you often have groups that you want to assign to all accounts, but when we arrive in the console we must then select the accounts in each OU

all the OU of the Organization listed

select each account one by one

From Hierarchy to List

So how to select all the accounts without scrolling each OU?

Simple and efficient we have to switch to "List" view and load all the accounts inside the Organization and check the first box at the top

You now have the possibility to select all the accounts!

EC2 Spot instances : Comment simuler une fin d'instance et lancer une commande avant la terminaison

Ménahem Houri — Tue, 04 Jan 2022 10:41:19 +0000

AWS EC2 Spot instances permet de réduire jusqu'a 90% le cout des EC2, le concept de Spot instances se base sur des instances a durée limitée et qu'AWS met à disposition par rapport au surplus de capacité présente.

Interruption d'instance

Avant qu'une instance se termine de manière inattendue un signal est envoyé à celle-ci 2mn avant, l'idée de ce post est de voir comment simuler un signal de terminaison et lancer une commande avant pour par exemple faire une sauvegarde des travaux effectués.

Architecture

Détails

L'architecture est composé des éléments suivants :
1/AWS Fault Injection Simulator (FIS) qui va permettre de simuler une "terminaison" d'instance Spot

2/AWS EventBridge pour prendre en charge l'événement de terminaison et pouvoir lancer la commande via le service Run Command (3)

3/AWS Systems Manager Run Command va pouvoir lancer sur l'EC2 la commande qu'on lui aura spécifié (L'agent SSM doit être présent sur l'instance avec les bons droits IAM)

FIS - Configuration

Commençons par configurer le service FIS, en se rendant sur l'interface on sélectionne "Create Experiment Template"

Puis on complète la description, éventuellement on peut lui donner un nom, si un role IAM n'est pas déjà présent il faut en créer un spécifique a FIS

A noter que dans IAM ne figure pas le service FIS par défaut

On choisit donc un service temporaire dans la liste (EC2 par exemple) et puis une fois la policy créé avec les droits uniquement pour envoyer une interruptions aux instances Spot

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFISExperimentRoleSpotInstanceActions",
            "Effect": "Allow",
            "Action": [
                "ec2:SendSpotInstanceInterruptions"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*"
        }
    ]
}

On édite le "Trust relationships" pour indiquer le service fis.amazonaws.com

On revient ensuite sur l'interface de configuration de FIS et on crée une nouvelle action (action type : aws:ec2:send-spot-instance-interruptions), en précisant qu'on souhaite laisser 2mn avant que l'instance soit terminée dans le champ "durationBeforeInterruption" et on lui précise la Target (celle-ci est automatiquement créée il suffit juste de la sélectionner)

Une fois enregistré on édite la target en lui précisant la/les resource(s) qu'on souhaite simuler

Ici dans ce cas on a sélectionné toutes les instances ayant le tag Name avec la valeur "Test-Spot"

On peut ensuite créer le template d'experimentation, un message va s'afficher comme quoi on a pas d'action de stop du template, dans ce cas c'est pas grave puisqu'il s'agit juste de lui envoyer un signal d'arrêt le stop se fera de lui meme :)

Par la suite on pourra le lancer via le menu déroulant des actions en sélectionnant "Start", mais pas pour l'instant car il faut auparavant configurer EventBridge

AWS EventBridge - Configuration

Pour la partie EventBridge on va lui indiquer comme pattern le service EC2 et l'événement d'interruption d'une spot instance

Puis laisser tel quel la partie "event bus" et en "target" sélectionner ces paramètres

En Target : Systems Manager Run Command
Document : AWS-RunShellScript
Target key : le tag que l'instance a, qui permet de "viser" celle-ci, précédé par tag, ex. tag:Name
Target Value(s) : Valeur du tag, ex. Spot-Instance
Puis sélectionner "constant" dans les paramètres à choisir.
Indiquer la commande puis "Add" et au final "Create"

Conclusion

Une fois que les différents elements sont mis en place, on peut maintenant tester le mécanisme en lançant dans FIS l'expérimentation qui va par la suite déclencher la commande qu'on souhaite envoyer à l'instance via EventBridge, 2mn avant que celle-ci soit terminée

SSM-Bastion ou comment se connecter a une instance/bdd privée sur AWS

Ménahem Houri — Thu, 15 Apr 2021 19:09:52 +0000

Un des challenges les plus fréquents d'un projet sur AWS en ce qui concerne la sécurité et l'accessibilité d'une EC2 ou d'une base de donnée privée tourne autour du Bastion.

Le Bastion est le point central pour accéder depuis l'extérieur à des resources privées. (hors DirectConnect)

Architecture classique d'un bastion via un tunnel SSH

Qu'en est-il de la resilience ?
Filtrer les IP's entrantes via un Security Group ?
La rotation des clés SSH

ça sera pas mal de travail au quotidien...

Alors comment accéder a son instance privée de manière sécurisée ?

Avec le navigateur, directement, vous pouvez utiliser AWS Systems Manager Session Manager ou meme dans certains cas EC2 Serial Console

Sinon concrètement ? comment accéder à une base de donnée sur AWS (Redshift, Aurora, DocumentDB, RDS,...) ou se connecter en SSH sans utiliser sur l'EC2 de destination Session Manager ?

SSM-Bastion

Je suis très heureux de partager avec vous SSM-Bastion, comment cela fonctionne-t-il ?

Architecture de SSM-Bastion

Voyons ça de plus prés, premièrement l'instance n'as pas besoin d'être exposée publiquement (via un subnet public)
Résilience et réduction de cout avec une Spot instance dans un Auto Scaling group.

1/ Via un script, l'utilisateur qui souhaite se connecter lance une commande de port forwarding, authentifié par son AWS Access Key et Secret Key.
L'instance EC2 qui est déployée en tant que SSM-Bastion doit communiquer avec des points de terminaison AWS, lorsque vous vous trouver dans un VPC sans NAT Gateway vous allez avoir besoin des endpoints suivants :

Note : Pour KMS vous allez avoir besoin de l'activer à travers la console ou par cli

2/ Après que l'utilisateur ait lancé le port forwarding command (via Run Command) l'EC2 SSM-Bastion crée le tunnel vers la destination

3/ Une fois le tunnel créé (via socket), la session est ouverte sur le poste local, permettant de s'y connecter a partir du localhost

Lancement d'une connexion - exemple

Pour lancer une session avec le script il existe 2 possibilités

1/ Session interactive (sans paramètre dans la commande)
./ssm-bastion-port-forwarding.sh

Une connexion vers une EC2 privée avec l'IP 10.0.0.1 écoutant sur le port 3006, le port ouvert sur la machine sera 9090

2/ Avec arguments dans la ligne de commande
Vous pouvez lancer directement une session avec les arguments dans la ligne de commande, ci-dessous les paramètres nécessaires

./ssm-bastion-port-forwarding.sh ip_ou_dns_destination port_destination port_source

Example d'une connexion avec une destination secrete le port de destination est le 4567, le port ouvert sur la machine locale est 8768

Après ça vous pouvez utiliser votre connexion sur localhost:port_ouvert

Vous pouvez retrouver le code Terraform ainsi que lscript Bash sur github

SSM-Bastion : How to connect on AWS Private instance's from Internet

Ménahem Houri — Thu, 08 Apr 2021 15:17:30 +0000

One of the classical challenge in Security and Accessibility of a project in AWS when you want to access on EC2 or private Databases is with Bastion.

Bastion is the central point to access its private instances.

Classical architecture of a bastion via SSH Tunnel.

What about resilience ?
filter inbound ip's via Security Group ?
SSH key rotation ?

it will be a lot of extra work...

So how to access to your private instance securely ?

With browser, directly, you can use AWS Systems Manager Session Manager or also in some cases with EC2 Serial Console

Ok, but how to access a database (Redshift, Aurora, DocumentDB, RDS,...) ? or still connect in SSH without using session manager directly in the EC2 of destination ?

SSM-Bastion

I am very happy to share with you SSM-Bastion, how it works ?

Architecture of SSM-Bastion

Let's see it more closely, first the instance will not need to be exposed in public subnet.
Resilience and cost savings with Spot instances in an Auto Scaling Group.

1/ Via a script the user launch a port forwarding command, authenticated by its AWS Access Key and Secret Key.
EC2 instance need to communicate with some AWS endpoint's, so if you're in an isolated VPC without NAT Gateway you will need the following endpoints :

Note for KMS you will need to activate it via the console or cli

2/ After the user launch a port forwarding command (via Run Command) the EC2 SSM-Bastion creates a tunnel to the destination

3/ After the tunnel (via socket) is created, a session is opened on the local laptop to be able to connect to it from localhost.

Launch a connection - Example

For launching a port forwarding session with the script you have 2 alternatives.

1/ Interactive session
./ssm-bastion-port-forwarding.sh

A connection in a private EC2 with IP 10.0.0.1 and listening port 3006, the port open in the laptop will be 9090

2/ Line arguments
You can launch directly the session in line arguments, with the following parameters

./ssm-bastion-port-forwarding.sh hostname_destination port_destination port_source

Example of a connection with a mysterious endpoint and port of destination 4567, port open in the laptop 8768

After that you can use your connection on localhost:port_open and... enjoy 🙂

You can find the Terraform and Bash script in github