בואו נפתח עם האמת שאף אחד לא אומר בקול: לא צריך להכיר 200 שירותי AWS כדי להיות מפתח/ת ענן רלוונטי/ת. צריך להבין עמוק 5-7 שירותים, לדעת לחבר אותם, ולהריץ workload אמיתי בפרודקשן. Amazon Web Services הוא ספק הענן הגדול בעולם עם נתח שוק של 31%,  אבל הגודל הזה הוא גם המלכודת. מפתחים חדשים נבלעים בים של קונסולות, תפריטים ומונחים, ומאבדים את הדבר היחיד שבאמת חשוב: היכולת לבנות משהו שעובד. המדריך הזה בנוי אחרת. במקום לטייל בתיעוד, נצלול ישר לליבה המעשית — EC2, S3, IAM, Lambda ו-VPC — עם קוד אמיתי שאפשר להריץ היום.

רוב הקורסים והמדריכים ברשת עושים דבר אחד עקבי — מתחילים מתיאוריה. "מה זה ענן?", "מה ההבדל בין IaaS ל-PaaS?", "ספרו לנו על 17 הריג'נים של AWS". זה לא לימוד. זה הרדמה.

הגישה שאנחנו דוגלים בה, וזו שמוכיחה את עצמה בשטח, היא הפוכה: תתחילו מפרויקט. תשברו משהו. תתקנו אותו. ואז תבינו למה הארכיטקטורה עובדת ככה. לפי סקר של Stack Overflow 2024, 67% מהמפתחים שדיווחו על שליטה גבוהה ב-AWS למדו דרך hands-on projects ולא דרך קורסים תיאורטיים.

למה זה כל כך קריטי בשוק הישראלי?

בישראל, אקוסיסטם הסטארטאפים דורש מפתחים שיודעים להרים תשתית ענן מאפס. לפי נתוני Start-Up Nation Central, מעל 72% מחברות הסטארטאפ הישראליות משתמשות ב-AWS כספק ענן ראשי. כשמגיעים לראיון עבודה ב-Monday, Wiz, או Snyk, לא שואלים "מה זה S3" — שואלים "איך בנית pipeline שמריץ Lambda function שמעבד אירועים מ-SQS ושומר תוצאות ב-DynamoDB".

ההבדל בין מי שקורא תיעוד לבין מי שבנה — הוא ההבדל בין מי שמקבל הצעה לבין מי שמקבל "נחזור אליך". קורס AWS שנבנה נכון צריך לשים אתכם מול טרמינל מהדקה הראשונה, לא מול מצגת.

חמשת השירותים שחייבים להכיר קודם כל

לפני שנצלול לעומק, הנה הליבה. אם אתם שולטים בחמשת השירותים האלה, אתם יכולים לבנות 80% מהארכיטקטורות שתפגשו בתעשייה:

EC2 (Elastic Compute Cloud) — מכונות וירטואליות בענן. הבסיס של כל compute workload. S3 (Simple Storage Service) — אחסון אובייקטים. כל קובץ, כל asset, כל backup עובר פה. IAM (Identity and Access Management) — מערכת ההרשאות. בלי שליטה פה, אין אבטחה. Lambda — serverless compute. קוד שרץ בלי שרתים, משלמים רק על זמן ריצה. VPC (Virtual Private Cloud) — הרשת הפרטית שלכם בענן. בלי הבנה של VPC, כל השאר באוויר.

דיי תיאוריה. בואו נלכלך ידיים. הסצנריו: נרים שרת EC2, נגדיר לו Security Group, נתקין עליו Nginx, ונחשוף אותו לעולם. זה התרגיל הבסיסי ביותר — וגם הכי חשוב. כי ברגע שהבנתם את הזרימה הזו, כל השאר הוא וריאציה.

שלב 1: הגדרת AWS CLI והרמת EC2

קודם כל, וודאו שיש לכם AWS CLI מותקן ומוגדר עם credentials. אם עדיין אין — זו ההשקעה הכי חשובה של 5 הדקות הבאות:

# התקנת AWS CLI (Linux/macOS)
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

# הגדרת credentials
aws configure
# AWS Access Key ID: [הכניסו את המפתח שלכם]
# AWS Secret Access Key: [הכניסו את הסוד שלכם]
# Default region name: eu-west-1
# Default output format: json

# יצירת Key Pair לגישה לשרת
aws ec2 create-key-pair \
  --key-name my-dev-key \
  --query 'KeyMaterial' \
  --output text > my-dev-key.pem
chmod 400 my-dev-key.pem

# יצירת Security Group שמאפשר SSH ו-HTTP
aws ec2 create-security-group \
  --group-name dev-web-sg \
  --description "SSH and HTTP access for dev"

# הוספת חוקי inbound
SG_ID=$(aws ec2 describe-security-groups \
  --group-names dev-web-sg \
  --query 'SecurityGroups[0].GroupId' \
  --output text)

aws ec2 authorize-security-group-ingress \
  --group-id $SG_ID \
  --protocol tcp --port 22 --cidr 0.0.0.0/0

aws ec2 authorize-security-group-ingress \
  --group-id $SG_ID \
  --protocol tcp --port 80 --cidr 0.0.0.0/0

# הרמת EC2 Instance עם Amazon Linux 2023
aws ec2 run-instances \
  --image-id ami-0694d931cee176e7d \
  --instance-type t3.micro \
  --key-name my-dev-key \
  --security-group-ids $SG_ID \
  --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=dev-web-server}]' \
  --user-data '#!/bin/bash
    yum update -y
    yum install -y nginx
    systemctl start nginx
    systemctl enable nginx
    echo "
Hello from AWS - Built by a Developer Who Ships
" > /usr/share/nginx/html/index.html'

# קבלת ה-IP הציבורי
aws ec2 describe-instances \
  --filters "Name=tag:Name,Values=dev-web-server" \
  --query 'Reservations[0].Instances[0].PublicIpAddress' \
  --output text

מה קרה פה? ב-20 שורות קוד הרמתם שרת ענן עם Web Server שרץ עליו, פתוח לעולם, עם Security Group שמגביל גישה. זה לא תיאוריה. זה פרודקשן-ready (כמעט — עוד רגע נדבר על מה חסר).

שלב 2: Lambda Function שמגיב לאירועי S3

עכשיו נעלה רמה. הסצנריו הקלאסי בתעשייה: מישהו מעלה קובץ ל-S3, ו-Lambda function מעבד אותו אוטומטית. זה ה-pattern שחברות כמו Fiverr ו-ironSource משתמשות בו לעיבוד מיליוני אירועים ביום.

# יצירת S3 Bucket
aws s3 mb s3://my-dev-upload-bucket-2024 --region eu-west-1

# יצירת IAM Role עבור Lambda
aws iam create-role \
  --role-name lambda-s3-processor \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Principal": {"Service": "lambda.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }]
  }'

# הוספת permissions
aws iam attach-role-policy \
  --role-name lambda-s3-processor \
  --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

aws iam attach-role-policy \
  --role-name lambda-s3-processor \
  --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

# lambda_function.py — עיבוד אירועי S3
import json
import boto3
import logging

logger = logging.getLogger()
logger.setLevel(logging.INFO)

s3_client = boto3.client('s3')

def lambda_handler(event, context):
    """
    מופעל אוטומטית כשקובץ חדש עולה ל-S3.
    מדפיס מטא-דאטא ומחזיר סטטוס.
    """
    for record in event['Records']:
        bucket_name = record['s3']['bucket']['name']
        object_key = record['s3']['object']['key']
        object_size = record['s3']['object']['size']
        
        logger.info(f"New file uploaded: {object_key}")
        logger.info(f"Bucket: {bucket_name}, Size: {object_size} bytes")
        
        # קבלת metadata של הקובץ
        response = s3_client.head_object(
            Bucket=bucket_name,
            Key=object_key
        )
        
        content_type = response.get('ContentType', 'unknown')
        logger.info(f"Content-Type: {content_type}")
        
        # כאן אפשר להוסיף לוגיקה עסקית:
        # - עיבוד תמונות עם Pillow
        # - המרת CSV ל-JSON
        # - שליחת notification ל-SNS
        
    return {
        'statusCode': 200,
        'body': json.dumps({
            'message': 'File processed successfully',
            'files_processed': len(event['Records'])
        })
    }

שימו לב: ה-Lambda הזו לא רק מדפיסה — היא בנויה כ-skeleton אמיתי שאפשר להרחיב. בפרודקשן, תוסיפו עיבוד תמונות, שליחת התראות ל-SNS, או כתיבה ל-DynamoDB. ה-pattern נשאר זהה.

אחד הדברים שהכי מבלבלים מפתחים חדשים ב-AWS הוא הכמות המטורפת של שירותים שנראים דומים. "מתי EC2 ומתי Lambda?" "מתי S3 ומתי EBS?" "מתי RDS ומתי DynamoDB?" בטבלה הבאה ריכזנו את ההשוואות הקריטיות שיחסכו לכם שעות של בלבול:

הטבלה הזו שווה יותר מעשרה עמודי תיעוד. שמרו אותה. תחזרו אליה. כל ארכיטקטורה מתחילה מהשאלות האלה.

אני אגיד את זה ישירות: IAM הוא השירות הכי לא סקסי ב-AWS, והכי קריטי. לפי דוח Verizon Data Breach Investigations 2024, כ-74% מפרצות האבטחה בענן קשורות להגדרות הרשאות שגויות. לא האקרים גאוניים — פשוט policies רחבים מדי.

העיקרון שחייבים לשרוף בזיכרון: Least Privilege

כל user, כל role, כל service — מקבל את המינימום ההכרחי כדי לבצע את המשימה שלו. לא יותר. נשמע פשוט? בפועל, רוב הצוותים בישראל נותנים AdministratorAccess לכל מפתח בצוות כי "ככה יותר נוח". זו פצצה מתקתקת.

הנה דוגמה ל-IAM Policy שנותנת למפתח גישת קריאה בלבד ל-S3 bucket ספציפי:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowReadSpecificBucket",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::production-data-bucket",
        "arn:aws:s3:::production-data-bucket/*"
      ]
    },
    {
      "Sid": "DenyDeleteEverywhere",
      "Effect": "Deny",
      "Action": [
        "s3:DeleteObject",
        "s3:DeleteBucket"
      ],
      "Resource": "*"
    }
  ]
}

שימו לב ל-Deny המפורש. גם אם policy אחר נותן הרשאת מחיקה, ה-Deny תמיד מנצח ב-AWS. זה עיקרון זהב שחוסך אסונות.

MFA — לא אופציונלי

כל חשבון AWS — בלי יוצא מן הכלל — חייב MFA על ה-Root Account. בישראל, לאחר פרצות אבטחה מפורסמות בחברות מוכרות, רשות הסייבר הלאומית ממליצה על MFA כדרישת בסיס לכל תשתית ענן. אם אתם קוראים את זה ועדיין אין לכם MFA על ה-root — עצרו הכל ותפעילו עכשיו. ברצינות. זה לוקח 3 דקות.

בואו נדבר על מה שבאמת קורה כשנכנסים לתפקיד פיתוח בחברה ישראלית שעובדת על AWS. ביום הראשון לא מבקשים לתכנן ארכיטקטורת מיקרו-סרוויסים. מבקשים:

משימה טיפוסית: REST API עם API Gateway ו-Lambda

הסצנריו הנפוץ ביותר בתעשייה: בניית API endpoint שמקבל בקשות HTTP, מעבד אותן, ומחזיר תשובה. בלי שרתים לנהל. בלי Nginx להגדיר. Serverless מקצה לקצה.

# יצירת Lambda Function מ-ZIP
zip function.zip lambda_function.py

ROLE_ARN=$(aws iam get-role \
  --role-name lambda-s3-processor \
  --query 'Role.Arn' --output text)

aws lambda create-function \
  --function-name my-api-handler \
  --runtime python3.12 \
  --handler lambda_function.lambda_handler \
  --zip-file fileb://function.zip \
  --role $ROLE_ARN \
  --timeout 30 \
  --memory-size 256

# יצירת API Gateway (HTTP API - הגרסה המודרנית והזולה)
API_ID=$(aws apigatewayv2 create-api \
  --name "dev-api" \
  --protocol-type HTTP \
  --query 'ApiId' --output text)

# חיבור ה-Lambda ל-API Gateway
LAMBDA_ARN=$(aws lambda get-function \
  --function-name my-api-handler \
  --query 'Configuration.FunctionArn' --output text)

INTEGRATION_ID=$(aws apigatewayv2 create-integration \
  --api-id $API_ID \
  --integration-type AWS_PROXY \
  --integration-uri $LAMBDA_ARN \
  --payload-format-version "2.0" \
  --query 'IntegrationId' --output text)

# הגדרת Route
aws apigatewayv2 create-route \
  --api-id $API_ID \
  --route-key "GET /api/health" \
  --target "integrations/$INTEGRATION_ID"

# Deploy
aws apigatewayv2 create-stage \
  --api-id $API_ID \
  --stage-name prod \
  --auto-deploy

echo "API URL: https://$API_ID.execute-api.eu-west-1.amazonaws.com/prod/api/health"

בתוך דקות יש לכם API שרץ בפרודקשן, סוקייל אוטומטית, ועולה כמעט אפס כשאין טראפיק. זה הכוח של serverless. זה מה שחברות ישראליות כמו Lemonade, Melio ו-Via בונות עליו.

ניטור ולוגים: בלי CloudWatch אתם עיוורים

שירות אחד שמפתחים חדשים מדלגים עליו ואחר כך מתחרטים — CloudWatch. כל Lambda function, כל EC2 instance, כל API Gateway — שולח לוגים ומטריקות ל-CloudWatch. חייבים לדעת לנווט שם.

# צפייה בלוגים של Lambda function בזמן אמת
aws logs tail /aws/lambda/my-api-handler --follow

# חיפוש שגיאות בלוגים של 24 השעות האחרונות
aws logs filter-log-events \
  --log-group-name /aws/lambda/my-api-handler \
  --start-time $(date -d '24 hours ago' +%s000) \
  --filter-pattern "ERROR"

# הגדרת CloudWatch Alarm שמתריע כשיש שגיאות
aws cloudwatch put-metric-alarm \
  --alarm-name "lambda-errors-alarm" \
  --metric-name Errors \
  --namespace AWS/Lambda \
  --statistic Sum \
  --period 300 \
  --threshold 5 \
  --comparison-operator GreaterThanThreshold \
  --evaluation-periods 1 \
  --dimensions Name=FunctionName,Value=my-api-handler \
  --alarm-actions arn:aws:sns:eu-west-1:ACCOUNT_ID:dev-alerts

Alarm שמתריע על 5 שגיאות ב-5 דקות — זה המינימום. בפרודקשן אמיתי תוסיפו alarms על latency, throttling, וצריכת זיכרון. אבל זה הבסיס שחייבים שיהיה מהיום הראשון.

בואו נהיה ישירים. AWS יכול להיות מפלצת כסף אם לא מבינים את מודל התמחור. לפי דוח FinOps Foundation 2024, ארגונים מבזבזים בממוצע 32% מתקציב הענן שלהם על משאבים שלא באמת צריכים. בישראל, עם שער הדולר הנוכחי, זה הרבה כסף.

כמה טיפים מעשיים שחוסכים מאות דולרים בחודש:

Free Tier — שנה ראשונה. 750 שעות EC2 t2.micro, 5GB S3, מיליון בקשות Lambda בחודש. מספיק כדי ללמוד את כל מה שכתוב פה בלי לשלם אגורה. Spot Instances — עד 90% הנחה על EC2 עבור workloads שיכולים לסבול הפסקות. מעולה ל-CI/CD, עיבוד batch, ואימון מודלים. תייגו הכל — כל resource חייב tag של project ו-environment. ככה תדעו בדיוק מי אוכל את התקציב.

כמה זמן לוקח ללמוד AWS ברמה שמספיקה לעבודה?

עם למידה ממוקדת ומעשית, 2-3 חודשים של תרגול יומיומי מספיקים כדי להיכנס לתפקיד Junior Cloud Developer או DevOps Engineer. הדגש הוא על "מעשית" — לא לקרוא תיעוד, אלא לבנות פרויקטים. מפתחים שבנו לפחות 3 פרויקטים מקצה לקצה על AWS מדווחים על ביטחון גבוה משמעותית בראיונות עבודה.

האם כדאי ללמוד AWS לפני Azure או GCP?

בשוק הישראלי, חד-משמעית כן. AWS מחזיק בנתח השוק הגדול ביותר בישראל, ורוב המשרות דורשות ניסיון ספציפי ב-AWS. ברגע שמכירים AWS לעומק, המעבר ל-Azure או GCP הוא יחסית פשוט — העקרונות זהים, רק השמות משתנים. התחילו מהפלטפורמה שתפתח לכם הכי הרבה דלתות.

האם הסמכת AWS Solutions Architect באמת שווה?

כן, אבל בתנאי אחד: שיש לכם גם ניסיון מעשי שמגבה את התעודה. לפי סקר Global Knowledge 2024, מחזיקי הסמכות AWS Solutions Architect Associate מרוויחים בממוצע 18% יותר מעמיתיהם ללא הסמכה. אבל מגייסים ישראלים מספרים שתעודה בלי יכולת להציג פרויקט — לא מרשימה. השילוב של השניים הוא המפתח.

כמה עולה להתנסות ב-AWS בזמן הלמידה?

אפס, אם מנצלים את Free Tier בצורה חכמה. AWS נותנת שנה של שימוש חינמי שכולל EC2 t2.micro, S3, Lambda, DynamoDB ועוד. מספיק לבנות פרויקטים מרשימים. הטעות הנפוצה: לשכוח לכבות EC2 instances. הגדירו billing alarm על 10 דולר כדי למנוע הפתעות.

מה ההבדל בין DevOps Engineer לבין Cloud Developer שעובד עם AWS?

Cloud Developer מתמקד בבניית אפליקציות שרצות על AWS — Lambda functions, API Gateway, DynamoDB. DevOps Engineer מתמקד בתשתית, אוטומציה, CI/CD pipelines ו-Infrastructure as Code עם כלים כמו Terraform ו-CloudFormation. בפועל, בחברות ישראליות קטנות-בינוניות, שני התפקידים מתמזגים. הביקוש הגבוה ביותר הוא לאנשים שיודעים גם וגם.

האם Lambda מחליף לגמרי את EC2?

לא. Lambda מעולה לאירועים קצרים (עד 15 דקות), stateless, עם טראפיק משתנה. EC2 עדיף לאפליקציות שדורשות זמן ריצה ארוך, הרבה זיכרון, GPU, או גישה ישירה למערכת הקבצים. דוגמה ישראלית: חברת Taboola משתמשת ב-EC2 ל-recommendation engine שלהם כי הוא דורש GPU, ו-Lambda לעיבוד webhooks קלים. הכלי הנכון למשימה הנכונה.

איך מתחילים לבנות פורטפוליו של פרויקטי AWS?

שלושה פרויקטים שמרשימים מגייסים: (1) Static website עם S3, CloudFront ו-Route 53 — מראה הבנה של אחסון, CDN ו-DNS. (2) REST API serverless עם API Gateway, Lambda ו-DynamoDB — מראה הבנה של serverless architecture. (3) CI/CD pipeline שמשתמש ב-CodePipeline לפריסה אוטומטית — מראה הבנה של DevOps workflows. שלושת הפרויקטים האלה על GitHub עם README מסודר שווים יותר מעשר שורות ב-CV.

AWS הוא לא יעד — הוא כלי. כלי חזק מאוד, שיכול לפתוח דלתות לקריירה ענקית, אבל רק אם לומדים אותו דרך הידיים ולא דרך המצגות. המדריך הזה נתן לכם את הבסיס, את הקוד, ואת הכיוון. השלב הבא הוא שלכם. מי שרוצה ללכת על זה ברצינות, עם ליווי צמוד, פרויקטים אמיתיים, וגישה לסביבות AWS חיות — מסלול DevOps שלנו בנוי בדיוק בשביל זה. יש מדריכים נוספים באתר rt-ed.co.il שמעמיקים לתוך Kubernetes, Terraform, CI/CD ועוד. הדלת פתוחה. תיכנסו.

• קורס סייבר ואבטחת מידע
• קורס Real Time Embedded
• קורס דאטה סיינס
• קורס למידת מכונה AI
• קורס דאטה אנליסט
• קורס DEVOPS
• קורס IT
• קורס אוטומציה
• קורס Full Stack
• קורס בניית אתרים