Überprüfen, ob neue Amazon-Redshift-Cluster in einer VPC gestartet werden

Erstellt von Priyanka Chaudhary (AWS)

Umgebung: Produktion

Technologien: Sicherheit, Identität, Compliance; Analysen; Datenbanken

AWS-Services: Amazon CloudWatch; AWS Lambda ; Amazon Redshift

Übersicht

Dieses Muster bietet eine Amazon Web Services (AWS)- CloudFormation Vorlage, die Sie automatisch benachrichtigt, wenn ein Amazon-Redshift-Cluster außerhalb einer Virtual Private Cloud (VPC) gestartet wird.

Amazon Redshift ist ein vollständig verwaltetes, cloudbasiertes Data-Warehouse-Produkt im Petabyte-Bereich. Es ist für die groß angelegte Speicherung und Analyse von Datensätzen konzipiert. Es wird auch für umfangreiche Datenbankmigrationen verwendet. Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie einen logisch isolierten Abschnitt der AWS Cloud bereitstellen, in dem Sie AWS-Ressourcen wie Amazon Redshift-Cluster in einem von Ihnen definierten virtuellen Netzwerk starten können.

Die mit diesem Muster bereitgestellte Sicherheitskontrolle überwacht Amazon-Redshift-API-Aufrufe in AWS- CloudTrail Protokollen und initiiert ein Amazon- CloudWatch Events-Ereignis für die RestoreFromClusterSnapshot APIs CreateCluster und . APIs Wenn das Ereignis eine dieser APIs erkennt, ruft es AWS Lambda auf, das ein Python-Skript ausführt. Die Python-Funktion analysiert das CloudWatch Ereignis. Wenn ein Amazon-Redshift-Cluster aus einem Snapshot erstellt oder wiederhergestellt wird und außerhalb des Amazon-VPC-Netzwerks erscheint, sendet die Funktion eine Amazon Simple Notification Service (Amazon SNS)-Benachrichtigung mit den relevanten Informationen an den Benutzer: den Amazon-Redshift-Clusternamen, die AWS-Region, das AWS-Konto und den Amazon-Ressourcennamen (ARN) für Lambda, von dem diese Benachrichtigung stammt. 

Voraussetzungen und Einschränkungen

Voraussetzungen

• Ein aktives AWS-Konto.

• Eine VPC mit einer Cluster-Subnetzgruppe und einer zugehörigen Sicherheitsgruppe.

Einschränkungen

• Die AWS- CloudFormation Vorlage unterstützt nur die RestoreFromClusterSnapshot Aktionen CreateCluster und (neue Cluster). Es erkennt keine vorhandenen Amazon-Redshift-Cluster, die außerhalb einer VPC erstellt wurden.

• Diese Sicherheitskontrolle ist regional. Sie müssen sie in jeder AWS-Region bereitstellen, die Sie überwachen möchten.

Architektur

Zielarchitektur

Automatisierung und Skalierung

Wenn Sie AWS Organizations verwenden, können Sie AWS Cloudformation StackSets verwenden, um diese Vorlage in mehreren Konten bereitzustellen, die Sie überwachen möchten.

Tools

AWS-Services

• AWS CloudFormation – AWS CloudFormation unterstützt Sie bei der Modellierung und Einrichtung Ihrer AWS-Ressourcen, deren Bereitstellung schnell und konsistent und deren Verwaltung während ihres gesamten Lebenszyklus. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben, und sie zusammen als Stack starten und konfigurieren, anstatt Ressourcen einzeln zu verwalten.

• AWS CloudTrail – AWS CloudTrail unterstützt Sie bei der Implementierung von Governance, Compliance sowie Betriebs- und Risikoprüfungen Ihres AWS-Kontos. Aktionen eines Benutzers, einer Rolle oder eines AWS-Services werden als Ereignisse in aufgezeichnet CloudTrail.

• Amazon CloudWatch Events – Amazon CloudWatch Events stellt einen Stream von Systemereignissen in nahezu Echtzeit bereit, der Änderungen an AWS-Ressourcen beschreibt.

• AWS Lambda – AWS Lambda ist ein Datenverarbeitungsservice, der das Ausführen von Code ohne Bereitstellung oder Verwaltung von Servern unterstützt. AWS Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde.

• Amazon Redshift – Amazon Redshift ist ein vollständig verwalteter Data-Warehouse-Service in Petabytegröße in der Cloud. Amazon Redshift ist in Ihren Data Lake integriert, sodass Sie Ihre Daten verwenden können, um neue Erkenntnisse für Ihr Unternehmen und Ihre Kunden zu gewinnen.

• Amazon S3 – Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, den Sie für eine Vielzahl von Speicherlösungen verwenden können, darunter Websites, mobile Anwendungen, Backups und Data Lakes.

• Amazon SNS – Amazon Simple Notification Service (Amazon SNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Publishern und Clients, einschließlich Webservern und E-Mail-Adressen.

Code

Dieses Muster umfasst die folgenden Anlagen:

• RedshiftMustBeInVPC.zip – Der Lambda-Code für die Sicherheitskontrolle.

• RedshiftMustBeInVPC.yml – Die CloudFormation Vorlage, die das Ereignis und die Lambda-Funktion einrichtet.

Um diese Dateien zu verwenden, folgen Sie den Anweisungen im nächsten Abschnitt.

Polen

Einrichten des S3-Buckets

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Definieren Sie den S3-Bucket.	Wählen oder erstellen Sie in der Amazon S3-Konsole einen S3-Bucket zum Hosten der ZIP-Datei des Lambda-Codes. Dieser S3-Bucket muss sich in derselben AWS-Region befinden wie der Amazon Redshift-Cluster, den Sie überwachen möchten. Ein S3-Bucket-Name ist global eindeutig und der Namespace wird von allen AWS-Konten gemeinsam genutzt. Der S3-Bucket-Name darf keine führenden Schrägstriche enthalten.	Cloud-Architekt
Laden Sie den Lambda-Code hoch.	Laden Sie den Lambda-Code (RedshiftMustBeInVPC.zip-Datei) im Abschnitt Anhänge in den S3-Bucket hoch.	Cloud-Architekt

Bereitstellen der CloudFormation Vorlage

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Starten Sie die CloudFormation Vorlage.	Öffnen Sie die AWS- CloudFormation Konsole in derselben AWS-Region wie Ihr S3-Bucket und stellen Sie die angehängte Vorlage bereit (RedshiftMustBeInVPC.yml). Weitere Informationen zum Bereitstellen von AWS- CloudFormation Vorlagen finden Sie unter Erstellen eines Stacks in der AWS- CloudFormation Konsole in der - CloudFormation Dokumentation.	Cloud-Architekt
Schließen Sie die Parameter in der Vorlage ab.	Wenn Sie die Vorlage starten, werden Sie zur Eingabe der folgenden Informationen aufgefordert: S3-Bucket: Geben Sie den Bucket an, den Sie im ersten Epi erstellt oder ausgewählt haben. Hier haben Sie den angehängten Lambda-Code (ZIP-Datei) hochgeladen. S3-Schlüssel: Geben Sie den Speicherort der Lambda-ZIP-Datei in Ihrem S3-Bucket an (z. B. Dateiname .zip oder Steuerelemente/Dateiname .zip). Schließen Sie keine führenden Schrägstriche ein. Benachrichtigungs-E-Mail: Geben Sie eine aktive E-Mail-Adresse an, an die Sie Amazon SNS-Benachrichtigungen erhalten möchten. Lamba-Protokollierungsebene : Geben Sie die Protokollierungsebene und die Häufigkeit für die Lambda-Funktion an. Verwenden Sie Info, um detaillierte Informationsmeldungen zum Fortschritt, Fehler bei Fehlerereignissen, die die Bereitstellung weiterhin zulassen würden, und Warnung bei potenziell schädlichen Situationen zu protokollieren.	Cloud-Architekt

Bestätigen Sie das Abonnement

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Bestätigen Sie das Abonnement.	Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail an die von Ihnen angegebene E-Mail-Adresse. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten.	Cloud-Architekt

Zugehörige Ressourcen

• Erstellen eines S3-Buckets (Amazon S3-Dokumentation)

• Hochladen von Dateien in einen S3-Bucket (Amazon S3-Dokumentation)

• Erstellen eines Stacks in der AWS- CloudFormation Konsole (AWS- CloudFormation Dokumentation)

• Erstellen einer CloudWatch Ereignisregel, die bei einem AWS-API-Aufruf mit AWS ausgelöst wird CloudTrail (AWS- CloudTrail Dokumentation)

• Erstellen eines Amazon-Redshift-Clusters (Amazon-Redshift-Dokumentation)

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die diesem Dokument zugeordnet sind, entpacken Sie die folgende Datei: attachment.zip