Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfen, ob neue Amazon-Redshift-Cluster in einer VPC gestartet werden
Erstellt von Priyanka Chaudhary (AWS)
Umgebung: Produktion | Technologien: Sicherheit, Identität, Compliance; Analysen; Datenbanken | AWS-Services: Amazon CloudWatch; AWS Lambda ; Amazon Redshift |
Übersicht
Dieses Muster bietet eine Amazon Web Services (AWS)- CloudFormation Vorlage, die Sie automatisch benachrichtigt, wenn ein Amazon-Redshift-Cluster außerhalb einer Virtual Private Cloud (VPC) gestartet wird.
Amazon Redshift ist ein vollständig verwaltetes, cloudbasiertes Data-Warehouse-Produkt im Petabyte-Bereich. Es ist für die groß angelegte Speicherung und Analyse von Datensätzen konzipiert. Es wird auch für umfangreiche Datenbankmigrationen verwendet. Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie einen logisch isolierten Abschnitt der AWS Cloud bereitstellen, in dem Sie AWS-Ressourcen wie Amazon Redshift-Cluster in einem von Ihnen definierten virtuellen Netzwerk starten können.
Die mit diesem Muster bereitgestellte Sicherheitskontrolle überwacht Amazon-Redshift-API-Aufrufe in AWS- CloudTrail Protokollen und initiiert ein Amazon- CloudWatch Events-Ereignis für die RestoreFromClusterSnapshot APIs CreateCluster und . APIs Wenn das Ereignis eine dieser APIs erkennt, ruft es AWS Lambda auf, das ein Python-Skript ausführt. Die Python-Funktion analysiert das CloudWatch Ereignis. Wenn ein Amazon-Redshift-Cluster aus einem Snapshot erstellt oder wiederhergestellt wird und außerhalb des Amazon-VPC-Netzwerks erscheint, sendet die Funktion eine Amazon Simple Notification Service (Amazon SNS)-Benachrichtigung mit den relevanten Informationen an den Benutzer: den Amazon-Redshift-Clusternamen, die AWS-Region, das AWS-Konto und den Amazon-Ressourcennamen (ARN) für Lambda, von dem diese Benachrichtigung stammt.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS-Konto.
Eine VPC mit einer Cluster-Subnetzgruppe und einer zugehörigen Sicherheitsgruppe.
Einschränkungen
Die AWS- CloudFormation Vorlage unterstützt nur die RestoreFromClusterSnapshot Aktionen CreateCluster und (neue Cluster). Es erkennt keine vorhandenen Amazon-Redshift-Cluster, die außerhalb einer VPC erstellt wurden.
Diese Sicherheitskontrolle ist regional. Sie müssen sie in jeder AWS-Region bereitstellen, die Sie überwachen möchten.
Architektur
Zielarchitektur
Automatisierung und Skalierung
Wenn Sie AWS Organizations
Tools
AWS-Services
AWS CloudFormation – AWS CloudFormation unterstützt Sie bei der Modellierung und Einrichtung Ihrer AWS-Ressourcen, deren Bereitstellung schnell und konsistent und deren Verwaltung während ihres gesamten Lebenszyklus. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben, und sie zusammen als Stack starten und konfigurieren, anstatt Ressourcen einzeln zu verwalten.
AWS CloudTrail – AWS CloudTrail unterstützt Sie bei der Implementierung von Governance, Compliance sowie Betriebs- und Risikoprüfungen Ihres AWS-Kontos. Aktionen eines Benutzers, einer Rolle oder eines AWS-Services werden als Ereignisse in aufgezeichnet CloudTrail.
Amazon CloudWatch Events – Amazon CloudWatch Events stellt einen Stream von Systemereignissen in nahezu Echtzeit bereit, der Änderungen an AWS-Ressourcen beschreibt.
AWS Lambda – AWS Lambda ist ein Datenverarbeitungsservice, der das Ausführen von Code ohne Bereitstellung oder Verwaltung von Servern unterstützt. AWS Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde.
Amazon Redshift – Amazon Redshift ist ein vollständig verwalteter Data-Warehouse-Service in Petabytegröße in der Cloud. Amazon Redshift ist in Ihren Data Lake integriert, sodass Sie Ihre Daten verwenden können, um neue Erkenntnisse für Ihr Unternehmen und Ihre Kunden zu gewinnen.
Amazon S3 – Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, den Sie für eine Vielzahl von Speicherlösungen verwenden können, darunter Websites, mobile Anwendungen, Backups und Data Lakes.
Amazon SNS – Amazon Simple Notification Service (Amazon SNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Publishern und Clients, einschließlich Webservern und E-Mail-Adressen.
Code
Dieses Muster umfasst die folgenden Anlagen:
RedshiftMustBeInVPC.zip
– Der Lambda-Code für die Sicherheitskontrolle.RedshiftMustBeInVPC.yml
– Die CloudFormation Vorlage, die das Ereignis und die Lambda-Funktion einrichtet.
Um diese Dateien zu verwenden, folgen Sie den Anweisungen im nächsten Abschnitt.
Polen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Definieren Sie den S3-Bucket. | Wählen oder erstellen Sie in der Amazon S3-Konsole | Cloud-Architekt |
Laden Sie den Lambda-Code hoch. | Laden Sie den Lambda-Code ( | Cloud-Architekt |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Starten Sie die CloudFormation Vorlage. | Öffnen Sie die AWS- CloudFormation Konsole | Cloud-Architekt |
Schließen Sie die Parameter in der Vorlage ab. | Wenn Sie die Vorlage starten, werden Sie zur Eingabe der folgenden Informationen aufgefordert:
| Cloud-Architekt |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Bestätigen Sie das Abonnement. | Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail an die von Ihnen angegebene E-Mail-Adresse. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten. | Cloud-Architekt |
Zugehörige Ressourcen
Erstellen eines S3-Buckets (Amazon S3-Dokumentation)
Hochladen von Dateien in einen S3-Bucket (Amazon S3-Dokumentation)
Erstellen eines Stacks in der AWS- CloudFormation Konsole (AWS- CloudFormation Dokumentation)
Erstellen einer CloudWatch Ereignisregel, die bei einem AWS-API-Aufruf mit AWS ausgelöst wird CloudTrail (AWS- CloudTrail Dokumentation)
Erstellen eines Amazon-Redshift-Clusters (Amazon-Redshift-Dokumentation)
Anlagen
Um auf zusätzliche Inhalte zuzugreifen, die diesem Dokument zugeordnet sind, entpacken Sie die folgende Datei: attachment.zip