Descripción general del escenario y la arquitectura

La agencia gubernamental tiene tres cargas de trabajo en: Nube de AWS

Un lago de datos sin servidor que utiliza Amazon Simple Storage Service (Amazon S3) para el almacenamiento AWS Lambda y para las operaciones de extracción, transformación y carga (ETL)
Un servicio web en contenedores que se ejecuta en Amazon Elastic Container Service (Amazon ECS) y utiliza una base de datos en Amazon Relational Database Service (Amazon RDS)
Un software comercial off-the-shelf (COTS) que se ejecuta en Amazon EC2

Un equipo en la nube proporciona una plataforma centralizada para la organización, que ejecuta los servicios principales para el AWS medio ambiente. Un equipo de nube proporciona servicios básicos para el AWS medio ambiente. Cada carga de trabajo es propiedad de un equipo de aplicaciones distinto, también conocido como equipo de desarrolladores o equipo de entrega.

Arquitectura principal

El equipo de la nube ya ha establecido las siguientes capacidades en Nube de AWS:

La federación de identidades AWS IAM Identity Center enlaza con sus Microsoft Introduzca la instancia ID (anteriormente Azure Active Directory). La federación aplica la MFA, la caducidad automática de las cuentas de usuario y el uso de credenciales de corta duración AWS Identity and Access Management a través de funciones (IAM).
Se utiliza una canalización de AMI centralizada para OSs parchear las aplicaciones principales con EC2 Image Builder.
Amazon Inspector puede identificar las vulnerabilidades y todos los resultados de seguridad se envían a Amazon GuardDuty para su gestión centralizada.
Los mecanismos establecidos se utilizan para actualizar las reglas de control de las aplicaciones, responder a los eventos de ciberseguridad y revisar las brechas de cumplimiento.
AWS CloudTrail se utiliza para el registro y la supervisión.
Los eventos de seguridad, como el inicio de sesión del usuario root, inician las alertas.
SCPs y las políticas de puntos finales de VPC establecen perímetros de datos para sus entornos. AWS
SCPs impiden que los equipos de aplicaciones deshabiliten los servicios de seguridad y registro, como y. CloudTrail AWS Config
AWS Config los resultados de toda la AWS organización se agrupan en uno solo Cuenta de AWS por motivos de seguridad.
El paquete de conformidad AWS Config ACSC Essential 8 está disponible Cuentas de AWS en toda la organización.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Caso práctico

Lago de datos sin servidor