Ejemplo de carga de trabajo: lago de datos sin servidor - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de carga de trabajo: lago de datos sin servidor

Esta carga de trabajo es un ejemplo deTema 1: Utilice servicios gestionados.

El lago de datos utiliza Amazon S3 para el almacenamiento y AWS Lambda para el ETL. Estos recursos se definen en una AWS Cloud Development Kit (AWS CDK) aplicación. Los cambios en el sistema se implementan mediante AWS CodePipeline. Esta canalización está restringida al equipo de aplicaciones. Cuando el equipo de aplicaciones realiza una solicitud de incorporación de datos al repositorio de código, se utiliza la regla de dos personas.

Para esta carga de trabajo, el equipo de aplicaciones toma las siguientes medidas para abordar las ocho estrategias esenciales.

Control de aplicaciones

Aplicaciones de parches

  • El equipo de aplicaciones habilita el escaneo Lambda en Amazon Inspector y configura alertas para bibliotecas obsoletas o vulnerables.

  • El equipo de aplicaciones permite realizar un seguimiento AWS Config de AWS los recursos para descubrir activos.

Restrinja los privilegios administrativos

  • Como se describe en la Arquitectura principal sección, el equipo de aplicaciones ya restringe el acceso a las implementaciones de producción mediante una regla de aprobación en su proceso de implementación.

  • El equipo de aplicaciones se basa en las soluciones centralizadas de federación de identidades y registro centralizado que se describen en la sección. Arquitectura principal

  • El equipo de la aplicación crea una AWS CloudTrail ruta y Amazon CloudWatch filtra.

  • El equipo de aplicaciones configura las alertas del Amazon Simple Notification Service (Amazon SNS) CodePipeline para las implementaciones AWS CloudFormation y las eliminaciones de pilas.

Aplica parches a los sistemas operativos

  • El equipo de aplicaciones habilita el escaneo Lambda en Amazon Inspector y configura alertas para bibliotecas obsoletas o vulnerables.

Autenticación multifactor

  • El equipo de aplicaciones confía en la solución de federación de identidades centralizada que se describe en la sección. Arquitectura principal Esta solución aplica la MFA, registra las autenticaciones y las alertas o responde automáticamente a los eventos de MFA sospechosos.

Copias de seguridad periódicas

  • El equipo de aplicaciones almacena el código, como AWS CDK las aplicaciones y las funciones y configuraciones de Lambda, en un repositorio de código.

  • El equipo de aplicaciones habilita el control de versiones y el bloqueo de objetos de Amazon S3 para evitar que los objetos se eliminen o modifiquen.

  • El equipo de aplicaciones confía en la durabilidad integrada de Amazon S3 en lugar de replicar todo su conjunto de datos en otro Región de AWS.

  • El equipo de aplicaciones ejecuta una copia de la carga de trabajo en otro equipo Región de AWS que cumple con sus requisitos de soberanía de datos. Utilizan las tablas globales de Amazon DynamoDB y la replicación entre regiones de Amazon S3 para replicar los datos automáticamente de la región principal a la región secundaria.