Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatiza la aplicación del cifrado en AWS Glue mediante una AWS CloudFormation plantilla
Creado por Diogo Guedes () AWS
Repositorio de código: AWS Glue Encryption Enforcement | Entorno: producción | Tecnologías: análisis; seguridad, identidad, conformidad |
Carga de trabajo: todas las demás cargas de trabajo | AWSservicios: Amazon EventBridge; AWS Glue AWSKMS; AWS Lambda; AWS CloudFormation |
Resumen
Este patrón muestra cómo configurar y automatizar la aplicación del cifrado en AWS Glue mediante una AWS CloudFormation plantilla. La plantilla crea todas las configuraciones y los recursos necesarios para aplicar el cifrado. Estos recursos incluyen una configuración inicial, un control preventivo creado por una EventBridge regla de Amazon y una función AWS Lambda.
Requisitos previos y limitaciones
Requisitos previos
Una cuenta activa AWS
Permisos para implementar la CloudFormation plantilla y sus recursos
Limitaciones
Este control de seguridad es regional. Debes implementar el control de seguridad en cada AWS región en la que quieras configurar la aplicación del cifrado en AWS Glue.
Arquitectura
Pila de tecnología de destino
Amazon CloudWatch Logs (de AWS Lambda)
EventBridge Regla de Amazon
AWS CloudFormation pila
AWS CloudTrail
AWSFunción y política gestionados por Identity and Access Management (IAM)
AWSServicio de administración de claves (AWSKMS)
AWSKMSalias
AWSFunción Lambda
AWSAlmacén de parámetros de Systems Manager
Arquitectura de destino
El siguiente diagrama muestra cómo automatizar la aplicación del cifrado en AWS Glue.
En el diagrama, se muestra el siguiente flujo de trabajo:
Una CloudFormation plantilla
crea todos los recursos, incluida la configuración inicial y el control de detección para la aplicación del cifrado en AWS Glue. Una EventBridge regla detecta un cambio de estado en la configuración de cifrado.
Se invoca una función Lambda para la evaluación y el registro a través CloudWatch de los registros. En el caso de una detección no conforme, el almacén de parámetros se recupera con un nombre de recurso de Amazon (ARN) como AWS KMS clave. Se corrige el estado de cumplimiento del servicio con el cifrado activado.
Automatizar y escalar
Si utilizas AWSOrganizations
Herramientas
Amazon le CloudWatch ayuda a supervisar las métricas de sus AWS recursos y las aplicaciones en las que se ejecuta AWS en tiempo real.
Amazon EventBridge es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, funciones Lambda, puntos finales de HTTP invocación que utilizan API destinos o buses de eventos en otras cuentas. AWS
AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y gestionarlos durante todo su ciclo de vida en todas AWS las cuentas y regiones.
AWS CloudTraille ayuda a habilitar la auditoría operativa y de riesgos, la gobernanza y el cumplimiento de su AWS cuenta.
AWSGlue es un servicio de extracción, transformación y carga (ETL) totalmente gestionado. Ayuda a clasificar, limpiar, enriquecer y mover datos de forma fiable entre almacenes de datos y flujos de datos.
AWSEl servicio de administración de claves (AWSKMS) le ayuda a crear y controlar claves criptográficas para proteger sus datos.
AWSLambda es un servicio informático que le ayuda a ejecutar código sin necesidad de aprovisionar o administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
AWSSystems Manager le ayuda a gestionar las aplicaciones y la infraestructura que se ejecutan en la AWS nube. Simplifica la administración de aplicaciones y recursos, reduce el tiempo necesario para detectar y resolver problemas operativos y le ayuda a administrar sus AWS recursos de forma segura y a escala.
Código
El código de este patrón está disponible en el repositorio GitHub aws-custom-guardrail-eventcontrolado
Prácticas recomendadas
AWSGlue admite el cifrado de datos en reposo para la creación de trabajos en AWS Glue y el desarrollo de scripts mediante puntos finales de desarrollo.
Tenga en cuenta las siguientes prácticas recomendadas:
Configura los ETL trabajos y los puntos finales de desarrollo para que usen AWS KMS claves para escribir datos cifrados en reposo.
Cifre los metadatos almacenados en el catálogo de datos de AWS Glue mediante claves que administre. AWS KMS
Utilice AWS KMS las claves para cifrar los marcadores de los trabajos y los registros generados por los rastreadores y los trabajos. ETL
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Implemente la CloudFormation plantilla. | Descargue la Nota: La plantilla no requiere parámetros de entrada. | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Compruebe las configuraciones AWS KMS clave. |
| Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Identifique la configuración de cifrado establecida CloudFormation. |
| Arquitecto de la nube |
Cambie la infraestructura aprovisionada a un estado que no cumpla con las normas. |
La barandilla detecta el estado no conforme en AWS Glue después de desactivar las casillas de verificación y, a continuación, impone la conformidad corrigiendo automáticamente el error de configuración del cifrado. Como resultado, las casillas de verificación de cifrado deberían volver a seleccionarse después de actualizar la página. | Arquitecto de la nube |
Recursos relacionados
Crear una pila en la consola (documentación) AWS CloudFormation AWS CloudFormation
Crear una regla de CloudWatch eventos que se active en una AWS API llamada mediante AWS CloudTrail ( CloudWatch documentación de Amazon)
Configuración del cifrado en AWS Glue (documentación de AWS Glue)
