Exemple de charge de travail : lac de données sans serveur - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple de charge de travail : lac de données sans serveur

Cette charge de travail en est un exempleThème 1 : Utiliser les services gérés.

Le lac de données utilise Amazon S3 pour le stockage et AWS Lambda pour l'ETL. Ces ressources sont définies dans une AWS Cloud Development Kit (AWS CDK) application. Les modifications apportées au système sont déployées via AWS CodePipeline. Ce pipeline est réservé à l'équipe chargée de l'application. Lorsque l'équipe chargée de l'application effectue une pull request pour le référentiel de code, la règle des deux personnes est utilisée.

Pour cette charge de travail, l'équipe chargée des applications prend les mesures suivantes pour mettre en œuvre les stratégies Essential Eight.

Contrôle des applications

Applications de correctifs

  • L'équipe chargée de l'application active le scan Lambda dans Amazon Inspector et configure les alertes pour les bibliothèques obsolètes ou vulnérables.

  • L'équipe chargée de l'application permet AWS Config de suivre les AWS ressources pour la découverte des actifs.

Restreindre les privilèges administratifs

  • Comme décrit dans la Architecture de base section, l'équipe chargée de l'application restreint déjà l'accès aux déploiements de production par le biais d'une règle d'approbation sur son pipeline de déploiement.

  • L'équipe chargée de l'application s'appuie sur les solutions de fédération d'identité et de journalisation centralisées décrites dans la Architecture de base section.

  • L'équipe chargée de l'application crée un AWS CloudTrail parcours et des CloudWatch filtres Amazon.

  • L'équipe chargée de l'application configure les alertes Amazon Simple Notification Service (Amazon SNS) CodePipeline pour les déploiements AWS CloudFormation et les suppressions de piles.

Corrigez les systèmes d'exploitation

  • L'équipe chargée de l'application active le scan Lambda dans Amazon Inspector et configure les alertes pour les bibliothèques obsolètes ou vulnérables.

Authentification multifacteur

  • L'équipe chargée de l'application s'appuie sur la solution de fédération d'identité centralisée décrite dans la Architecture de base section. Cette solution applique l'authentification MFA, enregistre les authentifications et émet des alertes ou répond automatiquement aux événements MFA suspects.

Sauvegardes régulières

  • L'équipe chargée des applications stocke le code, tel que AWS CDK les applications et les fonctions et configurations Lambda, dans un référentiel de code.

  • L'équipe chargée de l'application active le versionnement et Amazon S3 Object Lock pour empêcher la suppression ou la modification d'objets.

  • L'équipe chargée de l'application s'appuie sur la durabilité intégrée d'Amazon S3 plutôt que de répliquer l'intégralité de son ensemble de données sur un autre Région AWS.

  • L'équipe chargée de l'application exécute une copie de la charge de travail dans un autre environnement Région AWS qui répond à ses exigences en matière de souveraineté des données. Ils utilisent les tables globales Amazon DynamoDB et Amazon S3 Cross-Replication pour répliquer automatiquement les données de la région principale vers la région secondaire.