Récapitulatif Conditions préalables et limitations Architecture Outils Épopées Ressources connexes Pièces jointes

Appliquer le balisage automatique des bases de données Amazon RDS au lancement

Environnement : Production

Technologies : bases de données, cloud natif, sécurité, identité, conformité

Services AWS : Amazon RDS ; Amazon SNS ; AWS CloudTrail ; Amazon CloudWatch

Récapitulatif

Amazon Relational Database Service (Amazon RDS) est un service Web qui facilite la configuration, l'exploitation et le dimensionnement d'une base de données relationnelle dans le cloud Amazon Web Services (AWS). Il fournit des capacités redimensionnables, à faible coût, pour les bases de données relationnelles classiques, et gère les tâches courantes d'administration de base de données.

Vous pouvez utiliser le balisage pour classer vos ressources AWS de différentes manières. Le balisage des bases de données relationnelles est utile lorsque votre compte comporte de nombreuses ressources et que vous souhaitez identifier rapidement une ressource spécifique en fonction des balises. Vous pouvez utiliser les balises Amazon RDS pour ajouter des métadonnées personnalisées à vos instances de base de données RDS. Une balise se compose d'une clé et d'une valeur définies par l'utilisateur. Nous vous recommandons de créer un ensemble cohérent de balises pour répondre aux exigences de votre organisation.

Ce modèle fournit un CloudFormation modèle AWS pour vous aider à surveiller et à étiqueter les instances de base de données RDS. Le modèle crée un événement Amazon CloudWatch Events qui surveille l'événement AWS CloudTrail CreateDBInstance. (CloudTrail capture les appels d'API pour Amazon RDS sous forme d'événements.) Lorsqu'il détecte cet événement, il appelle une fonction AWS Lambda qui applique automatiquement les clés de balise et les valeurs que vous définissez. Le modèle envoie également une notification indiquant que l'instance a été balisée, à l'aide d'Amazon Simple Notification Service (Amazon SNS).

Conditions préalables et limitations

Prérequis

Un compte AWS actif.
Un bucket Amazon Simple Storage Service (Amazon S3) pour télécharger le code Lambda.
Adresse e-mail à laquelle vous souhaitez recevoir des notifications de marquage.

Limites

La solution prend en charge les événements CloudTrail CreateDBInstance. Il ne crée pas de notifications pour d'autres événements.

Architecture

Architecture du flux de travail

Automatisation et mise à l'échelle

Vous pouvez utiliser le CloudFormation modèle AWS à plusieurs reprises pour différents comptes et régions AWS. Vous ne devez exécuter le modèle qu'une seule fois dans chaque région ou compte.

Outils

Services AWS

AWS CloudTrail — AWS CloudTrail est un service AWS qui vous aide dans les domaines de la gouvernance, de la conformité et de l'audit opérationnel et des risques de votre compte AWS. Les actions entreprises par un utilisateur, un rôle ou un service AWS sont enregistrées sous forme d'événements dans CloudTrail.
Amazon CloudWatch Events — Amazon CloudWatch Events fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux ressources AWS. CloudWatch Events prend connaissance des changements opérationnels au fur et à mesure qu'ils se produisent et prend les mesures correctives nécessaires, en envoyant des messages pour répondre à l'environnement, en activant des fonctions, en apportant des modifications et en capturant des informations d'état.
AWS Lambda — AWS Lambda est un service de calcul qui prend en charge l'exécution de code sans qu'il soit nécessaire de configurer ou de gérer des serveurs. Lambda exécute le code uniquement lorsque cela est nécessaire et se met à l'échelle automatiquement, qu'il s'agisse de quelques requêtes par jour ou de milliers de requêtes par seconde. Vous payez uniquement le temps de calcul que vous utilisez. Vous n'exposez aucuns frais quand votre code n'est pas exécuté.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets hautement évolutif qui peut être utilisé pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) est un service Web qui permet aux applications, aux utilisateurs finaux et aux appareils d'envoyer et de recevoir instantanément des notifications depuis le cloud.

Code

Ce modèle inclut une pièce jointe contenant deux fichiers :

index.zipest un fichier compressé qui inclut le code Lambda pour ce modèle.
rds.yamlest un CloudFormation modèle qui déploie le code Lambda.

Consultez la section Epics pour plus d'informations sur l'utilisation de ces fichiers.

Épopées

Tâche	Description	Compétences requises
Téléchargez le code dans un compartiment S3.	Créez un nouveau compartiment S3 ou utilisez un compartiment S3 existant pour télécharger le `index.zip` fichier joint (code Lambda). Ce compartiment doit se trouver dans la même région AWS que les ressources (instances de base de données RDS) que vous souhaitez surveiller.	Architecte du cloud
Déployez le CloudFormation modèle.	Ouvrez la console Cloudformation dans la même région AWS que le compartiment S3 et déployez le `rds.yaml` fichier fourni dans la pièce jointe. Dans l'épopée suivante, fournissez des valeurs pour les paramètres du modèle.	Architecte du cloud

Tâche	Description	Compétences requises
Indiquez le nom du compartiment S3.	Entrez le nom du compartiment S3 que vous avez créé ou sélectionné dans le premier épisode épique. Ce compartiment S3 contient le fichier .zip pour le code Lambda et doit se trouver dans la même région AWS que CloudFormation le modèle et les instances de base de données RDS que vous souhaitez surveiller.	Architecte du cloud
Fournissez la clé S3.	Indiquez l'emplacement du fichier .zip de code Lambda dans votre compartiment S3, sans barres obliques (par exemple, ou). `index.zip` `controls/index.zip`	Architecte du cloud
Indiquez une adresse e-mail.	Indiquez une adresse e-mail active à laquelle vous souhaitez recevoir des notifications de violation.	Architecte du cloud
Spécifiez un niveau de journalisation.	Spécifiez le niveau de journalisation et la verbosité. `Info`désigne des messages d'information détaillés sur la progression de l'application et ne doit être utilisé que pour le débogage. `Error`désigne les événements d'erreur susceptibles de permettre à l'application de continuer à fonctionner. `Warning`désigne les situations potentiellement dangereuses.	Architecte du cloud
Entrez les clés et les valeurs de balise pour vos instances de base de données RDS.	Entrez les clés de balise et les valeurs requises que vous souhaitez appliquer automatiquement à l'instance RDS. Pour plus d'informations, consultez la section Marquage des ressources Amazon RDS dans la documentation AWS.	Architecte du cloud

Tâche	Description	Compétences requises
Confirmez l'abonnement par e-mail.	Lorsque le CloudFormation modèle est déployé avec succès, il envoie un e-mail d'abonnement à l'adresse e-mail que vous avez fournie. Pour recevoir des notifications lorsque vos instances sont étiquetées, vous devez confirmer cet abonnement par e-mail.	Architecte du cloud

Création d'un compartiment (documentation Amazon S3)
Marquage des ressources Amazon RDS (documentation Amazon Aurora)
Chargement d'objets (documentation Amazon S3)
Création d'une règle d' CloudWatch événements qui se déclenche lors d'un appel d'API AWS à l'aide d'AWS CloudTrail ( CloudWatch documentation Amazon)

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrer une instance de base de données Amazon RDS pour PostgreSQL existante

Estimation des coûts DynamoDB