Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Assurez-vous que le chiffrement des données Amazon EMR au repos est activé au lancement
Créée par Priyanka Chaudhary (AWS)
Récapitulatif
Ce modèle fournit un contrôle de sécurité pour surveiller le chiffrement des clusters Amazon EMR sur Amazon Web Services (AWS).
Le chiffrement des données vous permet d'empêcher les utilisateurs non autorisés de lire les données d'un cluster et celles des systèmes de stockage de données associés. Cela inclut les données susceptibles d'être interceptées lorsqu'elles circulent sur le réseau, appelées données en transit, et les données enregistrées sur un support persistant, appelées données au repos. Les données inactives dans Amazon Simple Storage Service (Amazon S3) peuvent être chiffrées de deux manières.
Chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3)
Chiffrement côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), configurées selon des politiques adaptées à Amazon EMR.
Ce contrôle de sécurité surveille les appels d'API et lance un événement Amazon CloudWatch Events le RunJobFlow. Le déclencheur invoque AWS Lambda, qui exécute un script Python. La fonction extrait l'ID du cluster EMR à partir de l'entrée JSON de l'événement et détermine s'il existe une violation de sécurité en effectuant les vérifications suivantes.
Vérifiez si un cluster EMR est associé à une configuration de sécurité spécifique à Amazon EMR.
Si une configuration de sécurité spécifique à Amazon EMR est associée au cluster EMR, vérifiez qu'elle Encryption-at-Rest est activée.
S'il n' Encryption-at-Restest pas activé, envoyez une notification Amazon Simple Notification Service (Amazon SNS) qui inclut le nom du cluster EMR, les détails de la violation, la région AWS, le compte AWS et le nom de ressource Lambda Amazon (ARN) d'où provient cette notification.
Conditions préalables et limitations
Prérequis
Un compte AWS actif
Un compartiment S3 pour le fichier .zip de code Lambda
Adresse e-mail à laquelle vous souhaitez recevoir la notification de violation
La journalisation Amazon EMR est désactivée afin que tous les journaux d'API puissent être récupérés
Limites
Ce contrôle de détection est régional et doit être déployé dans les régions AWS que vous souhaitez surveiller.
Versions du produit
Amazon EMR version 4.8.0 et versions ultérieures
Architecture
Pile technologique cible
Amazon EMR
Événement Amazon CloudWatch Events
fonction Lambda
Amazon SNS
Architecture cible
Automatisation et mise à l'échelle
Si vous utilisez AWS Organizations, vous pouvez utiliser AWS Cloudformation StackSets pour déployer ce modèle sur plusieurs comptes que vous souhaitez surveiller.
Outils
Outils
AWS CloudFormation est un service qui vous aide à modéliser et à configurer les ressources AWS en utilisant l'infrastructure sous forme de code.
Amazon CloudWatch Events fournit un flux en temps quasi réel d'événements système décrivant les modifications apportées aux ressources AWS.
Amazon EMR est une plate-forme de cluster gérée qui simplifie l'exécution des infrastructures de Big Data.
AWS Lambda prend en charge l'exécution de code sans provisionner ni gérer de serveurs.
Amazon S3 est un service de stockage d'objets hautement évolutif qui peut être utilisé pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.
Amazon SNS coordonne et gère la distribution ou l'envoi de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.
Code
Les fichiers EMREncryption AtRest .zip et EMREncryption AtRest .yml de ce projet sont disponibles sous forme de pièce jointe.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Définissez le compartiment S3. | Sur la console Amazon S3, choisissez ou créez un compartiment S3 avec un nom unique qui ne contient pas de barres obliques. Le nom d'un compartiment S3 est unique au monde et l'espace de noms est partagé par tous les comptes AWS. Votre compartiment S3 doit se trouver dans la même région que le cluster Amazon EMR en cours d'évaluation. | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Téléchargez le code Lambda dans le compartiment S3. | Téléchargez le fichier .zip de code Lambda fourni dans la section « Pièces jointes » dans le compartiment S3 défini. | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Déployez le CloudFormation modèle AWS. | Sur la CloudFormation console AWS, dans la même région que votre compartiment S3, déployez le CloudFormation modèle AWS fourni en pièce jointe à ce modèle. Dans l'épopée suivante, indiquez les valeurs des paramètres. Pour plus d'informations sur le déploiement CloudFormation de modèles AWS, consultez la section « Ressources associées ». | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Nommez le compartiment S3. | Entrez le nom du compartiment S3 que vous avez créé dans le premier épisode épique. | Architecte du cloud |
Fournissez la clé Amazon S3. | <directory><file-name>Indiquez l'emplacement du fichier .zip de code Lambda dans votre compartiment S3, sans barres obliques (par exemple,/.zip). | Architecte du cloud |
Indiquez une adresse e-mail. | Fournissez une adresse e-mail active pour recevoir les notifications Amazon SNS. | Architecte du cloud |
Définissez le niveau de journalisation. | Définissez le niveau et la fréquence de journalisation pour votre fonction Lambda. « Info » désigne des messages d'information détaillés sur le déroulement de l'application. Le terme « Erreur » désigne les événements d'erreur susceptibles de permettre à l'application de continuer à fonctionner. Le terme « Avertissement » désigne des situations potentiellement dangereuses. | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Confirmez votre abonnement. | Lorsque le modèle est déployé avec succès, il envoie un e-mail d'abonnement à l'adresse e-mail fournie. Vous devez confirmer cet abonnement par e-mail pour recevoir des notifications de violation. | Architecte du cloud |
Ressources connexes
Pièces jointes
