Contoh beban kerja: Layanan web kontainer - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh beban kerja: Layanan web kontainer

Beban kerja ini adalah contoh dari. Tema 2: Mengelola infrastruktur yang tidak dapat diubah melalui jaringan pipa yang aman

Layanan web berjalan di Amazon ECS dan menggunakan database di Amazon RDS. Tim aplikasi mendefinisikan sumber daya ini dalam AWS CloudFormation template. Wadah dibuat dengan EC2 Image Builder dan disimpan di Amazon ECR. Tim aplikasi menyebarkan perubahan ke sistem melalui AWS CodePipeline. Pipeline ini dibatasi untuk tim aplikasi. Ketika tim aplikasi membuat permintaan tarik untuk repositori kode, aturan dua orang digunakan.

Untuk beban kerja ini, tim aplikasi mengambil tindakan berikut untuk mengatasi strategi Esential Eight.

Kontrol aplikasi

Aplikasi tambalan

  • Tim aplikasi memungkinkan pemindaian gambar kontainer Amazon ECR di Amazon Inspector dan mengonfigurasi peringatan untuk pustaka yang tidak digunakan lagi atau rentan.

  • Tim aplikasi mengotomatiskan tanggapan mereka terhadap temuan Amazon Inspector. Temuan baru memulai pipeline penyebaran mereka melalui EventBridge pemicu Amazon, dan CodePipeline merupakan targetnya.

  • Tim aplikasi memungkinkan AWS Config untuk melacak AWS sumber daya untuk penemuan aset.

Batasi hak administratif

  • Tim aplikasi sudah membatasi akses ke penerapan produksi melalui aturan persetujuan pada pipeline penerapan mereka.

  • Tim aplikasi mengandalkan federasi identitas tim cloud terpusat untuk rotasi kredensil dan pencatatan terpusat.

  • Tim aplikasi membuat CloudTrail jejak dan CloudWatch filter.

  • Tim aplikasi menyiapkan peringatan Amazon SNS untuk CodePipeline penerapan dan penghapusan tumpukan. CloudFormation

Sistem operasi patch

  • Tim aplikasi memungkinkan pemindaian gambar kontainer Amazon ECR di Amazon Inspector dan mengonfigurasi peringatan untuk pembaruan patch OS.

  • Tim aplikasi mengotomatiskan tanggapan mereka terhadap temuan Amazon Inspector. Temuan baru memulai pipa penyebaran mereka melalui EventBridge pemicu, dan CodePipeline merupakan targetnya.

  • Tim aplikasi berlangganan pemberitahuan acara Amazon RDS sehingga mereka diberi tahu tentang pembaruan. Mereka membuat keputusan berbasis risiko dengan pemilik bisnis mereka tentang apakah akan menerapkan pembaruan ini secara manual atau membiarkan Amazon RDS menerapkannya secara otomatis.

  • Tim aplikasi mengonfigurasi instans Amazon RDS menjadi klaster Zona Ketersediaan Multi untuk mengurangi dampak peristiwa pemeliharaan.

Otentikasi multi-faktor

  • Tim aplikasi bergantung pada solusi federasi identitas terpusat yang dijelaskan di bagian ini. Arsitektur inti Solusi ini memberlakukan MFA, otentikasi log, dan peringatan pada atau secara otomatis merespons peristiwa MFA yang mencurigakan.

Pencadangan reguler

  • Tim aplikasi mengonfigurasi AWS Backup untuk mengotomatiskan cadangan data cluster Amazon RDS mereka.

  • Tim aplikasi menyimpan CloudFormation template dalam repositori kode.

  • Tim aplikasi mengembangkan pipeline otomatis untuk membuat salinan beban kerja mereka di Wilayah lain dan menjalankan pengujian otomatis (posting AWS blog). Setelah pengujian otomatis berjalan, pipa menghancurkan tumpukan. Pipeline ini secara otomatis berjalan sebulan sekali dan memvalidasi efektivitas prosedur pemulihan.