Otomatiskan penegakan enkripsi di AWS Glue menggunakan templat AWS CloudFormation - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatPraktik terbaikEpikSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otomatiskan penegakan enkripsi di AWS Glue menggunakan templat AWS CloudFormation

Diogo Guedes, Amazon Web Services

Ringkasan

Pola ini menunjukkan kepada Anda cara mengatur dan mengotomatiskan penegakan enkripsi di AWS Glue dengan menggunakan CloudFormation templat AWS. Template membuat semua konfigurasi dan sumber daya yang diperlukan untuk menegakkan enkripsi. Sumber daya ini mencakup konfigurasi awal, kontrol pencegahan yang dibuat oleh EventBridge aturan Amazon, dan fungsi AWS Lambda.

Prasyarat dan batasan

Prasyarat

  • Akun AWS yang aktif

  • Izin untuk menyebarkan CloudFormation template dan sumber dayanya

Batasan

Kontrol keamanan ini bersifat regional. Anda harus menerapkan kontrol keamanan di setiap Wilayah AWS tempat Anda ingin mengatur penegakan enkripsi di AWS Glue.

Arsitektur

Tumpukan teknologi target

  • CloudWatch Log Amazon (dari AWS Lambda)

  • EventBridge Aturan Amazon

  • AWS CloudFormation tumpukan

  • AWS CloudTrail

  • Peran dan kebijakan yang dikelola AWS Identity and Access Management (IAM)

  • AWS Key Management Service (AWS KMS)

  • Alias AWS KMS

  • Fungsi AWS Lambda

  • AWS Systems Manager Parameter Store

Arsitektur target

Diagram berikut menunjukkan cara mengotomatiskan penegakan enkripsi di AWS Glue.

Diagram menunjukkan cara mengotomatiskan penegakan enkripsi di AWS Glue menggunakan CloudFormation templat.

Diagram menunjukkan alur kerja berikut:

  1. CloudFormation Template membuat semua sumber daya, termasuk konfigurasi awal dan kontrol detektif untuk penegakan enkripsi di AWS Glue.

  2. EventBridge Aturan mendeteksi perubahan status dalam konfigurasi enkripsi.

  3. Fungsi Lambda dipanggil untuk evaluasi dan pencatatan melalui Log. CloudWatch Untuk deteksi yang tidak sesuai, Parameter Store dipulihkan dengan Amazon Resource Name (ARN) untuk kunci AWS KMS. Layanan ini diperbaiki ke status yang sesuai dengan enkripsi diaktifkan.

Otomatisasi dan skala

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS CloudFormation StackSets untuk menerapkan template ini di beberapa akun tempat Anda ingin mengaktifkan penegakan enkripsi di AWS Glue.

Alat

  • Amazon CloudWatch membantu Anda memantau metrik sumber daya AWS Anda dan aplikasi yang Anda jalankan di AWS secara real time.

  • Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, fungsi Lambda, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di akun AWS lainnya.

  • AWS CloudFormation membantu Anda menyiapkan sumber daya AWS, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya di seluruh akun dan Wilayah AWS.

  • AWS CloudTrail membantu Anda mengaktifkan audit operasional dan risiko, tata kelola, dan kepatuhan akun AWS Anda.

  • AWS Glue adalah layanan ekstrak, transformasi, dan beban (ETL) yang dikelola sepenuhnya. Ini membantu Anda mengkategorikan, membersihkan, memperkaya, dan memindahkan data dengan andal antara penyimpanan data dan aliran data.

  • AWS Key Management Service (AWS KMS) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda.

  • AWS Lambda adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.

  • AWS Systems Manager membantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan manajemen aplikasi dan sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola sumber daya AWS Anda dengan aman dalam skala besar.

Kode

Kode untuk pola ini tersedia di repositori GitHub aws-custom-guardrail-event-driven.

Praktik terbaik

AWS Glue mendukung enkripsi data saat istirahat untuk membuat pekerjaan di AWS Glue dan mengembangkan skrip menggunakan titik akhir pengembangan.

Pertimbangkan praktik terbaik berikut:

  • Konfigurasikan pekerjaan ETL dan titik akhir pengembangan untuk menggunakan kunci AWS KMS untuk menulis data terenkripsi saat istirahat.

  • Enkripsi metadata yang disimpan dalam AWS Glue Data Catalog dengan menggunakan kunci yang Anda kelola melalui AWS KMS.

  • Gunakan kunci AWS KMS untuk mengenkripsi bookmark pekerjaan dan log yang dihasilkan oleh crawler dan pekerjaan ETL.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Menyebarkan CloudFormation template.

Unduh aws-custom-guardrail-event-driven.yaml template dari GitHub repositori, lalu gunakan template. CREATE_COMPLETEStatus menunjukkan bahwa template Anda berhasil di-deploy.

catatan

Template tidak memerlukan parameter input.

Arsitek awan
TugasDeskripsiKeterampilan yang dibutuhkan

Periksa konfigurasi kunci AWS KMS.

  1. Masuk ke AWS Management Console, lalu buka konsol AWS Glue.

  2. Di panel navigasi, di bawah Katalog Data, pilih Pengaturan katalog.

  3. Verifikasi bahwa enkripsi Metadata dan enkripsi pengaturan kata sandi koneksi ditandai dan dikonfigurasi untuk digunakan. KMSKeyGlue

Arsitek awan
TugasDeskripsiKeterampilan yang dibutuhkan

Identifikasi pengaturan enkripsi di CloudFormation.

  1. Masuk ke AWS Management Console lalu buka CloudFormation konsol.

  2. Di panel navigasi, pilih Stacks, lalu pilih tumpukan Anda.

  3. Pilih tab Sumber Daya.

  4. Dalam tabel Resources, temukan pengaturan enkripsi dengan Logical ID.

Arsitek awan

Alihkan infrastruktur yang disediakan ke status tidak patuh.

  1. Masuk ke AWS Management Console, lalu buka konsol AWS Glue.

  2. Di panel navigasi, di bawah Katalog Data, pilih Pengaturan katalog.

  3. Kosongkan kotak centang enkripsi Metadata.

  4. Kosongkan kotak centang Enkripsi kata sandi koneksi.

  5. Pilih Simpan.

  6. Segarkan konsol AWS Glue.

Pagar pembatas mendeteksi status tidak sesuai di AWS Glue setelah Anda mengosongkan kotak centang, lalu memberlakukan kepatuhan dengan memulihkan kesalahan konfigurasi enkripsi secara otomatis. Akibatnya, kotak centang enkripsi harus dipilih kembali setelah Anda me-refresh halaman.

Arsitek awan

Sumber daya terkait