Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pastikan enkripsi untuk data EMR Amazon saat istirahat diaktifkan saat peluncuran
Priyanka Chaudhary, Amazon Web Services
Ringkasan
Pola ini menyediakan kontrol keamanan untuk memantau enkripsi kluster Amazon EMR di Amazon Web Services (AWS).
Enkripsi data membantu mencegah pengguna yang tidak sah membaca data pada klaster dan sistem penyimpanan data terkait. Ini termasuk data yang dapat dicegat saat melakukan perjalanan jaringan, yang dikenal sebagai data dalam perjalanan, dan data yang disimpan ke media persisten, yang dikenal sebagai data saat istirahat. Data saat istirahat di Amazon Simple Storage Service (Amazon S3) dapat dienkripsi dengan dua cara.
Enkripsi sisi server dengan kunci yang dikelola Amazon S3 (SSE-S3)
Enkripsi sisi server dengan kunci AWS Key Management Service (AWS KMS) (SSE-KMS), diatur dengan kebijakan yang sesuai untuk Amazon EMR.
Kontrol keamanan ini memantau panggilan API dan memulai CloudWatch acara Amazon RunJobFlowEvents. Pemicunya memanggil AWS Lambda, yang menjalankan skrip Python. Fungsi mengambil ID cluster EMR dari input JSON peristiwa dan menentukan apakah ada pelanggaran keamanan dengan melakukan pemeriksaan berikut.
Periksa apakah kluster EMR dikaitkan dengan konfigurasi keamanan khusus Amazon EMR.
Jika konfigurasi keamanan khusus Amazon EMR dikaitkan dengan kluster EMR, periksa apakah Encryption-at-Rest dihidupkan.
Jika tidak Encryption-at-Rest diaktifkan, kirim notifikasi Amazon Simple Notification Service (Amazon SNS) yang menyertakan nama klaster EMR, detail pelanggaran, Wilayah AWS, akun AWS, dan Nama Sumber Daya Amazon Lambda (ARN) tempat notifikasi ini bersumber.
Prasyarat dan batasan
Prasyarat
Akun AWS yang aktif
Bucket S3 untuk file.zip kode Lambda
Alamat email tempat Anda ingin menerima pemberitahuan pelanggaran
Amazon EMR logging dimatikan sehingga semua log API dapat diambil
Batasan
Kontrol detektif ini bersifat regional dan harus diterapkan di Wilayah AWS yang ingin Anda pantau.
Versi produk
Amazon EMR rilis 4.8.0 dan di atasnya
Arsitektur
Tumpukan teknologi target
Amazon EMR
CloudWatch Acara Amazon Events
Fungsi Lambda
Amazon SNS
Arsitektur target
Otomatisasi dan skala
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS Cloudformation StackSets untuk menerapkan template ini di beberapa akun yang ingin Anda pantau.
Alat
Alat
AWS CloudFormation adalah layanan yang membantu Anda memodelkan dan menyiapkan sumber daya AWS menggunakan infrastruktur sebagai kode.
Amazon CloudWatch Events menghadirkan aliran peristiwa sistem yang mendekati real-time yang menjelaskan perubahan dalam sumber daya AWS.
Amazon EMR adalah platform cluster terkelola yang menyederhanakan menjalankan kerangka kerja data besar.
AWS Lambda mendukung menjalankan kode tanpa menyediakan atau mengelola server.
Amazon S3 adalah layanan penyimpanan objek yang sangat skalabel yang dapat digunakan untuk berbagai solusi penyimpanan, termasuk situs web, aplikasi seluler, cadangan, dan danau data.
Amazon SNS mengkoordinasikan dan mengelola pengiriman atau pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan ke suatu topik menerima pesan yang sama.
Kode
EMREncryptionAtRestFile.zip dan EMREncryption AtRest .yml. untuk proyek ini tersedia sebagai lampiran.
Epik
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Tentukan bucket S3. | Di konsol Amazon S3, pilih atau buat bucket S3 dengan nama unik yang tidak mengandung garis miring di depan. Nama bucket S3 unik secara global, dan namespace dibagikan oleh semua akun AWS. Bucket S3 Anda harus berada di Wilayah yang sama dengan cluster EMR Amazon yang sedang dievaluasi. | Arsitek Awan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Unggah kode Lambda ke bucket S3. | Unggah file kode Lambda .zip yang disediakan di bagian “Lampiran” ke bucket S3 yang ditentukan. | Arsitek Awan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Menerapkan CloudFormation template AWS. | Di CloudFormation konsol AWS, di Wilayah yang sama dengan bucket S3 Anda, terapkan CloudFormation template AWS yang disediakan sebagai lampiran ke pola ini. Dalam epik berikutnya, berikan nilai untuk parameter. Untuk informasi selengkapnya tentang penerapan CloudFormation templat AWS, lihat bagian “Sumber daya terkait”. | Arsitek Awan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Beri nama ember S3. | Masukkan nama bucket S3 yang Anda buat di epik pertama. | Arsitek Awan |
Berikan kunci Amazon S3. | <directory><file-name>Berikan lokasi file kode Lambda .zip di bucket S3 Anda, tanpa garis miring (misalnya,/.zip). | Arsitek Awan |
Berikan alamat email. | Berikan alamat email aktif untuk menerima notifikasi Amazon SNS. | Arsitek Awan |
Tentukan tingkat logging. | Tentukan tingkat logging dan frekuensi untuk fungsi Lambda Anda. “Info” menunjuk pesan informasi terperinci tentang kemajuan aplikasi. “Kesalahan” menunjuk peristiwa kesalahan yang masih memungkinkan aplikasi untuk terus berjalan. “Peringatan” menunjuk situasi yang berpotensi berbahaya. | Arsitek Awan |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Konfirmasi langganan. | Ketika template berhasil digunakan, ia mengirimkan pesan email berlangganan ke alamat email yang disediakan. Anda harus mengonfirmasi langganan email ini untuk menerima pemberitahuan pelanggaran. | Arsitek Awan |
Sumber daya terkait
Lampiran
Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip
