Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempio di carico di lavoro: data lake senza server
Questo carico di lavoro è un esempio di. Tema 1: Utilizzare i servizi gestiti
Il data lake utilizza Amazon S3 per lo storage e AWS Lambda per ETL. Queste risorse sono definite in un' AWS Cloud Development Kit (AWS CDK) app. Le modifiche al sistema vengono implementate tramite AWS CodePipeline. Questa pipeline è limitata al team dell'applicazione. Quando il team dell'applicazione effettua una pull request per l'archivio del codice, viene utilizzata la regola delle due persone.
Per questo carico di lavoro, il team dell'applicazione intraprende le seguenti azioni per affrontare le strategie Essential Eight.
Controllo delle applicazioni
-
Il team dell'applicazione abilita la protezione Lambda e la scansione GuardDuty Lambda in Amazon Inspector.
-
Il team applicativo implementa meccanismi per ispezionare e gestire i risultati di Amazon Inspector.
Applicazioni di patch
-
Il team dell'applicazione abilita la scansione Lambda in Amazon Inspector e configura gli avvisi per le librerie obsolete o vulnerabili.
-
Il team dell'applicazione consente AWS Config di tenere traccia delle risorse per l'individuazione delle risorse. AWS
Limita i privilegi amministrativi
-
Come descritto nella Architettura di base sezione, il team dell'applicazione limita già l'accesso alle distribuzioni di produzione mediante una regola di approvazione sulla relativa pipeline di distribuzione.
-
Il team dell'applicazione si affida alla federazione centralizzata delle identità e alle soluzioni di registrazione centralizzate descritte nella sezione. Architettura di base
-
Il team dell'applicazione crea un AWS CloudTrail percorso e CloudWatch filtri Amazon.
-
Il team dell'applicazione configura gli avvisi di Amazon Simple Notification Service (Amazon SNS) CodePipeline per le distribuzioni e le eliminazioni di stack. AWS CloudFormation
Patch i sistemi operativi
-
Il team dell'applicazione abilita la scansione Lambda in Amazon Inspector e configura gli avvisi per le librerie obsolete o vulnerabili.
Autenticazione a più fattori
-
Il team dell'applicazione si affida alla soluzione centralizzata di federazione delle identità descritta nella sezione. Architettura di base Questa soluzione applica l'MFA, registra le autenticazioni e gli avvisi o risponde automaticamente a eventi MFA sospetti.
Backup regolari
-
Il team dell'applicazione abilita il controllo delle versioni e Amazon S3 Object Lock per impedire l'eliminazione o la modifica degli oggetti.
-
Il team dell'applicazione si affida alla durabilità integrata di Amazon S3 anziché replicare l'intero set di dati su un altro. Regione AWS
-
Il team dell'applicazione esegue una copia del carico di lavoro in un altro Regione AWS che soddisfa i requisiti di sovranità dei dati. Utilizzano le tabelle globali di Amazon DynamoDB e Amazon S3 Cross-Region Replication per replicare automaticamente i dati dalla regione primaria alla regione secondaria.
