Monitora Amazon Aurora per le istanze senza crittografia

Creato da Mansi Suratwala () AWS

Ambiente: produzione	Tecnologie: database; sicurezza, identità, conformità; archiviazione e backup	Carico di lavoro: open source; tutti gli altri carichi di lavoro
AWSservizi: AmazonSNS; Amazon Aurora; AWS CloudTrail Amazon CloudWatch; Lambda AWS

Riepilogo

Questo modello fornisce un CloudFormation modello Amazon Web Services (AWS) che puoi implementare per configurare notifiche automatiche quando un'istanza Amazon Aurora viene creata senza la crittografia attivata.

Aurora è un motore di database relazionale completamente gestito compatibile con My SQL e Postgre. SQL Con alcuni carichi di lavoro, Aurora è in grado di offrire un throughput fino a cinque volte superiore a SQL My e fino a tre volte quello di SQL Postgre senza richiedere modifiche alla maggior parte delle applicazioni esistenti.

Il CloudFormation modello crea un evento Amazon CloudWatch Events e una funzione AWS Lambda. L'evento viene utilizzato AWS CloudTrail per monitorare la creazione di un'istanza Aurora o il ripristino temporale di un'istanza esistente. L'evento Cloudwatch Events avvia la funzione Lambda, che verifica se la crittografia è abilitata. Se la crittografia non è attivata, la funzione Lambda invia una notifica Amazon Simple Notification Service SNS (Amazon) per informarti della violazione. 

Prerequisiti e limitazioni

Prerequisiti

• Un account attivo AWS

Limitazioni

• Questo controllo del servizio funziona solo con le istanze di Amazon Aurora. Non supporta altre istanze di Amazon Relational Database Service (RDSAmazon).

• Il CloudFormation modello deve essere distribuito solo per CreateDBInstance eRestoreDBClusterToPointInTim. 

Versioni del prodotto

• SQLVersioni Postgre supportate in Amazon Aurora

• SQLLe mie versioni supportate in Amazon Aurora

Architettura

Stack tecnologico Target

• Amazon Aurora

• AWS CloudTrail

• Amazon CloudWatch

• AWSLambda

• Amazon Simple Storage Service (Amazon S3)

• Amazon SNS

Architettura Target

Automazione e scalabilità

Puoi utilizzare il CloudFormation modello più volte per diverse regioni e account. Devi eseguirlo solo una volta in ogni regione o account.

Strumenti

Strumenti

• Amazon Aurora — Amazon Aurora è un motore di database relazionale completamente gestito compatibile con My e Postgre. SQL SQL

• AWS CloudTrail— ti AWS CloudTrail aiuta a gestire la governance, la conformità e il controllo operativo e dei rischi del tuo account. AWS Le azioni intraprese da un utente, un ruolo o un AWS servizio vengono registrate come eventi in CloudTrail. 

• Amazon CloudWatch Events: Amazon CloudWatch Events offre un near-real-time flusso di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. 

• AWSLambda: AWS Lambda è un servizio di elaborazione che supporta l'esecuzione di codice senza effettuare il provisioning o la gestione di server. Lambda esegue il codice solo quando è necessario e si dimensiona automaticamente, da poche richieste al giorno a migliaia al secondo. 

• Amazon S3 — Amazon Simple Storage Service (Amazon S3) è un servizio di storage di oggetti altamente scalabile che puoi utilizzare per un'ampia gamma di soluzioni di storage, tra cui siti Web, applicazioni mobili, backup e data lake.

• Amazon SNS — Amazon Simple Notification Service (AmazonSNS) è un servizio gestito che fornisce il recapito di messaggi tramite LambdaHTTP, e-mail, notifiche push mobili e messaggi di testo mobili ()SMS. 

Codice

Un file.zip del progetto è disponibile come allegato.

Epiche

Crea il bucket S3 per lo script Lambda

Attività	Descrizione	Competenze richieste
Definisci il bucket S3.	Apri la console Amazon S3 e scegli o crea un bucket S3. Questo bucket S3 ospiterà il file.zip con codice Lambda. Il tuo bucket S3 deve trovarsi nella stessa regione di Aurora. Il nome del bucket S3 non può contenere barre iniziali.	Architetto del cloud

Carica il codice Lambda nel bucket S3

Attività	Descrizione	Competenze richieste
Carica il codice Lambda.	Carica il file.zip con codice Lambda fornito nella sezione Allegati nel bucket S3 che hai definito.	Architetto del cloud

Implementa il modello CloudFormation

Attività	Descrizione	Competenze richieste
Implementa il CloudFormation modello.	Sulla CloudFormation console, distribuisci il RDS_Aurora_Encryption_At_Rest.yml CloudFormation modello fornito come allegato a questo modello. Nella prossima epopea, fornisci i valori per i parametri del modello.	Architetto del cloud

Completa i parametri nel CloudFormation modello

Attività	Descrizione	Competenze richieste
Fornisci il nome del bucket S3.	Inserisci il nome del bucket S3 che hai creato o scelto nella prima epic.	Architetto del cloud
Fornisci la chiave S3.	Fornisci la posizione del file.zip del codice Lambda nel tuo bucket S3, senza barre iniziali (ad esempio,). <directory>/<file-name>.zip	Architetto del cloud
Fornisci un indirizzo email.	Fornisci un indirizzo email attivo per ricevere SNS le notifiche di Amazon.	Architetto del cloud
Definisci il livello di registrazione.	Definisci il livello e la frequenza di registrazione per la tua funzione Lambda. Infoindica messaggi informativi dettagliati sullo stato di avanzamento dell'applicazione. Errorindica eventi di errore che potrebbero comunque consentire all'applicazione di continuare a funzionare. Warningindica situazioni potenzialmente dannose.	Architetto del cloud

Confermare la sottoscrizione

Attività	Descrizione	Competenze richieste
Confermare la sottoscrizione.	Quando il modello viene distribuito correttamente, invia un messaggio e-mail di sottoscrizione all'indirizzo e-mail fornito. Per ricevere notifiche, è necessario confermare questa sottoscrizione e-mail.	Architetto del cloud

Risorse correlate

• Creazione di un bucket S3

• Caricamento di file su un bucket S3 

• Creazione di un cluster database Amazon Aurora

• Creazione di una regola CloudWatch Events che si attiva durante una chiamata utilizzando AWS API AWS CloudTrail

Allegati

Per accedere al contenuto aggiuntivo associato a questo documento, decomprimi il seguente file: attachment.zip