Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Verifica che i nuovi cluster Amazon Redshift abbiano gli endpoint richiesti SSL
Creato da Priyanka Chaudhary () AWS
Ambiente: produzione | Tecnologie: sicurezza, identità, conformità; analisi | AWSservizi: AWS CloudTrail; Amazon CloudWatch Events; Amazon Redshift; AmazonSNS; Lambda AWS |
Riepilogo
Questo modello fornisce un CloudFormation modello Amazon Web Services (AWS) che ti avvisa automaticamente quando viene avviato un nuovo cluster Amazon Redshift senza endpoint Secure Sockets SSL Layer ().
Amazon Redshift è un servizio di data warehouse completamente gestito, su scala petabyte e basato sul cloud. È progettato per l'archiviazione e l'analisi di set di dati su larga scala. Viene anche utilizzato per eseguire migrazioni di database su larga scala. Per motivi di sicurezza, Amazon Redshift supporta SSL la crittografia della connessione tra l'applicazione client SQL Server dell'utente e il cluster Amazon Redshift. Per configurare il cluster in modo che richieda una SSL connessione, è necessario impostare il require_SSL
parametro true
nel gruppo di parametri associato al cluster durante l'avvio.
Il controllo di sicurezza fornito con questo pattern monitora le chiamate Amazon API Redshift AWS CloudTrail nei log e avvia un evento CloudWatch Amazon Events per CreateClusterModifyCluster,,, RestoreFromClusterSnapshote. CreateClusterParameterGroupModifyClusterParameterGroupAPIs Quando l'evento rileva uno di questiAPIs, chiama AWS Lambda, che esegue uno script Python. La funzione Python analizza l' CloudWatch evento per gli eventi elencati. CloudTrail Quando un cluster Amazon Redshift viene creato, modificato o ripristinato da uno snapshot esistente, viene creato un nuovo gruppo di parametri per il cluster o viene modificato un gruppo di parametri esistente, la funzione verifica il require_SSL
parametro per il cluster. Se il valore del parametro èfalse
, la funzione invia una notifica Amazon Simple Notification Service (AmazonSNS) all'utente con le informazioni pertinenti: il nome del cluster Amazon Redshift, la AWS regione, l'AWSaccount e Amazon Resource Name (ARN) per Lambda da cui proviene questa notifica.
Prerequisiti e limitazioni
Prerequisiti
Un account AWS attivo.
Un cloud privato virtuale (VPC) con un sottogruppo di cluster e un gruppo di sicurezza associato.
Limitazioni
Questo controllo di sicurezza è regionale. È necessario distribuirlo in ogni AWS regione che si desidera monitorare.
Architettura
Architettura Target
Automazione e scalabilità
Se utilizzi AWSOrganizations
, puoi utilizzare AWSCloudformation StackSets per distribuire questo modello in più account che desideri monitorare.
Strumenti
AWSservizi
AWS CloudFormation— AWS CloudFormation aiuta a modellare e configurare AWS le risorse, a fornirle in modo rapido e coerente e a gestirle per tutto il loro ciclo di vita. È possibile utilizzare un modello per descrivere le risorse e le relative dipendenze e lanciarle e configurarle insieme come uno stack, anziché gestire le risorse singolarmente.
Amazon CloudWatch Events: Amazon CloudWatch Events offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse.
AWSLambda
: AWS Lambda è un servizio di elaborazione che supporta l'esecuzione di codice senza effettuare il provisioning o la gestione di server. Amazon Redshift — Amazon Redshift è un servizio di data warehouse completamente gestito su scala di petabyte nel cloud.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) è un servizio di storage di oggetti. È possibile utilizzare Amazon S3 per memorizzare e recuperare qualsiasi volume di dati, in qualunque momento e da qualunque luogo tramite il Web.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) coordina e gestisce la consegna o l'invio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail. I sottoscrittori ricevono tutti gli stessi messaggi pubblicati sugli argomenti ai quali sono hanno effettuato la sottoscrizione.
Codice
Questo modello include i seguenti allegati:
RedshiftSSLEndpointsRequired.zip
— Il codice Lambda per il controllo di sicurezza.RedshiftSSLEndpointsRequired.yml
— Il CloudFormation modello che configura l'evento e la funzione Lambda.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Definisci il bucket S3. | Sulla console Amazon S3 | Architetto del cloud |
Carica il codice Lambda. | Carica il file.zip con codice Lambda fornito nella sezione Allegati nel bucket S3. | Architetto del cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Avvia il AWS CloudFormation modello. | Apri la AWS CloudFormation console | Architetto del cloud |
Completa i parametri nel modello. | Quando avvii il modello, ti verranno richieste le seguenti informazioni:
| Architetto del cloud |
Attività | Descrizione | Competenze richieste |
---|---|---|
Confermare la sottoscrizione. | Quando il CloudFormation modello viene distribuito correttamente, invia un'e-mail di iscrizione all'indirizzo e-mail fornito. È necessario confermare questa sottoscrizione e-mail per iniziare a ricevere notifiche di violazione. | Architetto del cloud |
Risorse correlate
Creazione di un bucket S3 (documentazione Amazon S3)
Caricamento di file in un bucket S3 (documentazione Amazon S3)
Creazione di uno stack sulla console (documentazione) AWS CloudFormation AWS CloudFormation
Creazione di una regola CloudWatch Events che si attiva durante una AWS API chiamata utilizzando AWS CloudTrail (documentazione) AWS CloudTrail
Creazione di un cluster Amazon Redshift (documentazione Amazon Redshift)
Configurazione delle opzioni di sicurezza per le connessioni (documentazione Amazon Redshift)