翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ワークロードの例: サーバーレスデータレイク
このワークロードは の例ですテーマ 1: マネージドサービスを使用する。
データレイクは、ストレージに Amazon S3 を使用し、ETL AWS Lambda に を使用します。これらのリソースは AWS Cloud Development Kit (AWS CDK) アプリで定義されます。システムへの変更は、 を通じてデプロイされます AWS CodePipeline。このパイプラインはアプリケーションチームに制限されています。アプリケーションチームがコードリポジトリのプルリクエストを行うと、2 人称ルールが使用されます。
このワークロードでは、アプリケーションチームは Essential Eight 戦略に対応するために以下のアクションを実行します。
アプリケーションコントロール
-
アプリケーションチームは、GuardDuty で Lambda Protection を有効にし、Amazon Inspector で Lambda スキャンを有効にします。
-
アプリケーションチームは、Amazon Inspector の検出結果を検査および管理するためのメカニズムを実装します。
パッチアプリケーション
-
アプリケーションチームは、Amazon Inspector で Lambda スキャンを有効にし、廃止されたライブラリまたは脆弱なライブラリのアラートを設定します。
-
アプリケーションチームは、 AWS Config がアセット検出の AWS リソースを追跡できるようにします。
管理者権限を制限する
-
コアアーキテクチャ 「」セクションで説明されているように、アプリケーションチームは、デプロイパイプラインの承認ルールを通じて、本番環境のデプロイへのアクセスを既に制限しています。
-
アプリケーションチームは、コアアーキテクチャ「」セクションで説明されている一元化された ID フェデレーションと一元化されたログ記録ソリューションに依存しています。
-
アプリケーションチームは、 AWS CloudTrail 証跡と Amazon CloudWatch フィルターを作成します。
-
アプリケーションチームは、CodePipeline のデプロイと AWS CloudFormation スタックの削除に関する Amazon Simple Notification Service (Amazon SNS) アラートを設定します。
パッチオペレーティングシステム
-
アプリケーションチームは、Amazon Inspector で Lambda スキャンを有効にし、廃止されたライブラリまたは脆弱なライブラリのアラートを設定します。
多要素認証
-
アプリケーションチームは、コアアーキテクチャ「」セクションで説明されている一元化された ID フェデレーションソリューションに依存しています。このソリューションは、疑わしい MFA イベントに対して MFA を適用し、認証とアラートをログに記録し、自動的に応答します。
定期的なバックアップ
-
アプリケーションチームは、 AWS CDK アプリケーションや Lambda 関数、設定などのコードをコードリポジトリ
に保存します。 -
アプリケーションチームは、バージョニングと Amazon S3 オブジェクトロックを有効にして、オブジェクトの削除や変更を防止します。
-
アプリケーションチームは、データセット全体を別のデータセットにレプリケートするのではなく、組み込みの Amazon S3 の耐久性に依存しています AWS リージョン。
-
アプリケーションチームは、データ主権 AWS リージョン 要件を満たす別の でワークロードのコピーを実行します。Amazon DynamoDB グローバルテーブルと Amazon S3 クロスリージョンレプリケーションを使用して、プライマリリージョンからセカンダリリージョンにデータを自動的にレプリケートします。
