AWS テンプレートを使用して AWS Glue で暗号化の適用を自動化する CloudFormation - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS テンプレートを使用して AWS Glue で暗号化の適用を自動化する CloudFormation

ディオゴ・ゲデス (AWS) により作成

コードリポジトリ: AWS Glue 暗号化の適用

環境:本稼働

テクノロジー: 分析、セキュリティ、アイデンティティ、コンプライアンス

ワークロード: その他すべてのワークロード

AWS サービス: Amazon EventBridge、AWS Glue 、AWS KMS、AWS Lambda 、AWS CloudFormation

[概要]

このパターンは、AWS テンプレートを使用して AWS Glue で暗号化の適用を設定および自動化する方法を示しています。 CloudFormation このテンプレートは、暗号化を実施するために必要なすべての設定とリソースを作成します。これらのリソースには、初期設定、Amazon EventBridge ルールによって作成された予防コントロール、および AWS Lambda 関数が含まれます。

前提条件と制限

前提条件

  • アクティブなAWS アカウント

  • CloudFormation テンプレートとそのリソースをデプロイするためのアクセス許可

制約事項

このセキュリティコントロールは地域ごとに行われます。AWS Glue で暗号化の適用を設定する各 AWS リージョンに、セキュリティコントロールをデプロイする必要があります。

アーキテクチャ

ターゲットテクノロジースタック

  • Amazon CloudWatch Logs (AWS Lambda から)

  • Amazon EventBridge ルール

  • AWS CloudFormation スタック

  • AWS CloudTrail

  • AWS Identity and Access Management (IAM) 管理ロールとポリシー

  • AWS Key Management Service (AWS KMS)

  • AWS KMS alias

  • AWS Lambda 関数

  • Systems Manager パラメータストア

ターゲットアーキテクチャ

次の図は、AWS Glue で暗号化の適用を自動化する方法を示しています。

図は、 CloudFormation テンプレートを使用して AWS Glue で暗号化の適用を自動化する方法を示しています。

この図表は、次のワークフローを示しています:

  1. CloudFormation テンプレートは、AWS Glue での暗号化の適用に関する初期設定や検出制御を含むすべてのリソースを作成します。

  2. EventBridge ルールは、暗号化設定の状態変更を検出します。

  3. Lambda 関数が呼び出され、 CloudWatch ログによる評価とログ記録が行われます。非準拠の検出では、パラメータストアは AWS KMS キーの Amazon リソースネーム (ARN) で復元されます。サービスは暗号化が有効になった状態で準拠状態に修正されます。

自動化とスケール

AWS OrganizationsAWS CloudFormation StackSets を使用して、AWS Glue で暗号化の適用を有効にする複数のアカウントにこのテンプレートをデプロイできます。

ツール

  • Amazon CloudWatch は、AWS リソースと AWS で実行するアプリケーションのメトリクスをリアルタイムでモニタリングするのに役立ちます。

  • Amazon EventBridge は、アプリケーションをさまざまなソースからのリアルタイムデータに接続するのに役立つサーバーレスイベントバスサービスです。たとえば、Lambda 関数、API 宛先を使用する HTTP 呼び出しエンドポイント、または他の AWS アカウントのイベントバスなどです。

  • AWS CloudFormation は、AWS リソースをセットアップし、迅速かつ一貫したプロビジョニングを行い、AWS アカウントとリージョン全体のライフサイクルを通じてリソースを管理するのに役立ちます。

  • AWS CloudTrail は、AWS アカウントの運用とリスクの監査、ガバナンス、コンプライアンスを有効にするのに役立ちます。

  • AWS Glue は、フルマネージド型の抽出、変換、ロード (ETL) サービスです。これにより、データストアとデータストリーム間でのデータの分類、整理、強化、移動を確実に行うことができます。

  • AWS Key Management Service (AWS KMS) は、データの保護に役立つ暗号キーを作成および管理する上で役立ちます。

  • AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。

  • AWS Systems Manager」は、AWS クラウドで実行されるアプリケーションとインフラストラクチャの管理に役立ちます。アプリケーションとリソースの管理が簡略化され、オペレーション上の問題の検出と解決時間が短縮され、AWS リソースを大規模かつセキュアに管理できるようになります。

コード

このパターンのコードは、 GitHub aws-custom-guardrail-event駆動型リポジトリで使用できます。

ベストプラクティス

AWS Glue は、「AWS Glue」でジョブを作成したり、「開発エンドポイントを使用してスクリプトを開発したりするための保存データ暗号化」をサポートしています。

以下のベストプラクティスを考慮します。

  • AWS KMS キーを使用して暗号化されたデータを残りの部分に書き込むように、ETL ジョブと開発エンドポイントを設定します。

  • AWS KMS で管理するキーを使用して、「AWS Glue データカタログ」に保存されているメタデータを暗号化します。

  • AWS KMS キーを使用して、ジョブのブックマークや、「クローラー」および ETL ジョブで生成されたログを暗号化します。

エピック

タスク説明必要なスキル

CloudFormation テンプレートをデプロイします。

GitHub リポジトリ からaws-custom-guardrail-event-driven.yamlテンプレートをダウンロードし、テンプレートをデプロイします。CREATE_COMPLETE ステータスはテンプレートが正常にデプロイされたことを示します。

注:テンプレートには入力パラメータは必要ありません。

クラウドアーキテクト
タスク説明必要なスキル

AWS KMS キー設定を確認します。

  1. AWS マネジメントコンソールにサインインし、「AWS Glue コンソール」 を開きます。

  2. ナビゲーションペインの データカタログで、カタログ設定を選択します。

  3. メタデータの暗号化と接続パスワードの暗号化の設定にフラグが付けられ、KMSKeyGlue 使用するように設定されていることを確認します。

クラウドアーキテクト
タスク説明必要なスキル

の暗号化設定を特定します CloudFormation。

  1. AWS マネジメントコンソールにサインインし、CloudFormation コンソール を開きます。

  2. ナビゲーションペインでスタックを選択し、相応しいスタックを選択します。

  3. [リソース] タブを選択します。

  4. リソーステーブルで、論理 ID による暗号化設定を探します。

クラウドアーキテクト

プロビジョニングされたインフラストラクチャーを非準拠状態に切り替えます。

  1. AWS マネジメントコンソールにサインインし、「AWS Glue コンソール」 を開きます。

  2. ナビゲーションペインの データカタログで、カタログ設定を選択します。

  3. メタデータの暗号化チェックボックスをオフにします。

  4. 接続パスワードを暗号化チェックボックスをオフにします。

  5. [保存] を選択します。

  6. AWS Glue コンソールを更新します。

チェックボックスをオフにすると、ガードレールは AWS Glue の非準拠状態を検出し、暗号化の設定ミスを自動的に修正することでコンプライアンスを強制します。そのため、ページを更新した後は、暗号化のチェックボックスが再びオンになっているはずです。

クラウドアーキテクト

関連リソース