暗号化されていない Amazon Aurora インスタンスをモニタリングする

作成者: Mansi Suratwala (AWS)

環境:本稼働	テクノロジー: データベース、セキュリティ、アイデンティティ、コンプライアンス、ストレージとバックアップ	ワークロード：その他すべてのワークロード、オープンソース
AWS サービス: Amazon SNSAmazon Aurora、AWS CloudTrail、Amazon CloudWatch、AWS Lambda

[概要]

このパターンは、暗号化を有効にせずに Amazon Aurora インスタンスが作成されたときに自動通知をセットアップするためにデプロイできる Amazon Web Services (AWS) CloudFormation テンプレートを提供します。

Aurora はフルマネージド型のリレーショナルデータベースエンジンで、MySQL および PostgreSQL と互換性があります。Aurora では、既存のアプリケーションのほとんどを変更せずに、ほんの少しのワークロードで MySQL のスループットの 5 倍、PostgreSQL のスループットの 3 倍を実現します。

CloudFormation テンプレートは、Amazon CloudWatch Events イベントと AWS Lambda 関数を作成します。イベントは AWS CloudTrail を使用して、Aurora インスタンスの作成または既存のインスタンスのポイントインタイム復元をモニタリングします。Cloudwatch Events は、暗号化が有効になっているかどうかをチェックする Lambda 関数を呼び出します。暗号化が有効になっていない場合、Lambda 関数から Amazon Simple Notification Service (Amazon SNS) 通知が送信されます。 

前提条件と制限

前提条件

• アクティブなAWS アカウント

機能制限

• このサービスコントロールは Amazon Aurora インスタンスでのみ機能します。他のAmazon Relational Database Service (Amazon RDS) インスタンスをサポートしません。

• CloudFormation テンプレートは、 CreateDBInstanceと RestoreDBClusterToPointInTime に対してのみデプロイする必要があります。 

製品バージョン

• Amazon Aurora でサポートされている PostgreSQL のバージョン

• Amazon Aurora でサポートされている MySQL バージョン

アーキテクチャ

ターゲットテクノロジースタック

• Amazon Aurora

• AWS CloudTrail

• Amazon CloudWatch

• AWS Lambda

• Amazon Simple Storage Service (Amazon S3)

• Amazon SNS

ターゲット アーキテクチャ

自動化とスケール

テンプレートは、異なるリージョンとアカウントに対して CloudFormation 複数回使用できます。各リージョンまたはアカウントで 1 回のみ実行できます。

ツール

ツール

• 「Amazon Aurora」— Amazon Aurora はフルマネージド型のリレーショナルデータベースエンジンで、MySQL および PostgreSQL と互換性があります。

• AWS CloudTrail – AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、運用およびリスク監査の管理に役立ちます。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、イベントとして に記録されます CloudTrail。 

• Amazon CloudWatch Events – Amazon CloudWatch Events は、AWS リソースの変更を記述するシステムイベントの near-real-time ストリームを配信します。 

• 「AWS Lambda」 – AWS Lambda はサーバーのプロビジョニングや管理を行わずにコードの実行を支援できるコンピューティングサービスです。Lambda は必要に応じてコードを実行し、1 日あたり数個のリクエストから 1 秒あたり数千のリクエストまで自動的にスケールします。 

• 「Amazon S3」—「Amazon Simple Storage Service (Amazon S3)」は、スケーラビリティの高いオブジェクトストレージサービスで、ウェブサイト、モバイルアプリケーション、バックアップとデータレイクなど、幅広いストレージソリューションに使用できます。

• 「Amazon SNS」—「Amazon Simple Notification Service (Amazon SNS)」は、Lambda、HTTP、Eメール、モバイルプッシュ通知とモバイルテキストメッセージ (SMS) を使用してメッセージを配信するマネージドサービスです。 

コード

プロジェクトの .zip ファイルは添付ファイルとして入手できます。

エピック

Lambda スクリプト用の S3 バケットを作成する

タスク	説明	必要なスキル
S3 バケットを定義します。	Amazon S3 コンソールを開き、S3 バケットを選択、または作成します。この S3 バケットは Lambda コードの.zip ファイルをホストします。S3 バケットは、Aurora と同じ国/地域に存在する必要があります。S3 バケット名の先頭にスラッシュを含めることはできません。	クラウドアーキテクト

S3 バケットに Lambda コードをアップロードします

タスク	説明	必要なスキル
Lambda コードをアップロードします。	「添付ファイル」セクションにある Lambda コードの.zip ファイルを S3 バケットにアップロードします。	クラウドアーキテクト

CloudFormation テンプレートをデプロイする

タスク	説明	必要なスキル
CloudFormation テンプレートをデプロイします。	CloudFormation コンソールで、このパターンの添付ファイルとして提供されているRDS_Aurora_Encryption_At_Rest.yml CloudFormation テンプレートをデプロイします。次のエピックでは、テンプレートパラメータの値を指定します。	クラウドアーキテクト

CloudFormation テンプレート内のパラメータを完了する

タスク	説明	必要なスキル
S3 バケット名を指定します。	最初のエピックで作成または選択した S3 バケットの名前を入力します。	クラウドアーキテクト
S3 キーを指定します。	S3 バケットの Lambda コードの .zip ファイルの場所を、先頭にスラッシュを付けずに指定します (例: <directory>/<file-name>.zip)。	クラウドアーキテクト
Eメールアドレスを入力します。	Amazon SNS 通知を受信するための有効な Eメールアドレスを指定します。	クラウドアーキテクト
ログ記録のレベルを定義します。	Lambda 関数のロギングレベルと頻度を定義します。 Info アプリケーションの進行状況に関する詳細な情報メッセージを指定します。 Error それでもアプリケーションの実行を継続できるエラーイベントを指定します。 Warning 潜在的に有害な状況を示します。	クラウドアーキテクト

サブスクリプションを確認

タスク	説明	必要なスキル
サブスクリプションを確認します。	テンプレートが正常にデプロイされると、指定されたメールアドレスに購読メールメッセージが送信されます。通知を受信するには、このメールのサブスクリプションを確認する必要があります。	クラウドアーキテクト

関連リソース

• 「S3 バケットの作成」

• 「S3 バケットへのファイルアップロード」 

• Amazon Aurora DB クラスターの作成

• AWS を使用して AWS API コールでトリガーする CloudWatch イベントルールの作成 CloudTrail

添付ファイル

このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「attachment.zip」