기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
워크로드 예제: 서버리스 데이터 레이크
이 워크로드는의 예입니다테마 1: 관리형 서비스 사용.
데이터 레이크는 스토리지 및 ETL에 Amazon S3 AWS Lambda 를 사용합니다. 이러한 리소스는 AWS 클라우드 개발 키트 (AWS CDK) 앱에서 정의됩니다. 시스템 변경 사항은를 통해 배포됩니다 AWS CodePipeline. 이 파이프라인은 애플리케이션 팀으로 제한됩니다. 애플리케이션 팀이 코드 리포지토리에 대한 풀 요청을 하면 2인 규칙이 사용됩니다.
이 워크로드의 경우 애플리케이션 팀은 Essential Eight 전략을 해결하기 위해 다음 작업을 수행합니다.
애플리케이션 제어
-
애플리케이션 팀은 GuardDuty에서 Lambda 보호를 활성화하고 Amazon Inspector에서 Lambda 스캔을 활성화합니다.
-
애플리케이션 팀은 Amazon Inspector 조사 결과를 검사하고 관리하는 메커니즘을 구현합니다.
패치 애플리케이션
-
애플리케이션 팀은 Amazon Inspector에서 Lambda 스캔을 활성화하고 더 이상 사용되지 않거나 취약한 라이브러리에 대한 알림을 구성합니다.
-
애플리케이션 팀은 AWS Config 가 자산 검색을 위한 AWS 리소스를 추적할 수 있도록 합니다.
관리 권한 제한
-
코어 아키텍처 섹션에 설명된 대로 애플리케이션 팀은 이미 배포 파이프라인의 승인 규칙을 통해 프로덕션 배포에 대한 액세스를 제한합니다.
-
애플리케이션 팀은 코어 아키텍처 섹션에 설명된 중앙 집중식 자격 증명 페더레이션 및 중앙 집중식 로깅 솔루션을 사용합니다.
-
애플리케이션 팀은 AWS CloudTrail 추적 및 Amazon CloudWatch 필터를 생성합니다.
-
애플리케이션 팀은 CodePipeline 배포 및 AWS CloudFormation 스택 삭제에 대한 Amazon Simple Notification Service(Amazon SNS) 알림을 설정합니다.
패치 운영 체제
-
애플리케이션 팀은 Amazon Inspector에서 Lambda 스캔을 활성화하고 더 이상 사용되지 않거나 취약한 라이브러리에 대한 알림을 구성합니다.
멀티 팩터 인증
-
애플리케이션 팀은 코어 아키텍처 섹션에 설명된 중앙 집중식 자격 증명 페더레이션 솔루션을 사용합니다. 이 솔루션은 의심스러운 MFA 이벤트에 대해 MFA를 적용하고 인증 및 알림을 로깅하거나 자동으로 응답합니다.
정기 백업
-
애플리케이션 팀은 AWS CDK 앱 및 Lambda 함수 및 구성과 같은 코드를 코드 리포지토리
에 저장합니다. -
애플리케이션 팀은 버전 관리 및 Amazon S3 객체 잠금을 활성화하여 객체가 삭제되거나 수정되는 것을 방지합니다.
-
애플리케이션 팀은 전체 데이터 세트를 다른 데이터 세트로 복제하는 대신 기본 제공 Amazon S3 내구성을 사용합니다 AWS 리전.
-
애플리케이션 팀은 데이터 주권 요구 사항을 AWS 리전 충족하는 다른에서 워크로드의 사본을 실행합니다. Amazon DynamoDB 글로벌 테이블과 Amazon S3 교차 리전 복제를 사용하여 기본 리전에서 보조 리전으로 데이터를 자동으로 복제합니다.
