AWS CloudFormation 템플릿을 사용하여 AWS Glue에서 암호화 적용 자동화

작성자: Diogo Guedes(AWS)

코드 리포지토리: AWS Glue 암호화 규약	환경: 프로덕션	기술: 분석, 보안, ID, 규정 준수
워크로드: 기타 모든 워크로드	AWS 서비스: Amazon EventBridge, AWS Glue, AWS KMS, AWS Lambda, AWS CloudFormation

요약

이 패턴은 AWS CloudFormation 템플릿을 사용하여 AWS Glue에서 암호화 적용을 설정하고 자동화하는 방법을 보여줍니다. 템플릿은 암호화를 적용하는 데 필요한 모든 구성과 리소스를 생성합니다. 이러한 리소스에는 초기 구성, Amazon EventBridge 규칙에 의해 생성된 예방 제어 및 AWS Lambda 함수가 포함됩니다.

사전 조건 및 제한 사항

사전 조건 

• 활성 AWS 계정

• CloudFormation 템플릿 및 해당 리소스를 배포할 수 있는 권한

제한 사항

이 보안 제어는 리전별로 적용됩니다. AWS Glue에서 암호화 적용을 설정하려는 각 AWS 리전에 보안 제어를 배포해야 합니다.

아키텍처

대상 기술 스택  

• Amazon CloudWatch Logs(AWSLambda에서)

• Amazon EventBridge 규칙

• AWS CloudFormation 스택

• AWS CloudTrail

• AWS Identity and Access Management(IAM) 관리형 역할 및 정책

• AWS 키 관리 서비스(AWS KMS)

• AWS KMS 별칭

• AWS Lambda 함수

• AWS Systems Manager 파라미터 스토어

대상 아키텍처 

다음 다이어그램은 AWS Glue에서 암호화 적용을 자동화하는 방법을 보여줍니다.

이 다이어그램은 다음 워크플로를 보여줍니다.

1. CloudFormation 템플릿은 AWS Glue에서 암호화 적용을 위한 초기 구성 및 탐지 제어를 포함한 모든 리소스를 생성합니다.

2. EventBridge 규칙은 암호화 구성의 상태 변화를 감지합니다.

3. Lambda 함수는 CloudWatch 로그를 통한 평가 및 로깅을 위해 호출됩니다. 규정을 준수하지 않는 감지의 경우 Parameter Store는 AWS KMS 키의 Amazon 리소스 이름(ARN)으로 복구됩니다. 서비스는 암호화가 활성화된 상태에서 규정 준수 상태로 개선됩니다.

자동화 및 규모 조정

AWS Organizations 를 사용하는 경우 AWS CloudFormation StackSets를 사용하여 AWS Glue에서 암호화 적용을 활성화하려는 여러 계정에 이 템플릿을 배포할 수 있습니다.

도구

• Amazon CloudWatch은 AWS 리소스 및 실행 중인 애플리케이션의 지표를 AWS 실시간으로 모니터링할 수 있도록 도와줍니다.

• Amazon EventBridge은 애플리케이션을 다양한 소스의 실시간 데이터와 연결하는 데 도움이 되는 서버리스 이벤트 버스 서비스입니다. 예를 들어 Lambda 함수, API 대상HTTP을 사용하는 호출 엔드포인트 또는 다른 AWS 계정의 이벤트 버스 등이 있습니다.

• AWS CloudFormation 는 AWS 리소스를 설정하고, 빠르고 일관되게 프로비저닝하고, AWS 계정 및 리전의 수명 주기 동안 관리할 수 있도록 지원합니다.

• AWS CloudTrail 는 AWS 계정의 운영 및 위험 감사, 거버넌스 및 규정 준수를 활성화하는 데 도움이 됩니다.

• AWS Glue는 완전 관리형 추출, 변환 및 로드(ETL) 서비스입니다. 이를 통해 데이터 스토어와 데이터 스트림 간에 데이터를 안정적으로 분류, 정리, 보강하고 이동할 수 있습니다.

• AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 생성하고 제어하여 데이터를 보호할 수 있습니다.

• AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.

• AWS Systems Manager는 AWS 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움이 됩니다. 애플리케이션 및 리소스 관리를 간소화하고, 운영 문제를 감지하고 해결하는 시간을 단축하며, 대규모로 AWS 리소스를 안전하게 관리하는 데 도움이 됩니다.

코드

이 패턴의 코드는 GitHub aws-custom-guardrail-event-구동 리포지토리에서 사용할 수 있습니다.

모범 사례

AWS Glue는 AWSGlue에서 작업을 작성하고 개발 엔드포인트를 사용하여 스크립트를 개발하기 위해 저장 데이터 암호화를 지원합니다.

다음 모범 사례를 고려하세요.

• AWS KMS 키를 사용하여 저장된 암호화된 데이터를 작성하도록 ETL 작업 및 개발 엔드포인트를 구성합니다.

• 를 통해 관리하는 키를 사용하여 AWS Glue 데이터 카탈로그에 저장된 메타데이터를 암호화합니다AWSKMS.

• AWS KMS 키를 사용하여 작업 북마크와 크롤러 및 ETL 작업에서 생성된 로그를 암호화합니다.

에픽

CloudFormation 템플릿 시작

작업	설명	필요한 기술
CloudFormation 템플릿을 배포합니다.	GitHub 리포지토리 에서 aws-custom-guardrail-event-driven.yaml 템플릿을 다운로드한 다음 템플릿을 배포합니다. CREATE_COMPLETE 상태는 템플릿이 성공적으로 배포되었음을 나타냅니다. 참고: 템플릿에는 입력 파라미터가 필요하지 않습니다.	클라우드 아키텍트

AWS Glue에서 암호화 설정 확인

작업	설명	필요한 기술
AWS KMS 키 구성을 확인합니다.	AWS 관리 콘솔에 로그인한 다음 AWS Glue 콘솔을 엽니다. 탐색 창에서 데이터 카탈로그의 카탈로그 설정을 선택합니다. 메타데이터 암호화 및 연결 암호 암호화 설정에 플래그가 지정되고 KMSKeyGlue을(를) 사용하도록 구성되어 있는지 확인합니다.	클라우드 아키텍트

암호화 적용 테스트

작업	설명	필요한 기술
에서 암호화 설정을 식별합니다 CloudFormation.	AWS 관리 콘솔에 로그인한 다음 CloudFormation 콘솔 을 엽니다. 탐색 창에서 스택을 선택한 후 해당 스택을 선택합니다. 리소스 탭을 선택합니다. 리소스 테이블에서 논리적 ID별 암호화 설정을 찾습니다.	클라우드 아키텍트
프로비저닝된 인프라를 미준수 상태로 전환합니다.	AWS 관리 콘솔에 로그인한 다음 AWS Glue 콘솔을 엽니다. 탐색 창에서 데이터 카탈로그의 카탈로그 설정을 선택합니다. 메타데이터 암호화 확인란의 선택을 취소합니다. 연결 암호 암호화 확인란의 선택을 취소합니다. 저장(Save)을 선택합니다. Glue 콘솔을 새로 AWS 고칩니다. 가드레일은 확인란을 선택 취소한 후 AWS Glue에서 규정 미준수 상태를 감지한 다음 암호화 구성 오류를 자동으로 해결하여 규정 준수를 적용합니다. 이에 따라, 페이지를 새로 고친 후 암호화 확인란을 다시 선택해야 합니다.	클라우드 아키텍트

관련 리소스

• AWS CloudFormation 콘솔에서 스택 생성(AWS CloudFormation 문서)

• (Amazon CloudWatch 설명서)를 사용하여 AWS API 통화 시 트리거되는 CloudWatch 이벤트 규칙 생성 AWS CloudTrail

• AWS Glue에서 암호화 설정(AWS Glue 설명서)