암호화를 사용하지 않는 인스턴스가 있는지 Amazon Aurora를 모니터링

작성자: Mansi Suratwala(AWS)

환경: 프로덕션	기술: 데이터베이스, 보안, 자격 증명, 규정 준수, 스토리지 및 백업	워크로드: 오픈 소스, 기타 모든 워크로드
AWS 서비스: Amazon SNS, Amazon Aurora, AWS CloudTrail, Amazon CloudWatch, AWS Lambda

요약

이 패턴은 암호화를 켜지 않고 Amazon Aurora 인스턴스가 생성될 때 자동 알림을 설정하기 위해 배포할 수 있는 Amazon Web Services(AWS) CloudFormation 템플릿을 제공합니다.

Aurora는 MySQL 및 Postgre 와 호환되는 완전 관리형 관계형 데이터베이스 엔진입니다SQL. 일부 워크로드의 경우 Aurora는 기존 애플리케이션의 대부분을 변경할 필요 없이 MySQL 처리량의 최대 5배와 PostgreSQL 처리량의 최대 3배를 제공할 수 있습니다.

CloudFormation 템플릿은 Amazon CloudWatch Events 이벤트와 AWS Lambda 함수를 생성합니다. 이벤트는 AWS CloudTrail 를 사용하여 Aurora 인스턴스 생성 또는 기존 인스턴스의 특정 시점 복원을 모니터링합니다. Cloudwatch Events 이벤트는 암호화의 활성화 여부를 확인하는 Lambda 함수를 시작합니다. 암호화가 활성화되지 않은 경우 Lambda 함수는 위반 사실을 알리는 Amazon Simple Notification Service(AmazonSNS) 알림을 보냅니다. 

사전 조건 및 제한 사항

필수 조건

• 활성 AWS 계정

제한 사항 

• 이 서비스 제어는 Amazon Aurora 인스턴스에서만 작동합니다. 다른 Amazon Relational Database Service(AmazonRDS) 인스턴스는 지원하지 않습니다.

• CloudFormation 템플릿은 CreateDBInstance및 RestoreDBClusterToPointInTime에만 배포해야 합니다. 

제품 버전

• Amazon Aurora에서 지원되는 PostgreSQL 버전

• Amazon Aurora에서 지원되는 내SQL 버전

아키텍처

대상 기술 스택  

• Amazon Aurora

• AWS CloudTrail

• Amazon CloudWatch

• AWS Lambda

• Amazon Simple Storage Service(S3)

• Amazon SNS

대상 아키텍처 

자동화 및 규모 조정

템플릿을 여러 리전과 계정에 CloudFormation 여러 번 사용할 수 있습니다. 각 리전 또는 계정에서 한 번만 실행해야 합니다.

도구

도구

• Amazon Aurora – Amazon Aurora는 MySQL 및 Postgre 와 호환되는 완전 관리형 관계형 데이터베이스 엔진입니다SQL.

• AWS CloudTrail – 는 AWS 계정의 거버넌스, 규정 준수, 운영 및 위험 감사를 관리하는 데 AWS CloudTrail 도움이 됩니다. 사용자, 역할 또는 AWS 서비스가 수행한 작업은 에 이벤트로 기록됩니다 CloudTrail. 

• Amazon CloudWatch Events - Amazon CloudWatch Events는 near-real-time AWS 리소스의 변경 사항을 설명하는 시스템 이벤트 스트림을 제공합니다. 

• AWS Lambda - AWS Lambda는 서버를 프로비저닝하거나 관리하지 않고도 실행 중인 코드를 지원하는 컴퓨팅 서비스입니다. Lambda는 필요 시에만 코드를 실행하며, 일일 몇 개의 요청에서 초당 수천 개의 요청까지 자동으로 규모를 조정합니다. 

• Amazon S3 – Amazon Simple Storage Service(S3)는 웹 사이트, 모바일 애플리케이션, 백업 및 데이터 레이크를 포함하여 다양한 스토리지 솔루션에 사용할 수 있는 확장성이 뛰어난 객체 스토리지 서비스입니다.

• Amazon SNS – Amazon Simple Notification Service(Amazon SNS)는 Lambda, HTTP, 이메일, 모바일 푸시 알림 및 모바일 문자 메시지()를 사용하여 메시지 전송을 제공하는 관리형 서비스입니다SMS. 

코드 

프로젝트의 .zip 파일은 첨부 파일로 제공됩니다.

에픽

Lambda 스크립트용 S3 버킷을 생성

작업	설명	필요한 기술
S3 버킷을 정의합니다.	Amazon S3 콘솔을 열고 S3 버킷을 선택하거나 생성합니다. 이 S3 버킷은 Lambda 코드 .zip 파일을 호스팅합니다. S3 버킷은 Aurora와 같은 리전에 있어야 합니다. S3 버킷 이름에는 선행 슬래시를 포함할 수 없습니다.	클라우드 아키텍트

Lambda 코드를 S3 버킷에 업로드

작업	설명	필요한 기술
Lambda 코드를 업로드합니다.	첨부 파일 섹션에 제공된 Lambda 코드 .zip 파일을 사용자가 정의한 S3 버킷에 업로드합니다.	클라우드 아키텍트

CloudFormation 템플릿 배포

작업	설명	필요한 기술
CloudFormation 템플릿을 배포합니다.	CloudFormation 콘솔에서 이 패턴에 대한 연결로 제공된 RDS_Aurora_Encryption_At_Rest.yml CloudFormation 템플릿을 배포합니다. 다음 에픽에서 템플릿 파라미터에 대한 값을 입력합니다.	클라우드 아키텍트

CloudFormation 템플릿의 파라미터를 완료합니다.

작업	설명	필요한 기술
S3 버킷 이름을 제공합니다.	첫 번째 에픽에서 생성하거나 선택한 S3 버킷의 이름을 입력합니다.	클라우드 아키텍트
S3 키를 입력합니다.	S3 버킷의 Lambda 코드 .zip 파일 위치를 선행 슬래시 없이 입력합니다(예: <directory>/<file-name>.zip).	클라우드 아키텍트
이메일 주소를 입력합니다.	Amazon SNS 알림을 수신할 활성 이메일 주소를 제공합니다.	클라우드 아키텍트
로깅 수준을 정의합니다.	Lambda 함수의 로깅 수준 및 빈도를 정의합니다. Info는 애플리케이션 진행 상황에 대한 자세한 정보 메시지를 지정합니다. Error는 애플리케이션을 계속 실행할 수 있게 해주는 오류 이벤트를 지정합니다. Warning은 잠재적으로 유해한 상황을 지정합니다.	클라우드 아키텍트

구독 확인

작업	설명	필요한 기술
구독을 확인합니다.	템플릿이 성공적으로 배포되면 입력한 이메일 주소로 구독 이메일 메시지가 전송됩니다. 알림을 받으려면 이 이메일 구독을 확인해야 합니다.	클라우드 아키텍트

관련 리소스

• S3 버킷 생성

• S3 버킷에 파일 업로드 

• Amazon Aurora DB 클러스터 생성

• 를 사용하여 AWS API 통화 시 트리거하는 CloudWatch 이벤트 규칙 생성 AWS CloudTrail

첨부

이 문서와 관련된 추가 콘텐츠에 액세스하려면 attachment.zip 파일의 압축을 풉니다.