As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Automatize a aplicação da criptografia no AWS Glue usando um modelo AWS CloudFormation
Criado por Diogo Guedes () AWS
Repositório de códigos: AWS Glue Encryption Enforcement | Ambiente: produção | Tecnologias: análise; segurança, identidade, conformidade |
Workload: todas as outras workloads | AWSserviços: Amazon EventBridge; AWS Glue AWSKMS; AWS Lambda; AWS CloudFormation |
Resumo
Esse padrão mostra como configurar e automatizar a aplicação da criptografia no AWS Glue usando um AWS CloudFormation modelo. O modelo cria todas as configurações e recursos necessários para aplicar a criptografia. Esses recursos incluem uma configuração inicial, um controle preventivo criado por uma EventBridge regra da Amazon e uma função AWS Lambda.
Pré-requisitos e limitações
Pré-requisitos
Uma AWS conta ativa
Permissões para implantar o CloudFormation modelo e seus recursos
Limitações
Esse controle de segurança é regional. Você deve implantar o controle de segurança em cada AWS região em que deseja configurar a aplicação da criptografia no AWS Glue.
Arquitetura
Pilha de tecnologias de destino
Amazon CloudWatch Logs (da AWS Lambda)
EventBridge Regra da Amazon
AWS CloudFormation pilha
AWS CloudTrail
AWSFunção e política gerenciadas pelo Identity and Access Management (IAM)
AWSServiço de gerenciamento de chaves (AWSKMS)
AWSKMSpseudônimo
AWSFunção Lambda
AWSArmazenamento de parâmetros do Systems Manager
Arquitetura de destino
O diagrama a seguir mostra como automatizar a aplicação da criptografia no AWS Glue.
O diagrama mostra o seguinte fluxo de trabalho:
Um CloudFormation modelo
cria todos os recursos, incluindo a configuração inicial e o controle de detetive para a aplicação da criptografia no AWS Glue. Uma EventBridge regra detecta uma alteração de estado na configuração de criptografia.
Uma função Lambda é invocada para avaliação e registro por meio de registros. CloudWatch Para detecção não compatível, o Parameter Store é recuperado com um Amazon Resource Name (ARN) para uma AWS KMS chave. O serviço é corrigido para o status compatível com a criptografia ativada.
Automação e escala
Se você estiver usando AWSOrganizations
Ferramentas
CloudWatchA Amazon ajuda você a monitorar as métricas dos seus AWS recursos e dos aplicativos em que você executa AWS em tempo real.
EventBridgeA Amazon é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, funções Lambda, endpoints de HTTP invocação usando API destinos ou barramentos de eventos em outras contas. AWS
AWS CloudFormationajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas AWS as contas e regiões.
AWS CloudTrailajuda você a habilitar a auditoria operacional e de risco, a governança e a conformidade de sua AWS conta.
AWSO Glue é um serviço totalmente gerenciado de extração, transformação e carregamento (ETL). Ele ajuda você a categorizar de forma confiável, limpar, enriquecer e mover dados de forma confiável entre armazenamento de dados e fluxos de dados.
AWSO Key Management Service (AWSKMS) ajuda você a criar e controlar chaves criptográficas para ajudar a proteger seus dados.
AWSO Lambda é um serviço de computação que ajuda você a executar código sem precisar provisionar ou gerenciar servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
AWSO Systems Manager ajuda você a gerenciar seus aplicativos e infraestrutura em execução na AWS nuvem. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.
Código
O código desse padrão está disponível no repositório GitHub aws-custom-guardrail-eventcontrolado
Práticas recomendadas
AWSO Glue oferece suporte à criptografia de dados em repouso para trabalhos de criação no AWS Glue e desenvolvimento de scripts usando endpoints de desenvolvimento.
Considere as seguintes práticas recomendadas:
Configure ETL tarefas e endpoints de desenvolvimento para usar AWS KMS chaves para gravar dados criptografados em repouso.
Criptografe os metadados armazenados no AWSGlue Data Catalog usando chaves que você gerencia. AWS KMS
Use AWS KMS chaves para criptografar marcadores de tarefas e os registros gerados por rastreadores e tarefas. ETL
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Implante o CloudFormation modelo. | Baixe o Nota: o modelo não requer parâmetros de entrada. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Verifique as configurações das AWS KMS teclas. |
| Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Identifique a configuração de criptografia em CloudFormation. |
| Arquiteto de nuvem |
Mude a infraestrutura provisionada para um estado incompatível. |
O guardrail detecta o estado de inconformidade no AWS Glue depois que você desmarca as caixas de seleção e, em seguida, reforça a conformidade corrigindo automaticamente a configuração incorreta da criptografia. Como resultado, as caixas de seleção de criptografia devem ser marcadas novamente após a atualização da página. | Arquiteto de nuvem |
Recursos relacionados
Criação de uma pilha no AWS CloudFormation console (AWS CloudFormation documentação)
Criação de uma regra de CloudWatch eventos que é acionada em uma AWS API chamada usando (documentação AWS CloudTrail da Amazon CloudWatch )
Configurando a criptografia no AWS Glue (documentação do AWS Glue)
