As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Imponha a marcação dos clusters do Amazon EMR no lançamento
Criado por Priyanka Chaudhary (AWS)
Ambiente: produção | Tecnologias: análise; segurança, identidade, conformidade | Serviços da AWS: Amazon EMR; AWS Lambda; Amazon Events CloudWatch |
Resumo
Esse padrão fornece um controle de segurança que garante que os clusters do Amazon EMR sejam marcados quando são criados.
O Amazon EMR é um serviço da Amazon Web Services (AWS) para processar e analisar grandes quantidades de dados. O Amazon EMR oferece um serviço expansível e de baixa configuração como uma alternativa mais fácil à execução da computação em cluster interna. Você pode usar tags para categorizar os recursos da AWS de diferentes formas, como por finalidade, proprietário ou ambiente. Por exemplo, você pode marcar seus clusters do Amazon EMR atribuindo metadados personalizados a cada cluster. Uma tag consiste em uma chave e um valor que você define. Recomendamos criar um conjunto consistente de tags para atender às necessidades da sua organização. Ao adicionar uma tag a um cluster do Amazon EMR, essa tag também é propagada para cada instância do Amazon Elastic Compute Cloud (Amazon EC2) ativa associada ao cluster. Da mesma forma, quando você remove uma tag de um cluster do Amazon EMR, ela é removida de cada instância do Amazon EC2 ativa associada.
O controle de detetive monitora as chamadas de API e inicia um evento Amazon CloudWatch Events para as APIs RunJobFlowAddTags, RemoveTags, e CreateTags. O evento chama de AWS Lambda, que executa um script do Python. A função Python obtém o ID do cluster do Amazon EMR da entrada JSON do evento e executa as seguintes verificações:
Verifique se o cluster do Amazon EMR está configurado com nomes de tag que você especifica.
Caso contrário, envie uma notificação do Amazon Simple Notification Service (Amazon SNS) ao usuário com as informações relevantes: nome do cluster do Amazon EMR, detalhes da violação, região da AWS, conta da AWS e o nome do recurso da Amazon (ARN) do Lambda, de onde essa notificação foi originada.
Pré-requisitos e limitações
Pré-requisitos
Uma conta AWS ativa
Um bucket do Amazon Simple Storage Service (Amazon S3) para carregar o código do Lambda fornecido. Ou você pode criar um bucket do S3 para essa finalidade, conforme descrito na seção Épicos .
Um endereço de e-mail ativo no qual você deseja receber notificações de violação.
Uma lista de tags obrigatórias que você deseja verificar.
Limitações
Esse controle de segurança é regional. Você deve implantá-lo em cada região da AWS que você deseja monitorar.
Versões do produto
Versão 4.8.0 e posterior do Amazon EMR.
Arquitetura
Arquitetura de fluxo de trabalho
![](images/pattern-img/1a4fc0f8-b0c9-4391-9c79-9eb3898d6ecb/images/0d95c414-69d1-4f29-a9e7-09f202e27014.png)
Automação e escala
Se você estiver usando o AWS Organizations
, poderá usar o AWS Cloudformation StackSets para implantar esse modelo em várias contas que você deseja monitorar.
Ferramentas
Serviços da AWS
AWS CloudFormation — CloudFormation A AWS ajuda você a modelar e configurar seus recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e suas dependências, além de iniciá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente. Você pode gerenciar e provisionar pilhas em várias contas e regiões da AWS.
Amazon CloudWatch Events — A Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos recursos da AWS.
Amazon EMR – O Amazon EMR é um serviço web que simplifica a execução de estruturas de big data e o processamento eficiente de grandes quantidades de dados.
AWS Lambda – O AWS Lambda é um serviço de computação que permite a execução do código sem provisionar ou gerenciar servidores. O Lambda executa o código somente quando necessário e dimensiona automaticamente, desde algumas solicitações por dia até milhares por segundo.
Amazon S3 – O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web.
Amazon SNS – O Amazon Simple Notification Service (Amazon SNS) é um serviço da Web que coordena e gerencia a entrega ou o envio de mensagens entre editores e clientes, incluindo servidores da Web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.
Código
Esse padrão inclui os seguintes anexos:
EMRTagValidation.zip
– O código Lambda para o controle de segurança.EMRTagValidation.yml
— O CloudFormation modelo que configura o evento e a função Lambda.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Defina o bucket do S3. | No console do Amazon S3 | Arquiteto de nuvem |
Faça o upload do código do Lambda. | Faça upload do arquivo.zip do código Lambda fornecido na seção Anexos no bucket do S3. | Arquiteto de nuvem |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Inicie o CloudFormation modelo da AWS. | Abra o CloudFormation console da AWS | Arquiteto de nuvem |
Preencha os parâmetros no modelo. | Ao iniciar o modelo, você será solicitado a fornecer as seguintes informações:
| Arquiteto de nuvem |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Confirmar a assinatura. | Quando o CloudFormation modelo é implantado com sucesso, ele envia um e-mail de assinatura para o endereço de e-mail que você forneceu. Você deve confirmar essa assinatura de e-mail para começar a receber notificações de violação. | Arquiteto de nuvem |
Recursos relacionados
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip