Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados Anexos

Garanta que um cluster do Amazon Redshift seja criptografado na criação

Criado por Mansi Suratwala () AWS

Ambiente: produção	Tecnologias: análise; data lakes; segurança, identidade, conformidade	Workload: todas as outras workloads
AWSserviços: Amazon Redshift; AmazonSNS; Amazon; CloudWatch AWS Lambda; AWS CloudTrail Amazon S3

Resumo

Esse padrão fornece um AWS CloudFormation modelo que fornece uma notificação automática quando um novo cluster do Amazon Redshift é criado sem criptografia.

O AWS CloudFormation modelo cria um evento Amazon CloudWatch Events e uma função AWS Lambda. O evento observa qualquer cluster do Amazon Redshift que está sendo criado ou restaurado a partir de um snapshot por meio de. AWS CloudTrail Se o cluster for criado sem criptografia do AWS Key Management Service (AWSKMS) ou do modelo de segurança de hardware em nuvem (HSM) na AWS conta, CloudWatch iniciará uma função Lambda que envia uma notificação do Amazon Simple Notification Service (SNSAmazon) informando sobre a violação.

Pré-requisitos e limitações

Pré-requisitos

Uma conta da AWS ativa.
Uma nuvem privada virtual (VPC) com um grupo de sub-redes de cluster e um grupo de segurança associado.

Limitações

O AWS CloudFormation modelo pode ser implantado somente para CreateCluster as RestoreFromClusterSnapshot ações e.

Arquitetura

Pilha de tecnologias de destino

Amazon Redshift
AWS CloudTrail
Amazon CloudWatch
AWSLambda
Amazon Simple Storage Service (Amazon S3)
Amazon SNS

Arquitetura de destino

Workflow diagram showing Serviços da AWS for encryption violation detection and notification.

Automação e escala

Você pode usar o AWS CloudFormation modelo várias vezes para diferentes AWS regiões e contas. Você precisa executá-lo apenas uma vez em cada região ou conta.

Ferramentas

Ferramentas

Amazon Redshift: o Amazon Redshift é um serviço de data warehouse em escala de petabytes totalmente gerenciado na nuvem. O Amazon Redshift é integrado ao seu data lake, o que permite que você use seus dados para adquirir novos insights para seus negócios e clientes.
AWS CloudTrail— AWS CloudTrail é um AWS serviço que ajuda você a implementar governança, conformidade e auditoria operacional e de risco de sua AWS conta. As ações realizadas por um usuário, função ou AWS serviço são registradas como eventos em CloudTrail.
Amazon CloudWatch Events — O Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos.
AWSLambda — O AWS Lambda suporta a execução de código sem provisionar ou gerenciar servidores. AWSO Lambda executa seu código somente quando necessário e escala automaticamente, de algumas solicitações por dia a milhares por segundo.
Amazon S3: o Amazon S3 é um serviço de armazenamento de objetos altamente escalável que você pode usar para uma grande variedade de soluções de armazenamento, incluindo sites, aplicativos móveis, backups e data lakes.
Amazon SNS — SNS A Amazon é um serviço web que coordena e gerencia a entrega ou o envio de mensagens entre editores e clientes, incluindo servidores web e endereços de e-mail.

Código

Um arquivo .zip do projeto está disponível como anexo.

Épicos

Tarefa	Descrição	Habilidades necessárias
Definir o bucket do S3.	No console do Amazon S3, escolha ou crie um bucket do S3. Esse bucket do S3 hospedará o arquivo .zip do código do Lambda. Seu bucket do S3 precisa estar na mesma região do cluster do Amazon Redshift que está sendo avaliado. O nome do bucket do S3 não pode conter barras iniciais.	Arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Carregue o código do Lambda para o bucket do S3.	Faça o upload do código do Lambda fornecido na seção Anexos no bucket do S3. O bucket dp Amazon S3 deve estar na mesma região que o cluster do Amazon Redshift avaliado.	Arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Implante o AWS CloudFormation modelo.	Implante o AWS CloudFormation modelo fornecido como anexo a esse padrão. No próximo épico, forneça os valores para os parâmetros.	Arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Dê um nome ao bucket do S3.	Em seguida, informe o nome do bucket do S3 que você criou no primeiro épico.	Arquiteto de nuvem
Forneça a chave do S3.	Forneça a localização do arquivo .zip do código Lambda em seu bucket do S3, sem barras iniciais (por exemplo, `<directory>/<file-name>.zip`).	Arquiteto de nuvem
Forneça um endereço de e-mail.	Forneça um endereço de e-mail ativo para receber SNS notificações da Amazon.	Arquiteto de nuvem
Defina o nível de registro em log.	Defina o nível de registro em log e a frequência da sua função do Lambda. `Info` designa mensagens informativas detalhadas sobre o progresso do aplicativo. `Error` designa eventos de erro que ainda podem permitir que o aplicativo continue em execução. `Warning` designa situações potencialmente prejudiciais.	Arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Confirmar a assinatura.	Quando o modelo é implantado com sucesso, ele envia um e-mail de assinatura para o endereço de e-mail fornecido. Você deve confirmar essa assinatura de e-mail para receber notificações de violação.	Arquiteto de nuvem

Recursos relacionados

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Certifique-se de que um IAM perfil esteja associado a uma EC2 instância

Exportar um relatório das identidades do IAM Identity Center e suas atribuições