As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Garanta que a criptografia para dados em repouso do Amazon EMR esteja habilitada no lançamento
Criado por Priyanka Chaudhary (AWS)
Resumo
Esse padrão fornece um controle de segurança para monitorar a criptografia de clusters do Amazon EMR na Amazon Web Services (AWS).
A criptografia de dados ajuda a impedir que usuários não autorizados leiam dados em um cluster e em sistemas de armazenamento físico de dados associados. Isso inclui dados que podem ser interceptados enquanto viajam pela rede, conhecidos como dados em trânsito, e dados que são salvos em mídia persistente, conhecidos como dados em repouso. Dados em repouso no Amazon Simple Storage Service (Amazon S3) podem ser criptografados de duas maneiras.
Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)
Criptografia no lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS), configuradas com políticas adequadas ao Amazon EMR.
Esse controle de segurança monitora as chamadas de API e inicia um evento Amazon CloudWatch Events em RunJobFlow. O gatilho invoca o AWS Lambda, que executa um script do Python. A função recupera o ID do cluster do EMR da entrada JSON do evento e determina se há uma violação de segurança executando as seguintes verificações.
Verifique se um cluster do EMR está associado a uma configuração de segurança específica do Amazon EMR.
Se uma configuração de segurança específica do Amazon EMR estiver associada ao cluster do EMR, verifique se Encryption-at-Rest está ativada.
Se não Encryption-at-Rest estiver ativado, envie uma notificação do Amazon Simple Notification Service (Amazon SNS) que inclua o nome do cluster EMR, detalhes da violação, região da AWS, conta da AWS e o Lambda Amazon Resource Name (ARN) do qual essa notificação foi originada.
Pré-requisitos e limitações
Pré-requisitos
Uma conta AWS ativa
Um bucket S3 para o arquivo .zip do código Lambda
Um endereço de e-mail no qual você deseja receber a notificação de violação
O registro do Amazon EMR foi desativado para que todos os registros em log da API possam ser recuperados
Limitações
Esse controle de detetive é regional e deve ser implantado nas regiões da AWS que você pretende monitorar.
Versões do produto
Versão 4.8.0 do Amazon EMR e superior
Arquitetura
Pilha de tecnologias de destino
Amazon EMR
Evento Amazon CloudWatch Events
Função do Lambda
Amazon SNS
Arquitetura de destino
Automação e escala
Se você estiver usando o AWS Organizations, poderá usar o AWS Cloudformation StackSets para implantar esse modelo em várias contas que você deseja monitorar.
Ferramentas
Ferramentas
CloudFormationA AWS é um serviço que ajuda você a modelar e configurar recursos da AWS usando a infraestrutura como código.
A Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos recursos da AWS.
O Amazon EMR é uma plataforma de cluster gerenciada que simplifica a execução de estruturas de big data.
O AWS Lambda é compatível com a execução de código sem provisionar ou gerenciar servidores.
O Amazon S3 é um serviço de armazenamento de objetos altamente escalável que pode ser usado para uma ampla variedade de soluções de armazenamento, incluindo sites, aplicativos móveis, backups e data lakes.
O Amazon SNS é um serviço da Web que coordena e gerencia a entrega ou o envio de mensagens entre publicadores e clientes, incluindo servidores da Web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.
Código
Os EMREncryption AtRest arquivos.zip e EMREncryption AtRest .yml desse projeto estão disponíveis como anexo.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Definir o bucket do S3. | No console do Amazon S3, escolha ou crie um bucket do S3 com um nome exclusivo que não contenha barras iniciais. Um nome de bucket do S3 é globalmente exclusivo, e o namespace é compartilhado por todas as contas da AWS. Seu bucket do S3 precisa estar na mesma região que o cluster do Amazon EMR que está sendo avaliado. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Carregue o código do Lambda para o bucket do S3. | Faça upload do arquivo .zip do código Lambda fornecido na seção “Anexos” para o bucket S3 definido. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Implante o CloudFormation modelo da AWS. | No CloudFormation console da AWS, na mesma região do seu bucket do S3, implante o CloudFormation modelo da AWS que é fornecido como anexo a esse padrão. No próximo épico, forneça os valores para os parâmetros. Para obter mais informações sobre a implantação de CloudFormation modelos da AWS, consulte a seção “Recursos relacionados”. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Dê um nome ao bucket do S3. | Em seguida, informe o nome do bucket do S3 que você criou no primeiro épico. | Arquiteto de nuvem |
Forneça a chave do Amazon S3. | Forneça a localização do arquivo .zip do código Lambda em seu bucket do S3, sem barras iniciais (por exemplo, <diretório>/<nome do arquivo>.zip). | Arquiteto de nuvem |
Forneça um endereço de e-mail. | Forneça um endereço de e-mail ativo para receber notificações do Amazon SNS. | Arquiteto de nuvem |
Defina o nível de registro em log. | Defina o nível de registro e a frequência da sua função do Lambda. “Info” (Informações) designa mensagens informativas detalhadas sobre o progresso do aplicativo. “Error” (Erro) designa eventos de erro que ainda podem permitir que o aplicativo continue em execução. “Warning” (Aviso) designa situações potencialmente prejudiciais. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Confirmar a assinatura. | Quando o modelo é implantado com sucesso, ele envia uma mensagem de e-mail de assinatura para o endereço de e-mail fornecido. Você deve confirmar essa assinatura de e-mail para receber notificações de violação. | Arquiteto de nuvem |
Recursos relacionados
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip
