As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Verifique se os novos clusters do Amazon Redshift têm endpoints necessários SSL
Criado por Priyanka Chaudhary () AWS
Resumo
Esse padrão fornece um CloudFormation modelo do Amazon Web Services (AWS) que notifica você automaticamente quando um novo cluster do Amazon Redshift é lançado sem endpoints do Secure Sockets Layer SSL ().
O Amazon Redshift é um serviço de data warehouse em escala de petabytes totalmente gerenciado baseado na nuvem. Ele foi projetado para armazenamento e análise de conjuntos de dados em grande escala. Ele também é usado para realizar migrações de banco de dados em grande escala. Por motivos de segurança, o Amazon Redshift oferece suporte SSL para criptografar a conexão entre o aplicativo cliente do SQL servidor do usuário e o cluster do Amazon Redshift. Para configurar seu cluster para exigir uma SSL conexão, você define o require_SSL parâmetro como true no grupo de parâmetros associado ao cluster durante a execução.
O controle de segurança fornecido com esse padrão monitora as API chamadas do Amazon Redshift em AWS CloudTrail registros e inicia um evento Amazon CloudWatch Events para o CreateCluster,, ModifyClusterRestoreFromClusterSnapshot, e. CreateClusterParameterGroupModifyClusterParameterGroupAPIs Quando o evento detecta um delesAPIs, ele chama o AWS Lambda, que executa um script Python. A função Python analisa o CloudWatch evento para os eventos listados. CloudTrail Quando um cluster do Amazon Redshift é criado, modificado ou restaurado a partir de um snapshot existente, um novo grupo de parâmetros é criado para o cluster ou um grupo de parâmetros existente é modificado, a função verifica o parâmetro require_SSL do cluster. Se o valor do parâmetro forfalse, a função enviará uma notificação do Amazon Simple Notification Service (AmazonSNS) ao usuário com as informações relevantes: o nome do cluster Amazon Redshift, a AWS região, a AWS conta e o Amazon Resource Name (ARN) para Lambda de onde essa notificação foi originada.
Pré-requisitos e limitações
Pré-requisitos
Uma conta da AWS ativa.
Uma nuvem privada virtual (VPC) com um grupo de sub-redes de cluster e um grupo de segurança associado.
Limitações
Esse controle de segurança é regional. Você deve implantá-lo em cada AWS região que deseja monitorar.
Arquitetura
Arquitetura de destino
Automação e escala
Se você estiver usando AWSOrganizations
, poderá usar o AWSCloudformation StackSets para implantar esse modelo em várias contas que deseja monitorar.
Ferramentas
Serviços do AWS
AWS CloudFormation— AWS CloudFormation ajuda você a modelar e configurar seus AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente.
Amazon CloudWatch Events — O Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos.
AWSLambda
— O AWS Lambda é um serviço de computação que oferece suporte à execução de código sem provisionar ou gerenciar servidores. Amazon Redshift: o Amazon Redshift é um serviço de data warehouse em escala de petabytes totalmente gerenciado na nuvem.
Amazon S3: o Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web.
Amazon SNS — O Amazon Simple Notification Service (AmazonSNS) coordena e gerencia a entrega ou o envio de mensagens entre editores e clientes, incluindo servidores web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.
Código
Esse padrão inclui os seguintes anexos:
RedshiftSSLEndpointsRequired.zip: o código Lambda para o controle de segurança.RedshiftSSLEndpointsRequired.yml— O CloudFormation modelo que configura o evento e a função Lambda.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Definir o bucket do S3. | No console do Amazon S3 | Arquiteto de nuvem |
Fazer o upload do código do Lambda. | Faça upload do arquivo .zip do código do Lambda fornecido na seção Anexos no bucket do S3. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Inicie o AWS CloudFormation modelo. | Abra o AWS CloudFormation console | Arquiteto de nuvem |
Preencher os parâmetros no modelo. | Ao iniciar o modelo, você será solicitado a fornecer as seguintes informações:
| Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Confirmar a assinatura. | Quando o CloudFormation modelo é implantado com sucesso, ele envia um e-mail de assinatura para o endereço de e-mail que você forneceu. Você deve confirmar essa assinatura de e-mail para começar a receber notificações de violação. | Arquiteto de nuvem |
Recursos relacionados
Criar um bucket do S3 (documentação do Amazon S3)
Upload de arquivos para um bucket do S3 (documentação do Amazon S3)
Criação de uma pilha no AWS CloudFormation console (AWS CloudFormation documentação)
Criando uma regra de CloudWatch eventos que é acionada em uma AWS API chamada usando AWS CloudTrail (documentação) AWS CloudTrail
Criar um cluster do Amazon Redshift (documentação do Amazon Redshift)
Configurando opções de segurança para conexões (documentação do Amazon Redshift)
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip
