工作负载示例:无服务器数据湖 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

工作负载示例:无服务器数据湖

此工作负载就是一个示例主题 1:使用托管服务

数据湖使用 Amazon S3 进行存储和 AWS Lambda ETL。这些资源是在 AWS Cloud Development Kit (AWS CDK) 应用程序中定义的。对系统的更改是通过部署的 AWS CodePipeline。此管道仅限应用团队使用。当应用程序团队对代码存储库提出拉取请求时,将使用两人规则

对于这种工作负载,应用程序团队采取以下措施来解决基本八大策略。

应用程序控制

补丁应用程序

  • 应用程序团队在 Amazon Inspector 中启用 Lambda 扫描,并为已弃用或易受攻击的库配置警报。

  • 应用程序团队可以跟踪 AWS 资源 AWS Config 以进行资产发现。

限制管理权限

  • 核心架构本节所述,应用程序团队已经通过部署管道上的批准规则限制了对生产部署的访问权限。

  • 应用程序团队依赖本节中描述的集中式身份联合和集中式日志解决方案。核心架构

  • 应用程序团队创建 AWS CloudTrail 跟踪和 Amazon CloudWatch 筛选器。

  • 应用程序团队为部署 AWS CloudFormation 和堆栈删除设置亚马逊简单通知服务 (Amazon SNS) 警报 CodePipeline 。

修补操作系统

  • 应用程序团队在 Amazon Inspector 中启用 Lambda 扫描,并为已弃用或易受攻击的库配置警报。

多重身份验证

  • 应用程序团队依赖本核心架构节中描述的集中式身份联合解决方案。此解决方案强制执行 MFA、记录身份验证和警报,或者自动响应可疑 MFA 事件。

定期备份

  • 应用程序团队将代码(例如 AWS CDK 应用程序和 Lambda 函数和配置)存储在代码存储库中。

  • 应用程序团队启用版本控制和 Amazon S3 对象锁定,以帮助防止对象被删除或修改。

  • 应用程序团队依赖内置的 Amazon S3 持久性,而不是将其整个数据集复制到另一个 AWS 区域数据集。

  • 应用程序团队在满足其数据主权要求 AWS 区域 的另一个工作负载中运行一份副本。他们使用 Amazon DynamoDB 全局表和 A mazon S3 跨区域复制将数据从主区域自动复制到辅助区域。