监控 Amazon Aurora 以查找未加密的实例 - AWS Prescriptive Guidance
Summary先决条件和限制架构工具操作说明相关资源附件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

监控 Amazon Aurora 以查找未加密的实例

由 Mansi Suratwala 创作 () AWS

环境:生产

技术:数据库;安全、身份、合规;存储和备份

工作负载:开源;所有其他工作负载

AWS服务:亚马逊SNS;亚马逊 Aurora;;亚马逊 AWS CloudTrail CloudWatch;AWSLambda

Summary

此模式提供了一个 Amazon Web Services (AWS) CloudFormation 模板,您可以部署该模板,以便在未开启加密的情况下创建 Amazon Aurora 实例时设置自动通知。

Aurora 是一个完全托管的关系数据库引擎,与 My SQL 和 Postgre SQL 兼容。对于某些工作负载,Aurora 可以提供高达 My 五倍的吞吐量SQL和高达 Postgre 三倍的吞吐量,SQL而无需对大部分现有应用程序进行更改。

该 CloudFormation 模板创建了一个亚马逊 CloudWatch 事件和一个 AWS Lambda 函数。该事件AWS CloudTrail 用于监控任何 Aurora 实例的创建或现有实例的时间点恢复。Cloudwatch Events 事件启动 Lambda 函数,该函数检查是否启用了加密。如果未开启加密,Lambda 函数会发送亚马逊简单通知服务 (AmazonSNS) 通知,告知您违规行为。 

先决条件和限制

先决条件

  • 一个活跃的AWS账户

限制

  • 此服务控制仅适用于 Amazon Aurora 实例。它不支持其他 Amazon Relational Database Service (AmazonRDS) 实例。

  • CloudFormation 模板必须仅针对CreateDBInstanceRestoreDBClusterToPointInTim e 部署。 

产品版本

  • 亚马逊 Aur SQL ora 支持的 Postgre 版本

  • 亚马逊 Aurora 支持我的SQL版本

架构

目标技术堆栈

  • Amazon Aurora

  • AWS CloudTrail

  • Amazon CloudWatch

  • AWSLambda

  • Amazon Simple Storage Service (Amazon S3)

  • Amazon SNS

目标架构

Aurora 在没有加密调用 CloudTrail、 CloudWatch 事件、Lambda 和SNS消息的情况下启动。

自动化和扩缩

您可以为不同的地区和账户多次使用该 CloudFormation 模板。您只需在每个区域或账户中运行一次。

工具

工具

  • Amazon Auror a — Amazon Aurora 是一个完全托管的关系数据库引擎,与 My SQL 和 Postgre SQL 兼容。

  • AWS CloudTrail— AWS CloudTrail 帮助您管理AWS账户的治理、合规性以及运营和风险审计。用户、角色或AWS服务采取的操作将作为事件记录在中 CloudTrail。 

  • Amazon CloudWatch Events — Amazon CloudWatch Events 提供一系列描述AWS资源变化的系统事件。 near-real-time 

  • AWSLambda — Lam AWS bda 是一项计算服务,它支持在不预置或管理服务器的情况下运行代码。只有在需要时 Lambda 才运行您的代码,并且能自动扩缩,从每天几个请求扩展到每秒数千个请求。 

  • Amazon S3 - Amazon Simple Storage Service (Amazon S3)是一种高度可扩展的对象存储服务,可用于各种存储解决方案,包括网站、移动应用程序、备份和数据湖。

  • 亚马逊 SNS — 亚马逊简单通知服务 (AmazonSNS) 是一项托管服务,它使用 Lambda、、电子邮件HTTP、移动推送通知和移动短信 () SMS 提供消息传送。 

代码

该项目的 .zip 文件作为附件提供。

操作说明

任务描述所需技能

定义 S3 存储桶。

打开 Amazon S3 控制台并选择或创建 S3 存储桶。此 S3 存储桶将托管 Lambda 代码 .zip 文件。您的 S3 存储桶需要与 Aurora 位于同一区域。S3 存储桶名称不能包含前导斜杠。

云架构师
任务描述所需技能

上传 Lambda 代码。

附件部分中提供的 Lambda 代码 .zip 文件上传到您定义的 S3 存储桶。

云架构师
任务描述所需技能

部署 CloudFormation 模板。

在 CloudFormation 控制台上,部署作为该模式附件提供的RDS_Aurora_Encryption_At_Rest.yml CloudFormation 模板。在下一个操作说明中,提供模板参数的值。

云架构师
任务描述所需技能

提供 S3 存储桶名称。

输入您在第一个操作说明中创建或选择的 S3 存储桶的名称。

云架构师

提供 S3 密钥。

提供 Lambda 代码 .zip 文件在 S3 存储桶中的位置,不带前导斜杠(例如,<directory>/<file-name>.zip)。

云架构师

提供电子邮箱地址。

提供有效的电子邮件地址以接收 Amazon SNS 通知。

云架构师

定义日志记录级别。

定义 Lambda 函数的日志记录级别和频率。Info 指明有关应用程序进度的详细信息消息。Error 指明仍允许应用程序继续运行的错误事件。Warning 指明潜在的有害情况。

云架构师
任务描述所需技能

确认订阅。

成功部署模板后,它将向提供的电子邮件地址发送订阅电子邮件。要接收通知,您必须确认此电子邮件订阅。 

云架构师

相关资源

附件

要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip