確保建立 Amazon Redshift 叢集時加密 - AWS 方案指引
Summary先決條件和限制架構工具史詩相關資源附件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

確保建立 Amazon Redshift 叢集時加密

由 Mansi Suratwala 建立 (AWS)

環境:生產

技術:分析;資料湖;安全、身分、合規

工作負載:所有其他工作負載

AWS 服務:Amazon Redshift;Amazon SNS;AWS CloudTrail;Amazon CloudWatch;AWSLambda;Amazon S3

Summary

此模式提供AWS CloudFormation 範本,可在未加密的情況下建立新的 Amazon Redshift 叢集時自動通知您。

AWS CloudFormation 範本會建立 Amazon CloudWatch Events 事件和 AWS Lambda 函數。事件會監控透過 從快照建立或還原的任何 Amazon Redshift 叢集AWS CloudTrail。如果叢集是在AWS帳戶中沒有AWS金鑰管理服務 (AWS KMS) 或雲端硬體安全模型 (HSM) 加密的情況下建立, 會 CloudWatch 啟動 Lambda 函數,該函數會傳送 Amazon Simple Notification Service (Amazon SNS) 通知給您,通知您違規。

先決條件和限制

先決條件

  • 作用中的 AWS 帳戶。

  • 具有叢集子網路群組和相關聯安全群組的虛擬私有雲端 (VPC)。

限制

  • AWS CloudFormation 範本只能針對 CreateClusterRestoreFromClusterSnapshot動作部署。

架構

目標技術堆疊

  • Amazon Redshift

  • AWS CloudTrail

  • Amazon CloudWatch

  • AWS Lambda

  • Amazon Simple Storage Service (Amazon S3)

  • Amazon SNS

目標架構

Workflow diagram showing AWS 服務 for encryption violation detection and notification.

自動化和擴展

您可以多次將AWS CloudFormation 範本用於不同的AWS區域和帳戶。每個區域或帳戶中只需要執行一次。

工具

工具

  • Amazon Redshift – Amazon Redshift 是雲端中完全受管的 PB 級資料倉儲服務。Amazon Redshift 已與您的資料湖整合,可讓您使用資料為您的企業和客戶取得新的洞見。

  • AWS CloudTrail – AWS CloudTrail 是一項AWS服務,可協助您實作AWS帳戶的管理、合規以及操作和風險稽核。使用者、角色AWS或服務所採取的動作會在 中記錄為事件 CloudTrail。 

  • Amazon CloudWatch Events – Amazon CloudWatch Events 提供近乎即時的系統事件串流,描述AWS資源的變更。 

  • AWS Lambda – AWS Lambda 支援執行程式碼,無需佈建或管理伺服器。AWS Lambda 只會在需要時執行程式碼,並自動擴展,從每天的幾個請求到每秒數千個請求。 

  • Amazon S3 – Amazon S3 是一種高度可擴展的物件儲存服務,可用於各種儲存解決方案,包括網站、行動應用程式、備份和資料湖。

  • Amazon SNS – Amazon SNS 是一種 Web 服務,可協調和管理在發佈者和用戶端之間傳遞或傳送訊息,包括 Web 伺服器和電子郵件地址。 

Code

  • 專案的 .zip 檔案可作為附件使用。

史詩

任務描述所需的技能

定義 S3 儲存貯體。

在 Amazon S3 主控台上,選擇或建立 S3 儲存貯體。此 S3 儲存貯體將託管 Lambda 程式碼 .zip 檔案。您的 S3 儲存貯體必須與要評估的 Amazon Redshift 叢集位於相同的 區域中。S3 儲存貯體的名稱不能包含正斜線。

雲端架構師
任務描述所需的技能

將 Lambda 程式碼上傳到 S3 儲存貯體。

附件區段中提供的 Lambda 程式碼上傳至 S3 儲存貯體。S3 儲存貯體必須與要評估的 Amazon Redshift 叢集位於相同的區域。

雲端架構師
任務描述所需的技能

部署 AWS CloudFormation 範本。

部署作為此模式附件提供的AWS CloudFormation 範本。在下一個史詩中,提供參數的值。

雲端架構師
任務描述所需的技能

為 S3 儲存貯體命名。

輸入您在第一個史詩中建立的 S3 儲存貯體名稱。

雲端架構師

提供 S3 金鑰。

在您的 S3 儲存貯體中提供 Lambda 程式碼 .zip 檔案的位置,不要有斜線 (例如 <directory>/<file-name>.zip)。

雲端架構師

提供電子郵件地址。

提供作用中的電子郵件地址以接收 Amazon SNS通知。

雲端架構師

定義記錄層級。

定義 Lambda 函數的記錄層級和頻率。 Info會指定應用程式進度的詳細資訊訊息。 會Error指定仍然允許應用程式繼續執行的錯誤事件。 會Warning指定可能有害的情況。

雲端架構師
任務描述所需的技能

確認訂閱。

當範本成功部署時,它會傳送訂閱電子郵件到提供的電子郵件地址。您必須確認此電子郵件訂閱才能接收違規通知。

雲端架構師

相關資源

附件

若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip