監控 Amazon Aurora 是否有沒有加密的 - AWS 方案指引
Summary先決條件和限制架構工具史诗相關資源附件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控 Amazon Aurora 是否有沒有加密的

創建者:曼西蘇拉特瓦拉(AWS)

環境:生產

技術:資料庫;安全性、身分識別、合規性;儲存與備份

工作負載:開放原始碼;所有其他

AWS 服務:Amazon SNS;Amazon Aurora;AWS CloudTrail;Amazon CloudWatch;AWS Lambda

Summary

此模式提供 Amazon Web Services (AWS) CloudFormation 範本,您可以部署這些範本,以便在建立 Amazon Aurora 執行個體時設定自動通知,而不會開啟加密。

Aurora 為全受管關聯式資料庫引擎,可與 MySQL 和 PostgreSQL 相容。透過一些工作負載,Aurora 可提供 MySQL 最多五倍的輸送量和 PostgreSQL 最多三倍的輸送量,而不需變更您的多數現有應用程式。

該 CloudFormation 模板創建一個 Amazon 事件 CloudWatch 事件和一個 AWS Lambda 函數。此事件使用 AWS CloudTrail 監控任何 Aurora 執行個體建立或現有執行個體的時間點還原。Cloudwatch 事件事件會啟動 Lambda 函數,該函數會檢查是否已啟用加密。如果未開啟加密,Lambda 函數會傳送 Amazon Simple Notification Service (Amazon SNS) 通知,通知您違規事件。 

先決條件和限制

前提

  • 有效的 AWS 帳戶

限制

  • 此服務控制僅適用於 Amazon Aurora 執行個體。它不支援其他 Amazon Relational Database Service 服務 (Amazon RDS) 執行個體。

  • CloudFormation 範本必須為CreateDBInstanceRestoreDBClusterToPointInTim e 部署。 

產品版本

  • Amazon Aurora 支援的 PostgreSQL 版本

  • Amazon Aurora 中支援的 MySQL 版本

架構

目標技術堆疊

  • Amazon Aurora

  • AWS CloudTrail

  • Amazon CloudWatch

  • AWS Lambda

  • Amazon Simple Storage Service (Amazon S3)

  • Amazon SNS

目標架構

無需加密叫用 CloudTrail、 CloudWatch 事件、Lambda 和 SNS 訊息即可啟動 Aurora。

自動化和規模

您可以針對不同的區域和帳戶多次使用 CloudFormation 範本。您只需在每個區域或帳戶中執行一次。

工具

工具

  • Amazon Aurora — Amazon Aurora 是全受管的關聯式資料庫引擎,與 MySQL 和 PostgreSQL 相容。

  • AWS CloudTrail — AWS 可 CloudTrail 協助您管理 AWS 帳戶的管理、合規以及操作和風險稽核。使用者、角色或 AWS 服務執行的動作會記錄為中的事件 CloudTrail。 

  • Amazon CloudWatch 活動 — Amazon CloudWatch 活動提供一系統事件 near-real-time 串流,用於描述 AWS 資源的變更。 

  • AWS Lambda — AWS Lambda 是一種運算服務,可支援執行程式碼,而無需佈建或管理伺服器。Lambda 只有在需要時才會執行程式碼,可自動從每天數項請求擴展成每秒數千項請求。 

  • Amazon S3 — Amazon Simple Storage Service (Amazon S3) 是可高度擴展的物件儲存服務,可用於各種儲存解決方案,包括網站、行動應用程式、備份和資料湖。

  • Amazon SNS — 亞馬遜簡單通知服務 (Amazon SNS) 是一種受管服務,可使用 Lambda、HTTP、電子郵件、行動推送通知和行動文字訊息 (SMS) 提供訊息交付。 

Code

專案的 .zip 檔案可作為附件使用。

史诗

任務描述所需技能

定義 S3 儲存貯體。

開啟 Amazon S3 主控台,然後選擇或建立 S3 儲存貯體。此 S3 儲存貯體將託管 Lambda 程式碼 .zip 檔案。您的 S3 儲存貯體必須與 Aurora 位於相同的區域。S3 儲存貯體名稱不能包含前導斜線。

雲端架構師
任務描述所需技能

上傳程 Lambda 碼。

附件區段中提供的 Lambda 程式碼 .zip 檔案上傳到您定義的 S3 儲存貯體。

雲端架構師
任務描述所需技能

部署 CloudFormation 範本。

在 CloudFormation 主控台上,將以附件形式提供的RDS_Aurora_Encryption_At_Rest.yml CloudFormation 範本部署到此病毒碼。在下一個史詩中,提供模板參數的值。

雲端架構師
任務描述所需技能

提供 S3 儲存貯體名稱。

輸入您在第一個史詩中建立或選擇的 S3 儲存貯體的名稱。

雲端架構師

提供 S3 金鑰。

在 S3 儲存貯體中提供 Lambda 程式碼 .zip 檔案的位置,而不需要前導斜線 (例如)。<directory>/<file-name>.zip

雲端架構師

提供電子郵件地址。

提供使用中的電子郵件地址以接收 Amazon SNS 通知。

雲端架構師

定義記錄層級。

定義 Lambda 函數的記錄層級和頻率。 Info指定應用程式進度的詳細資訊訊息。 Error指定仍然允許應用程式繼續執行的錯誤事件。 Warning指定潛在的有害情況。

雲端架構師
任務描述所需技能

確認訂閱。

當範本成功部署時,會將訂閱電子郵件訊息傳送至提供的電子郵件地址。若要接收通知,您必須確認此電子郵件訂閱。 

雲端架構師

相關資源

附件

若要存取與此文件相關聯的其他內容,請解壓縮下列檔案:attachment.zip