Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erzwingen Sie die Kennzeichnung von Amazon EMR-Clustern beim Start
Erstellt von Priyanka Chaudhary (AWS)
Übersicht
Dieses Muster bietet eine Sicherheitskontrolle, die sicherstellt, dass Amazon EMR-Cluster bei ihrer Erstellung markiert werden.
Amazon EMR ist ein Service von Amazon Web Services (AWS) zur Verarbeitung und Analyse großer Datenmengen. Amazon EMR bietet einen erweiterbaren Service mit geringer Konfiguration als einfachere Alternative zum Betrieb interner Cluster-Datenverarbeitung. Mithilfe von Tagging können Sie AWS-Ressourcen auf unterschiedliche Weise kategorisieren, z. B. nach Zweck, Eigentümer oder Umgebung. Sie können beispielsweise Ihre Amazon EMR-Cluster taggen, indem Sie jedem Cluster benutzerdefinierte Metadaten zuweisen. Ein Tag besteht aus einem Schlüssel und einem Wert, die Sie definieren. Wir empfehlen Ihnen, einen konsistenten Satz von Stichwörtern zu erstellen, um die Anforderungen Ihrer Organisation zu erfüllen. Wenn Sie einem Amazon EMR-Cluster ein Tag hinzufügen, wird das Tag auch an jede aktive Amazon Elastic Compute Cloud (Amazon EC2) -Instance weitergegeben, die dem Cluster zugeordnet ist. Wenn Sie ein Tag aus einem Amazon EMR-Cluster entfernen, wird dieses Tag auch von jeder zugehörigen aktiven EC2 Instance entfernt.
Die Detective Control überwacht API-Aufrufe und initiiert ein Amazon CloudWatch Events-Ereignis für RunJobFlow, AddTagsRemoveTags, und CreateTags APIs. Das Ereignis ruft AWS Lambda auf, das ein Python-Skript ausführt. Die Python-Funktion ruft die Amazon EMR-Cluster-ID aus der JSON-Eingabe des Ereignisses ab und führt die folgenden Prüfungen durch:
Prüfen Sie, ob der Amazon EMR-Cluster mit den von Ihnen angegebenen Tag-Namen konfiguriert ist.
Falls nicht, senden Sie dem Benutzer eine Amazon Simple Notification Service (Amazon SNS) -Benachrichtigung mit den entsprechenden Informationen: dem Namen des Amazon EMR-Clusters, den Details zum Verstoß, der AWS-Region, dem AWS-Konto und dem Amazon-Ressourcennamen (ARN) für Lambda, von dem diese Benachrichtigung stammt.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS-Konto
Ein Amazon Simple Storage Service (Amazon S3) -Bucket zum Hochladen des bereitgestellten Lambda-Codes. Oder Sie können zu diesem Zweck einen S3-Bucket erstellen, wie im Abschnitt Epics beschrieben.
Eine aktive E-Mail-Adresse, an die Sie Benachrichtigungen über Verstöße erhalten möchten.
Eine Liste der obligatorischen Stichwörter, nach denen Sie suchen möchten.
Einschränkungen
Diese Sicherheitskontrolle ist regional. Sie müssen es in jeder AWS-Region bereitstellen, die Sie überwachen möchten.
Produktversionen
Amazon EMR Version 4.8.0 und höher.
Architektur
Workflow-Architektur
Automatisierung und Skalierung
Wenn Sie AWS Organizations
verwenden, können Sie AWS Cloudformation verwenden, StackSets um diese Vorlage in mehreren Konten bereitzustellen, die Sie überwachen möchten.
Tools
AWS-Services
AWS CloudFormation — AWS CloudFormation hilft Ihnen dabei, Ihre AWS-Ressourcen zu modellieren und einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus zu verwalten. Sie können eine Vorlage verwenden, um Ihre Ressourcen und ihre Abhängigkeiten zu beschreiben und sie zusammen als Stack zu starten und zu konfigurieren, anstatt Ressourcen einzeln zu verwalten. Sie können Stacks für mehrere AWS-Konten und AWS-Regionen verwalten und bereitstellen.
Amazon CloudWatch Events — Amazon CloudWatch Events bietet einen Stream von Systemereignissen, die Änderungen an AWS-Ressourcen beschreiben, nahezu in Echtzeit.
Amazon EMR — Amazon EMR ist ein Webservice, der die Ausführung von Big-Data-Frameworks und die effiziente Verarbeitung großer Datenmengen vereinfacht.
AWS Lambda — AWS Lambda ist ein Rechenservice, der die Ausführung von Code unterstützt, ohne Server bereitzustellen oder zu verwalten. Lambda führt Ihren Code nur bei Bedarf aus und skaliert automatisch – von einigen Anforderungen pro Tag bis zu Tausenden pro Sekunde.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) ist ein Objektspeicherservice. Mit Amazon S3 können Sie jederzeit beliebige Mengen von Daten von überall aus im Internet speichern und aufrufen.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.
Code
Dieses Muster umfasst die folgenden Anlagen:
EMRTagValidation.zip— Der Lambda-Code für die Sicherheitskontrolle.EMRTagValidation.yml— Die CloudFormation Vorlage, die das Ereignis und die Lambda-Funktion einrichtet.
Epen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Definieren Sie den S3-Bucket. | Wählen oder erstellen Sie in der Amazon S3 S3-Konsole | Cloud-Architekt |
Laden Sie den Lambda-Code hoch. | Laden Sie die Lambda-Code-ZIP-Datei, die im Abschnitt Anlagen bereitgestellt wird, in den S3-Bucket hoch. | Cloud-Architekt |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Starten Sie die CloudFormation AWS-Vorlage. | Öffnen Sie die CloudFormation AWS-Konsole | Cloud-Architekt |
Vervollständigen Sie die Parameter in der Vorlage. | Wenn Sie die Vorlage starten, werden Sie zur Eingabe der folgenden Informationen aufgefordert:
| Cloud-Architekt |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Bestätigen Sie das Abonnement. | Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, sendet sie eine Abonnement-E-Mail an die von Ihnen angegebene E-Mail-Adresse. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten. | Cloud-Architekt |
Zugehörige Ressourcen
Anlagen
