Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatice la aplicación del cifrado en AWS Glue mediante una CloudFormation plantilla de AWS
Creado por Diogo Guedes (AWS)
Resumen
Este patrón muestra cómo configurar y automatizar la aplicación del cifrado en AWS Glue mediante una CloudFormation plantilla de AWS. La plantilla crea todas las configuraciones y los recursos necesarios para aplicar el cifrado. Estos recursos incluyen una configuración inicial, un control preventivo creado por una EventBridge regla de Amazon y una función de AWS Lambda.
Requisitos previos y limitaciones
Requisitos previos
Una cuenta de AWS activa
Permisos para implementar la CloudFormation plantilla y sus recursos
Limitaciones
Este control de seguridad es regional. Debe implementar el control de seguridad en cada región de AWS en la que desee configurar la aplicación del cifrado en AWS Glue.
Arquitectura
Pila de tecnología de destino
Amazon CloudWatch Logs (de AWS Lambda)
EventBridge Regla de Amazon
CloudFormation Pila de AWS
AWS CloudTrail
Rol y política gestionados de AWS Identity and Access Management (IAM)
AWS Key Management Service (AWS KMS)
Alias de AWS KMS
Función de AWS Lambda
Almacén de parámetros de AWS Systems Manager
Arquitectura de destino
En el siguiente diagrama, se muestra cómo automatizar la aplicación del cifrado en AWS Glue.
En el diagrama, se muestra el siguiente flujo de trabajo:
Una CloudFormation plantilla
crea todos los recursos, incluida la configuración inicial y el control de detección para la aplicación del cifrado en AWS Glue. Una EventBridge regla detecta un cambio de estado en la configuración de cifrado.
Se invoca una función Lambda para la evaluación y el registro a través CloudWatch de los registros. En caso de detección de incumplimiento, se recupera el almacén de parámetros con un nombre de recurso de Amazon (ARN) como clave de AWS KMS. Se corrige el estado de cumplimiento del servicio con el cifrado activado.
Automatizar y escalar
Si utiliza AWS Organizations
Herramientas
Amazon le CloudWatch ayuda a supervisar las métricas de sus recursos de AWS y las aplicaciones que ejecuta en AWS en tiempo real.
Amazon EventBridge es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, funciones de Lambda, puntos de conexión de invocación HTTP que utilizan destinos API o buses de eventos en otras cuentas de AWS.
AWS le CloudFormation ayuda a configurar los recursos de AWS, aprovisionarlos de forma rápida y coherente y gestionarlos durante todo su ciclo de vida en todas las cuentas y regiones de AWS.
AWS le CloudTrail ayuda a habilitar la auditoría operativa y de riesgos, la gobernanza y el cumplimiento de su cuenta de AWS.
AWS Glue es un servicio de extracción, transformación y carga (ETL) completamente administrado. Ayuda a clasificar, limpiar, enriquecer y mover datos de forma fiable entre almacenes de datos y flujos de datos.
AWS Key Management Service (AWS KMS) facilita poder crear y controlar claves criptográficas para proteger los datos.
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
AWS Systems Manager le permite administrar las aplicaciones y la infraestructura que se ejecutan en la nube de AWS. Simplifica la administración de aplicaciones y recursos, reduce el tiempo requerido para detectar y resolver problemas operativos y ayuda a utilizar y administrar los recursos de AWS a escala de manera segura.
Código
El código de este patrón está disponible en el repositorio GitHub aws-custom-guardrail-eventcontrolado por componentes
Prácticas recomendadas
AWS Glue admite el cifrado de datos en reposo para la creación de trabajos en AWS Glue y el desarrollo de scripts mediante puntos de conexión de desarrollo.
Tenga en cuenta las siguientes prácticas recomendadas:
Configure trabajos ETL y puntos de conexión de desarrollo para utilizar claves de AWS KMS para escribir datos cifrados en reposo.
Cifre los metadatos almacenados en el catálogo de datos de AWS Glue mediante claves que administra a través de KMS de AWS.
Además, puede usar las claves KMS de AWS para cifrar marcadores de trabajo y los registros que generan los rastreadores y los trabajos de ETL.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Implemente la CloudFormation plantilla. | Descargue la notaLa plantilla no requiere parámetros de entrada. | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Compruebe las configuraciones clave de AWS KMS. |
| Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Identifique la configuración de cifrado en CloudFormation. |
| Arquitecto de la nube |
Cambie la infraestructura aprovisionada a un estado que no cumpla con las normas. |
La barrera de protección detecta el estado no conforme en AWS Glue después de desactivar las casillas y, a continuación, aplica el cumplimiento corrigiendo automáticamente el error de configuración del cifrado. Como resultado, las casillas de verificación de cifrado deberían volver a seleccionarse después de actualizar la página. | Arquitecto de la nube |
Recursos relacionados
Creación de una pila en la CloudFormation consola de AWS ( CloudFormation documentación de AWS)
Creación de una regla de CloudWatch eventos que se active en una llamada a la API de AWS mediante AWS CloudTrail ( CloudWatch documentación de Amazon)
Configuración del cifrado en AWS Glue (documentación de AWS Glue)
