Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Compruebe que los nuevos clústeres de Amazon Redshift se lanzan en un VPC
Creado por Priyanka Chaudhary () AWS
Entorno: producción | Tecnologías: seguridad, identidad, conformidad; análisis; bases de datos | AWSservicios: Amazon CloudWatch; AWS Lambda; Amazon Redshift |
Resumen
Este patrón proporciona una CloudFormation plantilla de Amazon Web Services (AWS) que le notifica automáticamente cuando se lanza un clúster de Amazon Redshift fuera de una nube VPC privada virtual ().
Amazon Redshift es un servicio de almacenamiento de datos totalmente administrado de varios petabytes en la nube. Está diseñado para el almacenamiento y el análisis de conjuntos de datos a gran escala. También se utiliza para realizar migraciones de bases de datos a gran escala. Amazon Virtual Private Cloud (AmazonVPC) le permite aprovisionar una sección de la AWS nube aislada de forma lógica donde puede lanzar AWS recursos como clústeres de Amazon Redshift en una red virtual que usted defina.
El control de seguridad suministrado con este patrón monitorea las API llamadas de Amazon Redshift en AWS CloudTrail los registros e inicia un evento de Amazon CloudWatch Events para el y. CreateClusterRestoreFromClusterSnapshotAPIs Cuando el evento detecta uno de estosAPIs, llama a AWS Lambda, que ejecuta un script de Python. La función Python analiza el CloudWatch evento. Si se crea o restaura un clúster de Amazon Redshift a partir de una instantánea y aparece fuera de la VPC red de Amazon, la función envía una notificación de Amazon Simple Notification Service SNS (Amazon) al usuario con la información pertinente: el nombre del clúster de Amazon Redshift, la región AWSAWS, la cuenta y el nombre del recurso de Amazon ARN () para Lambda del que proviene esta notificación.
Requisitos previos y limitaciones
Requisitos previos
Una cuenta de AWS activa.
A VPC con un clúster, un grupo de subredes y un grupo de seguridad asociado.
Limitaciones
La AWS CloudFormation plantilla solo admite las RestoreFromClusterSnapshotacciones CreateClustery (clústeres nuevos). No detecta los clústeres de Amazon Redshift existentes que se crearon fuera de un. VPC
Este control de seguridad es regional. Debe implementarlo en cada AWS región que desee monitorear.
Arquitectura
Arquitectura de destino
Automatizar y escalar
Si usa AWSOrganizations
Herramientas
AWSservicios
AWS CloudFormation— le AWS CloudFormation ayuda a modelar y configurar sus AWS recursos, a aprovisionarlos de forma rápida y coherente y a gestionarlos durante todo su ciclo de vida. Facilita poder usar una plantilla para describir los recursos y sus dependencias, y lanzarlos y configurarlos juntos como una pila, en lugar de administrarlos de forma individual.
AWS CloudTrail— le AWS CloudTrail ayuda a implementar la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de su AWS cuenta. Las acciones realizadas por un usuario, un rol o un AWS servicio se registran como eventos en CloudTrail.
Amazon CloudWatch Events: Amazon CloudWatch Events ofrece una transmisión casi en tiempo real de eventos del sistema que describen los cambios en AWS los recursos.
AWSLambda: AWS Lambda es un servicio informático que admite la ejecución de código sin aprovisionar ni administrar servidores. AWSLambda ejecuta el código solo cuando es necesario y escala automáticamente, desde unas pocas solicitudes por día hasta miles por segundo.
Amazon Redshift: Amazon Redshift es un servicio de almacenamiento de datos de varios petabytes totalmente administrado en la nube. Amazon Redshift está integrado en el lago de datos, lo que permite usar los datos para adquirir nueva información para su empresa y sus clientes.
Amazon S3: Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos altamente escalable que se puede utilizar para una amplia gama de soluciones de almacenamiento, incluidos sitios web, aplicaciones móviles, copias de seguridad y lagos de datos.
Amazon SNS: Amazon Simple Notification Service (AmazonSNS) coordina y gestiona la entrega o el envío de mensajes entre editores y clientes, incluidos los servidores web y las direcciones de correo electrónico.
Código
Este patrón incluye los siguientes archivos adjuntos:
RedshiftMustBeInVPC.zip: el código de Lambda para el control de seguridad.RedshiftMustBeInVPC.yml— La CloudFormation plantilla que configura el evento y la función Lambda.
Para usar el código de muestra, siga las instrucciones de la siguiente sección.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
| Defina el bucket de S3. | En la consola Amazon S3 | Arquitecto de la nube |
| Cargue el código de Lambda. | Cargue el código de Lambda (archivo | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
| Lanza la CloudFormation plantilla. | Abra la AWS CloudFormation consola | Arquitecto de la nube |
| Complete los parámetros de la plantilla. | Al lanzar la plantilla, se le solicitará la siguiente información:
| Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
| Confirmar la suscripción. | Cuando la CloudFormation plantilla se implementa correctamente, envía un correo electrónico de suscripción a la dirección de correo electrónico que proporcionaste. Debe confirmar esta suscripción de correo electrónico para recibir las notificaciones de infracciones. | Arquitecto de la nube |
Recursos relacionados
Creación de un bucket de S3 (documentación de Amazon S3)
Carga de archivos en un bucket de S3 (documentación de Amazon S3)
Crear una pila en la AWS CloudFormation consola (AWS CloudFormation documentación)
Crear una regla de CloudWatch eventos que se active en una AWS API llamada mediante AWS CloudTrail (AWS CloudTrail documentación)
Creación de un clúster de Amazon Redshift (documentación de Amazon Redshift)
Conexiones
Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip
