确保 Amazon Redshift 集群在创建时已加密 - AWS Prescriptive Guidance
Summary先决条件和限制架构工具操作说明相关资源附件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

确保 Amazon Redshift 集群在创建时已加密

由 Mansi Suratwala 创作 () AWS

环境:生产

技术:分析;数据湖;安全性、标识性、合规性

工作负载:所有其他工作负载

AWS服务:亚马逊 Redshift;亚马逊SNS;;AWS CloudTrail亚马逊; CloudWatchLambda;亚马逊 S AWS 3

Summary

此模式提供的AWS CloudFormation 模板可在创建未加密的新 Amazon Redshift 集群时为您提供自动通知。

该AWS CloudFormation 模板创建了一个亚马逊 CloudWatch 事件和一个 AWS Lambda 函数。该事件监视正在创建或正在从快照中恢复的任何 Amazon Redshift 集群。AWS CloudTrail如果创建集群时AWS账户中没有AWS密钥管理服务 (AWSKMS) 或云硬件安全模型 (HSM) 加密,则 CloudWatch 会启动 Lambda 函数,向您发送亚马逊简单通知服务 (Amazon) 通知,告知您违规行为。SNS

先决条件和限制

先决条件

  • 一个活动的 AWS 账户。

  • 具有集群子网组和关联安全组的虚拟私有云 (VPC)。

限制

  • 只能为CreateClusterRestoreFromClusterSnapshot操作部署AWS CloudFormation 模板。

架构

目标技术堆栈  

  • Amazon Redshift

  • AWS CloudTrail

  • 亚马逊 CloudWatch

  • AWSLambda

  • Amazon Simple Storage Service (Amazon S3)

  • 亚马逊 SNS

目标架构

Workflow diagram showing AWS 服务 for encryption violation detection and notification.

自动化和扩缩

您可以为不同的AWS地区和账户多次使用该AWS CloudFormation 模板。您只需在每个区域或账户中运行一次。

工具

工具

  • Amazon Redshift — Amazon Redshift 是一种完全托管的 PB 级云中数据仓库服务。Amazon Redshift 与数据湖集成,让您可以使用数据获得对您的业务和客户的新见解。

  • AWS CloudTrail— AWS CloudTrail 是一项可帮助您对AWS账户实施治理、合规以及运营和风险审计的AWS服务。用户、角色或AWS服务采取的操作在中记录为事件 CloudTrail。 

  • Amazon CloudWatch Events — Amazon CloudWatch Events 提供近乎实时的系统事件流,这些事件描述了AWS资源的变化。 

  • AWSLambda — Lamb AWS da 支持在不预配置或管理服务器的情况下运行代码。AWSLambda 仅在需要时运行您的代码,并自动扩展,从每天几个请求到每秒数千个请求。 

  • Amazon S3 — Amazon S3 是一项高度可扩展的对象存储服务,可用于各种存储解决方案,包括网站、移动应用程序、备份和数据湖。

  • Ama zon SNS — Amazon SNS 是一项网络服务,用于协调和管理发布者与客户之间的消息传送或发送,包括网络服务器和电子邮件地址。 

代码

  • 该项目的 .zip 文件作为附件提供。

操作说明

任务描述所需技能

定义 S3 存储桶。

在 Amazon S3 控制台中,选择或创建 S3 存储桶。此 S3 存储桶将托管 Lambda 代码 .zip 文件。您的 S3 存储桶需要与正在评估的 Amazon Redshift 集群位于同一区域。S3 存储桶名称不得包含前导斜杠。

云架构师
任务描述所需技能

将 Lambda 代码上传至 S3 存储桶。

将“附件”部分中提供的 Lambda 代码上传到 S3 存储桶。S3 存储桶需要与正在评估的 Amazon Redshift 集群位于同一区域。

云架构师
任务描述所需技能

部署AWS CloudFormation 模板。

部署作为该模式附件提供的AWS CloudFormation 模板。在下一个操作说明中,提供参数的值。

云架构师
任务描述所需技能

命名 S3 存储桶。

输入您在第一个操作说明中创建的 S3 存储桶的名称。

云架构师

提供 S3 密钥。

提供 Lambda 代码 .zip 文件在 S3 存储桶中的位置,不带前导斜杠(例如,<directory>/<file-name>.zip)。

云架构师

提供电子邮箱地址。

提供有效的电子邮件地址以接收 Amazon SNS 通知。

云架构师

定义日志记录级别。

定义 Lambda 函数的日志记录级别和频率。Info 指明有关应用程序进度的详细信息消息。Error 指明仍允许应用程序继续运行的错误事件。Warning 指明潜在的有害情况。

云架构师
任务描述所需技能

确认订阅。

成功部署模板后,它将向提供的电子邮件地址发送订阅电子邮件。您必须确认此电子邮件订阅才能接收违规通知。

云架构师

相关资源

附件

要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip