本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon Data Firehose 资源未使用密钥加密时进行识别并发出警报 AWS KMS
由 Ram Kandaswamy 创作 () AWS
摘要
为了合规起见,某些组织必须对数据传输资源(例如 Amazon Data Firehose)启用加密。此模式显示了一种在资源不合规时进行监控、检测和通知方法。
为了满足加密要求,可以在 Amazon Web Services (AWS) 上使用此模式来自动监控和检测未使用AWS密钥管理服务 (AWSKMS) 密钥加密的 Firehose 交付资源。该解决方案会发送警报通知,并且可对其进行扩展以执行自动修复。此解决方案可以应用于个人账户或多账户环境,例如使用AWS着陆区或 Cont AWS rol Tower 的环境。
先决条件和限制
先决条件
Firehose 传输流
足够的权限和熟悉程度 AWS CloudFormation,用于此基础架构自动化
限制
该解决方案不是实时的,因为它使用AWS CloudTrail 事件进行检测,并且在创建未加密的资源和发送通知之间存在延迟。
架构
目标技术堆栈
此解决方案使用无服务器技术和以下服务:
AWS CloudTrail
Amazon CloudWatch
AWS命令行界面 (AWSCLI)
AWSIdentity and Access Management (IAM)
Amazon Data Firehose
AWS Lambda
亚马逊简单通知服务(亚马逊SNS)
目标架构
用户创建或修改 Firehose。
检测并匹配 CloudTrail 事件。
调用了 AWS Lambda。
识别出不合规的资源。
发送邮件通知。
自动化和扩缩
使用 AWS CloudFormation StackSets,您可以通过一个命令将此解决方案应用于多个AWS地区或账户。
工具
AWS CloudTrail— AWS CloudTrail 是一项AWS服务,可帮助您实现AWS账户的治理、合规以及运营和风险审计。用户、角色或 AWS 服务执行的操作将记录为 CloudTrail 中的事件。事件包括在AWS管理控制台、AWS命令行界面中执行的API操作AWSSDKs和操作。
Amazon CloudWatch Events — Amazon CloudWatch Events 提供一系列描述AWS资源变化的系统事件。 near-real-time
AWSCLI— AWS Command Line Interface (AWSCLI) 是一个开源工具,可让您使用命令行外壳中的命令与AWS服务进行交互。
IAM— AWS Identity and Access Management (IAM) 是一项网络服务,可帮助您安全地控制对AWS资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。
Amazon Data Firehose — Amazon Data Firehose 是一项完全托管的服务,用于提供实时流数据。使用 Firehose,您无需编写应用程序或管理资源。您可以将数据生成器配置为向 Firehose 发送数据,Firehose 会自动将数据传送到您指定的目标。
AWSLambda — Lam AWS bda 是一项计算服务,它支持在不预置或管理服务器的情况下运行代码。只有在需要时 Lambda 才运行您的代码,并且能自动扩缩,从每天几个请求扩展到每秒数千个请求。您只需为消耗的计算时间付费 - 代码未运行时不产生费用。
Amaz on SNS — Amazon 简单通知服务 (AmazonSNS) 是一项托管服务,可从发布者向订阅者(也称为制作者和消费者)提供消息传送。
操作说明
| 任务 | 描述 | 所需技能 |
|---|---|---|
部署 AWS CloudFormation StackSets。 | 在中 AWSCLI,使用
| 云架构师、系统管理员 |
创建堆栈实例。 | 需要在您选择的AWS区域以及一个或多个账户中创建堆栈。 若要创建堆栈实例,请运行以下命令,将堆栈名称、账号和区域替换为您自己的堆栈名称、账号和区域。
| 云架构师、系统管理员 |
相关资源
其他信息
AWSConfig 不支持 Firehose 传送流资源类型,因此无法在解决方案中使用AWS配置规则。
附件
要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip
