Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Automatisieren Sie die Durchsetzung von Verschlüsselungen in AWS Glue mithilfe einer CloudFormation AWS-Vorlage
*Diogo Guedes, Amazon Web Services*
## Zusammenfassung
Dieses Muster zeigt Ihnen, wie Sie mithilfe einer CloudFormation AWS-Vorlage die Durchsetzung von Verschlüsselungen in AWS Glue einrichten und automatisieren. Die Vorlage erstellt alle erforderlichen Konfigurationen und Ressourcen für die Durchsetzung der Verschlüsselung. Zu diesen Ressourcen gehören eine Erstkonfiguration, eine durch eine EventBridge Amazon-Regel erstellte präventive Kontrolle und eine AWS-Lambda-Funktion.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktives AWS-Konto
+ Berechtigungen zur Bereitstellung der CloudFormation Vorlage und ihrer Ressourcen
**Einschränkungen**
Diese Sicherheitskontrolle ist regional. Sie müssen die Sicherheitskontrolle in jeder AWS-Region bereitstellen, in der Sie die Durchsetzung der Verschlüsselung in AWS Glue einrichten möchten.
## Architektur
**Zieltechnologie-Stack**
+ Amazon CloudWatch Logs (von AWS Lambda)
+ EventBridge Amazon-Regel
+ CloudFormation AWS-Stapel
+ AWS CloudTrail
+ Von AWS Identity and Access Management (IAM) verwaltete Rolle und Richtlinie
+ AWS Key Management Service (AWS KMS)
+ AWS-KMS-Alias
+ AWS Lambda-Funktion
+ AWS Systems Manager Parameter Store
**Zielarchitektur**
Das folgende Diagramm zeigt, wie die Durchsetzung von Verschlüsselungen in AWS Glue automatisiert werden kann.
Das Diagramm zeigt den folgenden Workflow:
1. Eine [CloudFormation Vorlage](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml) erstellt alle Ressourcen, einschließlich der Erstkonfiguration und der Erkennungskontrolle für die Durchsetzung der Verschlüsselung in AWS Glue.
1. Eine EventBridge Regel erkennt eine Statusänderung in der Verschlüsselungskonfiguration.
1. Eine Lambda-Funktion wird zur Auswertung und Protokollierung über Logs CloudWatch aufgerufen. Bei der Erkennung von Nichtkonformitäten wird der Parameter Store mit einem Amazon-Ressourcennamen (ARN) für einen AWS-KMS-Schlüssel wiederhergestellt. Der Service wird bei aktivierter Verschlüsselung auf den Status „konform“ zurückgesetzt.
**Automatisierung und Skalierung**
Wenn Sie [AWS Organizations](https://aws.amazon.com/organizations/) verwenden, können Sie [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) verwenden, CloudFormation StackSets um diese Vorlage in mehreren Konten bereitzustellen, für die Sie die Durchsetzung der Verschlüsselung in AWS Glue aktivieren möchten.
## Tools
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) hilft Ihnen dabei, die Metriken Ihrer AWS-Ressourcen und der Anwendungen, die Sie auf AWS ausführen, in Echtzeit zu überwachen.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel Lambda-Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen AWS-Konten.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) unterstützt Sie dabei, Betriebs- und Risikoprüfungen, Governance und Compliance Ihres AWS-Kontos zu ermöglichen.
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) ist ein vollständig verwalteter Service zum Extrahieren, Transformieren und Laden (ETL). Er hilft Ihnen dabei, Daten zuverlässig zu kategorisieren, zu bereinigen, anzureichern und zwischen Datenspeichern und Datenströmen zu verschieben.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) unterstützt Sie bei der Erstellung und Kontrolle kryptografischer Schlüssel, um Ihre Daten zu schützen.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) unterstützt Sie bei der Verwaltung Ihrer Anwendungen und Infrastruktur, die in der AWS-Cloud ausgeführt werden. Es vereinfacht das Anwendungs- und Ressourcenmanagement, verkürzt die Zeit für die Erkennung und Lösung betrieblicher Probleme und hilft Ihnen, Ihre AWS-Ressourcen sicher und skalierbar zu verwalten.
**Code**
Der Code für dieses Muster ist im GitHub [aws-custom-guardrail-event-gesteuerten](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml) Repository verfügbar.
## Best Practices
AWS Glue unterstützt die Datenverschlüsselung im Ruhezustand für die [Erstellung von Jobs in AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/author-job-glue.html) und die [Entwicklung von Skripten mithilfe von Entwicklungsendpunkten](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html).
Bedenken Sie die folgenden bewährten Methoden:
+ Konfigurieren Sie ETL-Jobs und Entwicklungsendpunkte so, dass sie AWS-KMS-Schlüssel verwenden, um verschlüsselte Daten im Ruhezustand zu schreiben.
+ Verschlüsseln Sie die im [AWS Glue Glue-Datenkatalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) gespeicherten Metadaten mithilfe von Schlüsseln, die Sie über AWS KMS verwalten.
+ Verwenden Sie AWS-KMS-Schlüssel, um Job-Lesezeichen und die von [Crawlern](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) und ETL-Jobs generierten Protokolle zu verschlüsseln.
## Epen
### Starten Sie die Vorlage CloudFormation
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Stellen Sie die CloudFormation Vorlage bereit. | Laden Sie die `aws-custom-guardrail-event-driven.yaml` Vorlage aus dem GitHub [Repository](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml) herunter und [stellen Sie sie dann bereit](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudformation/deploy/index.html). Der `CREATE_COMPLETE` Status gibt an, dass Ihre Vorlage erfolgreich bereitgestellt wurde.Die Vorlage benötigt keine Eingabeparameter. | Cloud-Architekt |
### Überprüfen Sie die Verschlüsselungseinstellungen in AWS Glue
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die AWS-KMS-Schlüsselkonfigurationen. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html) | Cloud-Architekt |
### Testen Sie die Durchsetzung der Verschlüsselung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Identifizieren Sie die Verschlüsselungseinstellung in CloudFormation. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html) | Cloud-Architekt |
| Versetzen Sie die bereitgestellte Infrastruktur in einen nicht konformen Zustand. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html)Die Guardrail erkennt den Status „Nicht konform“ in AWS Glue, nachdem Sie die Kontrollkästchen deaktiviert haben, und erzwingt dann die Einhaltung der Vorschriften, indem sie die Fehlkonfiguration der Verschlüsselung automatisch behebt. Daher sollten die Kontrollkästchen für die Verschlüsselung nach dem Aktualisieren der Seite erneut aktiviert werden. | Cloud-Architekt |
## Zugehörige Ressourcen
+ [Einen Stack auf der CloudFormation AWS-Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) erstellen ( CloudFormation AWS-Dokumentation)
+ [Erstellen einer CloudWatch Ereignisregel, die bei einem AWS-API-Aufruf mithilfe von AWS ausgelöst](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html) wird CloudTrail ( CloudWatch Amazon-Dokumentation)
+ [Verschlüsselung in AWS Glue einrichten (AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/set-up-encryption.html) Glue-Dokumentation)