Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Automatice la aplicación del cifrado en AWS Glue mediante una CloudFormation plantilla de AWS
*Diogo Guedes, Amazon Web Services*
## Resumen
Este patrón muestra cómo configurar y automatizar la aplicación del cifrado en AWS Glue mediante una CloudFormation plantilla de AWS. La plantilla crea todas las configuraciones y los recursos necesarios para aplicar el cifrado. Estos recursos incluyen una configuración inicial, un control preventivo creado por una EventBridge regla de Amazon y una función de AWS Lambda.
## Requisitos previos y limitaciones
**Requisitos previos **
+ Una cuenta de AWS activa
+ Permisos para implementar la CloudFormation plantilla y sus recursos
**Limitaciones**
Este control de seguridad es regional. Debe implementar el control de seguridad en cada región de AWS en la que desee configurar la aplicación del cifrado en AWS Glue.
## Arquitectura
**Pila de tecnología de destino**
+ Amazon CloudWatch Logs (de AWS Lambda)
+ EventBridge Regla de Amazon
+ CloudFormation Pila de AWS
+ AWS CloudTrail
+ Rol y política gestionados de AWS Identity and Access Management (IAM)
+ AWS Key Management Service (AWS KMS)
+ Alias de AWS KMS
+ Función de AWS Lambda
+ Almacén de parámetros de AWS Systems Manager
**Arquitectura de destino**
En el siguiente diagrama, se muestra cómo automatizar la aplicación del cifrado en AWS Glue.
En el diagrama, se muestra el siguiente flujo de trabajo:
1. Una [CloudFormation plantilla](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml) crea todos los recursos, incluida la configuración inicial y el control de detección para la aplicación del cifrado en AWS Glue.
1. Una EventBridge regla detecta un cambio de estado en la configuración de cifrado.
1. Se invoca una función Lambda para la evaluación y el registro a través CloudWatch de los registros. En caso de detección de incumplimiento, se recupera el almacén de parámetros con un nombre de recurso de Amazon (ARN) como clave de AWS KMS. Se corrige el estado de cumplimiento del servicio con el cifrado activado.
**Automatización y escala**
Si utiliza [AWS Organizations](https://aws.amazon.com/organizations/), puede utilizar [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) para implementar esta plantilla en varias cuentas en las que desee habilitar la aplicación del cifrado en AWS Glue.
## Tools (Herramientas)
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) le CloudWatch ayuda a monitorizar las métricas de sus recursos de AWS y las aplicaciones que ejecuta en AWS en tiempo real.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) es un servicio de bus de eventos sin servidor que le ayuda a conectar sus aplicaciones con datos en tiempo real de diversas fuentes. Por ejemplo, funciones de Lambda, puntos de conexión de invocación HTTP que utilizan destinos API o buses de eventos en otras cuentas de AWS.
+ [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) le CloudFormation ayuda a configurar los recursos de AWS, aprovisionarlos de forma rápida y coherente y gestionarlos durante todo su ciclo de vida en todas las cuentas y regiones de AWS.
+ [AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) le CloudTrail ayuda a habilitar la auditoría operativa y de riesgos, la gobernanza y el cumplimiento de su cuenta de AWS.
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) es un servicio de extracción, transformación y carga (ETL) completamente administrado. Ayuda a clasificar, limpiar, enriquecer y mover datos de forma fiable entre almacenes de datos y flujos de datos.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) facilita poder crear y controlar claves criptográficas para proteger los datos.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) le permite administrar las aplicaciones y la infraestructura que se ejecutan en la nube de AWS. Simplifica la administración de aplicaciones y recursos, reduce el tiempo requerido para detectar y resolver problemas operativos y ayuda a utilizar y administrar los recursos de AWS a escala de manera segura.
**Código**
El código de este patrón está disponible en el repositorio GitHub [aws-custom-guardrail-eventcontrolado por componentes](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml).
## Prácticas recomendadas
AWS Glue admite el cifrado de datos en reposo para la [creación de trabajos en AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/author-job-glue.html) y el [desarrollo de scripts mediante puntos de conexión de desarrollo.](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html)
Tenga en cuenta las siguientes prácticas recomendadas:
+ Configure trabajos ETL y puntos de conexión de desarrollo para utilizar claves de AWS KMS para escribir datos cifrados en reposo.
+ Cifre los metadatos almacenados en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) mediante claves que administra a través de KMS de AWS.
+ Además, puede usar las claves KMS de AWS para cifrar marcadores de trabajo y los registros que generan los [rastreadores](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html) y los trabajos de ETL.
## Epics
### Lanza la plantilla CloudFormation
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Implemente la CloudFormation plantilla. | Descargue la `aws-custom-guardrail-event-driven.yaml` plantilla del GitHub [repositorio](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml) y, a continuación, [impleméntela](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudformation/deploy/index.html). El estado `CREATE_COMPLETE` indica que su plantilla se implementó correctamente.La plantilla no requiere parámetros de entrada. | Arquitecto de la nube |
### Compruebe la configuración de cifrado en AWS Glue
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Compruebe las configuraciones clave de AWS KMS. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html) | Arquitecto de la nube |
### Pruebe la aplicación del cifrado
| Tarea | Descripción | Habilidades requeridas |
| --- | --- | --- |
| Identifique la configuración de cifrado en CloudFormation. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html) | Arquitecto de la nube |
| Cambie la infraestructura aprovisionada a un estado que no cumpla con las normas. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html)La barrera de protección detecta el estado no conforme en AWS Glue después de desactivar las casillas y, a continuación, aplica el cumplimiento corrigiendo automáticamente el error de configuración del cifrado. Como resultado, las casillas de verificación de cifrado deberían volver a seleccionarse después de actualizar la página. | Arquitecto de la nube |
## Recursos relacionados
+ [Creación de una pila en la CloudFormation consola de AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentación de AWS)
+ [Creación de una regla de CloudWatch eventos que se active en una llamada a la API de AWS mediante AWS CloudTrail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html) ( CloudWatch documentación de Amazon)
+ [Configuración del cifrado en AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/set-up-encryption.html) (documentación de AWS Glue)