工作负载示例:无服务器数据湖 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

工作负载示例:无服务器数据湖

此工作负载是主题 1:使用托管服务的一个示例。

数据湖使用 Amazon S3 进行存储和 AWS Lambda ETL。这些资源是在 AWS Cloud Development Kit (AWS CDK) 应用程序中定义的。对系统的更改是通过部署的 AWS CodePipeline。此管线仅限应用程序团队使用。当应用程序团队对代码存储库提出拉取请求时,将使用双人规则

对于此工作负载,应用程序团队采取以下措施来解决八大要点策略。

应用程序控制

修补应用程序

  • 应用程序团队在 Amazon Inspector 中启用 Lambda 扫描,并为已弃用或易受攻击的库配置提醒。

  • 应用程序团队可以跟踪 AWS 资源 AWS Config 以进行资产发现。

限制管理权限

  • 核心架构部分所述,应用程序团队已通过部署管线上的批准规则限制了对生产部署的访问权限。

  • 应用程序团队依赖核心架构部分所述的集中式身份联合验证和集中式日志记录解决方案。

  • 应用程序团队创建 AWS CloudTrail 跟踪和 Amazon CloudWatch 筛选器。

  • 应用程序团队为部署 AWS CloudFormation 和堆栈删除设置亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 警报 CodePipeline 。

修补操作系统

  • 应用程序团队在 Amazon Inspector 中启用 Lambda 扫描,并为已弃用或易受攻击的库配置提醒。

多重身份验证

  • 应用程序团队依赖核心架构部分所述的集中式身份联合验证解决方案。此解决方案可强制执行 MFA,记录身份验证,并在出现可疑的 MFA 事件时发出提醒或自动做出响应。

定期备份

  • 应用程序团队将代码(例如 AWS CDK 应用程序和 Lambda 函数和配置)存储在代码存储库中。

  • 应用程序团队启用版本控制和 Amazon S3 对象锁定,来帮助防止对象被删除或修改。

  • 应用程序团队依赖内置的 Amazon S3 持久性,而不是将其整个数据集复制到另一个 AWS 区域。

  • 应用程序团队在满足其数据主权要求的另一个 AWS 区域 工作负载中运行工作负载的副本。他们使用 Amazon DynamoDB 全局表和 Amazon S3 跨区域复制将数据从主区域自动复制到辅助区域。