本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 工作負載範例:無伺服器資料湖 此工作負載是 的範例[主題 1:使用 受管服務](theme-1.md)。 資料湖使用 Amazon S3 儲存和 AWS Lambda ETL。這些資源在 AWS Cloud Development Kit (AWS CDK) 應用程式中定義。透過 部署對系統所做的變更 AWS CodePipeline。此管道僅限於應用程式團隊。當應用程式團隊對程式碼儲存庫提出提取請求時,會使用[兩人規則](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html)。 對於此工作負載,應用程式團隊會採取下列動作來解決 Essential Eight 策略。 *應用程式控制* + 應用程式團隊會在 GuardDuty 中啟用 [Lambda 保護](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html),並在 Amazon Inspector 中啟用 [Lambda 掃描](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)。 + 應用程式團隊實作機制來檢查[和管理 Amazon Inspector 調查結果](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html#findings-managing-eventbridge-tutorial)。 *修補程式應用程式* + 應用程式團隊會在 Amazon Inspector 中啟用 Lambda 掃描,並設定已棄用或易受攻擊程式庫的提醒。 + 應用程式團隊可讓 AWS Config 追蹤資產探索 AWS 的資源。 *限制管理權限* + 如 [核心架構](scenario.md#core-architecture)節所述,應用程式團隊已透過其部署管道上的核准規則,限制對生產部署的存取。 + 應用程式團隊倚賴 [核心架構](scenario.md#core-architecture)節所述的集中式聯合身分和集中式記錄解決方案。 + 應用程式團隊會建立 AWS CloudTrail 追蹤和 Amazon CloudWatch 篩選條件。 + 應用程式團隊會設定 CodePipeline 部署和 AWS CloudFormation 堆疊刪除的 Amazon Simple Notification Service (Amazon SNS) 提醒。 *修補程式作業系統* + 應用程式團隊會在 Amazon Inspector 中啟用 Lambda 掃描,並設定已棄用或易受攻擊程式庫的提醒。 *多重要素驗證* + 應用程式團隊依賴 [核心架構](scenario.md#core-architecture)節所述的集中式聯合身分解決方案。此解決方案會強制執行 MFA、記錄身分驗證,以及提醒或自動回應可疑的 MFA 事件。 *定期備份* + 應用程式團隊會將程式碼,例如 AWS CDK 應用程式和 Lambda 函數和組態,存放在[程式碼儲存庫](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)中。 + 應用程式團隊會啟用版本控制和 Amazon S3 物件鎖定,以協助防止物件遭到刪除或修改。 + 應用程式團隊依賴內建的 Amazon S3 耐用性,而不是將其整個資料集複寫到另一個資料集 AWS 區域。 + 應用程式團隊會在另一個 中執行工作負載的副本 AWS 區域 ,以符合其資料主權需求。它們使用 Amazon DynamoDB 全域資料表和 Amazon S3 [跨區域複寫](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#crr-scenario),將資料從主要區域自動複寫到次要區域。