Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Automatizza l'applicazione della crittografia in AWS Glue utilizzando un modello AWS CloudFormation
*Diogo Guedes, Amazon Web Services*
## Riepilogo
Questo modello mostra come configurare e automatizzare l'applicazione della crittografia in AWS Glue utilizzando un CloudFormation modello AWS. Il modello crea tutte le configurazioni e le risorse necessarie per applicare la crittografia. Queste risorse includono una configurazione iniziale, un controllo preventivo creato da una EventBridge regola Amazon e una funzione AWS Lambda.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un account AWS attivo
+ Autorizzazioni per distribuire il CloudFormation modello e le relative risorse
**Limitazioni**
Questo controllo di sicurezza è regionale. Devi implementare il controllo di sicurezza in ogni regione AWS in cui desideri configurare l'applicazione della crittografia in AWS Glue.
## Architecture
**Stack tecnologico Target**
+ Amazon CloudWatch Logs (da AWS Lambda)
+ EventBridge Regola Amazon
+ CloudFormation Stack AWS
+ AWS CloudTrail
+ Ruolo e policy gestiti da AWS Identity and Access Management (IAM)
+ AWS Key Management Service (AWS KMS)
+ Alias AWS KMS
+ Funzione AWS Lambda
+ AWS Systems Manager Parameter Store
**Architettura Target**
Il diagramma seguente mostra come automatizzare l'applicazione della crittografia in AWS Glue.
![\[Il diagramma mostra come automatizzare l'applicazione della crittografia in AWS Glue utilizzando un CloudFormation modello.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/d50d0659-5592-44d0-8fcb-7a2983712640/images/272a7fb2-ecbc-41f7-a556-d555e4e39a59.png)
Il diagramma mostra il flusso di lavoro seguente:
1. Un [CloudFormation modello](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml) crea tutte le risorse, inclusa la configurazione iniziale e il controllo investigativo per l'applicazione della crittografia in AWS Glue.
1. Una EventBridge regola rileva un cambiamento di stato nella configurazione di crittografia.
1. Viene richiamata una funzione Lambda per la valutazione e la registrazione tramite Logs. CloudWatch In caso di rilevamento non conforme, il Parameter Store viene ripristinato con un Amazon Resource Name (ARN) per una chiave AWS KMS. Il servizio viene ripristinato allo stato conforme con la crittografia abilitata.
**Automazione e scalabilità**
Se utilizzi [AWS Organizations](https://aws.amazon.com/organizations/), puoi utilizzare [AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) per distribuire questo modello in più account in cui desideri abilitare l'applicazione della crittografia in AWS Glue.
## Tools (Strumenti)
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ti CloudWatch aiuta a monitorare i parametri delle tue risorse AWS e delle applicazioni che esegui su AWS in tempo reale.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, funzioni Lambda, endpoint di invocazione HTTP che utilizzano destinazioni API o bus di eventi in altri account AWS.
+ [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ti CloudFormation aiuta a configurare le risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita su account e regioni AWS.
+ [AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) ti CloudTrail aiuta a abilitare il controllo operativo e dei rischi, la governance e la conformità del tuo account AWS.
+ [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) è un servizio di estrazione, trasformazione e caricamento (ETL) completamente gestito. Ti aiuta a classificare, pulire, arricchire e spostare i dati in modo affidabile tra archivi di dati e flussi di dati.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) ti aiuta a creare e controllare chiavi crittografiche per proteggere i tuoi dati.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di elaborazione che ti aiuta a eseguire codice senza dover fornire o gestire server. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di calcolo che utilizzi.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) ti aiuta a gestire le applicazioni e l'infrastruttura in esecuzione nel cloud AWS. Semplifica la gestione delle applicazioni e delle risorse, riduce i tempi di rilevamento e risoluzione dei problemi operativi e ti aiuta a gestire le tue risorse AWS in modo sicuro su larga scala.
**Codice**
[Il codice per questo pattern è disponibile nel repository -driven. GitHub aws-custom-guardrail-event](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml)
## Best practice
AWS Glue supporta la crittografia dei dati a riposo per la [creazione di lavori in AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/author-job-glue.html) e lo [sviluppo di script utilizzando endpoint di sviluppo](https://docs.aws.amazon.com/glue/latest/dg/dev-endpoint.html).
Prendi in considerazione le seguenti best practice:
+ Configura i job ETL e gli endpoint di sviluppo per utilizzare le chiavi AWS KMS per scrivere dati crittografati inattivi.
+ Crittografa i metadati archiviati nel [catalogo dati di AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) utilizzando chiavi gestite tramite AWS KMS.
+ [Usa le chiavi AWS KMS per crittografare i segnalibri dei lavori e i log generati dai crawler e dai job ETL.](https://docs.aws.amazon.com/glue/latest/dg/add-crawler.html)
## Epiche
### Avvia il modello CloudFormation
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Implementa il CloudFormation modello. | Scarica il `aws-custom-guardrail-event-driven.yaml` modello dal GitHub [repository](https://github.com/aws-samples/aws-custom-guardrail-event-driven/blob/main/CloudFormation/aws-custom-guardrail-event-driven.yaml), quindi [distribuiscilo.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudformation/deploy/index.html) Lo `CREATE_COMPLETE` stato indica che il modello è stato distribuito correttamente.Il modello non richiede parametri di input. | Architetto del cloud |
### Verifica le impostazioni di crittografia in AWS Glue
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Controlla le configurazioni delle chiavi AWS KMS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html) | Architetto del cloud |
### Verifica l'applicazione della crittografia
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Identifica l'impostazione di crittografia in CloudFormation. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html) | Architetto del cloud |
| Passa l'infrastruttura predisposta a uno stato non conforme. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/automate-encryption-enforcement-in-aws-glue-using-an-aws-cloudformation-template.html)Il guardrail rileva lo stato di non conformità in AWS Glue dopo aver deselezionato le caselle di controllo, quindi impone la conformità correggendo automaticamente l'errata configurazione della crittografia. Di conseguenza, le caselle di controllo per la crittografia devono essere nuovamente selezionate dopo aver aggiornato la pagina. | Architetto del cloud |
## Risorse correlate
+ [Creazione di uno stack sulla CloudFormation console AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentazione AWS)
+ [Creazione di una regola CloudWatch Events che si attiva su una chiamata API AWS utilizzando AWS CloudTrail](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html) ( CloudWatch documentazione Amazon)
+ [Configurazione della crittografia in AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/set-up-encryption.html) (documentazione AWS Glue)