기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Data Firehose 리소스가 AWS KMS 키로 암호화되지 않은 경우 식별 및 알림
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key"></a>

*Ram Kandaswamy, Amazon Web Services*

## 요약
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key-summary"></a>

규정 준수를 위해 일부 조직에서는 Amazon Data Firehose와 같은 데이터 전송 리소스에 암호화를 활성화해야 합니다. 이 패턴은 리소스가 규정을 준수하지 않는 경우 모니터링, 탐지 및 통지하는 방법을 보여줍니다.

암호화 요구 사항을 유지하기 위해이 패턴을에서 사용하여 AWS Key Management Service (AWS KMS) 키로 암호화되지 않은 Amazon Data Firehose 전송 리소스를 자동으로 모니터링하고 감지 AWS 할 수 있습니다. 솔루션은 알림 알림을 전송하며, 자동 문제 해결을 수행하도록 확장할 수 있습니다. 이 솔루션은 개별 계정 또는 AWS 랜딩 존 또는를 사용하는 환경과 같은 다중 계정 환경에 적용할 수 있습니다 AWS Control Tower.

## 사전 조건 및 제한 사항
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key-prereqs"></a>

**사전 조건 **
+ Amazon Data Firehose 전송 스트림
+ 이 인프라 자동화에 CloudFormation사용되는 충분한 권한 및 친숙성

**제한 사항 **
+ 감지에 AWS CloudTrail 이벤트를 사용하고 암호화되지 않은 리소스가 생성되고 알림이 전송되는 시간 사이에 지연이 있기 때문에 솔루션은 실시간이 아닙니다.

## 아키텍처
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key-architecture"></a>

**대상 기술 스택  **

이 솔루션은 서버리스 기술과 다음 서비스를 사용합니다.
+ AWS CloudTrail
+ Amazon CloudWatch()
+ AWS Command Line Interface (AWS CLI)
+ AWS Identity and Access Management (IAM)
+ Amazon Data Firehose
+ AWS Lambda
+ Amazon Simple Notification Service(Amazon SNS)

**대상 아키텍처**

![Data Firehose 리소스가 암호화되지 않은 경우 알림을 생성하는 프로세스입니다.](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/images/pattern-img/897ba8cf-d1c2-4149-98e7-09d3d90d13d6/images/d694f718-bd0c-4d14-a2e4-e0ea58dc048e.png)


이 다이어그램은 다음 단계들을 보여줍니다.

1. 사용자가 Amazon Data Firehose를 생성하거나 수정합니다.

1. CloudTrail 이벤트가 감지되고 매칭됩니다.

1. Lambda가 간접적으로 호출됩니다.

1. 규정을 준수하지 않는 리소스가 식별됩니다.

1. 이메일 알림을 전송됩니다.

**자동화 및 규모 조정**

 CloudFormation StackSets를 사용하여 단일 명령으로 여러 AWS 리전 또는 계정에이 솔루션을 적용할 수 있습니다.

## 도구
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key-tools"></a>
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)는에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화 AWS 서비스 하는 데 도움이 되는 입니다 AWS 계정. 사용자, 역할 또는가 수행한 작업은 CloudTrail에 이벤트로 기록 AWS 서비스 됩니다. 이벤트에는 AWS Management Console, AWS CLI, AWS SDKs 및 API 작업에서 수행된 작업이 포함됩니다.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)는 AWS 리소스의 변경 사항을 설명하는 시스템 이벤트의 스트림을 거의 실시간으로 제공합니다.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)는 명령줄 셸에서 명령을 AWS 서비스 사용하여와 상호 작용할 수 있는 오픈 소스 도구입니다. 
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. 
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)는 실시간 스트리밍 데이터를 전송하는 종합 관리형 서비스입니다. Firehose를 사용하면 애플리케이션을 쓰거나 리소스를 관리할 필요가 없습니다. 데이터 생산자가 데이터를 Firehose로 보내도록 구성하면 지정한 대상으로 데이터를 자동 전송합니다.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행할 수 있게 해주는 컴퓨팅 서비스입니다. Lambda는 필요 시에만 코드를 실행하며, 일일 몇 개의 요청에서 초당 수천 개의 요청까지 자동으로 규모를 조정합니다. 사용한 컴퓨팅 시간에 대해서만 요금을 지불하면 되고 코드가 실행되지 않을 때는 요금이 부과되지 않습니다. 
+ [Amazon Simple Notification Service(Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)는 게시자에서 구독자(생산자 및 소비자라고도 함)로 메시지를 전송하는 관리형 서비스입니다.

## 에픽
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key-epics"></a>

### 규정 준수를 위한 암호화 적용
<a name="enforce-encryption-for-compliance"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| Deploy CloudFormation StackSets. | 에서 `firehose-encryption-checker.yaml` 템플릿(첨부됨)을 AWS CLI사용하여 다음 명령을 실행하여 스택 세트를 생성합니다.  파라미터에 대한 유효한 Amazon SNS 주제 Amazon 리소스 이름(ARN) 을 제공합니다. 배포 과정에서 템플릿에 설명된 대로 필요한 권한을 가진 CloudWatch Events 규칙, Lambda 함수 및 IAM 역할을 성공적으로 생성해야 합니다.<pre>aws cloudformation create-stack-set    --stack-set-name my-stack-set   --template-body file://firehose-encryption-checker.yaml </pre> | 클라우드 아키텍트, 시스템 관리자 | 
| 스택 인스턴스를 생성합니다. | 스택은 AWS 리전 선택한와 하나 이상의 계정에서 생성할 수 있습니다.  스택 인스턴스를 생성하려면 다음 명령을 실행합니다. 스택 이름, 계정 번호, 리전을 자체 정보로 대체합니다.<pre>aws cloudformation create-stack-instances     --stack-set-name my-stack-set    --accounts 123456789012 223456789012   --regions us-east-1 us-east-2 us-west-1 us-west-2     --operation-preferences FailureToleranceCount=1 </pre> | 클라우드 아키텍트, 시스템 관리자 | 

## 관련 리소스
<a name="identify-and-alert-when-amazon-data-firehose-resources-are-not-encrypted-with-an-aws-kms-key-resources"></a>
+ [CloudFormation StackSets 작업](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)
+ [Amazon CloudWatch Events란 무엇인가요?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html)

## 첨부
<a name="attachments-897ba8cf-d1c2-4149-98e7-09d3d90d13d6"></a>

이 문서와 관련된 추가 콘텐츠에 액세스하려면 [attachment.zip](samples/p-attach/897ba8cf-d1c2-4149-98e7-09d3d90d13d6/attachments/attachment.zip) 파일의 압축을 풉니다.