Está en la página 1de 24

Servicios AWS

S3 (Amazon Simple Storage Service)


Amazon Simple Storage Service es un servicio de almacenamiento para Internet. Está
diseñado para facilitar a los desarrolladores recursos de computación escalables basados en
Web. Amazon S3 tiene una interfaz de servicios web simple que puede utilizar para
almacenar y recuperar cualquier cantidad de datos, en cualquier momento, desde cualquier
parte de la web. Ofrece a cualquier desarrollador acceso a la misma infraestructura de
almacenamiento de datos económica, altamente escalable, fiable, segura y rápida que utiliza
Amazon para mantener su propia red global de sitios web. Este servicio tiene como fin
maximizar los beneficios del escalado y trasladarlos a los desarrolladores.

Clases de almacenamiento
Amazon S3 ofrece una gama de clases de almacenamiento diseñada para diferentes casos
de uso. Incluyen Amazon S3 STANDARD para almacenamiento general de los datos a los
que se accede frecuentemente, Amazon S3 STANDARD_IA para datos de duración
prolongada a los que se obtiene acceso con menos frecuencia y GLACIER para un
archivado a largo plazo

Clase de almacenamiento GLACIER


La clase de almacenamiento GLACIER es apta para el archivado de datos a los que se
obtiene acceso de forma poco frecuente. Los objetos archivados no están disponibles para
su acceso en tiempo real. En primer lugar, debe restaurar los objetos antes de poder obtener
acceso a los mismos.

Protección de los Datos

En reposo

Amazon S3 provee un número de características para proteger los datos en reposo, los cuales
puede usar o no dependiendo de los perfiles de las amenazas.

Característica Descripción
Permisos Use a nivel de bucket o de objeto permisos junto a las políticas
IAM para proteger recursos de accesos no autorizados y para
prevenir revelación de información, compromiso de la
integridad de la data o eliminación.
Versionamiento Amazon S3 soporta versiones de los objetos. Está deshabilitado
por default. Habilitar la versión para almacenar una nueva
versión para cada modificación o borrado de los objetos.
Replicación Amazon S3 replica cada objeto a través de todas las Zonas de
Disponibilidad dentro de la respectiva región. Puede suministrar
la disponibilidad de recursos y servicios en el caso de falla del
sistema, pero no provee protección contra borrado accidental o
compromiso de la integridad de los datos. Ofrece redundancia
estándar y reduce las opciones de redundancia.
Backup Soporta replicación y versionamiento de los datos en lugar de
los backups automático. Puede, usar tecnologías a nivel de
aplicación para almacenar copias de respaldo en Amazon S3
para otra región en AWS o sistemas de respaldo on-premises
Encryption-server side Permite cifrado de datos de lado del servidor de forma
transparente al usuario final. Usa una llave cifrada para cada
objeto usando AES-256. La llave maestra es almacenada en una
localización segura y rota de forma regular.
Encryption- client side Se puede crear y manejar sus propias llaves cifradas. Los datos
deben viajar a AWS cifrados por la aplicación antes de enviarlos
a Amazon S3

En tránsito
Como el tráfico de administración de servicios AWS, Amazon S3 es accedido por HTTPS. Eso
incluye todas las solicitudes de administración del servicio como la carga de usuario, como la de
contenidos de objetos almacenados/obtenidos de Amazon S3 y los metadatos asociados.

Cuando el servicio se accede por consola una conexión segura SSL/TLS se establece entre el
navegador del cliente y el extremo de la consola de servicio.

Cuando se usa la API directamente o indirectamente, se establece una conexión SSL/TLS entre el
cliente y el endpoint de Amazon S3 y todas las subsecuentes HTTP, y la carga útil de usuario es
encapsulado dentro de la sesión protegida.

¿Amazon S3 admite la auditoría de acceso de datos?


Sí, los clientes pueden configurar de manera opcional un bucket de Amazon S3 para crear registros
de acceso para todas las solicitudes creadas y destinadas a este. Opcionalmente, los clientes que
necesiten obtener información sobre identidades de usuarios/IAM en sus registros pueden
configurar AWS CloudTrail Data Events.

Estos registros de acceso se pueden utilizar con fines de auditoría y cuentan con información
detallada acerca de la solicitud, como el tipo de solicitud, los recursos especificados en la solicitud
y la hora y la fecha en la que se procesó.

¿Qué opciones dispongo para cifrar los datos almacenados en Amazon S3?
Puede optar por cifrar los datos con SSE-S3, SSE-C, SSE-KMS o una biblioteca cliente como Amazon
S3 Encryption Client. Estas cuatro opciones permiten almacenar datos sensibles, cifrados e
inactivos en Amazon S3.
SSE-S3 es una solución integrada en la que Amazon se encarga de la administración y la protección
de las claves con diferentes capas de seguridad. Seleccione SSE-S3 si prefiere que Amazon
administre las claves.

SSE-C permite aprovechar las funciones de Amazon S3 para realizar el cifrado y el descifrado de los
objetos, al tiempo que se conserva el control de las claves que se utilizan para cifrar objetos. Con
SSE-C, no necesita implementar ni utilizar una biblioteca en el lado del cliente para realizar el
cifrado y el descifrado de los objetos que almacene en Amazon S3, pero sí tiene que administrar
las claves que envíe a Amazon S3 para cifrar y descifrar los objetos. Utilice SSE-C si desea conservar
sus propias claves de cifrado y no desea implementar ni aprovechar una biblioteca de cifrado en el
lado cliente.

Con SSE-KMS, puede utilizar AWS Key Management Service (AWS KMS) para administrar sus
claves de cifrado. Utilizar AWS KMS para la administración de sus claves conlleva otros beneficios
adicionales. AWS KMS proporciona permisos independientes para usar la clave principal, lo que
crea una capa de control adicional, así como protección contra el acceso no autorizado a sus
objetos almacenados en Amazon S3. AWS KMS ofrece un registro de auditoría para que pueda
consultar cuándo y quién ha utilizado su clave para obtener acceso a cada objeto, así como los
intentos fallidos de usuarios sin permiso para obtener acceso a los datos y descifrarlos. Además,
AWS KMS ofrece controles de seguridad adicionales que respaldan los esfuerzos de los clientes por
cumplir con PCI-DSS, HIPAA/HITECH y los requisitos industriales de FedRAMP.

Si utiliza una biblioteca de cliente de cifrado, como Amazon S3 Encryption Client, mantendrá el
control de las claves y realizará las tareas de cifrado y descifrado en objetos del lado del cliente
con la biblioteca de cifrado que usted elija. Hay clientes que prefieren tener el control integral del
cifrado y el descifrado de objetos para que, de este modo, solo se transmitan objetos cifrados por
Internet a Amazon S3. Utilice una biblioteca del lado cliente si quiere mantener el control de las
claves de cifrado, si puede implementar o utilizar una biblioteca de cifrado del lado cliente y si
necesita cifrar los objetos antes de enviarlos a Amazon S3 para su almacenamiento.
Amazon Route 53
Amazon Route 53 es un servicio web DNS (Sistema de nombres de dominio) escalable
y de alta disponibilidad en la nube.

Amazon Route 53 conecta de forma efectiva las solicitudes del usuario con la
infraestructura en ejecución en AWS – como instancias de Amazon EC2, balanceadores de
carga de Elastic Load Balancing o buckets de Amazon S3 – y también puede utilizarse para
direccionar usuarios a infraestructuras externas a AWS. Puede utilizar Amazon Route 53
para configurar comprobaciones de estado de DNS para redirigir el tráfico a puntos de
enlace en buen estado o controlar de manera independiente el estado de la aplicación y sus
puntos de enlace. Amazon Route 53 Traffic Flow hace sencillo administrar el tráfico de
manera global a través de varios tipos de direccionamiento, incluido el direccionamiento
basado en la latencia, el DNS geográfico, la geoproximidad y el turno rotativo ponderado.
Todos ellos se pueden combinar con la recuperación ante errores a nivel de DNS para
permitir varias arquitecturas de baja latencia y tolerantes a errores. El sencillo editor visual
de Amazon Route 53 Traffic Flow permite administrar fácilmente el modo de redirigir a los
usuarios finales hacia los puntos de enlace de su aplicación, ya sea en una sola región AWS
o en todo el mundo. Route 53 también ofrece el registro de nombre de dominio – puede
adquirir y administrar nombres de dominio como ejemplo.com y Amazon Route 53
establecerá automáticamente la configuración DNS de sus dominios.

Puede combinar su DNS con servicios de comprobación de estado para redirigir el tráfico a
puntos de enlace en buen estado o para monitorizar o configurar alarmas, de manera
independiente, en los puntos de enlace. También puede adquirir y administrar nombres de
dominio como ejemplo.com y configurar automáticamente los valores de DNS para sus
dominios. Route 53 conecta de forma efectiva las solicitudes del usuario con la
infraestructura en ejecución en AWS – como, por ejemplo, instancias de Amazon EC2,
balanceadores de carga de Elastic Load Balancing o buckets de Amazon S3 – y también
puede utilizarse para direccionar usuarios a infraestructuras externas a AWS.

¿Qué tipo de controles de acceso puedo definir para la administración de mis dominios
en Amazon Route 53?
Es posible controlar el acceso administrativo a la zona hospedada de Amazon Route
53 con el servicio AWS Identity and Access Management (IAM). AWS IAM le
permite controlar qué personas de su organización pueden realizar cambios en los
registros DNS creando varios usuarios y administrando los permisos de cada uno en
su cuenta de AWS.

Formatos de nombre de dominio


Los nombres de dominio (incluidos los nombres de dominios, zonas hospedadas y registros)
constan de una serie de etiquetas separadas por puntos. Cada etiqueta puede tener hasta 63
bytes. La longitud total de un nombre de dominio no puede superar los 255 bytes, incluidos los
puntos. Amazon Route 53 admite cualquier nombre de dominio válido. Los requisitos de
nomenclatura dependen de si registra un nombre de dominio o especifica el nombre de una zona
hospedada o un registro. Consulte el tema correspondiente
Glacier
Administración integrada del ciclo de vida con Amazon S3
Amazon Glacier se combina con las normas de ciclo de vida de Amazon S3 para ayudarle a
automatizar el archivado de datos de Amazon S3 y reducir sus costos de almacenamiento
generales. Puede configurar fácilmente una norma que almacene todas las versiones de
objetos de Amazon S3 anteriores en la clase de almacenamiento de costo inferior de Glacier y
las elimine del almacenamiento de Glacier a los 100 días. Con este ejemplo, dispondría de
100 días para anular cualquier cambio realizado en los datos y reduciría automáticamente sus
costos de almacenamiento. Para obtener más información sobre la configuración del ciclo de
vida y la transición de objetos a Amazon Glacier, consulte la sección sobre administración del
ciclo de vida de objetos en la guía para desarrolladores de Amazon Simple Storage Service.

Protección de datos
Los datos almacenados en Amazon Glacier están protegidos por defecto; solo los propietarios
de los almacenes disponen de acceso a los recursos de Amazon Glacier que han creado.
Amazon Glacier cifra sus datos en descanso de manera predeterminada y soporta el tránsito
de datos seguro a través de SSL. También es compatible con los mecanismos de control del
acceso mediante las políticas de Identity and Access Management (IAM). Gracias a las
características de protección de datos de Amazon Glacier, puede proteger los datos de errores
tanto físicos como lógicos. De esta forma se evita la pérdida de datos provocada por acciones
involuntarias del usuario, errores de la aplicación y errores de la infraestructura. En el caso de
los clientes que deben cumplir con normas reglamentarias, como las de PCI e HIPAA, las
funciones de protección de datos de Amazon Glacier se pueden utilizar como parte de una
estrategia global para lograr la conformidad. A continuación, se describen detalladamente las
diferentes características de fiabilidad y seguridad de datos que ofrece Amazon Glacier.

Cifrado de manera predeterminada


Amazon Glacier cifra automáticamente los datos en reposo mediante las claves simétricas del
estándar de cifrado avanzado (AES) de 256 bits y soporta la transferencia segura de los datos
a través de la capa de conexión segura (SSL).

Archivos inmutables
Los datos almacenados en Amazon Glacier son inmutables, lo que significa que, una vez
creado un archivo, no se puede actualizar. Eso garantiza que datos como los registros de
conformidad y normativos no se puedan modificar una vez archivados.

Control de acceso flexible mediante las políticas de IAM


Amazon Glacier soporta las políticas de Identity and Access Management (IAM), lo que
permite a las organizaciones con numerosos empleados crear y administrar múltiples usuarios
con una sola cuenta de AWS. Con las políticas de IAM, puede crear políticas de control
minuciosas de los almacenes de Amazon Glacier. Puede escribir políticas de IAM para
conceder o revocar ciertos permisos y acciones determinados en cada uno de los almacenes
de Amazon Glacier.
Amazon Elasticsearch Service
Amazon Elasticsearch Service facilita la implementación, la protección, el uso y el escalado de
Elasticsearch para el análisis de logs, la búsqueda de texto completo, la monitorización de
aplicaciones y mucho más. Amazon Elasticsearch Service es un servicio completamente
administrado que pone a su alcance las API de uso sencillo y las capacidades de análisis en tiempo
real de Elasticsearch junto con la disponibilidad, escalabilidad y seguridad que necesitan las cargas
de trabajo de producción. El servicio ofrece integraciones con Kibana, Logstash y servicios de AWS
como Amazon Virtual Private Cloud (VPC), AWS Key Management Service (KMS), Amazon Kinesis
Data Firehose, AWS Lambda, Amazon Cognito y Amazon CloudWatch, para que pueda convertir
datos sin procesar en información procesable con rapidez y seguridad.

Comenzar a usar Amazon Elasticsearch Service es muy sencillo. Puede instalar y configurar
dominios de Amazon Elasticsearch Service a escala de petabytes en cuestión de minutos desde la
consola de administración de AWS. Amazon Elasticsearch Service aprovisiona todos los recursos
para el dominio y después lo lanza. Puede acceder de manera segura al dominio desde su VPC o un
punto de conexión público. El servicio detecta y reemplaza automáticamente los nodos de
Elasticsearch que tienen errores. Con esto se reduce la sobrecarga asociada con la infraestructura
autoadministrada y el software de Elasticsearch. Amazon Elasticsearch Service permite ajustar la
escala de un clúster fácilmente sobre un petabyte de datos con una sola llamada a la API o unos
pocos clics en la consola. Con Amazon Elasticsearch Service, se obtiene acceso directo a la API de
código abierto de Elasticsearch, de modo que el código y las aplicaciones que ya utiliza con sus
entornos existentes de Elasticsearch funcionarán perfectamente.

Con Amazon Elasticsearch Service, paga únicamente por lo que usa. Sin tarifa mínima ni requisito
de uso. Si elige las instancias reservadas para un plazo de uno o tres años, puede ejecutar Amazon
Elasticsearch Service a precios con un descuento importante

Seguridad

P: ¿De qué manera puedo proteger mi dominio de Amazon Elasticsearch Service?


Si utiliza una VPC para proteger sus aplicaciones, datos y tráfico de red, puede configurar el
acceso a la VPC para Amazon Elasticsearch Service, lo que le permite controlar el acceso a la
red con grupos de seguridad de VPC. También puede usar políticas basadas en IAM para
ofrecer un control minucioso acerca de qué funciones de IAM pueden realizar tareas
administrativas, usar las API de Elasticsearch y obtener acceso a los recursos del dominio
hasta el nivel del índice.

Si desea habilitar el acceso a su dominio de Amazon Elasticsearch Service desde Internet,


puede especificar un acceso público. Con el acceso público, puede controlar el acceso al
punto de enlace por dirección IP y exigir autenticación mediante el uso de funciones de IAM.
Las políticas de IAM pueden controlar el acceso a los subrecursos y dominios de Amazon
Elasticsearch Service, como índices dentro de dominios.

Con Amazon Cognito, también puede permitir a sus usuarios finales iniciar sesión en Kibana a
través de proveedores de identidades empresariales, como Microsoft Active Directory,
mediante SAML 2.0, o a través de proveedores de identidades de redes sociales, como
Google, Facebook y Amazon. También puede configurar una experiencia de inicio de sesión
segura, escalable y simplificada con los grupos de usuarios de Amazon Cognito. Una vez
iniciada la sesión, Amazon Cognito establece una sesión mediante la función correspondiente
de AWS Identity and Access Management (IAM), que brinda acceso al dominio de Amazon
Elasticsearch Service.

Las políticas de IAM también se pueden configurar para controlar el acceso a la API de
administración, como la creación y el escalado de clústeres, y a la API de Elasticsearch para
operaciones como la carga de documentos y la realización de solicitudes de Elasticsearch.

P: ¿Puedo cifrar mis datos en reposo mientras utilizo Amazon Elasticsearch Service?
Amazon Elasticsearch Service ofrece una opción que permite cifrar los datos con claves que
puede administrar mediante AWS Key Management Service (KMS). Si se activa, todos los
datos almacenados en reposo en los sistemas de almacenamiento subyacentes se cifran,
incluidos los índices principales y replicados, los archivos de registro, los archivos de
intercambio de memoria y las instantáneas de S3 automatizadas. Amazon Elasticsearch
Service realiza el cifrado y el descifrado de forma transparente, por lo que no es necesario
modificar la aplicación para tener acceso a los datos. Es posible activar el cifrado al crear
dominios a través de la API o la consola de administración de AWS. Amazon Elasticsearch
Service puede crear una clave maestra de KMS automáticamente, o también es posible elegir
una. El cifrado en reposo es compatible con Amazon Elastic Block Store (EBS) y con el
almacén de instancias.

Para obtener más información sobre el uso de AWS KMS con Amazon Elasticsearch Service,
consulte la guía para desarrolladores de Amazon Elasticsearch Service. Para obtener más
información sobre AWS KMS, visite la página web.

P: ¿Cómo puedo configurar el acceso de VPC para Amazon Elasticsearch Service?


Puede configurar el acceso de VPC al crear un dominio de Amazon Elasticsearch Service. El
acceso de VPC se puede configurar con unos pocos clics en la consola o mediante nuestra
CLI o API. Para obtener más detalles, consulte la guía para desarrolladores de Amazon
Elasticsearch Service.

P: Si configuro el acceso de VPC para mi dominio de Amazon Elasticsearch Service, ¿cómo


podré obtener acceso a Kibana?
Cuando se habilite el acceso de VPC, solo podrá obtenerse acceso al punto de enlace para
Amazon Elasticsearch Service desde la VPC del cliente. Si desea utilizar su laptop para
obtener acceso a Kibana desde afuera de la VPC, debe conectar la laptop a la VPC mediante
VPN o VPC Direct Connect.
AWS Glue
Es un servicio de extracción, transformación y carga (ETL) completamente administrado que ayuda
a los clientes a preparar y cargar los datos para su análisis. Puede crear y ejecutar un trabajo de
ETL con tan solo unos clics en la consola de administración de AWS. Simplemente debe apuntar
AWS Glue a sus datos almacenados en AWS y AWS Glue encontrará sus datos y almacenará los
metadatos asociados (p. ej., esquemas y definiciones de tablas) en el catálogo de datos de AWS
Glue. Una vez catalogados, puede realizar búsquedas y consultas inmediatamente en sus datos,
que están disponibles para operaciones de ETL. AWS Glue genera el código para ejecutar sus
transformaciones de datos y procesos de carga de datos.

AWS Glue genera código personalizable, reutilizable y portátil. Una vez que su trabajo de ETL esté
listo, podrá programarlo para que se ejecute en el entorno totalmente administrado y escalable
Apache Spark de AWS Glue. AWS Glue proporciona un programador flexible con resolución de
dependencias, monitoreo de trabajos y alertas.

AWS Glue es un servicio sin servidor, por lo que no es necesario comprar, configurar ni administrar
infraestructura. Aprovisiona automáticamente el entorno necesario para completar el trabajo, y
los clientes pagan solamente por los recursos informáticos consumidos al ejecutar trabajos de ETL.
Con AWS Glue, los datos pueden estar disponibles para su análisis en cuestión de minutos.
Servicios de Bases Datos
Amazon DynamoDB
Amazon DynamoDB es un servicio de base de datos NoSQL completamente administrado
que proporciona un desempeño rápido, predecible y cuya escala es muy fácil de ajustar.
Puede utilizar Amazon DynamoDB para crear una tabla de base de datos capaz de
almacenar y recuperar cualquier cantidad de datos, así como de satisfacer cualquier nivel de
tráfico de solicitud. Amazon DynamoDB distribuye automáticamente los datos y el tráfico
de la tabla por una cantidad suficiente de servidores como para administrar la capacidad de
solicitud especificada por el cliente y la cantidad de datos almacenados, al mismo
tiempo que mantiene un desempeño uniforme y rápido.

DynamoDB ofrece cifrado en reposo, lo cual elimina la carga operacional y la complejidad


que involucrados en la protección de datos sensibles. Proporciona una mayor seguridad
cifrando los datos en reposo usando una llave cifrada administrada por AWS KMS para
DynamoDB.

Para empezar con el cifrado en reposo, únicamente se debe habilitar la opción al momento
de la creación de la nueva tabla (ya después de creada la tabla no se puede habilitar la
opción, así como tampoco se puede deshabilitar luego de permitir el cifrado).

Éste cifrado proporciona una capa adicional de protección de datos contra acceso no
autorizado usando el cifrado AES-256 a nivel de tablas y de índices (secundarios locales y
globales).

Antes de habilitar
El cifrado en reposo se debe tener en cuenta lo siguiente:
 Cuando se habilita para una tabla, todos los datos almacenados en ella son
encriptadas → No se puede cifrar subconjuntos de ítems de la tabla
 Usa una clave por defecto de servicio único para cifrar todas las tablas. Este servicio
no se puede deshabilitar.
 Solo cifra datos mientras están en reposo en un medio de almacenamiento
persistente
→ Para datos en tránsito: Conexiones seguras (HTTPS, SSL, TLS, FTP).
→ Para datos en uso: Use client-side encyption antes de enviarlos.

Con Dynamo DB se puede crear tablas de bases de datos que pueden almacenar y recuperar
cualquier cantidad de datos y nivel de tráfico de la petición.

Backup
→ Puede crear backups bajo demanda → Se puede generar una copia de respaldo completa
o incremental
→ Todos los backups se cifran y catalogan automáticamente, se recuperan con
facilidad y se conservan hasta que se eliminen de manera explícita.
→ Los backups se conservan independientemente de la eliminación de la tabla
→ Junto con los datos, también se incluye lo siguiente en los backup:
 Índices secundarios globales (GSI)
 Índices secundarios locales (LSI)
 Streams
 Capacidad de lectura y escritura provisionada
Para controlar quién puede usar DynamoDB se debe configurar los permisos en AWS IAM
→ Se puede crear permisos a nivel de recurso como a nivel de database → Permitir o
denegar acceso a items (filas) y atributos (columnas) basadas en la necesidad de la
aplicación. Llamado control de acceso de grano fino (Fine-grained) → Políticas IAM

Opcionalmente, se puede usar identidad federada para controlar el acceso a la aplicación,


en lugar de crear usuarios IAM independientes, y de esta forma se genera unas credenciales
temporales (AWS Security Token Service) con acceso a una tabla específica de
DynamoDB.

Cada solicitud al servicio de DynamoDB debe contener una firma válida HMAC-SHA256 Commented [a1]: Un tipo de algoritmo hash con clave que es
construido desde SHA-256 y usa un HASH-BASED MESSAGE
o la solicitud será rechazada. AUTHENTICATION CODE

Amazon DynamoDB es accesible via SSL-encrypted endpoints.

AWS DATA PIPELINE? Creación de backup de DynamoDB


AWS Data Pipeline es un servicio web que le ayuda a procesar y mover datos entre
diferentes AWS servicios de cómputo y almacenamiento, así como con fuentes de datos on-
premises en intervalos especificados.
Puede regularmente acceder a sus datos donde estén almacenados, transformarlos y
procesarlos a escala, y transferir eficientemente los resultados a servicios AWS como
Amazon S3, Amazon RDS, Amazon DynamoDB, and Amazon EMR.
El control de acceso Fine-grained le permite definir permisos de acceso para usuarios finales
particulares a elementos en filas de la DynamoDB y a su vez puede definirle permisos a atributos
particulares que son campos que están a través de todos los elementos

Estos permisos especifican cuáles acciones de aplicación puede ejecutar el usuario con los datos
(RW/ReadOnly)
Amazon Redshift
Instantáneas de Amazon Redshift
Las snapshots son backups de un momento determinado de un clúster. Existen
dos tipos de instantáneas: automatizadas y manuales. Amazon Redshift almacena
estas instantáneas internamente en Amazon S3 mediante una conexión de capa
de conexión segura (SSL) cifrada. Si tiene que restaurar datos a partir de una
instantánea, Amazon Redshift crea un nuevo clúster e importa los datos de la
instantánea que usted especifique.
Cuando restaura datos a partir de una instantánea, Amazon Redshift crea un
nuevo clúster y lo pone a disposición antes de que se carguen todos los datos, de
modo que usted pueda empezar a consultar el nuevo clúster de inmediato. El
clúster transmite datos bajo demanda desde la instantánea en respuesta a
consultas activas, luego carga los datos restantes en un segundo plano.
Amazon Redshift realiza instantáneas incrementales que hacen un seguimiento de
los cambios realizados en el clúster desde la instantánea anterior. Amazon
Redshift conserva todos los datos requeridos para restaurar un clúster a partir de
una instantánea.
Puede monitorizar el progreso de instantáneas mediante la visualización de los
detalles de la instantánea en la Consola de administración de AWS o llamando
a describe-cluster-snapshotsen la CLI o a la acción DescribeClusterSnapshots en
la API. Para una instantánea en proceso, estos muestran información como el
tamaño de la instantánea incremental, la tasa de transferencia, el tiempo
transcurrido y el tiempo restante estimado.
Amazon Redshift proporciona almacenamiento gratuito para las instantáneas que
tienen la misma capacidad de almacenamiento que el clúster hasta que elimine el
clúster. Después de alcanzar el límite de almacenamiento gratuito para
instantáneas, se aplican cargos por cualquier almacenamiento adicional a la tarifa
normal. Debido a esto, debe evaluar la cantidad de días que necesita conservar
las instantáneas automatizadas y configurar su período de retención en
consecuencia, luego debe borrar cualquier instantánea manual que ya no
necesite. Para obtener información acerca de los precios, visite la página de
detalles del producto de Amazon Redshift.
Instantáneas automatizadas
Cuando las instantáneas automatizadas están habilitadas para un clúster, Amazon
Redshift toma instantáneas de ese clúster periódicamente, por lo general cada
ocho horas o después de cada cambio de datos de 5 GB por nodo, lo que ocurra
primero. Las instantáneas automatizadas se habilitan de forma predeterminada
cuando crea un clúster. Estas instantáneas se eliminan cuando finaliza un período
de retención. El período de retención predeterminado es de un día, pero puede
modificarlo mediante la consola de Amazon Redshift o de forma programada
mediante la API de Amazon Redshift.
Para desactivar las instantáneas automatizadas, establezca el período de
retención en cero. Si desactiva las instantáneas automatizadas, Amazon Redshift
deja de tomar instantáneas y elimina cualquier instantánea automatizada ya
existente para el clúster.
Solo Amazon Redshift puede eliminar una instantánea automatizada, usted no
puede borrarlas de forma manual. Amazon Redshift elimina las instantáneas
automatizadas cuando expira su período de retención, cuando el usuario desactiva
las instantáneas automatizadas o cuando elimina el clúster. Amazon Redshift
retiene la última instantánea automatizada hasta que deshabilite las instantáneas
automatizadas o elimine el clúster.
Si desea conservar una instantánea automatizada por un período más extenso,
puede crear una copia de esta como una instantánea manual. La instantánea
automatizada se conserva hasta que expire el período de retención, pero la
instantánea manual correspondiente se conservará hasta que el usuario la elimine
manualmente.
Instantáneas manuales
Independientemente de la habilitación de instantáneas automatizadas, puede
tomar una instantánea manual cada vez que lo desee. Amazon Redshift nunca
borrará de forma automática una instantánea manual. Las instantáneas manuales
se conservarán incluso después de que elimine el clúster.
Dado que las instantáneas manuales acumulan cargos de almacenamiento, es
importante que las elimine manualmente si ya no las necesita. Si elimina una
instantánea manual, no puede comenzar ninguna operación nueva que tenga
referencia a esa instantánea. Sin embargo, si hay una operación de restauración
en proceso, esta se ejecutará hasta su finalización.
Amazon Redshift tiene una cuota que limita el número total de instantáneas
manuales que el usuario puede crear. Esta cuota es por cuenta de AWS por
región. La cuota predeterminada se muestra en Límites de los servicios de AWS.
Exclusión de tablas de instantáneas
De forma predeterminada, todas las tablas permanentes definidas por el usuario
se incluyen en las instantáneas. Si no es necesario crear un backup para una
tabla, como una tabla provisional, puede reducir de forma significativa el tiempo
necesario para crear instantáneas y restaurar a partir de instantáneas. También se
reduce el espacio de almacenamiento en Amazon S3 mediante el uso de una tabla
sin backup. Para crear una tabla sin backup, incluya el parámetro BACKUP NO
cuando cree la tabla. Para obtener más información, consulte CREATE
TABLE y CREATE TABLE AS en la Amazon Redshift Database Developer Guide.
Copia de instantáneas a otra región
Puede configurar Amazon Redshift para que copie automáticamente las
instantáneas (manuales o automatizadas) de un clúster a otra región. Cuando se
crea una instantánea en la región principal de un clúster, esta se copiará a una
región secundaria. Estas regiones se conocen respectivamente como región de
origen y región de destino. Al almacenar una copia de las instantáneas en otra
región, el usuario tiene la posibilidad de restaurar el clúster a partir de datos
recientes si algo afecta la región principal. Puede configurar el clúster para que
copie las instantáneas únicamente a una región de destino a la vez. Para ver una
lista de las regiones de Amazon Redshift, visite Regiones y puntos de enlace en
la Referencia general de Amazon Web Services.
Cuando habilite a Amazon Redshift para que copie instantáneas a otra región de
forma automática, especifique la región de destino a la que desea que se copien
las instantáneas. En el caso de las instantáneas automatizadas, también puede
especificar el período de retención por el que deben conservarse en la región de
destino. Una vez que una instantánea automatizada se copió a la región de
destino y alcance el período de tiempo de retención allí, se elimina de la región de
destino, lo que mantiene bajo el uso de instantáneas del usuario. Puede cambiar
este período de retención si necesita conservar las instantáneas automatizadas en
la región de destino por un período de tiempo más corto o más extenso.
El período de retención que establezca para las instantáneas automatizadas que
se copian a la región de destino es distinto del período de retención para las
instantáneas automatizadas de la región de origen. El período de retención
predeterminado para las copias de instantáneas es de siete días. El período de
siete días solo aplica a las instantáneas automatizadas. Las instantáneas
manuales no se ven afectadas por el período de retención en la región de origen ni
en la de destino y se conservarán hasta que el usuario las elimine manualmente.
Puede desactivar la copia de instantánea automática de un clúster en cualquier
momento. Cuando desactive esta función, las instantáneas dejarán de copiarse
desde la región de origen a la de destino. Cualquier instantánea automatizada que
se copie a la región de destino se eliminará cuando alcance el límite del período
de retención, a menos que el usuario cree copias de instantánea manuales de
estas. Estas instantáneas manuales, y cualquier instantánea manual que se haya
copiado desde la región de destino, se conservarán en la región de destino hasta
que el usuario las elimine de forma manual.
Si desea cambiar la región de destino a la que copia las instantáneas, primero
debe desactivar la función de copia automática y luego volver a habilitarla
especificando la nueva región de destino.
La copia de instantáneas entre regiones genera cargos por transferencia de datos.
Una vez que se copió a la región de destino, la instantánea se activa y queda
disponible para fines de restauración.
Si desea copiar instantáneas de clústeres cifrados en AWS KMS a otra región,
debe crear una autorización de Amazon Redshift para utilizar una clave maestra
del cliente (CMK) de AWS KMS en la región de destino. Luego, debe seleccionar
esa autorización cuando habilite la copia de instantáneas en la región de origen.
Para obtener más información acerca de la configuración de autorizaciones para
copiar instantáneas, consulte Copia de instantáneas cifradas por AWS KMS a otra
región.
Restauración de un clúster desde una snapshot
Una instantánea contiene datos de cualquier base de datos que se esté
ejecutando en el clúster y también tiene información del clúster, incluidos el
número de nodos, el tipo de nodo y el nombre de usuario maestro. Si necesita
restaurar el clúster a partir de una instantánea, Amazon Redshift utiliza la
información del clúster para crear uno nuevo y luego restaurar todas las bases de
datos desde los datos de la instantánea. El nuevo clúster que Amazon Redshift
cree a partir de la instantánea tendrá la misma configuración, incluidos el número y
tipo de nodos, como el clúster original del que fue tomada la instantánea. El clúster
se restaura en la misma región y en una zona de disponibilidad elegida
aleatoriamente por el sistema, a menos que el usuario especifique otra zona de
disponibilidad en la solicitud.
Puede monitorizar el progreso de una restauración llamando a la acción de la
API DescribeClusters o visualizando los detalles del clúster en la Consola de
administración de AWS. Para una restauración en proceso, estos muestran
información como el tamaño de los datos de la instantánea, la tasa de
transferencia, el tiempo transcurrido y el tiempo restante estimado. Para ver una
descripción de estas métricas, visite RestoreStatus.
No puede utilizar una instantánea para que un clúster activo vuelva a un estado
anterior.
nota
Cuando restaura una instantánea en un clúster nuevo, se usan los grupos de
parámetros y de seguridad predeterminados, a menos que especifique valores
diferentes.
Restauración de una tabla a partir de una instantánea
Puede restaurar una tabla individual a partir de una instantánea, en lugar de
restaurar todo un clúster. Cuando restaure una tabla individual a partir de una
instantánea, especifique la instantánea de origen, la base de datos, el esquema y
el nombre de la tabla, como también, el clúster de destino, el esquema y un nuevo
nombre de tabla para la tabla restaurada.
El nuevo nombre de la tabla no puede ser el nombre de una tabla ya existente.
Para sustituir una tabla existente por una tabla restaurada a partir de una
instantánea, cambie el nombre o elimine la tabla ya existente antes de restaurar la
tabla desde la instantánea.
La tabla de destino se crea utilizando las definiciones de columnas, los atributos
de tabla y los atributos de columna de la tabla de origen, a excepción de las claves
externas. Para evitar conflictos de dependencias, la tabla de destino no hereda las
claves externas de la tabla de origen. Cualquier dependencia, como vistas o
permisos concedidos en la tabla de origen, no aplica a la tabla de destino.
Si el propietario de la tabla de origen existe, ese usuario es el propietario de la
tabla restaurada, dado que el usuario tiene los permisos suficientes para volverse
el propietario de una relación en la base de datos y el esquema especificados. De
lo contrario, la tabla restaurada es propiedad del usuario maestro que se creó
cuando se lanzó el clúster.
La tabla restaurada vuelve al estado en el que estaba en el momento que se
realizó el backup. Esto incluye las reglas de visibilidad de transacción definidas por
el cumplimiento de Redshift con serializable isolation, lo que significa que los datos
serán visibles de inmediato para las transacciones en tránsito comenzadas
después del backup.
La restauración de una tabla a partir de una instantánea tiene las siguientes
limitaciones:
 Puede restaurar una tabla únicamente para el clúster actual en ejecución activa y
a partir de una instantánea que se haya tomado de ese clúster.
 Puede restaurar solo una tabla a la vez.
 No puede restaurar una tabla a partir de una instantánea de clúster que haya sido
tomada antes de que se cambie el tamaño del clúster.
Restauración de una tabla a partir de una instantánea con la consola de
Amazon Redshift
1. Inicie sesión en la Consola de administración de AWS y abra la consola de
Amazon Redshift en https://console.aws.amazon.com/redshift/.
2. Seleccione Clusters.
3. Seleccione la pestaña Table restore.

4. Seleccione Restore table.


5. En el panel Table restore, seleccione un intervalo de fechas que contenga la
instantánea de clúster desde la que desea restaurar datos. Por ejemplo, puede
seleccionar Last 1 Week para las instantáneas de clúster tomadas en la semana
anterior.
6. Añada la información siguiente:
 From snapshot: El identificador de la instantánea de clúster que contiene la tabla
desde la que se va a restaurar.
 Source table to restore from
o Database: El nombre de la base de datos de la instantánea de clúster que
contiene la tabla desde la que se va a restaurar.
o Schema: El nombre del esquema de la base de datos de la instantánea de clúster
que contiene la tabla desde la que se va a restaurar.
o Table: El nombre de la tabla de la instantánea de clúster desde la que se va a
restaurar.
 Target table to restore to
o Database: El nombre de la base de datos del clúster de destino al que se va a
restaurar la tabla.
o Schema: El nombre del esquema de la base de datos del clúster de destino al que
se va a restaurar la tabla.
o New table name: El nuevo nombre de la tabla restaurada. Este nombre no puede
ser el nombre de una tabla ya existente en la base de datos de destino.
7. Seleccione Restore para restaurar la tabla.
Si ha restaurado al menos una tabla a partir de una instantánea de clúster, puede
copiar los valores de una solicitud de restauración de tabla anterior en la nueva
solicitud de restauración de tabla. De esta forma, no tiene que volver a escribir
valores que serán los mismos para varias operaciones de restauración de tablas.
Copia de una solicitud de restauración de tabla anterior a una nueva
operación de restauración de tabla:
1. En la pestaña Table restore, seleccione un estado de restauración de tabla ya
existente.
2. Seleccione Copy restore request.
Ejemplo: Restauración de una tabla a partir de una instantánea con la CLI de
AWS
En el siguiente ejemplo se utiliza el comando restore-table-from-cluster-
snapshot de la CLI de AWS para restaurar la tabla my-source-table desde el
esquema sample-database en el my-snapshot-id. En el ejemplo se restaura la
instantánea al clúster mycluster-example con un nombre de tabla nuevo de my-new-
table.

aws redshift restore-table-from-cluster-snapshot --cluster-identifier mycluster-


example
--new-table-name my-new-table
--snapshot-identifier my-
snapshot-id
--source-database-name sample-
database
--source-table-name my-source-
table

Uso compartido de instantáneas


Puede compartir una instantánea manual ya existente con otras cuentas de
clientes de AWS mediante la autorización de acceso a la instantánea. Puede
autorizar hasta 20 por cada instantánea y 100 por cada clave de AWS Key
Management Service (AWS KMS). Es decir, si tiene 10 instantáneas que están
cifradas con una sola clave de KMS, puede autorizar a 10 cuentas de AWS a
restaurar cada instantánea u otras combinaciones que sumen hasta 100 cuentas y
no excedan las 20 cuentas por cada instantánea. Una persona que haya iniciado
sesión como usuario en una de las cuentas autorizadas puede describir la
instantánea o restaurarla para crear un clúster de Amazon Redshift nuevo en su
cuenta. Por ejemplo, si utiliza cuentas de clientes de AWS independientes para
pruebas y producción, un usuario puede iniciar sesión con la cuenta de producción
y compartir una instantánea con usuarios de la cuenta de pruebas. Alguien que
haya iniciado sesión como usuario de la cuenta de pruebas puede restaurar la
instantánea para crear un clúster nuevo que sea propiedad de la cuenta de
pruebas para realizar pruebas y diagnósticos.
Una instantánea manual es propiedad permanente de la cuenta de cliente de AWS
con la que fue creada. Solo los usuarios de la cuenta propietaria de la instantánea
pueden autorizar a otras cuentas a obtener acceso a la instantánea o a revocar
autorizaciones. Los usuarios de las cuentas autorizadas solo pueden describir o
restaurar cualquier instantánea que se haya compartido con ellos; no pueden
copiar o eliminar instantáneas que se hayan compartido con ellos. Una
autorización permanece en vigor hasta que el propietario de la instantánea la
revoque. Si se revoca una autorización, el usuario anteriormente autorizado pierde
la visibilidad de la instantánea y no podrá lanzar ninguna acción nueva que haga
referencia a la instantánea. Si la cuenta está en el proceso de restauración de la
instantánea cuando se revoca el acceso, la restauración se ejecuta hasta
finalizarse. No puede eliminar una instantánea mientras tenga autorizaciones
activas, primero debe revocar todas las autorizaciones.
Las cuentas de clientes de AWS están autorizados de forma permanente a
obtener acceso a las instantáneas propiedad de la cuenta. Los intentos de
autorizar o revocar el acceso a la cuenta del propietario recibirán un error. No
puede restaurar o describir una instantánea que sea propiedad de una cuenta de
cliente de AWS inactiva.
Después de haber autorizado el acceso a una cuenta de cliente de AWS, ningún
usuario de IAM de esa cuenta podrá realizar acciones en la instantánea a menos
que tengan políticas de IAM que les permitan hacerlo.
 Los usuarios de IAM de las cuentas del propietario de la instantánea pueden
autorizar y revocar el acceso a una instantánea solo si tienen una política de IAM
que les permita realizar esas acciones con una especificación de recursos que
incluya la instantánea. Por ejemplo, la siguiente política permite a un usuario de la
cuenta de AWS 012345678912autorizar a otras cuentas a obtener acceso a la
instantánea denominada my-snapshot20130829:
 {
 "Version": "2012-10-17",
 "Statement":[
 {
 "Effect":"Allow",
 "Action":[
 "redshift:AuthorizeSnapshotAccess",
 "redshift:RevokeSnapshotAccess"
 ],
 "Resource":[
 "arn:aws:redshift:us-east-1:012345678912:snapshot:*/my-
snapshot20130829"
 ]
 }
 ]
}
 Los usuarios de IAM de una cuenta de AWS con la que se ha compartido una
instantánea no pueden realizar acciones en esa instantánea, a menos que posean
las políticas de IAM que lo permitan:
o Para enumerar o describir una instantánea, deben tener una política de IAM que
permita la acción DescribeClusterSnapshots. En el siguiente código se muestra un
ejemplo:
o {
o "Version": "2012-10-17",
o "Statement":[
o {
o "Effect":"Allow",
o "Action":[
o "redshift:DescribeClusterSnapshots"
o ],
o "Resource":[
o "*"
o ]
o }
o ]
}
o Para restaurar una instantánea, los usuarios deben tener una política de IAM que
permita la acción RestoreFromClusterSnapshot y tenga un elemento de recursos que
abarque el clúster que están intentando crear y la instantánea. Por ejemplo, si un
usuario de la cuenta 012345678912 ha compartido la instantánea my-
snapshot20130829 con la cuenta 219876543210, para crear un clúster mediante la
restauración de la instantánea, un usuario de la cuenta 219876543210 debe tener
una política como la siguiente:
o {
o "Version": "2012-10-17",
o "Statement":[
o {
o "Effect":"Allow",
o "Action":[
o "redshift:RestoreFromClusterSnapshot"
o ],
o "Resource":[
o "arn:aws:redshift:us-east-1:012345678912:snapshot:*/my-
snapshot20130829",
o "arn:aws:redshift:us-east-1:219876543210:cluster:from-another-
account"
o ]
o }
o ]
}
o Una vez que se revocó el acceso a una instantánea desde una cuenta de AWS,
ningún usuario de esa cuenta podrá obtener acceso a la instantánea, incluso si
poseen las políticas de IAM que permiten realizar acciones en el recurso de la
instantánea anteriormente compartida.
Máquinas virtuales → Instancias EC2 Instancias de cómputo → Instancias R5
Containers → S3 farget

Responsabilidades

→ Operating System Patching

→ DB patching

→ Access Control

→ Audit

→ Encryption

→ Compliance
Amazon Relational Database Service (RDS)
Con Amazon Relational Database Service (Amazon RDS), es sencillo configurar, utilizar y
escalar una base de datos relacional en la nube. Proporciona capacidad rentable y escalable
a la par que automatiza las arduas tareas administrativas como el aprovisionamiento de
hardware, la configuración de bases de datos, los parches y los backups Le libera para que
pueda concentrarse en sus aplicaciones y darles el desempeño rápido, la alta disponibilidad,
la seguridad y la compatibilidad que necesitan.

Amazon RDS está disponible para varios tipos de instancias de base de datos (optimizadas
para memoria, desempeño o E/S) y le proporciona seis motoroes de bases de datos
familiares entre los que elegir, incluidos Amazon Aurora, PostgreSQL, MySQL, MariaDB,
Oracle y Microsoft SQL Server. Puede usar AWS Database Migration Service para migrar
o replicar sus bases de datos existentes en Amazon RDS con facilidad.

Seguridad

Cifrado recursos Amazon RDS


Usted puede cifrar sus instancias y snapshots Amazon RDS en reposo habilitando la opción de
cifrado para la instancia. Los datos que están encriptados en reposo incluyen sus backups
automáticos, las réplicas y los snapshots.

Respaldo
Ofrece dos métodos diferentes para la realización automatizada de backups de la instancia de la
base de datos y de la instantánea de la base de datos y para su restauración automática.

También podría gustarte