Seguridad - Cloud Migration Factory en AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

Cuando crea sistemas en una AWS infraestructura, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo compartido puede reducir la carga operativa, ya que AWS opera, administra y controla los componentes, desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad AWS, visita AWS Cloud Security.

IAMroles

AWS Identity and Access Management Los roles (IAM) le permiten asignar políticas y permisos de acceso detallados a los servicios y usuarios de la AWS nube. Esta solución crea IAM roles que otorgan a la AWS Lambda función acceso a los demás AWS servicios utilizados en esta solución.

Amazon Cognito

El usuario de Amazon Cognito creado por esta solución es un usuario local con permisos para acceder únicamente a la R estAPIs de esta solución. Este usuario no tiene permisos para acceder a ningún otro servicio de su AWS cuenta. Para obtener más información, consulte Grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.

La solución admite opcionalmente el inicio de SAML sesión externo mediante la configuración de proveedores de identidad federados y la funcionalidad de interfaz de usuario alojada de Amazon Cognito.

Amazon CloudFront

Esta solución predeterminada implementa una consola web alojada en un bucket de Amazon S3. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución de Amazon con una identidad de acceso de origen, que es un CloudFront usuario especial que ayuda a proporcionar acceso público al contenido del bucket del sitio web de la solución. Para obtener más información, consulte Restringir el acceso al contenido de Amazon S3 mediante una identidad de acceso de origen en la Guía para CloudFront desarrolladores de Amazon.

Si se selecciona un tipo de despliegue privado durante el despliegue apilado, no se despliega una CloudFront distribución y es necesario utilizar otro servicio de alojamiento web para alojar la consola web.

AWSWAF- Firewall de aplicaciones web

Si el tipo de implementación seleccionado en la pila es Público y AWS WAF, entonces, CloudFormation se implementarán la AWS WAF Web ACLs y las reglas requeridas configuradas para proteger los CloudFront puntos finales de API Gateway y Cognito creados por la solución. CMF Estos puntos de conexión se restringirán para permitir que sólo las direcciones IP de origen especificadas accedan a estos puntos de conexión. Durante el despliegue de la pila, se deben proporcionar dos CIDR rangos con la posibilidad de añadir reglas adicionales tras el despliegue a través de la AWS WAF consola.