Sécurité de l'infrastructure dans AWS Proton - AWS Proton
VPCpoints de terminaison ()AWS PrivateLink

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans AWS Proton

En tant que service géré, AWS Proton il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez API les appels AWS publiés pour accéder AWS Proton via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Pour améliorer l'isolation du réseau, vous pouvez utiliser AWS PrivateLink les méthodes décrites dans la section suivante.

AWS Proton et VPC points de terminaison d'interface ()AWS PrivateLink

Vous pouvez établir une connexion privée entre votre VPC et AWS Proton en créant un point de VPCterminaison d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLinkune technologie qui vous permet d'accéder en privé AWS Proton APIs sans passerelle Internet, NAT appareil, VPN connexion ou AWS Direct Connect connexion. Les instances de votre VPC ordinateur n'ont pas besoin d'adresses IP publiques pour communiquer avec elles AWS Proton APIs. Le trafic entre vous VPC et AWS Proton ne quitte pas le réseau Amazon.

Chaque point de terminaison d’interface est représenté par une ou plusieurs interfaces réseau Elastic dans vos sous-réseaux.

Pour plus d'informations, consultez Interface VPC endpoints (AWS PrivateLink) dans le guide de l'VPCutilisateur Amazon.

Considérations relatives aux AWS Proton VPC terminaux

Avant de configurer un point de VPC terminaison d'interface pour AWS Proton, assurez-vous de consulter les propriétés et les limites du point de terminaison d'interface dans le guide de VPC l'utilisateur Amazon.

AWS Proton prend en charge l'envoi d'appels à toutes ses API actions depuis votreVPC.

VPCles politiques relatives aux terminaux sont prises en charge pour AWS Proton. Par défaut, l'accès complet à AWS Proton est autorisé via le point de terminaison. Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Création d'un point de VPC terminaison d'interface pour AWS Proton

Vous pouvez créer un VPC point de terminaison pour le AWS Proton service à l'aide de la VPC console Amazon ou du AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultez la section Création d'un point de terminaison d'interface dans le guide de VPC l'utilisateur Amazon.

Créez un VPC point de terminaison pour AWS Proton utiliser le nom de service suivant :

  • com.amazonaws.region.proton

Si vous activez le mode privé DNS pour le point de terminaison, vous pouvez faire des API demandes AWS Proton en utilisant son DNS nom par défaut pour la région, par exemple,proton.region.amazonaws.com.

Pour plus d'informations, consultez la section Accès à un service via un point de terminaison d'interface dans le guide de VPC l'utilisateur Amazon.

Création d'une politique de VPC point de terminaison pour AWS Proton

Vous pouvez associer une politique de point de terminaison à votre VPC point de terminaison qui contrôle l'accès à AWS Proton. La politique spécifie les informations suivantes :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Exemple : politique des VPC points de terminaison pour les AWS Proton actions

Voici un exemple de politique de point de terminaison pour AWS Proton. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux AWS Proton actions répertoriées à tous les principaux sur toutes les ressources.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}