Sicurezza dell'infrastruttura in AWS Proton - AWS Proton
VPCpunti finali ()AWS PrivateLink

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in AWS Proton

In quanto servizio gestito, AWS Proton è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Si utilizzano API chiamate AWS pubblicate per accedere tramite AWS Proton la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS) come (Ephemeral Diffie-Hellman) o DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per migliorare l'isolamento della rete, è possibile utilizzare AWS PrivateLink quanto descritto nella sezione seguente.

AWS Proton e VPC endpoint di interfaccia ()AWS PrivateLink

Puoi stabilire una connessione privata tra il tuo VPC e il tuo dispositivo AWS Proton creando un VPCendpoint di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato AWS Proton APIs senza un gateway Internet, un NAT dispositivo, una connessione o una VPN connessione. AWS Direct Connect Le istanze in uso VPC non necessitano di indirizzi IP pubblici con cui comunicare. AWS Proton APIs Il traffico tra il tuo VPC e AWS Proton non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle tue sottoreti.

Per ulteriori informazioni, consulta Interface VPC endpoints (AWS PrivateLink) nella Amazon VPC User Guide.

Considerazioni sugli endpoint AWS Proton VPC

Prima di configurare un VPC endpoint di interfaccia per AWS Proton, assicurati di esaminare le proprietà e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide.

AWS Proton supporta l'esecuzione di chiamate a tutte le sue API azioni dal tuo. VPC

VPCle politiche degli endpoint sono supportate per AWS Proton. Per impostazione predefinita, l'accesso completo a AWS Proton è consentito tramite l'endpoint. Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.

Creazione di un VPC endpoint di interfaccia per AWS Proton

Puoi creare un VPC endpoint per il AWS Proton servizio utilizzando la VPC console Amazon o AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella Amazon VPC User Guide.

Crea un VPC endpoint per AWS Proton utilizzare il seguente nome di servizio:

  • com.amazonaws.region.protone

Se abiliti private DNS per l'endpoint, puoi effettuare API richieste AWS Proton utilizzando DNS il nome predefinito per la regione, ad esempio. proton.region.amazonaws.com

Per ulteriori informazioni, consulta Accedere a un servizio tramite un endpoint di interfaccia nella Amazon VPC User Guide.

Creazione di una policy VPC sugli endpoint per AWS Proton

Puoi allegare una policy per gli endpoint al tuo VPC endpoint che controlli l'accesso a. AWS Proton La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta Controllare l'accesso ai servizi con VPC endpoint nella Amazon VPC User Guide.

Esempio: policy per le azioni relative agli VPC endpoint AWS Proton

Di seguito è riportato un esempio di policy sugli endpoint per. AWS Proton Se associata a un endpoint, questa politica consente l'accesso alle AWS Proton azioni elencate per tutti i principali su tutte le risorse.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}