Segurança da infraestrutura em AWS Proton - AWS Proton
VPCpontos finais ()AWS PrivateLink

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança da infraestrutura em AWS Proton

Como serviço gerenciado, AWS Proton é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa API chamadas AWS publicadas para acessar AWS Proton pela rede. Os clientes devem oferecer suporte para:

  • Segurança da camada de transporte (TLS). Exigimos TLS 1,2 e recomendamos TLS 1,3.

  • Suítes de criptografia com sigilo direto perfeito (), como (Ephemeral PFS Diffie-Hellman) ou DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando uma ID de chave de acesso e uma chave de acesso secreta associada a um IAM principal. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Para melhorar o isolamento da rede, você pode usar AWS PrivateLink conforme descrito na seção a seguir.

AWS Proton e VPC endpoints de interface ()AWS PrivateLink

Você pode estabelecer uma conexão privada entre você VPC e AWS Proton criando um VPCendpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite que você acesse de forma privada AWS Proton APIs sem um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias na sua VPC não precisam de endereços IP públicos para se comunicar AWS Proton APIs. O tráfego entre você VPC e você AWS Proton não sai da rede Amazon.

Cada endpoint de interface é representado por uma ou mais Interfaces de Rede Elástica nas sub-redes.

Para obter mais informações, consulte VPCEndpoints de interface (AWS PrivateLink) no Guia do VPC usuário da Amazon.

Considerações sobre endpoints AWS Proton VPC

Antes de configurar um VPC endpoint de interface para AWS Proton, certifique-se de revisar as propriedades e limitações do endpoint de interface no Guia VPC do usuário da Amazon.

AWS Proton suporta a realização de chamadas para todas as suas API ações a partir do seuVPC.

VPCpolíticas de endpoint são suportadas para AWS Proton. Por padrão, o acesso total ao AWS Proton é permitido por meio do endpoint. Para obter mais informações, consulte Controle de acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.

Criação de um VPC endpoint de interface para AWS Proton

Você pode criar um VPC endpoint para o AWS Proton serviço usando o VPC console da Amazon ou o AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criação de um endpoint de interface no Guia do VPC usuário da Amazon.

Crie um VPC endpoint para AWS Proton usar o seguinte nome de serviço:

  • com.amazonaws.region.próton

Se você habilitar privado DNS para o endpoint, poderá fazer API solicitações para AWS Proton usar seu DNS nome padrão para a região, por exemplo,proton.region.amazonaws.com.

Para obter mais informações, consulte Acessando um serviço por meio de um endpoint de interface no Guia do VPC usuário da Amazon.

Criação de uma política VPC de endpoint para AWS Proton

Você pode anexar uma política de endpoint ao seu VPC endpoint que controla o acesso a. AWS Proton Essa política especifica as seguintes informações:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controle de acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.

Exemplo: política VPC de endpoint para AWS Proton ações

Veja a seguir um exemplo de uma política de endpoint para AWS Proton. Quando anexada a um endpoint, essa política concede acesso às AWS Proton ações listadas para todos os diretores em todos os recursos.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}