As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas de segurança do AWS Proton
O AWS Proton oferece atributos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.
Tópicos
Usar o IAM para controlar o acesso
O IAM é um AWS service (Serviço da AWS) que você pode usar para gerenciar usuários e suas respectivas permissões na AWS. Você pode usar o IAM com AWS Proton o para especificar quais ações do AWS Proton os administradores e desenvolvedores podem executar, como gerenciar os modelos, ambientes ou serviços. Você pode usar perfis de serviço do IAM para permitir que o AWS Proton faça chamadas para outros serviços da em seu nome.
Para obter mais informações sobre o AWS Proton e perfis do IAM, consulte Identity and Access Management para AWS Proton.
Implemente o acesso de privilégio mínimo. Para ter mais informações, consulte Políticas e permissões no IAM, no Guia do usuário do AWS Identity and Access Management.
Não incorpore credenciais em seus modelos e pacotes de modelos.
Em vez de incorporar informações confidenciais nos modelos e pacotes de modelos do AWS CloudFormation, é recomendável usar referências dinâmicas no modelo de pilha.
As referências dinâmicas fornecem uma maneira compacta e avançada para você fazer referência a valores externos que são armazenados e gerenciados em outros serviços, como a Loja de Parâmetros do AWS Systems Manager ou o AWS Secrets Manager. Quando você usa uma referência dinâmica, o CloudFormation recupera o valor da referência especificada, se necessário, durante operações de pilha e conjunto de alterações e passa o valor para o recurso apropriado. No entanto, o CloudFormation nunca armazena o valor real do parâmetro. Para obter mais informações, consulte Usar referências dinâmicas para especificar valores de modelo no Guia do Usuário do AWS CloudFormation.
O AWS Secrets Manager ajuda você a criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. A Loja de parâmetros do AWS Systems Manager fornece armazenamento hierárquico seguro para o gerenciamento de dados de configuração.
Para obter mais informações sobre definir parâmetros de modelos, consulte https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html no Guia do usuário do AWS CloudFormation.
Use criptografia para proteger dados confidenciais
Dentro do AWS Proton, todos os dados do cliente são criptografados por padrão usando uma chave própria do AWS Proton.
Como membro da equipe da plataforma, você pode fornecer uma chave gerenciada pelo cliente para o AWS Proton criptografar e proteger seus dados confidenciais. Criptografe dados em repouso confidenciais em seu bucket do S3. Para obter mais informações, consulte Proteção de dados no AWS Proton.
Use o AWS CloudTrail para exibir e registrar as chamadas de API; em log
O AWS CloudTrail rastreia qualquer pessoa que faça chamadas de API na sua Conta da AWS. As chamadas à API são registradas em log sempre que alguém usa a API do AWS Proton, o console do AWS Proton, um console ou comandos da AWS CLI do AWS Proton. Ative o registro em log e especifique um bucket do Amazon S3 para armazenar os logs. Dessa forma, se você precisar, poderá auditar quem fez qual chamada do AWS Proton em sua conta. Para obter mais informações, consulte Registrar em log e monitorar no AWS Proton.
