安全 - AWS 上的雲端遷移工廠

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全

當您在 AWS 基礎設施上建置系統時,安全責任會由您和 共同承擔 AWS。此共用模型可以降低您的操作負擔,因為 會 AWS 操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施實體安全的元件。如需有關 安全的詳細資訊 AWS,請造訪 AWS Cloud Security。

IAM 角色

AWS Identity and Access Management (IAM) 角色可讓您將精細的存取政策和許可指派給 AWS Cloud 中的服務和使用者。此解決方案會建立IAM角色,將 AWS Lambda 函數存取權授予此解決方案中使用的其他 AWS 服務。

Amazon Cognito

此解決方案建立的 Amazon Cognito 使用者是具有僅存取此解決方案 R 之許可estAPIs 的本機使用者。此使用者沒有存取您 AWS 帳戶中任何其他服務的許可。如需詳細資訊,請參閱 Amazon Cognito 開發人員指南 中的 Amazon Cognito 使用者集區。 Amazon Cognito

此解決方案可選擇性地透過聯合身分提供者的組態和 Amazon Cognito 的託管 UI 功能支援外部SAML登入。

Amazon CloudFront

此預設解決方案會部署託管在 Amazon S3 儲存貯體中的 Web 主控台。為了協助減少延遲並提高安全性,此解決方案包含具有原始存取身分的 Amazon CloudFront 分佈,這是一個特殊 CloudFront 的使用者,可協助提供對解決方案網站儲存貯體內容的公開存取權。如需詳細資訊,請參閱 Amazon 開發人員指南 中的使用 Origin Access Identity 限制對 Amazon S3 內容的存取 CloudFront

如果在堆疊部署期間選取私有部署類型,則不會部署 CloudFront 分佈,並且需要使用另一個 Web 託管服務來託管 Web 主控台。

AWS WAF - Web Application Firewall

如果在 堆疊中選取的部署類型為公有,AWS WAF則 CloudFormation 將部署必要的 AWS WAF Web ACLs和規則,這些規則設定為保護 、 CloudFrontAPIGateway 和 Cognito 端點,這些端點由 CMF 解決方案建立。這些端點將受到限制,只允許指定的來源 IP 地址存取這些端點。在堆疊部署期間,必須向設施提供兩個CIDR範圍,以便在透過 AWS WAF 主控台部署後新增其他規則。