Infrastruktursicherheit in AWS Proton - AWS Proton

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit in AWS Proton

Als verwalteter Dienst AWS Proton ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API Aufrufe für den Zugriff AWS Proton über das Netzwerk. Kunden müssen Folgendes unterstützen:

  • Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Cipher-Suites mit perfekter Vorwärtsgeheimhaltung (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Um die Netzwerkisolierung zu verbessern, können Sie die im folgenden Abschnitt beschriebene Methode verwenden AWS PrivateLink .

AWS Proton und VPC Schnittstellen-Endpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrem VPC und herstellen, AWS Proton indem Sie einen VPCSchnittstellenendpunkt erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben AWS PrivateLink, die Ihnen den privaten Zugriff AWS Proton APIs ohne Internet-Gateway, NAT Gerät, VPN Verbindung oder AWS Direct Connect Verbindung ermöglicht. Instanzen in Ihrem System benötigen VPC keine öffentlichen IP-Adressen, um mit AWS Proton APIs ihnen zu kommunizieren. Der Verkehr zwischen Ihnen VPC und AWS Proton verlässt das Amazon-Netzwerk nicht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen finden Sie unter Interface VPC Endpoints (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.

Überlegungen zu Endpunkten AWS Proton VPC

Bevor Sie einen VPC Schnittstellenendpunkt für einrichten AWS Proton, stellen Sie sicher, dass Sie die Eigenschaften und Einschränkungen der Schnittstellenendpunkte im VPCAmazon-Benutzerhandbuch lesen.

AWS Proton unterstützt das Aufrufen all seiner API Aktionen von Ihrem ausVPC.

VPCEndpunktrichtlinien werden unterstützt für AWS Proton. Standardmäßig AWS Proton ist der vollständige Zugriff auf über den Endpunkt zulässig. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

Erstellen eines VPC Schnittstellen-Endpunkts für AWS Proton

Sie können einen VPC Endpunkt für den AWS Proton Service entweder mit der VPC Amazon-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im VPCAmazon-Benutzerhandbuch.

Erstellen Sie einen VPC Endpunkt für die AWS Proton Verwendung des folgenden Servicenamens:

  • com.amazonaws.region.proton

Wenn Sie Private DNS für den Endpunkt aktivieren, können Sie API Anfragen an die AWS Proton Verwendung des DNS Standardnamens für die Region stellen, z. B. proton.region.amazonaws.com

Weitere Informationen finden Sie unter Zugreifen auf einen Service über einen Schnittstellenendpunkt im VPCAmazon-Benutzerhandbuch.

Erstellen einer VPC Endpunktrichtlinie für AWS Proton

Sie können Ihrem VPC Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff darauf steuert AWS Proton. Die Richtlinie gibt die folgenden Informationen an:

  • Prinzipal, der die Aktionen ausführen kann.

  • Aktionen, die ausgeführt werden können

  • Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCAmazon-Benutzerhandbuch.

Beispiel: VPC Endpunktrichtlinie für Aktionen AWS Proton

Das Folgende ist ein Beispiel für eine Endpunktrichtlinie für AWS Proton. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten AWS Proton Aktionen.

{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "proton:ListServiceTemplates", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServices", "proton:ListServiceInstances", "proton:ListEnvironments", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetService", "proton:GetServiceInstance", "proton:GetEnvironment", "proton:CreateService", "proton:UpdateService", "proton:UpdateServiceInstance", "proton:UpdateServicePipeline", "proton:DeleteService" ], "Effect": "Allow", "Resource": "*" } ] }