Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit
Wenn Sie Systeme auf der AWS Infrastruktur aufbauen, teilen Sie sich die Sicherheitsverantwortung zwischen Ihnen und AWS. Dieses gemeinsame Modell
Elasticache (Redis OSS) wird eine Netzwerkschnittstelle innerhalb der privaten VPC zugewiesen. Den Lambda-Funktionen, die mit Elasticache (Redis OSS) interagieren, werden ebenfalls Netzwerkschnittstellen innerhalb einer VPC zugewiesen. Alle anderen Ressourcen verfügen über Netzwerkkonnektivität im gemeinsam genutzten Netzwerkbereich. AWS Lambda-Funktionen mit VPC-Schnittstellen, die mit anderen AWS Diensten interagieren, verwenden VPC-Endpunkte, um eine Verbindung zu diesen Diensten herzustellen.
Die öffentlichen und privaten Schlüssel, die für die Erstellung und Validierung von JSON-Web-Tokens verwendet werden, werden bei der Bereitstellung generiert und in Secrets Manager gespeichert. Das für die Verbindung mit Elasticache (Redis OSS) verwendete Passwort wird ebenfalls bei der Bereitstellung generiert und in Secrets Manager gespeichert. Auf den privaten Schlüssel und das Elasticache-Passwort (Redis OSS) kann über keine Lösungs-API zugegriffen werden.
Der Zugriff auf die öffentliche API muss über erfolgen. CloudFront Die Lösung generiert einen API-Schlüssel für API Gateway, der als Wert eines benutzerdefinierten Headers verwendet wird,x-api-key, in CloudFront. CloudFront schließt diesen Header ein, wenn ursprüngliche Anfragen gestellt werden. Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Headern zu ursprünglichen Anfragen im Amazon CloudFront Developer Guide.
Private APIs sind so konfiguriert, dass für den Aufruf eine AWS IAM-Autorisierung erforderlich ist. Die Lösung erstellt die ProtectedAPIGroup IAM-Benutzergruppe mit den entsprechenden Berechtigungen zum Aufrufen der privaten Gruppe. APIs Ein zu dieser Gruppe hinzugefügter IAM-Benutzer ist berechtigt, die private Datei aufzurufen. APIs
IAM-Richtlinien, die in Rollen und Berechtigungen verwendet werden, die mit verschiedenen von der Lösung erstellten Ressourcen verknüpft sind, gewähren nur die Berechtigungen, die für die Ausführung der erforderlichen Aufgaben erforderlich sind.
Für Ressourcen wie S3-Buckets, SQS-Warteschlangen und SNS-Themen, die von der Lösung generiert wurden, ist die Verschlüsselung im Ruhezustand und während der Übertragung, wo immer möglich, aktiviert.
Überwachen
Der zentrale API-Stack umfasst mehrere CloudWatch Alarme, die überwacht werden können, um Probleme zu erkennen, während die Lösung in Betrieb ist. Der Stack erzeugt einen Alarm für Lambda-Funktionsfehler und Drosselungsbedingungen und ändert den Status des Alarms von OK zu, ALARM wenn innerhalb einer Minute ein Fehler oder eine Drosselung auftritt.
Der Stack erstellt auch Alarme für jede API Gateway Gateway-Bereitstellung für 4XX- und 5XX-Statuscodes. Der Alarm ändert seinen Status von OK zu, ALARM wenn innerhalb einer Minute ein 4XX- oder 5XX-Statuscode von der API zurückgegeben wird.
Diese Alarme kehren nach einer Minute in einen OK Zustand zurück, in dem es keine Fehler oder Drosselungen gibt.
IAM-Rollen
AWS Identity and Access Management (IAM) -Rollen ermöglichen es Kunden, Diensten und Benutzern in der Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuzuweisen. AWS Diese Lösung erstellt IAM-Rollen, die den AWS Lambda Funktionen der Lösung Zugriff gewähren, um regionale Ressourcen zu erstellen.
Amazon CloudFront
Die virtual-waiting-room-on-aws.template CloudFormation Vorlage, die den öffentlichen und privaten Kern APIs des Warteraums erstellt, stellt auch eine CloudFront Distribution für die öffentliche API bereit. CloudFront speichert die Antworten von der öffentlichen API im Cache und reduziert so die Belastung des API Gateway und der Lambda-Funktionen, die ihre Arbeit ausführen.
Diese Lösung bietet auch eine optionale Mustervorlage für Wartezimmer, die eine einfache Webanwendung bereitstellt, die in einem Amazon Simple Storage Service (Amazon S3) -Bucket gehostet wird. Um die Latenz zu reduzieren und die Sicherheit zu verbessern, wird eine CloudFront Amazon-Distribution mit einer Ursprungszugriffsidentität bereitgestellt. Dabei handelt es sich um einen CloudFront Benutzer, der öffentlichen Zugriff auf die Inhalte des Website-Buckets der Lösung gewährt. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon S3 S3-Inhalte mithilfe einer Origin-Zugriffsidentität im Amazon CloudFront Developer Guide.
Sicherheitsgruppen
Die in dieser Lösung erstellten VPC-Sicherheitsgruppen dienen dazu, den Netzwerkverkehr zum Elasticache (Redis OSS) zu kontrollieren und zu isolieren. Lambdas, die mit dem Elasticache (Redis OSS) kommunizieren müssen, werden derselben Sicherheitsgruppe zugeordnet wie die des Elasticache (Redis OSS). Wir empfehlen Ihnen, die Sicherheitsgruppen zu überprüfen und den Zugriff nach Bedarf weiter einzuschränken, sobald die Bereitstellung betriebsbereit ist.
