Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit
Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses Modell der geteilten Verantwortung
Resource access (Ressourcenzugriff)
IAM-Rollen
IAM-Rollen ermöglichen es Kunden, Services und Benutzern in der AWS-Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuzuweisen. Für die Ausführung von Workload Discovery auf AWS und die Erkennung von Ressourcen in AWS-Konten sind mehrere Rollen erforderlich.
Amazon Cognito
Amazon Cognito wird verwendet, um den Zugriff mit kurzlebigen, starken Anmeldeinformationen zu authentifizieren, die Zugriff auf Komponenten gewähren, die von Workload Discovery auf AWS benötigt werden.
Netzwerkzugriff
Amazon VPC
Workload Discovery auf AWS wird in einer Amazon VPC bereitgestellt und gemäß bewährten Methoden konfiguriert, um Sicherheit und Hochverfügbarkeit zu gewährleisten. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Ihre VPC. VPC-Endpunkte ermöglichen die Übertragung zwischen Diensten, die nicht über das Internet erfolgen, und werden, sofern verfügbar, konfiguriert.
Sicherheitsgruppen werden verwendet, um den Netzwerkverkehr zwischen den Komponenten zu kontrollieren und zu isolieren, die für die Ausführung von Workload Discovery auf AWS erforderlich sind.
Wir empfehlen Ihnen, die Sicherheitsgruppen zu überprüfen und den Zugriff nach Bedarf weiter einzuschränken, sobald die Bereitstellung eingerichtet ist.
Amazon CloudFront
Diese Lösung stellt eine Webkonsolen-Benutzeroberfläche bereit, die in einem Amazon S3 S3-Bucket gehostet wird, der von Amazon CloudFront vertrieben wird. Durch die Verwendung der Origin-Zugriffsidentitätsfunktion ist der Inhalt dieses Amazon S3 S3-Buckets nur über zugänglich CloudFront. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.
CloudFront aktiviert zusätzliche Sicherheitsmaßnahmen, um HTTP-Sicherheitsheader an jede Zuschauerantwort anzuhängen. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von HTTP-Headern in Antworten. CloudFront
Diese Lösung verwendet das CloudFront Standardzertifikat, für das mindestens das Sicherheitsprotokoll TLS v1.0 unterstützt wird. Um die Verwendung von TLS v1.2 oder TLS v1.3 zu erzwingen, müssen Sie ein benutzerdefiniertes SSL-Zertifikat anstelle des Standardzertifikats verwenden. CloudFront Weitere Informationen finden Sie unter Wie konfiguriere ich meine CloudFront Distribution für die Verwendung eines SSL/TLS-Zertifikats
Anwendungskonfiguration
AWS AppSync
Workload Discovery auf AWS GraphQL verfügt APIs über eine Anforderungsvalidierung, die von AWS AppSync gemäß der GraphQL-Spezifikation
AWS Lambda
Standardmäßig sind die Lambda-Funktionen mit der neuesten stabilen Version der Sprachlaufzeit konfiguriert. Es werden keine sensiblen Daten oder Geheimnisse protokolliert. Dienstinteraktionen werden mit den geringsten erforderlichen Rechten ausgeführt. Rollen, die diese Rechte definieren, werden nicht von allen Funktionen gemeinsam genutzt.
OpenSearch Amazon-Dienst
Amazon OpenSearch Service-Domains sind mit einer Zugriffsrichtlinie konfiguriert, die den Zugriff einschränkt, um alle unsignierten Anfragen an den OpenSearch Service-Cluster zu stoppen. Dies ist auf eine einzige Lambda-Funktion beschränkt.
Der OpenSearch Service-Cluster wurde mit aktivierter node-to-node Verschlüsselung erstellt, um zusätzlich zu den vorhandenen Sicherheitsfunktionen des OpenSearch Dienstes eine zusätzliche Datenschutzebene hinzuzufügen.
