Seguridad de la infraestructura en AWS Proton - AWS Proton

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad de la infraestructura en AWS Proton

Como servicio gestionado, AWS Proton está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las API llamadas AWS publicadas para acceder a AWS Proton través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Necesitamos TLS 1.2 y recomendamos TLS 1.3.

  • Cifre suites con perfecto secreto (PFS), como (Ephemeral Diffie-Hellman) o DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta que esté asociada a un director. IAM También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Para mejorar el aislamiento de la red, puede AWS PrivateLink utilizarla como se describe en la siguiente sección.

AWS Proton y VPC puntos finales de la interfaz ()AWS PrivateLink

Puedes establecer una conexión privada entre tu dispositivo VPC y el tuyo AWS Proton mediante la creación de un VPCpunto final de interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada AWS Proton APIs sin una puerta de enlace, NAT dispositivo, VPN conexión o AWS Direct Connect conexión a Internet. AWS PrivateLink Las instancias VPC que tiene no necesitan direcciones IP públicas para comunicarse con AWS Proton APIs ellas. El tráfico entre usted VPC y AWS Proton no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Interface VPC endpoints (AWS PrivateLink) en la Guía del VPC usuario de Amazon.

Consideraciones sobre los puntos finales AWS Proton VPC

Antes de configurar un VPC punto final de interfaz para AWS Proton, asegúrese de revisar las propiedades y limitaciones del punto final de interfaz en la Guía del VPC usuario de Amazon.

AWS Proton admite realizar llamadas a todas sus API acciones desde suVPC.

VPCse admiten las políticas de puntos finales AWS Proton. De forma predeterminada, AWS Proton se permite el acceso total a través del punto final. Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.

Crear un VPC punto final de interfaz para AWS Proton

Puedes crear un VPC punto de conexión para el AWS Proton servicio mediante la VPC consola de Amazon o con AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto final de interfaz en la Guía del VPC usuario de Amazon.

Cree un VPC punto final para AWS Proton usar el siguiente nombre de servicio:

  • com.amazonaws.region.proton

Si habilita la opción privada DNS para el punto final, puede API solicitar que se AWS Proton utilice su DNS nombre predeterminado para la región, por ejemplo,. proton.region.amazonaws.com

Para obtener más información, consulte Acceder a un servicio a través de un punto final de interfaz en la Guía del VPC usuario de Amazon.

Crear una política VPC de puntos finales para AWS Proton

Puede adjuntar una política de puntos finales a su VPC punto final que controle el acceso a AWS Proton. La política especifica la siguiente información:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulta Cómo controlar el acceso a los servicios con VPC puntos de conexión en la Guía del VPC usuario de Amazon.

Ejemplo: política de VPC puntos finales para la adopción de medidas AWS Proton

El siguiente es un ejemplo de una política de puntos finales para AWS Proton. Cuando se adjunta a un punto final, esta política otorga acceso a las AWS Proton acciones enumeradas a todos los principales de todos los recursos.

{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "proton:ListServiceTemplates", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServices", "proton:ListServiceInstances", "proton:ListEnvironments", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetService", "proton:GetServiceInstance", "proton:GetEnvironment", "proton:CreateService", "proton:UpdateService", "proton:UpdateServiceInstance", "proton:UpdateServicePipeline", "proton:DeleteService" ], "Effect": "Allow", "Resource": "*" } ] }