Seguridad - Cloud Migration Factory en AWS
Roles de IAMAmazon CognitoAmazon CloudFrontAWS WAF de Amazon: Web Application Firewall

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo compartido puede reducir su carga operativa, ya que AWS opera, administra y controla los componentes, desde el sistema operativo host y la capa de virtualización hasta la seguridad física en las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad en AWS, visite el Centro de seguridad de AWS.

Roles de IAM

Los roles de AWS Identity and Access Management (IAM) le permiten asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea roles de IAM que otorgan a la función AWS Lambda acceso a los demás servicios de AWS utilizados en esta solución.

Amazon Cognito

El usuario de Amazon Cognito creado por esta solución es un usuario local con permisos para acceder únicamente a las RestAPIs de esta solución. Este usuario no tiene permisos para acceder a ningún otro servicio de su cuenta AWS. Para obtener más información, consulte Grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.

La solución admite opcionalmente el inicio de sesión externo con SAML mediante la configuración de proveedores de identidad federados y la funcionalidad de interfaz de usuario alojada de Amazon Cognito.

Amazon CloudFront

Esta solución predeterminada implementa una consola web alojada en un bucket de Amazon S3. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una distribución de Amazon CloudFront con una identidad de acceso de origen, que es un usuario especial de CloudFront que ayuda a proporcionar acceso público al contenido del bucket del sitio web de la solución. Para obtener más información, consulte Restricción del acceso a contenido de Amazon S3 utilizando una identidad de acceso de origen en la Guía para desarrolladores de Amazon CloudFront.

Si se selecciona un tipo de implementación privada durante la implementación de la pila, no se implementa una distribución de CloudFront y requiere que se utilice otro servicio de alojamiento web para alojar la consola web.

AWS WAF: Web Application Firewall

Si el tipo de implementación seleccionado en la pila es Público AWS WAF, CloudFormation implementará las AWS WAF ACL web y las reglas requeridas configuradas para proteger los puntos de conexión de CloudFront, API Gateway y Cognito creados por la solución CMF. Estos puntos de conexión se restringirán para permitir que sólo las direcciones IP de origen especificadas accedan a estos puntos de conexión. Durante la implementación de la pila, se deben proporcionar dos rangos de CIDR para agregar reglas adicionales después de la implementación a través de la consola AWS WAF.