Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad
Cuando crea sistemas en una AWS infraestructura, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo compartido
A Elasticache (Redis OSS) se le asigna una interfaz de red dentro de la VPC privada. A las funciones Lambda que interactúan con Elasticache (Redis OSS) también se les asignan interfaces de red dentro de una VPC. Todos los demás recursos tienen conectividad de red en el espacio de red compartido. AWS Las funciones Lambda con interfaces de VPC que interactúan con otros servicios AWS utilizan puntos finales de VPC para conectarse a estos servicios.
Las claves públicas y privadas que se utilizan para crear y validar los tokens web JSON se generan en el momento de la implementación y se almacenan en Secrets Manager. La contraseña utilizada para conectarse a Elasticache (Redis OSS) también se genera en el momento de la implementación y se almacena en Secrets Manager. No se puede acceder a la clave privada ni a la contraseña de Elasticache (Redis OSS) a través de ninguna API de solución.
Se debe acceder a la API pública a través de. CloudFront La solución genera una clave de API para API Gateway, que se utiliza como valor de un encabezado personalizado,x-api-key, en CloudFront. CloudFront incluye este encabezado al realizar solicitudes de origen. Para obtener más información, consulta Cómo añadir encabezados personalizados a las solicitudes de origen en la Guía para CloudFront desarrolladores de Amazon.
Los privados APIs están configurados para requerir la autorización de AWS IAM para su invocación. La solución crea el grupo de usuarios de ProtectedAPIGroup IAM con los permisos adecuados para invocar el privado. APIs Un usuario de IAM agregado a este grupo está autorizado a invocar el privado. APIs
Las políticas de IAM utilizadas en los roles y permisos asociados a varios recursos creados por la solución otorgan solo los permisos necesarios para realizar las tareas necesarias.
En el caso de recursos como los depósitos de S3, las colas de SQS y los temas de SNS generados por la solución, el cifrado en reposo y durante el tránsito se activa siempre que es posible.
Monitorización
La pila principal de API incluye varias CloudWatch alarmas que se pueden monitorear para detectar problemas mientras la solución está en funcionamiento. La pila crea una alarma para los errores de la función Lambda y las condiciones del acelerador, y cambia el estado de la alarma de OK a ALARM si se produce un error o una condición de aceleración en un período de un minuto.
La pila también crea alarmas para cada implementación de API Gateway para los códigos de estado 4XX y 5XX. La alarma cambia de estado OK a ALARM si la API devuelve un código de estado 4XX o 5XX en un período de un minuto.
Estas alarmas vuelven a un OK estado después de un minuto sin errores ni interrupciones.
Roles de IAM
AWS Identity and Access Management Las funciones (IAM) permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube. AWS Esta solución crea funciones de IAM que permiten a las AWS Lambda funciones de la solución acceder a crear recursos regionales.
Amazon CloudFront
La virtual-waiting-room-on-aws.template CloudFormation plantilla, que crea el núcleo público y privado APIs de la sala de espera, también implementa una CloudFront distribución para la API pública. CloudFront almacena en caché las respuestas de la API pública, lo que reduce la carga en API Gateway y en las funciones de Lambda que realizan su trabajo.
Esta solución también incluye un ejemplo opcional de plantilla de sala de espera que despliega una aplicación web sencilla alojada en un bucket de Amazon Simple Storage Service (Amazon S3). Para ayudar a reducir la latencia y mejorar la seguridad, se implementa una CloudFront distribución de Amazon con una identidad de acceso de origen, que es un CloudFront usuario que proporciona acceso público al contenido del bucket del sitio web de la solución. Para obtener más información, consulte Restringir el acceso al contenido de Amazon S3 mediante una identidad de acceso de origen en la Guía para CloudFront desarrolladores de Amazon.
Grupos de seguridad
Los grupos de seguridad de VPC creados en esta solución están diseñados para controlar y aislar el tráfico de red hacia Elasticache (Redis OSS). Las lambdas que necesitan comunicarse con Elasticache (Redis OSS) se colocan en el mismo grupo de seguridad que las de Elasticache (Redis OSS). Le recomendamos que revise los grupos de seguridad y restrinja aún más el acceso según sea necesario una vez que la implementación esté en marcha.
