Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad
Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo de responsabilidad compartida
Acceso a recursos
Roles de IAM
Las funciones de IAM permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Se requieren varios roles para ejecutar Workload Discovery en AWS y descubrir recursos en las cuentas de AWS.
Amazon Cognito
Amazon Cognito se utiliza para autenticar el acceso con credenciales sólidas y de corta duración que permiten el acceso a los componentes que Workload Discovery necesita en AWS.
Acceso a la red
Amazon VPC
Workload Discovery en AWS se implementa en una VPC de Amazon y se configura de acuerdo con las prácticas recomendadas para ofrecer seguridad y alta disponibilidad. Para obtener más información, consulte las prácticas recomendadas de seguridad para su VPC. Los puntos finales de VPC permiten el tránsito entre los servicios sin conexión a Internet y se configuran cuando están disponibles.
Los grupos de seguridad se utilizan para controlar y aislar el tráfico de red entre los componentes necesarios para ejecutar Workload Discovery en AWS.
Le recomendamos que revise los grupos de seguridad y restrinja aún más el acceso según sea necesario una vez que la implementación esté en marcha.
Amazon CloudFront
Esta solución implementa una interfaz de usuario de consola web alojada en un bucket de Amazon S3 distribuido por Amazon CloudFront. Al utilizar la función de identidad de acceso de origen, solo se puede acceder al contenido de este bucket de Amazon S3 a través de CloudFront. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.
CloudFront activa medidas de seguridad adicionales para añadir encabezados de seguridad HTTP a cada respuesta del espectador. Para obtener más información, consulta Añadir o eliminar encabezados HTTP en las respuestas. CloudFront
Esta solución usa el CloudFront certificado predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debe usar un certificado SSL personalizado en lugar del certificado predeterminado. CloudFront Para obtener más información, consulte Cómo configuro mi CloudFront distribución para usar un certificado SSL/TLS
Configuración de aplicaciones
AWS AppSync
Workload Discovery on AWS GraphQL APIs solicita la validación proporcionada por AWS de AppSync acuerdo con la especificación de GraphQL.
AWS Lambda
De forma predeterminada, las funciones de Lambda se configuran con la versión estable más reciente del motor de ejecución del lenguaje. No se registran datos confidenciales ni secretos. Las interacciones de servicio se llevan a cabo con el mínimo de privilegios requerido. Los roles que definen estos privilegios no se comparten entre funciones.
OpenSearch Servicio Amazon
Los dominios OpenSearch de Amazon Service están configurados con una política de acceso que restringe el acceso para detener cualquier solicitud no firmada realizada al clúster de OpenSearch servicios. Esto está restringido a una sola función Lambda.
El clúster de OpenSearch servicios está creado con el node-to-node cifrado activado para añadir una capa adicional de protección de datos a las funciones de seguridad del OpenSearch servicio existentes.
