Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité
Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle de responsabilité partagée
Accès aux ressources
Rôles IAM
Les rôles IAM permettent aux clients d'attribuer des politiques d'accès et des autorisations détaillées aux services et aux utilisateurs sur le cloud AWS. Plusieurs rôles sont nécessaires pour exécuter Workload Discovery sur AWS et découvrir des ressources dans des comptes AWS.
Amazon Cognito
Amazon Cognito est utilisé pour authentifier l'accès à l'aide d'informations d'identification fiables et de courte durée donnant accès aux composants nécessaires à Workload Discovery sur AWS.
Accès réseau
Amazon VPC
Workload Discovery sur AWS est déployé au sein d'un Amazon VPC et configuré conformément aux meilleures pratiques pour garantir sécurité et haute disponibilité. Pour plus de détails, reportez-vous aux meilleures pratiques de sécurité pour votre VPC. Les points de terminaison VPC permettent le transit hors Internet entre les services et sont configurés lorsqu'ils sont disponibles.
Les groupes de sécurité sont utilisés pour contrôler et isoler le trafic réseau entre les composants nécessaires à l'exécution de Workload Discovery sur AWS.
Nous vous recommandons de passer en revue les groupes de sécurité et de restreindre davantage l'accès, le cas échéant, une fois le déploiement terminé.
Amazon CloudFront
Cette solution déploie une interface utilisateur de console Web hébergée dans un compartiment Amazon S3 distribué par Amazon CloudFront. En utilisant la fonctionnalité d'identité d'accès à l'origine, le contenu de ce compartiment Amazon S3 n'est accessible que via CloudFront. Pour plus d'informations, reportez-vous à la section Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.
CloudFront active des mesures de sécurité supplémentaires pour ajouter des en-têtes de sécurité HTTP à chaque réponse du spectateur. Pour plus de détails, reportez-vous à la section Ajout ou suppression d'en-têtes HTTP dans les CloudFront réponses.
Cette solution utilise le CloudFront certificat par défaut dont le protocole de sécurité minimum pris en charge est TLS v1.0. Pour imposer l'utilisation de TLS v1.2 ou TLS v1.3, vous devez utiliser un certificat SSL personnalisé au lieu du certificat par défaut. CloudFront Pour plus d'informations, reportez-vous à Comment configurer ma CloudFront distribution pour utiliser un certificat SSL/TLS
Configuration de l'application
AWS AppSync
Workload Discovery sur AWS GraphQL APIs dispose d'une validation des demandes fournie par AWS AppSync conformément à la spécification GraphQL.
AWS Lambda
Par défaut, les fonctions Lambda sont configurées avec la version stable la plus récente du moteur d'exécution du langage. Aucune donnée sensible ou aucun secret n'est enregistré. Les interactions de service sont effectuées avec le moins de privilèges requis. Les rôles qui définissent ces privilèges ne sont pas partagés entre les fonctions.
Amazon OpenSearch Service
Les domaines Amazon OpenSearch Service sont configurés avec une politique d'accès qui restreint l'accès afin d'arrêter toute demande non signée envoyée au cluster de OpenSearch services. Ceci est limité à une seule fonction Lambda.
Le cluster de OpenSearch services est conçu avec node-to-node le chiffrement activé pour ajouter une couche supplémentaire de protection des données en plus des fonctionnalités de sécurité du OpenSearch service existantes.
