Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan
Ketika Anda membangun sistem di atas AWS infrastruktur, tanggung jawab keamanan dibagi antara Anda dan AWS. Model bersama
Elasticache (Redis OSS) diberi antarmuka jaringan di dalam VPC pribadi. Fungsi Lambda yang berinteraksi dengan Elasticache (Redis OSS) juga ditetapkan antarmuka jaringan dalam VPC. Semua sumber daya lainnya memiliki konektivitas jaringan di ruang AWS jaringan bersama. Fungsi Lambda dengan antarmuka VPC yang berinteraksi dengan layanan lain AWS menggunakan titik akhir VPC untuk terhubung ke layanan ini.
Kunci publik dan pribadi yang digunakan untuk membuat dan memvalidasi token web JSON dihasilkan pada waktu penerapan dan disimpan di Secrets Manager. Kata sandi yang digunakan untuk terhubung ke Elasticache (Redis OSS) juga dihasilkan pada waktu penerapan dan disimpan di Secrets Manager. Kunci pribadi dan kata sandi Elasticache (Redis OSS) tidak dapat diakses melalui API solusi apa pun.
API publik harus diakses melalui CloudFront. Solusinya menghasilkan kunci API untuk API Gateway, yang digunakan sebagai nilai header kustomx-api-key, di CloudFront. CloudFront menyertakan header ini saat membuat permintaan asal. Untuk detail tambahan, lihat Menambahkan header khusus ke permintaan asal di Panduan CloudFront Pengembang Amazon.
Privat APIs dikonfigurasi untuk memerlukan otorisasi AWS IAM untuk pemanggilan. Solusinya membuat grup pengguna ProtectedAPIGroup IAM dengan izin yang sesuai untuk memanggil privat. APIs Pengguna IAM yang ditambahkan ke grup ini diizinkan untuk memanggil pribadi. APIs
Kebijakan IAM yang digunakan dalam peran dan izin yang dilampirkan ke berbagai sumber daya yang dibuat oleh solusi hanya memberikan izin yang diperlukan untuk melakukan tugas yang diperlukan.
Untuk sumber daya seperti bucket S3, antrian SQS, dan topik SNS yang dihasilkan oleh solusi, enkripsi saat istirahat dan selama transit diaktifkan sedapat mungkin.
Pemantauan
Tumpukan API inti mencakup beberapa CloudWatch alarm yang dapat dipantau untuk mendeteksi masalah saat solusinya beroperasi. Tumpukan membuat alarm untuk kesalahan fungsi Lambda dan kondisi throttle, dan mengubah status alarm dari OK ALARM jika terjadi kesalahan atau kondisi throttle dalam periode satu menit.
Tumpukan juga membuat alarm untuk setiap penerapan API Gateway untuk kode status 4XX dan 5XX. Alarm mengubah status dari OK menjadi ALARM jika kode status 4XX atau 5XX dikembalikan dari API dalam jangka waktu satu menit.
Alarm ini kembali ke OK keadaan setelah satu menit tidak ada kesalahan atau throttle.
Peran IAM
AWS Identity and Access Management Peran (IAM) memungkinkan pelanggan untuk menetapkan kebijakan akses terperinci dan izin untuk layanan dan pengguna di Cloud. AWS Solusi ini menciptakan peran IAM yang memberikan akses AWS Lambda fungsi solusi untuk membuat sumber daya Regional.
Amazon CloudFront
virtual-waiting-room-on-aws.template CloudFormation Template, yang menciptakan inti publik dan pribadi APIs ruang tunggu, juga menyebarkan CloudFront distribusi untuk API publik. CloudFront menyimpan respons dari API publik, sehingga mengurangi beban pada API Gateway dan fungsi Lambda yang melakukan pekerjaan.
Solusi ini juga memiliki contoh template ruang tunggu opsional yang menyebarkan aplikasi web sederhana yang dihosting di bucket Amazon Simple Storage Service (Amazon S3). Untuk membantu mengurangi latensi dan meningkatkan keamanan, CloudFront distribusi Amazon diterapkan dengan identitas akses asal, yaitu CloudFront pengguna yang menyediakan akses publik ke konten bucket situs web solusi. Untuk informasi selengkapnya, lihat Membatasi Akses ke Konten Amazon S3 dengan Menggunakan Identitas Akses Asal di Panduan Pengembang CloudFront Amazon.
Grup keamanan
Grup keamanan VPC yang dibuat dalam solusi ini dirancang untuk mengontrol dan mengisolasi lalu lintas jaringan ke Elasticache (Redis OSS). Lambda yang perlu berkomunikasi dengan Elasticache (Redis OSS) ditempatkan di Grup Keamanan yang sama dengan Elasticache (Redis OSS). Kami menyarankan Anda meninjau grup keamanan dan membatasi akses lebih lanjut sesuai kebutuhan setelah penerapan aktif dan berjalan.
