Sicurezza dell'infrastruttura in AWS Proton - AWS Proton
Endpoint VPC (AWS PrivateLink)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in AWS Proton

In quanto servizio gestito, è protetto daAWSsicurezza globale della rete. Per informazioni sui servizi di sicurezza AWS e su come AWS protegge l'infrastruttura, consulta la pagina Sicurezza del cloud AWS. Per progettare l'ambiente AWS utilizzando le best practice per la sicurezza dell'infrastruttura, consulta la pagina Protezione dell'infrastruttura nel Pilastro della sicurezza di AWS Well‐Architected Framework.

Tu usiAWSchiamate API pubblicate per l'accesso tramite la rete. I clienti devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per migliorare l'isolamento della rete, puoi usareAWS PrivateLinkcome descritto nella sezione seguente.

AWS Proton ed endpoint VPC dell'interfaccia (AWS PrivateLink)

È possibile stabilire una connessione privata tra il VPC e AWS Proton creando un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati daAWS PrivateLink, una tecnologia che consente l'accesso privatoAWS ProtonAPI senza gateway Internet, dispositivo NAT, connessione VPN oAWS Direct Connectconnessione. Le istanze presenti nel VPC non richiedono indirizzi IP pubblici per comunicare con le API AWS Proton. Il traffico tra il tuo VPC e AWS Proton non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti.

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Considerazioni sugli endpoint VPC di AWS Proton

Prima di impostare un endpoint VPC dell'interfaccia per AWS Proton, esamina le Proprietà e le limitazioni degli endpoint di interfaccia nella Guida per l'utente di Amazon VPC.

AWS Proton supporta l'esecuzione di chiamate a tutte le sue operazioni API all'interno del VPC.

I criteri endpoint VPC sono supportati per AWS Proton. Per impostazione predefinita, l'accesso completo a AWS Proton è consentito attraverso l'endpoint. Per ulteriori informazioni, consultare Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Creazione di un endpoint di interfaccia VPC per AWS Proton

È possibile creare un endpoint VPC per il servizio AWS Proton utilizzando la console Amazon VPC o la AWS Command Line Interface (AWS CLI). Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella Guida per l'utente di Amazon VPC.

Crea un endpoint VPC per AWS Proton, utilizzando il seguente nome di servizio:

  • com.amazonaws.region.proton

Se si abilita il DNS privato per l'endpoint, è possibile effettuare richieste API verso AWS Proton utilizzando il nome DNS predefinito per la regione, ad esempio proton.region.amazonaws.com.

Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint di interfaccia in Guida per l'utente di Amazon VPC.

Creazione di una policy di endpoint VPC per AWS Proton.

È possibile allegare un criterio endpoint all'endpoint VPC che controlla l'accesso a AWS Proton. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le operazioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire operazioni.

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Esempio: policy di endpoint VPC per le operazioni AWS Proton

Di seguito è riportato un esempio di una policy endpoint per AWS Proton. Se collegato a un endpoint, questo criterio concede l'accesso alle operazioni elencate AWS Proton per tutti i principali su tutte le risorse.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}