Sicurezza dell'infrastruttura in AWS Proton - AWS Proton

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza dell'infrastruttura in AWS Proton

In quanto servizio gestito, AWS Proton è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security. Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Utilizzate chiamate API AWS pubblicate per accedere AWS Proton attraverso la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

Per migliorare l'isolamento della rete, è possibile utilizzare AWS PrivateLink quanto descritto nella sezione seguente.

AWS Proton e endpoint VPC di interfaccia ()AWS PrivateLink

Puoi stabilire una connessione privata tra il tuo VPC e creare un AWS Proton endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato alle AWS Proton API senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con AWS Proton le API. Il traffico tra il tuo VPC e AWS Proton non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti.

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Considerazioni sugli endpoint AWS Proton VPC

Prima di configurare un endpoint VPC di interfaccia per AWS Proton, assicurati di esaminare le proprietà e le limitazioni degli endpoint dell'interfaccia nella Amazon VPC User Guide.

AWS Proton supporta l'esecuzione di chiamate a tutte le sue azioni API dal tuo VPC.

Le policy degli endpoint VPC sono supportate per. AWS Proton Per impostazione predefinita, l'accesso completo a AWS Proton è consentito tramite l'endpoint. Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Creazione di un endpoint VPC di interfaccia per AWS Proton

Puoi creare un endpoint VPC per il AWS Proton servizio utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta Creazione di un endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC.

Crea un endpoint VPC per AWS Proton utilizzare il seguente nome di servizio:

  • com.amazonaws.region.proton

Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API AWS Proton utilizzando il nome DNS predefinito per la regione, ad esempio. proton.region.amazonaws.com

Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint dell'interfaccia in Guida per l'utente di Amazon VPC.

Creazione di una policy per gli endpoint VPC per AWS Proton

È possibile allegare un criterio all'endpoint VPC che controlla l'accesso all' AWS Proton. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire operazioni.

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC in Guida per l'utente di Amazon VPC.

Esempio: policy degli endpoint VPC per le azioni AWS Proton

Di seguito è riportato un esempio di policy sugli endpoint per. AWS Proton Se associata a un endpoint, questa politica consente l'accesso alle AWS Proton azioni elencate per tutti i principali su tutte le risorse.

{ "Version": "2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "proton:ListServiceTemplates", "proton:ListServiceTemplateMajorVersions", "proton:ListServiceTemplateMinorVersions", "proton:ListServices", "proton:ListServiceInstances", "proton:ListEnvironments", "proton:GetServiceTemplate", "proton:GetServiceTemplateMajorVersion", "proton:GetServiceTemplateMinorVersion", "proton:GetService", "proton:GetServiceInstance", "proton:GetEnvironment", "proton:CreateService", "proton:UpdateService", "proton:UpdateServiceInstance", "proton:UpdateServicePipeline", "proton:DeleteService" ], "Effect": "Allow", "Resource": "*" } ] }