Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza
Quando crei sistemi sull' AWS infrastruttura, le responsabilità in materia di sicurezza vengono condivise tra te e AWS. Questo modello condiviso
A Elasticache (Redis OSS) viene assegnata un'interfaccia di rete all'interno del VPC privato. Alle funzioni Lambda che interagiscono con Elasticache (Redis OSS) vengono inoltre assegnate interfacce di rete all'interno di un VPC. Tutte le altre risorse dispongono di connettività di rete nello spazio di rete condiviso. AWS Le funzioni Lambda con interfacce VPC che interagiscono con altri servizi AWS utilizzano gli endpoint VPC per connettersi a questi servizi.
Le chiavi pubbliche e private utilizzate per creare e convalidare i token web JSON vengono generate al momento della distribuzione e archiviate in Secrets Manager. La password utilizzata per connettersi a Elasticache (Redis OSS) viene generata anche al momento della distribuzione e archiviata in Secrets Manager. La chiave privata e la password Elasticache (Redis OSS) non sono accessibili tramite alcuna API di soluzione.
È necessario accedere all'API pubblica tramite. CloudFront La soluzione genera una chiave API per API Gateway, che viene utilizzata come valore di un'intestazione personalizzatax-api-key, in CloudFront. CloudFront include questa intestazione quando si effettuano richieste di origine. Per ulteriori dettagli, consulta la sezione Aggiungere intestazioni personalizzate alle richieste di origine nella Amazon CloudFront Developer Guide.
I private APIs sono configurati per richiedere l'autorizzazione AWS IAM per l'invocazione. La soluzione crea il gruppo di utenti ProtectedAPIGroup IAM con le autorizzazioni appropriate per richiamare il privato. APIs Un utente IAM aggiunto a questo gruppo è autorizzato a richiamare il privato. APIs
Le policy IAM utilizzate nei ruoli e nelle autorizzazioni associate a varie risorse create dalla soluzione concedono solo le autorizzazioni necessarie per eseguire le attività necessarie.
Per risorse come bucket S3, code SQS e argomenti SNS generati dalla soluzione, la crittografia a riposo e durante il transito viene attivata laddove possibile.
Monitoraggio
Lo stack di API principale include diversi CloudWatch allarmi che possono essere monitorati per rilevare problemi mentre la soluzione è operativa. Lo stack crea un allarme per gli errori della funzione Lambda e le condizioni dell'acceleratore e modifica lo stato dell'allarme OK da ALARM a se si verifica un errore o una condizione di accelerazione in un periodo di un minuto.
Lo stack crea anche allarmi per ogni implementazione di API Gateway per i codici di stato 4XX e 5XX. Lo stato dell'allarme cambia da OK a ALARM se viene restituito un codice di stato 4XX o 5XX dall'API entro un periodo di un minuto.
Questi allarmi tornano allo OK stato attivo dopo un minuto senza errori o accelerazioni.
Ruoli IAM
AWS Identity and Access Management I ruoli (IAM) consentono ai clienti di assegnare policy e autorizzazioni di accesso granulari a servizi e utenti sul cloud. AWS Questa soluzione crea ruoli IAM che garantiscono l'accesso alle AWS Lambda funzioni della soluzione per creare risorse regionali.
Amazon CloudFront
Il virtual-waiting-room-on-aws.template CloudFormation modello, che crea il nucleo pubblico e privato APIs della sala d'attesa, implementa anche una CloudFront distribuzione per l'API pubblica. CloudFront memorizza nella cache le risposte dall'API pubblica, riducendo così il carico su API Gateway e sulle funzioni Lambda che eseguono il lavoro.
Questa soluzione include anche un modello di sala d'attesa di esempio opzionale che distribuisce una semplice applicazione Web ospitata in un bucket Amazon Simple Storage Service (Amazon S3). Per contribuire a ridurre la latenza e migliorare la sicurezza, viene implementata una CloudFront distribuzione Amazon con un'identità di accesso di origine, ovvero un CloudFront utente che fornisce l'accesso pubblico ai contenuti del bucket del sito Web della soluzione. Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso ai contenuti Amazon S3 utilizzando un'identità Origin Access nella CloudFront Amazon Developer Guide.
Gruppi di sicurezza
I gruppi di sicurezza VPC creati in questa soluzione sono progettati per controllare e isolare il traffico di rete verso Elasticache (Redis OSS). Le unità Lambda che devono comunicare con Elasticache (Redis OSS) vengono inserite nello stesso gruppo di sicurezza di Elasticache (Redis OSS). Ti consigliamo di esaminare i gruppi di sicurezza e di limitare ulteriormente l'accesso, se necessario, una volta che la distribuzione è attiva e funzionante.
