セキュリティ

AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。この共有モデルにより、ホストオペレーティングシステムや仮想化レイヤーから、サービスが実行されている施設の物理的なセキュリティまで、コンポーネントが AWS によって運用、管理、制御されるため、運用上の負担を軽減させることができます。AWS のセキュリティの詳細については、「AWS クラウドセキュリティ」を参照してください。

IAM ロール

AWS Identity and Access Management (IAM) ロールを使用すると、AWS クラウド内のサービスとユーザーに、きめ細かなアクセスポリシーと権限を割り当てることができます。このソリューションでは、このソリューションで使用されているその他の AWS サービスへのアクセスを AWS Lambda 関数に付与する IAM ロールを作成します。

Amazon Cognito

このソリューションで作成された Amazon Cognito ユーザーは、このソリューションの RestAPI にのみアクセスする権限を持つローカルユーザーです。このユーザーには、AWS アカウントの他のサービスにアクセスする権限はありません。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito ユーザープール」を参照してください。

このソリューションでは、フェデレーション ID プロバイダーの設定と Amazon Cognito のホスト UI 機能による外部 SAML サインインをオプションでサポートします。

Amazon CloudFront

このデフォルトソリューションは、Amazon S3 バケットでホストされたウェブコンソールをデプロイします。レイテンシーの削減とセキュリティ向上のため、このソリューションにはオリジンアクセスアイデンティティを持つ Amazon CloudFront ディストリビューションが含まれます。これは、ソリューションのウェブサイトバケットコンテンツへのパブリックアクセスの提供を支援する特別な CloudFront ユーザーです。詳細については、「Amazon CloudFront デベロッパーガイド」の「オリジンアクセス ID を使用して Amazon S3 コンテンツへのアクセスを制限する」を参照してください。

Privateデプロイタイプがスタックのデプロイ時に選択された場合、CloudFront ディストリビューションはデプロイされないため、ウェブコンソールのホストには別のウェブホスティングサービスを使用する必要があります。

AWS WAF - ウェブアプリケーションファイアウォール

スタックで選択されたデプロイタイプが Public with AWS WAF でパブリックの場合、CloudFormation は CMF ソリューションによって作成された CloudFront、API Gateway、および Cognito エンドポイントを保護するように設定された AWS WAF ウェブ ACL とルールをデプロイします。これらのエンドポイントは、指定されたソース IP アドレスのみがこれらのエンドポイントにアクセスできるように制限されます。スタックのデプロイ時には、2 つの CIDR 範囲を指定して、AWS WAF コンソールを経由したデプロイ後にルールを追加する必要があります。