セキュリティ
AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。この責任共有モデル
IAM ロール
AWS Identity and Access Management (IAM) ロールにより、AWS クラウドのサービスとユーザーに対してアクセスポリシーとアクセス許可を詳細に割り当てることができます。このソリューションでは、リージョン別のリソースを作成するために、ソリューションの AWS Lambda 関数にアクセス権を付与する IAM ロールを作成します。
Amazon CloudFront
このソリューションは、Amazon S3 バケットでホストされ、Amazon CloudFront で配布されるウェブ UI をデプロイします。レイテンシーを軽減し、セキュリティを向上させるために、このソリューションには、オリジンアクセスアイデンティティを持つ CloudFront ディストリビューションが含まれています。オリジンアクセスアイデンティティは、ソリューションのウェブサイトのバケットにあるコンテンツに、パブリックアクセスを提供する CloudFront ユーザーです。デフォルトでは、CloudFront ディストリビューションは TLS 1.2 を使用して最高レベルのセキュリティプロトコルを適用します。詳細については、「Amazon CloudFront デベロッパーガイド」の「Amazon S3 オリジンへのアクセスの制限」を参照してください。
CloudFront は追加のセキュリティ対策を有効にして、各ビューワーのレスポンスに HTTP セキュリティヘッダーを追加します。詳細については、「CloudFront レスポンスの HTTP ヘッダーを追加または削除する」を参照してください。
このソリューションでは、デフォルトの CloudFront 証明書を使用します。サポートされる最小のセキュリティプロトコルは TLS v1.0 です。TLS v1.2 または TLS v1.3 の使用を必ず適用するには、デフォルトの CloudFront 証明書の代わりにカスタム SSL 証明書を使用する必要があります。詳細については、「SSL/TLS 証明書を使用するように CloudFront ディストリビューションを設定する方法を教えてください
AWS Fargate セキュリティグループ
デフォルトで、このソリューションは、AWS Fargate セキュリティグループのアウトバウンドルールを公開します。AWS Fargate がどこにでもトラフィックを送信しないようにするには、アウトバウンドルールを特定の Classless Inter-Domain Routing (CIDR) に変更します。
このセキュリティグループには、同じセキュリティグループに属する任意の送信元へのポート 50,000 のローカルトラフィックを許可するインバウンドルールも含まれています。これは、コンテナが互いに通信できるようにするために使用されます。
ネットワーク負荷テスト
このソリューションは、「ネットワーク負荷テスト
パブリックユーザーインターフェイスへのアクセス制限
IAM と Amazon Cognito によって提供される認証と認可のメカニズム以外に、パブリックユーザーインターフェイスへのアクセスを制限するには、AWS WAF (ウェブアプリケーションファイアウォール) セキュリティオートメーションソリューション
このソリューションは、一般的なウェブベースの攻撃をフィルタリングする一連の AWS WAF ルールを自動的にデプロイします。ユーザーは、AWS WAF のウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールを定義している事前設定済みの保護機能から選択できます。
