보안

AWS 인프라에 시스템을 구축하면 보안 책임이 사용자와 간에 공유됩니다 AWS. 이 공유 모델은 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 AWS 운영, 관리 및 제어할 때 운영 부담을 줄일 수 있습니다. 의 보안에 대한 자세한 내용은 AWS Cloud Security 를 AWS참조하세요.

IAM 역할

AWS Identity and Access Management (IAM) 역할을 사용하면 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 이 솔루션에 사용되는 다른 AWS 서비스에 대한 AWS Lambda 함수 액세스 권한을 부여하는 IAM 역할을 생성합니다.

Amazon Cognito

이 솔루션에서 생성한 Amazon Cognito 사용자는 estAPIs 이 솔루션의 R에만 액세스할 수 있는 권한이 있는 로컬 사용자입니다. 이 사용자는 AWS 계정의 다른 서비스에 액세스할 권한이 없습니다. 자세한 내용은 Amazon Cognito 개발자 안내서의 Amazon Cognito 사용자 풀을 참조하세요.

이 솔루션은 선택적으로 페더레이션 자격 증명 공급자의 구성과 Amazon Cognito 의 호스팅 UI 기능을 통해 외부 SAML 로그인을 지원합니다.

Amazon CloudFront

이 기본 솔루션은 Amazon S3 버킷에 호스팅된 웹 콘솔을 배포합니다. 지연 시간을 줄이고 보안을 개선하기 위해 이 솔루션에는 오리진 액세스 ID가 있는 Amazon CloudFront 배포가 포함되어 있습니다. 이 배포는 솔루션의 웹 사이트 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 데 도움이 되는 특수 CloudFront 사용자입니다. 자세한 내용은 Amazon 개발자 안내서의 오리진 액세스 ID를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한을 참조하세요. CloudFront

스택 배포 중에 프라이빗 배포 유형을 선택하면 CloudFront 배포가 배포되지 않으며 다른 웹 호스팅 서비스를 사용하여 웹 콘솔을 호스팅해야 합니다.

AWS WAF - 웹 애플리케이션 방화벽

스택에서 선택한 배포 유형이 와 퍼블릭인 경우 AWS WAF CloudFormation 는 CMF 솔루션에서 생성된 CloudFront, API Gateway ACLs 및 Cognito 엔드포인트를 보호하도록 구성된 필수 AWS WAF 웹 및 규칙을 배포합니다. 이러한 엔드포인트는 지정된 소스 IP 주소만 이러한 엔드포인트에 액세스하는 것을 허용하도록 제한됩니다. 스택 배포 중에는 AWS WAF 콘솔을 통해 배포한 후 규칙을 추가하려면 두 가지 CIDR 범위를 시설에 제공해야 합니다.