보안 - AWS의 가상 대기실
모니터링 IAM 역할Amazon CloudFront보안 그룹

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안

AWS 인프라를 기반으로 시스템을 구축하면 보안 책임은 사용자와 간에 공유됩니다 AWS. 이 공유 모델은 호스트 운영 체제 AWS , 가상화 계층, 서비스가 운영되는 시설의 물리적 보안을 비롯한 구성 요소를 운영, 관리 및 제어하기 때문에 운영 부담을 줄입니다. AWS 보안에 대한 자세한 내용은 AWS 클라우드 보안을 참조하십시오.

Elasticache(Redis OSS)에는 프라이빗 VPC 내부의 네트워크 인터페이스가 할당됩니다. Elasticache(Redis OSS)와 상호 작용하는 Lambda 함수에도 VPC 내의 네트워크 인터페이스가 할당됩니다. 다른 모든 리소스는 공유 네트워크 공간에 AWS 네트워크 연결이 있습니다. 다른 AWS 서비스와 상호 작용하는 VPC 인터페이스가 있는 Lambda 함수는 VPC 엔드포인트를 사용하여 이러한 서비스에 연결합니다.

JSON 웹 토큰을 생성하고 검증하는 데 사용되는 퍼블릭 및 프라이빗 키는 배포 시 생성되어 Secrets Manager에 저장됩니다. Elasticache(Redis OSS)에 연결하는 데 사용되는 암호도 배포 시 생성되어 Secrets Manager에 저장됩니다. 프라이빗 키 및 Elasticache(Redis OSS) 암호는 솔루션 API를 통해 액세스할 수 없습니다.

퍼블릭 API는 CloudFront를 통해 액세스해야 합니다. 이 솔루션은 CloudFrontx-api-key에서 사용자 지정 헤더의 값으로 사용되는 API Gateway용 API 키를 생성합니다. CloudFront는 오리진 요청을 할 때이 헤더를 포함합니다. 자세한 내용은 Amazon CloudFront 개발자 안내서오리진 요청에 사용자 지정 헤더 추가를 참조하세요.

프라이빗 APIs는 호출을 위해 AWS IAM 인증을 요구하도록 구성됩니다. 솔루션은 프라이빗 APIs를 호출할 수 있는 적절한 권한을 가진 ProtectedAPIGroup IAM 사용자 그룹을 생성합니다. 이 그룹에 추가된 IAM 사용자에게는 프라이빗 APIs.

솔루션에서 생성한 다양한 리소스에 연결된 역할 및 권한에 사용되는 IAM 정책은 필요한 작업을 수행하는 데 필요한 권한만 부여합니다.

솔루션에서 생성된 S3 버킷, SQS 대기열 및 SNS 주제와 같은 리소스의 경우 가능한 경우 저장 중 및 전송 중 암호화가 활성화됩니다.

모니터링

코어 API 스택에는 솔루션이 작동하는 동안 문제를 감지하기 위해 모니터링할 수 있는 여러 CloudWatch 경보가 포함되어 있습니다. 스택은 Lambda 함수 오류 및 스로틀 조건에 대한 경보를 생성하고 오류 또는 스로틀 조건이 1분 동안 발생하는 OK ALARM 경우 경보의 상태를에서 로 변경합니다.

또한 스택은 4XX 및 5XX 상태 코드에 대한 각 API Gateway 배포에 대한 경보를 생성합니다. 1분 이내에 API에서 OK ALARM 4XX 또는 5XX 상태 코드가 반환되면 경보 상태가에서 로 변경됩니다.

이러한 경보는 1분 동안 오류나 스로틀이 없으면 OK 상태로 돌아갑니다.

IAM 역할

AWS Identity and Access Management (IAM) 역할을 통해 고객은 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 솔루션의 AWS Lambda 함수에 리전 리소스를 생성할 수 있는 액세스 권한을 부여하는 IAM 역할을 생성합니다.

Amazon CloudFront

대기실의 코어 퍼블릭 및 프라이빗 APIs를 생성하는 virtual-waiting-room-on-aws.template CloudFormation 템플릿은 퍼블릭 API에 대한 CloudFront 배포도 배포합니다. CloudFront는 퍼블릭 API의 응답을 캐싱하여 작업을 수행하는 API Gateway 및 Lambda 함수에 대한 부하를 줄입니다.

또한이 솔루션에는 Amazon Simple Storage Service(Amazon S3) 버킷에 호스팅되는 간단한 웹 애플리케이션을 배포하는 선택적 샘플 대기실 템플릿이 있습니다. 지연 시간을 줄이고 보안을 강화하기 위해 Amazon CloudFront 배포는 오리진 액세스 ID, 즉 솔루션의 웹 사이트 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 CloudFront 사용자와 함께 배포됩니다. 자세한 내용을 알아보려면 Amazon CloudFront 개발자 안내서의 오리진 액세스 ID(OAI)를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한을 참조하세요.

보안 그룹

이 솔루션에서 생성된 VPC 보안 그룹은 Elasticache(Redis OSS)에 대한 네트워크 트래픽을 제어하고 격리하도록 설계되었습니다. Elasticache(Redis OSS)와 통신해야 하는 Lambda는 Elasticache(Redis OSS)와 동일한 보안 그룹에 배치됩니다. 배포가 시작되고 실행되면 보안 그룹을 검토하고 필요에 따라 액세스를 추가로 제한하는 것이 좋습니다.