보안

AWS 인프라에 시스템을 구축하면 사용자와 AWS 간에 보안 책임이 공유됩니다. AWS는 호스트 운영 체제, 가상화 계층, 서비스가 운영되는 시설의 물리적 보안을 비롯한 구성 요소를 운영, 관리 및 제어하므로이 공동 책임 모델은 운영 부담을 줄입니다. AWS 보안에 대한 자세한 내용은 AWS 보안 센터를 참조하십시오.

리소스 액세스

IAM 역할

IAM 역할을 통해 고객은 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. AWS에서 워크로드 검색을 실행하고 AWS 계정에서 리소스를 검색하려면 여러 역할이 필요합니다.

Amazon Cognito

Amazon Cognito는 AWS의 워크로드 검색에 필요한 구성 요소에 대한 액세스 권한을 부여하는 수명이 짧고 강력한 자격 증명을 사용하여 액세스를 인증하는 데 사용됩니다.

네트워크 액세스

Amazon VPC

AWS의 워크로드 검색은 Amazon VPC 내에 배포되고 보안 및 고가용성을 제공하기 위한 모범 사례에 따라 구성됩니다. 자세한 내용은 VPC의 보안 모범 사례를 참조하세요. VPC 엔드포인트는 서비스 간 비인터넷 전송을 허용하며 사용 가능한 경우 구성됩니다.

보안 그룹은 AWS에서 워크로드 검색을 실행하는 데 필요한 구성 요소 간의 네트워크 트래픽을 제어하고 격리하는 데 사용됩니다.

배포가 시작되고 실행되면 보안 그룹을 검토하고 필요에 따라 액세스를 추가로 제한하는 것이 좋습니다.

Amazon CloudFront

이 솔루션은 Amazon CloudFront에서 배포하는 Amazon S3 버킷에 호스팅된 웹 콘솔 UI를 배포합니다. Amazon CloudFront 오리진 액세스 ID 기능을 사용하면이 Amazon S3 버킷의 콘텐츠에 CloudFront를 통해서만 액세스할 수 있습니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하세요. Amazon CloudFront

CloudFront는 추가 보안 완화를 활성화하여 각 최종 사용자 응답에 HTTP 보안 헤더를 추가합니다. 자세한 내용은 CloudFront 응답에서 HTTP 헤더 추가 또는 제거를 참조하세요.

이 솔루션은 TLS v1.0의 최소 지원 보안 프로토콜이 있는 기본 CloudFront 인증서를 사용합니다. TLS v1.2 또는 TLS v1.3 사용을 적용하려면 기본 CloudFront 인증서 대신 사용자 지정 SSL 인증서를 사용해야 합니다. 자세한 내용은 SSL/TLS 인증서를 사용하도록 CloudFront 배포를 구성하려면 어떻게 해야 하나요?를 참조하세요.

애플리케이션 구성

AppSync

AWS GraphQL APIs의 워크로드 검색에는 GraphQL 사양에 따라 AWS AppSync에서 제공하는 요청 검증이 있습니다. 또한 인증 및 권한 부여는 사용자가 웹 UI에서 성공적으로 인증할 때 Amazon Cognito에서 제공하는 JWT를 사용하는 IAM 및 Amazon Cognito를 사용하여 구현됩니다.

AWS Lambda

기본적으로 Lambda 함수는 언어 런타임의 가장 안정적인 최신 버전으로 구성됩니다. 민감한 데이터나 보안 암호는 로깅되지 않습니다. 서비스 상호 작용은 최소 필수 권한으로 수행됩니다. 이러한 권한을 정의하는 역할은 함수 간에 공유되지 않습니다.

Amazon OpenSearch Service

Amazon OpenSearch Service 도메인은 OpenSearch Service 클러스터에 대한 서명되지 않은 요청을 중지하도록 액세스를 제한하는 액세스 정책으로 구성됩니다. 이는 단일 Lambda 함수로 제한됩니다.

OpenSearch Service 클러스터는 기존 OpenSearch Service 보안 기능 외에도 추가 데이터 보호 계층을 추가하기 위해 node-to-node 암호화가 활성화된 상태로 구축됩니다.