Segurança da infraestrutura no AWS CloudFormation - AWS CloudFormation

Segurança da infraestrutura no AWS CloudFormation

Como serviço gerenciado, o AWS CloudFormation é protegido pelos procedimentos de segurança da rede global da AWS que são descritos no whitepaper Amazon Web Services: visão geral dos processos de segurança.

Use chamadas de API publicadas pela AWS para acessar o AWS CloudFormation por meio da rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

É possível chamar essas operações de API de qualquer local da rede, mas o AWS CloudFormation não é compatível com políticas de acesso baseadas em recursos, que podem incluir restrições com base no endereço IP de origem. Também é possível usar políticas do AWS CloudFormation para controlar o acesso de Amazon Virtual Private Cloud (Amazon VPC) endpoints ou de VPCs específicas. Efetivamente, isso isola o acesso à rede para um determinado recurso do AWS CloudFormation somente da VPC específica dentro da rede da AWS.