As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas de segurança para AWS Proton
AWS Proton fornece recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
Tópicos
Usar o IAM para controlar o acesso
O IAM é um AWS service (Serviço da AWS) que você pode usar para gerenciar usuários e suas permissões no AWS. Você pode usar o IAM com AWS Proton para especificar quais AWS Proton ações os administradores e desenvolvedores podem realizar, como gerenciar modelos, ambientes ou serviços. Você pode usar as funções de serviço do IAM AWS Proton para permitir fazer chamadas para outros serviços em seu nome.
Para obter mais informações sobre AWS Proton as funções do IAM, consulteIdentity and Access Management para AWS Proton.
Implemente o acesso de privilégio mínimo. Para ter mais informações, consulte Políticas e permissões no IAM, no Guia do usuário do AWS Identity and Access Management .
Não incorpore credenciais em seus modelos e pacotes de modelos.
Em vez de incorporar informações confidenciais em seus AWS CloudFormation modelos e pacotes de modelos, recomendamos que você use referências dinâmicas em seu modelo de pilha.
As referências dinâmicas fornecem uma maneira compacta e poderosa de referenciar valores externos que são armazenados e gerenciados em outros serviços, como o AWS Systems Manager Parameter Store ou AWS Secrets Manager. Quando você usa uma referência dinâmica, CloudFormation recupera o valor da referência especificada quando necessário durante as operações de pilha e conjunto de alterações e passa o valor para o recurso apropriado. No entanto, CloudFormation nunca armazena o valor de referência real. Para obter mais informações, consulte Usar referências dinâmicas para especificar valores de modelo no Guia do Usuário do AWS CloudFormation .
O AWS Secrets Manager ajuda você a criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. A Loja de parâmetros do AWS Systems Manager fornece armazenamento hierárquico seguro para o gerenciamento de dados de configuração.
Para obter mais informações sobre definir parâmetros de modelos, consulte https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html no Guia do usuário do AWS CloudFormation .
Use criptografia para proteger dados confidenciais
Dentro AWS Proton, todos os dados do cliente são criptografados por padrão usando uma AWS Proton chave própria.
Como membro da equipe da plataforma, você pode fornecer uma chave gerenciada pelo cliente AWS Proton para criptografar e proteger seus dados confidenciais. Criptografe dados em repouso confidenciais em seu bucket do S3. Para obter mais informações, consulte Proteção de dados em AWS Proton.
Use AWS CloudTrail para visualizar e registrar chamadas de API
AWS CloudTrail rastreia qualquer pessoa que faça chamadas de API no seu Conta da AWS. As chamadas de API são registradas sempre que alguém usa a AWS Proton API, o AWS Proton console ou AWS Proton AWS CLI os comandos. Ative o registro em log e especifique um bucket do Amazon S3 para armazenar os logs. Dessa forma, se precisar, você pode auditar quem fez qual AWS Proton chamada em sua conta. Para obter mais informações, consulte Registro e monitoramento em AWS Proton.
