As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança
Quando você cria sistemas na AWS infraestrutura, as responsabilidades de segurança são compartilhadas entre você AWS e. Esse modelo compartilhado
O Elasticache (Redis OSS) recebe uma interface de rede dentro da VPC privada. As funções Lambda que interagem com o Elasticache (Redis OSS) também recebem interfaces de rede em uma VPC. Todos os outros recursos têm conectividade de rede no espaço AWS de rede compartilhado. As funções Lambda com interfaces de VPC que interagem com outros serviços AWS usam VPC endpoints para se conectar a esses serviços.
As chaves públicas e privadas usadas para criar e validar tokens web JSON são geradas no momento da implantação e armazenadas no Secrets Manager. A senha usada para se conectar ao Elasticache (Redis OSS) também é gerada no momento da implantação e armazenada no Secrets Manager. A chave privada e a senha do Elasticache (Redis OSS) não podem ser acessadas por meio de nenhuma API de solução.
A API pública deve ser acessada por meio de CloudFront. A solução gera uma chave de API para o API Gateway, que é usada como o valor de um cabeçalho personalizadox-api-key,, em CloudFront. CloudFront inclui esse cabeçalho ao fazer solicitações de origem. Para obter detalhes adicionais, consulte Adicionar cabeçalhos personalizados às solicitações de origem no Amazon CloudFront Developer Guide.
Os privados APIs são configurados para exigir autorização AWS do IAM para invocação. A solução cria o grupo de usuários do ProtectedAPIGroup IAM com as permissões apropriadas para invocar o privado APIs. Um usuário do IAM adicionado a esse grupo está autorizado a invocar o privado APIs.
As políticas do IAM usadas em funções e permissões anexadas a vários recursos criados pela solução concedem somente as permissões necessárias para realizar as tarefas necessárias.
Para recursos como buckets S3, filas SQS e tópicos de SNS gerados pela solução, a criptografia em repouso e durante o trânsito é ativada sempre que possível.
Monitoramento
A pilha principal de APIs inclui vários CloudWatch alarmes que podem ser monitorados para detectar problemas enquanto a solução está em operação. A pilha cria um alarme para erros da função Lambda e condições de aceleração e altera o estado do alarme de ALARM para se ocorrer um erro ou condição OK de aceleração em um período de um minuto.
A pilha também cria alarmes para cada implantação do API Gateway para códigos de status 4XX e 5XX. O estado do alarme muda de OK para ALARM se um código de status 4XX ou 5XX for retornado da API em um período de um minuto.
Esses alarmes retornam a um OK estado após um minuto sem erros ou acelerações.
Perfis do IAM
AWS Identity and Access Management As funções (IAM) permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na AWS nuvem. Essa solução cria funções do IAM que concedem às AWS Lambda funções da solução acesso para criar recursos regionais.
Amazon CloudFront
O virtual-waiting-room-on-aws.template CloudFormation modelo, que cria o núcleo público e privado APIs da sala de espera, também implanta uma CloudFront distribuição para a API pública. CloudFront armazena em cache as respostas da API pública, reduzindo assim a carga no API Gateway e nas funções do Lambda que realizam o trabalho.
Essa solução também tem um exemplo opcional de modelo de sala de espera que implanta um aplicativo web simples hospedado em um bucket do Amazon Simple Storage Service (Amazon S3). Para ajudar a reduzir a latência e melhorar a segurança, uma CloudFront distribuição da Amazon é implantada com uma identidade de acesso de origem, que é um CloudFront usuário que fornece acesso público ao conteúdo do bucket do site da solução. Para obter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3 usando uma identidade de acesso de origem no CloudFront Amazon Developer Guide.
Grupos de segurança
Os grupos de segurança da VPC criados nessa solução foram projetados para controlar e isolar o tráfego de rede para o Elasticache (Redis OSS). Os lambdas que precisam se comunicar com o Elasticache (Redis OSS) são colocados no mesmo grupo de segurança do Elasticache (Redis OSS). Recomendamos que você revise os grupos de segurança e restrinja ainda mais o acesso conforme necessário quando a implantação estiver em execução.
