安全性 - AWS 上的雲端移轉工廠
IAM 角色Amazon Cognito亞馬遜 CloudFrontAmazon AWS WAF-Web 應用程序防火牆

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全性

當您在AWS基礎架構上建置系統時,安全性責任會由您和AWS. 這種共用模型可以減輕操作、管理和控制元件,從主機作業系統和虛擬化層到服務AWS運作所在設施的實體安全性,從而減輕營運負擔。如需有關安全性的詳細資訊AWS,請造訪AWS雲端安全性

IAM 角色

AWS Identity and Access Management(IAM) 角色可讓您將精細的存取政策和許可指派給AWS雲端中的服務和使用者。此解決方案會建立 IAM 角色,以授與此解決方案中使用的其他AWS服務的AWS Lambda函數存取權。

Amazon Cognito

此解決方案建立的 Amazon Cognito 使用者是具有僅存取此解決方案 RESTAPI 權限的本機使用者。此使用者沒有存取您AWS帳戶中任何其他服務的權限。如需詳細資訊,請參閱 Amazon Cognito 開發人員指南中的 Amazon Cognito 使用者集區

此解決方案可選擇性地透過聯合身分供應商的組態和 Amazon Cognito 的託管 UI 功能來支援外部 SAML 登入。

亞馬遜 CloudFront

此預設解決方案會部署在 Amazon S3 儲存貯體中託管的 Web 主控台。為了協助減少延遲並提高安全性,此解決方案包括具有來源存取身 CloudFront分的 Amazon 分發,這是一個特殊的 CloudFront 使用者,可協助公眾存取解決方案的網站儲存貯體內容。如需詳細資訊,請參閱 Amazon CloudFront 開發人員指南中的使用來源存取身分限制 Amazon S3 內容的存取。

如果在堆疊部署期間選取私人部署類型,則不會部署 CloudFront 散發,且需要使用其他 Web 主控服務來裝載 Web 主控台。

AWS WAF-網路應用程式防火牆

如果堆疊中選取的部署類型為「公用」,AWS WAF則 CloudFormation 將部署設定為保護的必要 AWS WAF Web ACL 和規則 CloudFront、API Gateway 和 CMF 解決方案建立的 Cognito 端點。將限制這些端點僅允許指定的來源 IP 位址存取這些端點。在堆疊部署期間,必須提供兩個 CIDR 範圍,以便在透過AWS WAF主控台部署後新增其他規則。