本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全
當您在 AWS 基礎設施上建置系統時,安全責任將由您與 AWS 共同承擔。此共同責任模型
IAM 角色
AWS Identity and Access Management (IAM) 角色可讓客戶將精細的存取政策和許可指派給 AWS 雲端上的服務和使用者。此解決方案會建立 IAM 角色,授予解決方案的 AWS Lambda 函數建立區域資源的存取權。
Amazon CloudFront
此解決方案會部署託管在 Amazon S3 儲存貯體中的 Web UI,該儲存貯體由 Amazon CloudFront 分發。為了協助減少延遲並改善安全性,此解決方案包含具有原始存取身分的 CloudFront 分佈,這是提供解決方案網站儲存貯體內容公開存取權的 CloudFront 使用者。根據預設,CloudFront 分佈會使用 TLS 1.2 來強制執行最高層級的安全通訊協定。如需詳細資訊,請參閱《Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取。 Amazon CloudFront
CloudFront 會啟用其他安全緩解措施,將 HTTP 安全標頭附加到每個檢視器回應。如需詳細資訊,請參閱在 CloudFront 回應中新增或移除 HTTP 標頭。
此解決方案使用預設 CloudFront 憑證,其具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3,您必須使用自訂 SSL 憑證,而非預設 CloudFront 憑證。如需詳細資訊,請參閱如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證
AWS Fargate 安全群組
根據預設,此解決方案會將 AWS Fargate 安全群組的傳出規則開放給大眾。如果您想要封鎖 AWS Fargate 到處傳送流量,請將傳出規則變更為特定無類別網域間路由 (CIDR)。
此安全群組也包含傳入規則,允許連接埠 50,000 上的本機流量流向屬於相同安全群組的任何來源。這用於允許容器彼此通訊。
網路壓力測試
您有責任在網路壓力測試政策
限制對公有使用者介面的存取
若要限制存取 IAM 和 Amazon Cognito 提供的身分驗證和授權機制以外的公開使用者介面,請使用 AWS WAF (Web 應用程式防火牆) 安全自動化解決方案
此解決方案會自動部署一組可篩選常見 Web 型攻擊的 AWS WAF 規則。使用者可以從預先設定的保護功能中選擇,這些功能定義 AWS WAF Web 存取控制清單 (Web ACL) 中包含的規則。