安全

當您在 AWS 基礎設施上建置系統時，安全責任將由您與 AWS 共同承擔。此共同責任模型可減輕您的營運負擔，因為 AWS 會操作、管理和控制元件，包括主機作業系統、虛擬化層，以及服務營運所在設施的實體安全性。如需 AWS 安全性的詳細資訊，請造訪 AWS Cloud Security。

IAM 角色

AWS Identity and Access Management (IAM) 角色可讓客戶將精細的存取政策和許可指派給 AWS 雲端上的服務和使用者。此解決方案會建立 IAM 角色，授予解決方案的 AWS Lambda 函數建立區域資源的存取權。

Amazon CloudFront

此解決方案會部署託管在 Amazon S3 儲存貯體中的 Web UI，該儲存貯體由 Amazon CloudFront 分發。為了協助減少延遲並改善安全性，此解決方案包含具有原始存取身分的 CloudFront 分佈，這是提供解決方案網站儲存貯體內容公開存取權的 CloudFront 使用者。根據預設，CloudFront 分佈會使用 TLS 1.2 來強制執行最高層級的安全通訊協定。如需詳細資訊，請參閱《Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取。 Amazon CloudFront

CloudFront 會啟用其他安全緩解措施，將 HTTP 安全標頭附加到每個檢視器回應。如需詳細資訊，請參閱在 CloudFront 回應中新增或移除 HTTP 標頭。

此解決方案使用預設 CloudFront 憑證，其具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3，您必須使用自訂 SSL 憑證，而非預設 CloudFront 憑證。如需詳細資訊，請參閱如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證。

AWS Fargate 安全群組

根據預設，此解決方案會將 AWS Fargate 安全群組的傳出規則開放給大眾。如果您想要封鎖 AWS Fargate 到處傳送流量，請將傳出規則變更為特定無類別網域間路由 (CIDR)。

此安全群組也包含傳入規則，允許連接埠 50，000 上的本機流量流向屬於相同安全群組的任何來源。這用於允許容器彼此通訊。

網路壓力測試

您有責任在網路壓力測試政策下使用此解決方案。此政策涵蓋的情況包括當您計劃直接從 Amazon EC2 執行個體執行大量網路測試到其他位置，例如其他 Amazon EC2 執行個體、AWS 屬性/服務或外部端點。這些測試有時稱為壓力測試、負載測試或遊戲日測試。大多數客戶測試不會屬於此政策；不過，如果您認為產生的流量總計維持超過 1 分鐘、超過 1 Gbps （每秒 10 億位元） 或超過 1 Gpps （每秒 10 億個封包）。

限制對公有使用者介面的存取

若要限制存取 IAM 和 Amazon Cognito 提供的身分驗證和授權機制以外的公開使用者介面，請使用 AWS WAF (Web 應用程式防火牆） 安全自動化解決方案。

此解決方案會自動部署一組可篩選常見 Web 型攻擊的 AWS WAF 規則。使用者可以從預先設定的保護功能中選擇，這些功能定義 AWS WAF Web 存取控制清單 (Web ACL) 中包含的規則。