安全

當您在 AWS 基礎設施上建置系統時，您與 AWS 之間會共同承擔安全責任。此共同責任模型可減少您的營運負擔，因為 AWS 會操作、管理和控制元件，包括主機作業系統、虛擬化層，以及服務營運所在設施的實體安全性。如需 AWS 安全性的詳細資訊，請造訪 AWS 安全中心。

資源存取

IAM 角色

IAM 角色可讓客戶將精細存取政策和許可指派給 AWS 雲端上的服務和使用者。在 AWS 上執行工作負載探索和探索 AWS 帳戶中的資源需要多個角色。

Amazon Cognito

Amazon Cognito 用於使用短期、強大的登入資料來驗證存取權，以授予 AWS 上工作負載探索所需的元件存取權。

網路存取

Amazon VPC

AWS 上的工作負載探索部署在 Amazon VPC 中，並根據最佳實務進行設定，以提供安全性和高可用性。如需其他詳細資訊，請參閱 VPC 的安全最佳實務。VPC 端點允許服務之間的非網際網路傳輸，並在可用時設定。

安全群組用於控制和隔離在 AWS 上執行工作負載探索所需的元件之間的網路流量。

我們建議您檢閱安全群組，並在部署啟動並執行後視需要進一步限制存取。

Amazon CloudFront

此解決方案會部署託管在由 Amazon CloudFront 分佈的 Amazon S3 儲存貯體中的 Web 主控台 UI。 Amazon CloudFront 透過使用原始存取身分功能，只能透過 CloudFront 存取此 Amazon S3 儲存貯體的內容。如需詳細資訊，請參閱《Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取。 Amazon CloudFront

CloudFront 會啟用其他安全緩解措施，將 HTTP 安全標頭附加到每個檢視器回應。如需其他詳細資訊，請參閱在 CloudFront 回應中新增或移除 HTTP 標頭。

此解決方案使用預設 CloudFront 憑證，該憑證具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3，您必須使用自訂 SSL 憑證，而非預設 CloudFront 憑證。如需詳細資訊，請參閱如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證。

應用程式組態

AWS AppSync

AWS GraphQL APIs 上的工作負載探索具有 AWS AppSync 根據 GraphQL 規格提供的請求驗證。此外，身分驗證和授權是使用 IAM 和 Amazon Cognito 實作，當使用者在 Web UI 中成功驗證時，會使用 Amazon Cognito 提供的 JWT。

AWS Lambda

根據預設，Lambda 函數會設定為最新穩定版本的語言執行時間。不會記錄任何敏感資料或秘密。服務互動是以最低必要權限執行。定義這些權限的角色不會在函數之間共用。

Amazon OpenSearch Service

Amazon OpenSearch Service 網域設定了存取政策，限制存取以停止對 OpenSearch Service 叢集提出的任何未簽署請求。這僅限於單一 Lambda 函數。

OpenSearch Service 叢集建置時已啟用node-to-node加密，可在現有的 OpenSearch Service 安全功能上新增額外的資料保護層。