Sicherheit - Cloud Migration Factory auf AWS
IAM-RollenAmazon CognitoAmazon CloudFrontAWS WAF — Firewall für WebanwendungenAmazon API GatewayAmazon CloudWatch Alarms//KanarenVom Kunden verwaltete AWS-KMS-SchlüsselAufbewahrung von ProtokollenAmazon Bedrock

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden die Sicherheitsaufgaben zwischen Ihnen und AWS aufgeteilt. Dieses gemeinsame Modell kann Ihren betrieblichen Aufwand reduzieren, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur Sicherheit auf AWS finden Sie unter AWS Cloud Security.

IAM-Rollen

Mit AWS Identity and Access Management (IAM) -Rollen können Sie Services und Benutzern in der AWS-Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuweisen. Diese Lösung erstellt IAM-Rollen, die der AWS Lambda Lambda-Funktion Zugriff auf die anderen in dieser Lösung verwendeten AWS-Services gewähren.

Amazon Cognito

Der mit dieser Lösung erstellte Amazon Cognito Cognito-Benutzer ist ein lokaler Benutzer mit Berechtigungen, nur auf den Rest APIs für diese Lösung zuzugreifen. Dieser Benutzer hat keine Berechtigungen, auf andere Services in Ihrem AWS-Konto zuzugreifen. Weitere Informationen finden Sie unter Amazon Cognito User Pools im Amazon Cognito Developer Guide.

Die Lösung unterstützt optional die externe SAML-Anmeldung über die Konfiguration von Federated Identity Providers und die gehostete UI-Funktionalität von Amazon Cognito.

Amazon CloudFront

Diese Standardlösung stellt eine Webkonsole bereit, die in einem Amazon S3 S3-Bucket gehostet wird. Um die Latenz zu reduzieren und die Sicherheit zu verbessern, umfasst diese Lösung eine CloudFrontAmazon-Distribution mit einer Ursprungszugriffsidentität. Dabei handelt es sich um einen speziellen CloudFront Benutzer, der den öffentlichen Zugriff auf die Inhalte des Website-Buckets der Lösung ermöglicht. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon S3 S3-Inhalte mithilfe einer Origin-Zugriffsidentität im Amazon CloudFront Developer Guide.

Wenn bei der Stack-Bereitstellung ein privater Bereitstellungstyp ausgewählt wird, wird keine CloudFront Distribution bereitgestellt und erfordert, dass ein anderer Webhosting-Dienst zum Hosten der Webkonsole verwendet wird.

AWS WAF — Firewall für Webanwendungen

Wenn der im Stack gewählte Bereitstellungstyp Öffentlich mit AWS WAF ist, CloudFormation werden das erforderliche AWS WAF WAF-Web ACLs und die Regeln bereitgestellt, die für den Schutz CloudFront, das API Gateway und die Cognito-Endpunkte konfiguriert sind, die von der CMF-Lösung erstellt wurden. Diese Endpunkte werden so eingeschränkt, dass nur bestimmte Quell-IP-Adressen auf diese Endpunkte zugreifen können. Während der Stack-Bereitstellung müssen zwei CIDR-Bereiche mit der Möglichkeit ausgestattet werden, nach der Bereitstellung über die AWS-WAF-Konsole zusätzliche Regeln hinzuzufügen.

Wichtig

Stellen Sie bei der Konfiguration von WAF-IP-Einschränkungen sicher, dass die IP-Adresse Ihres CMF-Automatisierungsservers oder der ausgehenden NAT-Gateway-IP in den zulässigen CIDR-Bereichen enthalten ist. Dies ist entscheidend für das reibungslose Funktionieren von CMF-Automatisierungsskripten, die auf die API-Endpunkte der Lösung zugreifen müssen.

Amazon API Gateway

Diese Lösung stellt Amazon API Gateway REST bereit APIs und verwendet den Standard-API-Endpunkt und das SSL-Zertifikat. Der Standard-API-Endpunkt unterstützt TLSv1 Sicherheitsrichtlinien. Es wird empfohlen, die Sicherheitsrichtlinie TLS_1_2 zu verwenden, um TLSv1 .2+ mit Ihrem eigenen benutzerdefinierten Domainnamen und einem benutzerdefinierten SSL-Zertifikat durchzusetzen. Weitere Informationen finden Sie unter Auswahl einer TLS-Mindestversion für eine benutzerdefinierte Domain in API Gateway und Konfiguration benutzerdefinierter Domains im Amazon API Gateway Developer Guide.

Amazon CloudWatch Alarms//Kanaren

Mit CloudWatch Amazon-Alarmen können Sie überwachen, ob die Funktions- und Sicherheitsannahmen der Lösung eingehalten werden. Die Lösung umfasst Protokollierung und Metriken für AWS Lambda Lambda-Funktionen und API Gateway Gateway-Endpunkte. Wenn für Ihren speziellen Anwendungsfall zusätzliche Überwachung erforderlich ist, können Sie CloudWatch Alarme zur Überwachung von Folgendem konfigurieren:

  • API-Gateway-Überwachung:

    • Richten Sie Alarme für 4XX- und 5XX-Fehler ein, um unbefugte Zugriffsversuche oder API-Probleme zu erkennen

    • Überwachen Sie die API-Gateway-Latenz, um die Leistung sicherzustellen

    • Verfolgen Sie die Anzahl der API-Anfragen, um ungewöhnliche Muster zu identifizieren

  • AWS Lambda Lambda-Funktionsüberwachung:

    • Alarme für Lambda-Funktionsfehler und Timeouts erstellen

    • Überwachen Sie die Dauer der Lambda-Funktion, um eine optimale Leistung sicherzustellen

    • Richten Sie Alarme für gleichzeitige Ausführungen ein, um Drosselungen zu verhindern

Sie können diese Alarme mit der CloudWatch Konsole oder mithilfe von CloudFormation AWS-Vorlagen erstellen. Eine ausführliche Anleitung zur Erstellung von CloudWatch Alarmen finden Sie unter CloudWatch Amazon-Alarme erstellen im CloudWatch Amazon-Benutzerhandbuch.

Vom Kunden verwaltete AWS-KMS-Schlüssel

Diese Lösung verwendet Verschlüsselung im Ruhezustand zur Sicherung von Daten und verwendet von AWS verwaltete Schlüssel für Kundendaten. Diese Schlüssel werden verwendet, um Ihre Daten automatisch und transparent zu verschlüsseln, bevor sie in Speicherebenen geschrieben werden. Einige Benutzer bevorzugen möglicherweise mehr Kontrolle über ihre Datenverschlüsselungsprozesse. Dieser Ansatz ermöglicht es Ihnen, Ihre eigenen Sicherheitsanmeldedaten zu verwalten und bietet so ein höheres Maß an Kontrolle und Transparenz. Weitere Informationen finden Sie unter Basic Concepts and AWS KMS Keys im AWS Key Management Service Developer Guide.

Aufbewahrung von Protokollen

Diese Lösung erfasst Anwendungs- und Serviceprotokolle, indem sie CloudWatch Amazon-Protokollgruppen in Ihrem Konto erstellt. Standardmäßig werden Protokolle 10 Jahre lang aufbewahrt. Sie können den LogRetentionPeriod Parameter für jede Protokollgruppe anpassen, zur unbefristeten Aufbewahrung wechseln oder je nach Ihren Anforderungen eine Aufbewahrungsdauer zwischen einem Tag und 10 Jahren wählen. Weitere Informationen finden Sie unter Was ist Amazon CloudWatch Logs? im Amazon CloudWatch Logs-Benutzerhandbuch.

Amazon Bedrock

Die Lösung wählt bei der CloudFormation Stack-Bereitstellung automatisch das beste verfügbare Fundamentmodell für Ihre Region aus. Der Auswahlprozess verwendet eine Lambda-Funktion, die das erste verfügbare Modell aus dieser Prioritätsreihenfolge aufruft list_foundation_models() und auswählt:

  1. anthropic.claude-sonnet-4-20250514-v1:0(Sonett 4)

  2. anthropic.claude-3-7-sonnet-20250219-v1:0(Sonett 3.7)

  3. anthropic.claude-3-5-sonnet-20241022-v2:0(Sonett 3.5v2)

  4. anthropic.claude-3-5-sonnet-20240620-v1:0(Sonett 3.5)

  5. anthropic.claude-3-sonnet-20240229-v1:0(Sonett 3)

  6. amazon.nova-pro-v1:0(Nova Pro)

Sie müssen das ausgewählte Modell in Ihrem AWS-Konto über die Bedrock-Konsole aktivieren, um die GenAI-Funktionen nutzen zu können. Die Kernfunktionen der Lösung bleiben voll funktionsfähig, ohne dass die GenAI-Funktionen aktiviert werden. Kunden können sich dafür entscheiden, das Tool mit manuellen Eingaben zu verwenden, wenn sie die KI-gestützten Funktionen nicht nutzen möchten.

Nach der Bereitstellung finden Sie den ausgewählten Modell-ARN in den CloudFormation Stack-Ausgaben unter dem GenAISelectedModelArn Feld im WPMStack.

CloudFormation Stack-Ausgabe mit dem ausgewählten GenAI-Modell ARN
Schnittstelle zur Aktivierung von Amazon Bedrock-Modellen

In der Standardkonfiguration dieser Lösung wird Amazon Bedrock Guardrails bereitgestellt, um:

  • Filtert schädliche Inhalte heraus

  • Blockieren Sie Eingabeaufforderungen, die für Ihren Anwendungsfall irrelevant sind

Amazon Bedrock Guardrails-Konfigurationsoberfläche

Weitere Informationen finden Sie unter Amazon Bedrock Guardrails. Um Guardrails in der CMF-Lösung zu deaktivieren, können Sie im Abschnitt mit den Vorlagenparametern die Option False auswählen.