Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit
Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses Modell der geteilten Verantwortung
IAM-Rollen
AWS Identity and Access Management (IAM) -Rollen ermöglichen es Kunden, Services und Benutzern in der AWS-Cloud detaillierte Zugriffsrichtlinien und -berechtigungen zuzuweisen. Diese Lösung erstellt IAM-Rollen, die den AWS-Lambda-Funktionen der Lösung Zugriff gewähren, um regionale Ressourcen zu erstellen.
Amazon CloudFront
Diese Lösung stellt eine Web-Benutzeroberfläche bereit, die in einem Amazon S3 S3-Bucket gehostet wird, der von Amazon CloudFront vertrieben wird. Um die Latenz zu reduzieren und die Sicherheit zu verbessern, umfasst diese Lösung eine CloudFront Distribution mit einer Ursprungszugriffsidentität. Dabei handelt es sich um einen CloudFront Benutzer, der öffentlichen Zugriff auf die Bucket-Inhalte der Lösungswebsite gewährt. Standardmäßig verwendet die CloudFront Distribution TLS 1.2, um die höchste Sicherheitsstufe durchzusetzen. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.
CloudFront aktiviert zusätzliche Sicherheitsmaßnahmen, um HTTP-Sicherheitsheader an jede Zuschauerantwort anzuhängen. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von HTTP-Headern in Antworten. CloudFront
Diese Lösung verwendet das CloudFront Standardzertifikat, für das mindestens das Sicherheitsprotokoll TLS v1.0 unterstützt wird. Um die Verwendung von TLS v1.2 oder TLS v1.3 zu erzwingen, müssen Sie ein benutzerdefiniertes SSL-Zertifikat anstelle des Standardzertifikats verwenden. CloudFront Weitere Informationen finden Sie unter Wie konfiguriere ich meine CloudFront Distribution für die Verwendung eines SSL/TLS Zertifikats
Amazon API Gateway
Diese Lösung stellt Edge-optimierte Amazon API Gateway Gateway-Endpunkte bereit, um die Lasttestfunktion unter Verwendung des Standard-API-Gateway-Endpunkts anstelle einer benutzerdefinierten Domain bereitzustellen RESTful APIs . Für Edge-Optimierungen APIs mit dem Standardendpunkt verwendet API Gateway die TLS-1-0-Sicherheitsrichtlinie. Weitere Informationen finden Sie unter Working with REST APIs im Amazon API Gateway Developer Guide.
Diese Lösung verwendet das standardmäßige API-Gateway-Zertifikat, für das mindestens das Sicherheitsprotokoll TLS v1.0 unterstützt wird. Um die Verwendung von TLS v1.2 oder TLS v1.3 zu erzwingen, müssen Sie anstelle des standardmäßigen API-Gateway-Zertifikats eine benutzerdefinierte Domain mit einem benutzerdefinierten SSL-Zertifikat verwenden. Weitere Informationen finden Sie unter Benutzerdefinierte Domainnamen für REST einrichten. APIs
AWS Fargate-Sicherheitsgruppe
Standardmäßig öffnet diese Lösung die ausgehende Regel der AWS Fargate-Sicherheitsgruppe für die Öffentlichkeit. Wenn Sie verhindern möchten, dass AWS Fargate überall Datenverkehr sendet, ändern Sie die ausgehende Regel in ein bestimmtes Classless Inter-Domain Routing (CIDR).
Diese Sicherheitsgruppe umfasst auch eine Regel für eingehenden Datenverkehr, die lokalen Datenverkehr auf Port 50.000 zu jeder Quelle zulässt, die zu derselben Sicherheitsgruppe gehört. Dies wird verwendet, damit die Container miteinander kommunizieren können.
Amazon VPC
VPC: Eine virtuelle private Cloud (VPC), die auf dem Amazon VPC-Service basiert, bietet Ihnen ein privates, logisch isoliertes Netzwerk in der AWS-Cloud.
Sie können während der Bereitstellung Ihre eigene VPC in CloudFormation AWS-Parametern angeben. Die VPC wird ausschließlich von den ECS-Aufgaben verwendet, die Last erzeugen. Die Webkonsole und die API werden nicht in dieser VPC bereitgestellt. Wenn Sie keine vorhandene VPC angeben, erstellt die Lösung eine neue VPC mit der erforderlichen Netzwerkkonfiguration. Wenn Sie sich für die Verwendung einer vorhandenen VPC entscheiden, muss diese die folgenden Anforderungen erfüllen, um Lasttestaufgaben erfolgreich ausführen zu können.
VPC-Anforderungen
Die Mindestanforderungen für eine VPC zur Verwendung mit Distributed Load Testing auf AWS sind unten aufgeführt.
-
Die VPC muss mindestens zwei enthalten AZs
-
Die VPC muss mindestens zwei Subnetze enthalten, jedes in einer separaten AZ
-
VPC-Subnetze können entweder öffentlich oder privat sein, sie müssen jedoch dieselbe Konfiguration verwenden (beide öffentlich ODER beide privat)
-
Die VPC muss Zugriff auf Endpunkte für ECR, CloudWatch Logs, S3 und IoT Core bieten.
-
Die VPC muss Zugriff auf die Dienste gewähren, auf die Lasttests abzielen.
Anmerkung
Wenn Sie keine VPC haben, die diese Kriterien erfüllt, können Sie mit dem VPC-Assistenten schnell eine VPC erstellen. Weitere Informationen finden Sie unter Erstellen einer VPC.
Öffentliche Subnetze können diese Anforderungen erfüllen, indem sie Folgendes beinhalten:
-
Ein an die VPC angeschlossenes Internet-Gateway
-
Eine Route zum Internet-Gateway (0.0.0.0/0)
Private Subnetze können diese Anforderungen durch die Verwendung von NAT-Gateways oder VPC-Endpunkten erfüllen, wie unten beschrieben.
Option 1: NAT-Gateway
-
Stellen Sie in jeder AZ mit privaten Subnetzen ein NAT-Gateway bereit
-
Konfigurieren Sie Routing-Tabellen für die Weiterleitung von internetgebundenem Datenverkehr (0.0.0.0/0) über das NAT-Gateway
Option 2: VPC-Endpunkte
Erstellen Sie die folgenden VPC-Endpoints in Ihrer VPC:
-
Amazon ECR API-Endpunkt:
com.amazonaws.<region>.ecr.api -
Amazon ECR DKR-Endpunkt:
com.amazonaws.<region>.ecr.dkr -
Amazon CloudWatch Logs-Endpunkt:
com.amazonaws.<region>.logs -
Amazon S3 Gateway-Endpunkt:
com.amazonaws.<region>.s3 -
AWS IoT Core Core-Endpunkt (erforderlich, wenn Live-Datendiagramme verwendet werden)
com.amazonaws.<region>.iot.data
Andere VPC-Konfigurationen funktionieren möglicherweise ebenfalls.
Wichtig
Die Sicherheitsgruppe, die an jede VPC-Endpunktschnittstelle angehängt ist, muss eingehenden TCP-Verkehr auf Port 443 von der ECS-Aufgabensicherheitsgruppe zulassen.
Konfiguration der Sicherheitsgruppe
Während der Bereitstellung erstellt die Lösung eine Sicherheitsgruppe innerhalb Ihrer VPC, um den folgenden Datenverkehr mit Aufgaben im ECS-Cluster zuzulassen:
-
Der gesamte ausgehende Verkehr
-
Eingehender Datenverkehr auf Port 50000 von anderen Aufgaben in derselben Sicherheitsgruppe, um die Koordination zwischen den Aufgaben des Mitarbeiters und des Leiters zu erleichtern.
Netzwerk-Stresstest
Sie sind dafür verantwortlich, diese Lösung gemäß der Netzwerkstresstest-Richtlinie
Beschränken Sie den Zugriff auf die öffentliche Benutzeroberfläche
Verwenden Sie die Sicherheitsautomatisierungslösung AWS WAF (Web Application Firewall
Diese Lösung stellt automatisch eine Reihe von AWS-WAF-Regeln bereit, die häufig vorkommende webbasierte Angriffe filtern. Benutzer können aus vorkonfigurierten Schutzfunktionen wählen, die die Regeln definieren, die in einer AWS WAF Web Access Control List (Web ACL) enthalten sind.
MCP-Serversicherheit (optional)
Wenn Sie die optionale MCP-Serverintegration einsetzen, verwendet die Lösung AWS AgentCore Gateway, um KI-Agenten einen sicheren Zugriff auf Lasttestdaten zu ermöglichen. AgentCore Gateway validiert Amazon Cognito Cognito-Authentifizierungstoken für jede Anfrage und stellt so sicher, dass nur autorisierte Benutzer auf den MCP-Server zugreifen können. Die Lambda-Funktion des MCP Servers implementiert Nur-Lese-Zugriffsmuster und verhindert so, dass KI-Agenten Testkonfigurationen oder -ergebnisse ändern. Für alle Interaktionen mit dem MCP-Server gelten dieselben Berechtigungsgrenzen und Zugriffskontrollen wie für die Webkonsole.
