Seguridad de infraestructura en AWS Proton - AWS Proton
Puntos de conexión de VPC (AWS PrivateLink)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad de infraestructura en AWS Proton

Como servicio gestionado, AWS Proton está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las llamadas a la API AWS publicadas para acceder a AWS Proton través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Para mejorar el aislamiento de la red, puede AWS PrivateLink utilizarlas como se describe en la siguiente sección.

AWS Proton y puntos finales de VPC de interfaz ()AWS PrivateLink

Puede establecer una conexión privada entre su VPC y crear un punto final AWS Proton de VPC de interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada AWS Proton APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS PrivateLink AWS Direct Connect Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con ellas. AWS Proton APIs El tráfico entre tu VPC y AWS Proton no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Consideraciones sobre los puntos AWS Proton finales de VPC

Antes de configurar un punto de enlace de VPC de interfaz AWS Proton, asegúrese de revisar las propiedades y limitaciones del punto de enlace de interfaz en la Guía del usuario de Amazon VPC.

AWS Proton admite realizar llamadas a todas sus acciones de API desde su VPC.

Se admiten las políticas de puntos finales de VPC. AWS Proton De forma predeterminada, AWS Proton se permite el acceso total a través del punto final. Para más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

Creación de un punto final de VPC de interfaz para AWS Proton

Puede crear un punto de enlace de VPC para el AWS Proton servicio mediante la consola de Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Cree un punto final de VPC para AWS Proton usar el siguiente nombre de servicio:

  • com.amazonaws. region.proton

Si habilita el DNS privado para el punto final, puede realizar solicitudes a la API para AWS Proton utilizar su nombre de DNS predeterminado para la región, por ejemplo. proton.region.amazonaws.com

Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Crear una política de puntos de conexión de VPC para AWS Proton

Puede asociar una política de punto de conexión con su punto de conexión de VPC que controla el acceso a AWS Proton. La política especifica la siguiente información:

  • La entidad principal que puede realizar acciones.

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

Ejemplo: política de puntos finales de VPC para acciones AWS Proton

El siguiente es un ejemplo de una política de puntos finales para AWS Proton. Cuando se adjunta a un punto final, esta política otorga acceso a las AWS Proton acciones enumeradas a todos los principales de todos los recursos.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}