Seguridad de la infraestructura en Amazon QuickSight

Amazon QuickSight se entrega como una aplicación web, alojada en hosts de Amazon EC2 dedicados, independientes de las nubes privadas virtuales (VPC) de AWS. En lugar de implementar QuickSight en sus propios hosts, tiene que acceder al servicio QuickSight a través de puntos de conexión públicos regionales. QuickSight accede a los orígenes de datos a través de una conexión a Internet segura desde puntos de conexión regionales. Para obtener acceso a orígenes de datos que se encuentran en una red corporativa, configure la red para permitir el acceso desde uno de bloques de direcciones IP públicas de QuickSight. Le recomendamos que considere la posibilidad de utilizar una VPC (una red virtual dedicada a su cuenta de AWS).

Para obtener más información, consulte los siguientes temas:

Como se trata de un servicio administrado, Amazon QuickSight se encuentra protegido por los procedimientos de seguridad de red globales de AWS que se describen en el documento Amazon Web Services: Overview of Security Processes.

Si utiliza llamadas a la API publicadas de AWS para obtener acceso a QuickSight a través de la red, los clientes deben admitir la versión 1.0 o posterior del protocolo de seguridad de la capa de transporte (TLS). Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de AWS Identity and Access Management (IAM). También puedes utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Puede llamar a estas operaciones de la API desde cualquier ubicación de red, pero QuickSight admite políticas de acceso basadas en recursos, que pueden incluir restricciones en función de la dirección IP de origen. También puede utilizar políticas de QuickSight para controlar el acceso desde puntos de conexión específicos de Amazon Virtual Private Cloud (Amazon VPC) o VPC específicas. Este proceso aísla con eficacia el acceso de red a un recurso de QuickSight determinado únicamente desde la VPC específica de la red de AWS. Para obtener más información sobre el uso de QuickSight en una VPC, consulte Conexión a una VPC con Amazon QuickSight.