Seguridad - Cloud Migration Factory en AWS
Roles de IAMAmazon CognitoAmazon CloudFrontAWS WAF: Web Application FirewallAmazon API GatewayAmazon CloudWatch Alarms/CanariasClaves AWS KMS administradas por el clienteRetención de registrosAmazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo compartido puede reducir la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad en AWS, visite AWS Cloud Security.

Roles de IAM

Las funciones de AWS Identity and Access Management (IAM) le permiten asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan a la función de AWS Lambda acceso a los demás servicios de AWS que se utilizan en esta solución.

Amazon Cognito

El usuario de Amazon Cognito creado por esta solución es un usuario local con permisos para acceder únicamente al resto APIs de esta solución. Este usuario no tiene permisos para acceder a ningún otro servicio de su cuenta de AWS. Para obtener más información, consulte Grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.

La solución admite opcionalmente el inicio de sesión externo con SAML mediante la configuración de proveedores de identidad federados y la funcionalidad de interfaz de usuario alojada de Amazon Cognito.

Amazon CloudFront

Esta solución predeterminada implementa una consola web alojada en un bucket de Amazon S3. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución de Amazon con una identidad de acceso de origen, que es un CloudFront usuario especial que ayuda a proporcionar acceso público al contenido del bucket del sitio web de la solución. Para obtener más información, consulte Restringir el acceso al contenido de Amazon S3 mediante una identidad de acceso de origen en la Guía para CloudFront desarrolladores de Amazon.

Si se selecciona un tipo de despliegue privado durante el despliegue apilado, no se despliega una CloudFront distribución y es necesario utilizar otro servicio de alojamiento web para alojar la consola web.

AWS WAF: Web Application Firewall

Si el tipo de implementación seleccionado en la pila es Pública con AWS WAF, CloudFormation implementará la ACLs web y las reglas de AWS WAF requeridas configuradas para proteger, CloudFront API Gateway y Cognito puntos de conexión creados por la solución CMF. Estos puntos de conexión se restringirán para permitir que sólo las direcciones IP de origen especificadas accedan a estos puntos de conexión. Durante la implementación de la pila, se deben proporcionar dos rangos de CIDR con la función para agregar reglas adicionales después de la implementación a través de la consola AWS WAF.

importante

Al configurar las restricciones de IP del WAF, asegúrese de que la dirección IP de su servidor de automatización CMF o la IP de la puerta de enlace NAT saliente esté incluida en los rangos de CIDR permitidos. Esto es fundamental para el correcto funcionamiento de los scripts de automatización de CMF que necesitan acceder a los puntos finales de la API de la solución.

Amazon API Gateway

Esta solución implementa Amazon API Gateway REST APIs y utiliza el punto de enlace de API y el certificado SSL predeterminados. El punto de enlace de la API predeterminado es compatible con TLSv1 la política de seguridad. Se recomienda utilizar la política de seguridad TLS_1_2 para aplicar TLSv1 .2+ con su propio nombre de dominio y certificado SSL personalizados. Para obtener más información, consulte Elegir una versión mínima de TLS para un dominio personalizado en API Gateway y configurar dominios personalizados en la Guía para desarrolladores de Amazon API Gateway.

Amazon CloudWatch Alarms/Canarias

CloudWatch Las alarmas de Amazon le ayudan a supervisar si se siguen las suposiciones funcionales y de seguridad de la solución. La solución incluye registros y métricas para las funciones de AWS Lambda y los puntos de enlace de API Gateway. Si necesita una supervisión adicional para su caso de uso específico, puede configurar CloudWatch las alarmas para monitorear:

  • Supervisión de API Gateway:

    • Configura alarmas para los errores 4XX y 5XX a fin de detectar intentos de acceso no autorizados o problemas con la API

    • Supervise la latencia de API Gateway para garantizar el rendimiento

    • Realice un seguimiento del recuento de solicitudes a la API para identificar patrones inusuales

  • Supervisión de funciones de AWS Lambda:

    • Cree alarmas para errores y tiempos de espera de la función Lambda

    • Supervise la duración de la función Lambda para garantizar un rendimiento óptimo

    • Configure alarmas para las ejecuciones simultáneas a fin de evitar la ralentización

Puede crear estas alarmas mediante la CloudWatch consola o mediante CloudFormation plantillas de AWS. Para obtener instrucciones detalladas sobre la creación de CloudWatch alarmas, consulta Creación de CloudWatch alarmas de Amazon en la Guía del CloudWatch usuario de Amazon.

Claves AWS KMS administradas por el cliente

Esta solución utiliza el cifrado en reposo para proteger los datos y emplea claves administradas por AWS para los datos de los clientes. Estas claves se utilizan para cifrar los datos de forma automática y transparente antes de escribirlos en las capas de almacenamiento. Es posible que algunos usuarios prefieran tener más control sobre sus procesos de cifrado de datos. Este enfoque le permite administrar sus propias credenciales de seguridad, lo que ofrece un mayor nivel de control y visibilidad. Para obtener más información, consulte Conceptos básicos y claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Retención de registros

Esta solución captura los registros de aplicaciones y servicios mediante la creación de grupos de CloudWatch registros de Amazon en su cuenta. De forma predeterminada, los registros se guardan durante 10 años. Puede ajustar el LogRetentionPeriod parámetro para cada grupo de registros, cambiar a una retención indefinida o elegir un período de retención de entre un día y 10 años en función de sus necesidades. Para obtener más información, consulta ¿Qué es Amazon CloudWatch Logs? en la Guía del usuario CloudWatch de Amazon Logs.

Amazon Bedrock

La solución selecciona automáticamente el mejor modelo base disponible para su región durante la implementación de la CloudFormation pila. El proceso de selección utiliza una función Lambda que llama list_foundation_models() y elige el primer modelo disponible de este orden de prioridad:

  1. anthropic.claude-sonnet-4-20250514-v1:0(Soneto 4)

  2. anthropic.claude-3-7-sonnet-20250219-v1:0(Soneto 3.7)

  3. anthropic.claude-3-5-sonnet-20241022-v2:0(Soneto 3,5 v2)

  4. anthropic.claude-3-5-sonnet-20240620-v1:0(Soneto 3.5)

  5. anthropic.claude-3-sonnet-20240229-v1:0(Soneto 3)

  6. amazon.nova-pro-v1:0(Nova Pro)

Debe habilitar el modelo seleccionado en su cuenta de AWS a través de la consola Bedrock para utilizar las funciones de GenAI. Las funcionalidades principales de la solución permanecen en pleno funcionamiento sin habilitar las funciones de GenAI. Los clientes pueden optar por utilizar la herramienta con entradas manuales si prefieren no utilizar las capacidades asistidas por IA.

Tras la implementación, puede encontrar el ARN del modelo seleccionado en las salidas de la CloudFormation pila, en el GenAISelectedModelArn campo de. WPMStack

CloudFormation salida de pila que muestra el ARN del modelo GenAI seleccionado
Interfaz de habilitación del modelo Amazon Bedrock

La configuración predeterminada de esta solución implementará Amazon Bedrock Guardrails para:

  • Filtrar el contenido dañino

  • Bloquee las inyecciones rápidas que sean irrelevantes para su caso de uso

Interfaz de configuración de Amazon Bedrock Guardrails

Para obtener más información, consulte Amazon Bedrock Guardrails. Para excluir Guardrails en la solución CMF, puede seleccionar false en la sección de parámetros de la plantilla.