Seguridad - Cloud Migration Factory en AWS
Roles de IAMAmazon CognitoAmazon CloudFrontAWS WAF: Web Application Firewall

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo compartido puede reducir la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad en AWS, visite Seguridad en la nube de AWS.

Roles de IAM

Las funciones de AWS Identity and Access Management (IAM) le permiten asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan a la función de AWS Lambda acceso a los demás servicios de AWS que se utilizan en esta solución.

Amazon Cognito

El usuario de Amazon Cognito creado por esta solución es un usuario local con permisos para acceder únicamente al resto APIs de esta solución. Este usuario no tiene permisos para acceder a ningún otro servicio de su cuenta de AWS. Para obtener más información, consulte Grupos de usuarios de Amazon Cognito en la Guía para desarrolladores de Amazon Cognito.

La solución admite opcionalmente el inicio de sesión externo con SAML mediante la configuración de proveedores de identidad federados y la funcionalidad de interfaz de usuario alojada de Amazon Cognito.

Amazon CloudFront

Esta solución predeterminada implementa una consola web alojada en un bucket de Amazon S3. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución de Amazon con una identidad de acceso de origen, que es un CloudFront usuario especial que ayuda a proporcionar acceso público al contenido del bucket del sitio web de la solución. Para obtener más información, consulte Restringir el acceso al contenido de Amazon S3 mediante una identidad de acceso de origen en la Guía para CloudFront desarrolladores de Amazon.

Si se selecciona un tipo de despliegue privado durante el despliegue apilado, no se despliega una CloudFront distribución y es necesario utilizar otro servicio de alojamiento web para alojar la consola web.

AWS WAF: Web Application Firewall

Si el tipo de implementación seleccionado en la pila es Pública con AWS WAF, CloudFormation implementará la ACLs web y las reglas de AWS WAF requeridas configuradas para proteger, CloudFront API Gateway y Cognito puntos de conexión creados por la solución CMF. Estos puntos de conexión se restringirán para permitir que sólo las direcciones IP de origen especificadas accedan a estos puntos de conexión. Durante la implementación de la pila, se deben proporcionar dos rangos de CIDR con la función para agregar reglas adicionales después de la implementación a través de la consola AWS WAF.

importante

Al configurar las restricciones de IP del WAF, asegúrese de que la dirección IP de su servidor de automatización CMF o la IP de la puerta de enlace NAT saliente esté incluida en los rangos de CIDR permitidos. Esto es fundamental para el correcto funcionamiento de los scripts de automatización de CMF que necesitan acceder a los puntos finales de la API de la solución.