Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad
Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo de responsabilidad compartida
Roles de IAM
Las funciones de AWS Identity and Access Management (IAM) permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan acceso a las funciones de AWS Lambda de la solución para crear recursos regionales.
Amazon CloudFront
Esta solución implementa una interfaz de usuario web alojada en un bucket de Amazon S3, distribuido por Amazon CloudFront. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución con una identidad de acceso de origen, es decir, un CloudFront usuario que proporciona acceso público al contenido del bucket del sitio web de la solución. De forma predeterminada, la CloudFront distribución usa TLS 1.2 para aplicar el nivel más alto de protocolo de seguridad. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.
CloudFront activa medidas de seguridad adicionales para añadir encabezados de seguridad HTTP a cada respuesta del espectador. Para obtener más información, consulta Añadir o eliminar encabezados HTTP en las respuestas. CloudFront
Esta solución usa el CloudFront certificado predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debe usar un certificado SSL personalizado en lugar del certificado predeterminado. CloudFront Para obtener más información, consulte Cómo configuro mi CloudFront distribución para
Amazon API Gateway
Esta solución implementa puntos de enlace de Amazon API Gateway optimizados RESTful APIs para proporcionar la funcionalidad de pruebas de carga mediante el punto de enlace de API Gateway predeterminado en lugar de un dominio personalizado. Para la optimización perimetral APIs mediante el punto final predeterminado, API Gateway utiliza la política de seguridad TLS-1-0. Para obtener más información, consulte Trabajar con REST APIs en la Guía para desarrolladores de Amazon API Gateway.
Esta solución usa el certificado API Gateway predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debes usar un dominio personalizado con un certificado SSL personalizado en lugar del certificado API Gateway predeterminado. Para obtener más información, consulta Cómo configurar nombres de dominio personalizados para REST. APIs
Grupo de seguridad AWS Fargate
De forma predeterminada, esta solución abre al público la regla de salida del grupo de seguridad de AWS Fargate. Si quiere impedir que AWS Fargate envíe tráfico a todas partes, cambie la regla de salida por un enrutamiento entre dominios sin clase (CIDR) específico.
Este grupo de seguridad también incluye una regla de entrada que permite el tráfico local en el puerto 50.000 a cualquier fuente que pertenezca al mismo grupo de seguridad. Esto se utiliza para permitir que los contenedores se comuniquen entre sí.
Amazon VPC
VPC: una nube privada virtual (VPC) basada en el servicio Amazon VPC le proporciona una red privada y aislada de forma lógica en la nube de AWS.
Puede especificar su propia VPC en los CloudFormation parámetros de AWS durante la implementación. La VPC la utilizan exclusivamente las tareas de ECS que generan carga; la consola web y la API no se implementan en esta VPC. Si no especifica una VPC existente, la solución creará una nueva VPC con la configuración de red requerida. Si decide utilizar una VPC existente, debe cumplir los siguientes requisitos para ejecutar correctamente las tareas de pruebas de carga.
Requisitos de la VPC
A continuación, se indican los requisitos mínimos para que una VPC se utilice con las pruebas de carga distribuidas en AWS.
-
La VPC debe contener al menos dos AZs
-
La VPC debe contener al menos dos subredes, cada una en una zona de disponibilidad independiente
-
Las subredes de VPC pueden ser públicas o privadas, pero deben usar la misma configuración (tanto pública como privada)
-
La VPC debe proporcionar acceso a los puntos finales para ECR, CloudWatch Logs, S3 e IoT Core.
-
La VPC debe proporcionar acceso a los servicios a los que se dirigen las pruebas de carga.
nota
Si no tiene una VPC que cumpla estos criterios, puede crear una VPC rápidamente con el asistente de VPC. Para obtener más información, consulte Creación de una VPC.
Las subredes públicas pueden cumplir estos requisitos al incluir lo siguiente:
-
Una puerta de enlace a Internet conectada a la VPC
-
Una ruta a la puerta de enlace a Internet (0.0.0.0/0)
Las subredes privadas pueden cumplir estos requisitos mediante el uso de puertas de enlace NAT o puntos finales de VPC, como se describe a continuación.
Opción 1: puerta de enlace NAT
-
Implemente una puerta de enlace NAT en cada zona de disponibilidad con subredes privadas
-
Configure las tablas de enrutamiento para enrutar el tráfico con destino a Internet (0.0.0.0/0) a través de la puerta de enlace NAT
Opción 2: puntos finales de VPC
Cree los siguientes puntos de enlace de VPC en su VPC:
-
Punto final de la API Amazon ECR:
com.amazonaws.<region>.ecr.api -
Punto de conexión DKR de Amazon ECR:
com.amazonaws.<region>.ecr.dkr -
Punto final CloudWatch de Amazon Logs:
com.amazonaws.<region>.logs -
Punto final de Amazon S3 Gateway:
com.amazonaws.<region>.s3 -
Punto final AWS IoT Core (obligatorio si se utilizan los gráficos de datos en tiempo real)
com.amazonaws.<region>.iot.data
Es posible que también funcionen otras configuraciones de VPC.
importante
El grupo de seguridad adjunto a cada interfaz de punto final de la VPC debe permitir el tráfico TCP entrante en el puerto 443 desde el grupo de seguridad de tareas de ECS.
Configuración del grupo de seguridad
Durante la implementación, la solución creará un grupo de seguridad dentro de la VPC para permitir el siguiente tráfico con las tareas del clúster de ECS:
-
Todo el tráfico saliente
-
El tráfico entrante en el puerto 50000 proviene de otras tareas del mismo grupo de seguridad, para facilitar la coordinación entre las tareas del trabajador y del líder.
Prueba de stress de red
Usted es responsable de usar esta solución según la política de pruebas de esfuerzo de red
Restringir el acceso a la interfaz de usuario pública
Para restringir el acceso a la interfaz de usuario pública más allá de los mecanismos de autenticación y autorización proporcionados por IAM y Amazon Cognito, utilice la solución de automatización de seguridad AWS WAF (firewall de aplicaciones web)
Esta solución implementa automáticamente un conjunto de reglas de AWS WAF que filtran los ataques habituales basados en la web. Los usuarios pueden seleccionar entre las funciones de protección preconfiguradas que definen las reglas incluidas en una lista de control de acceso web (ACL web) de AWS WAF.
Seguridad del servidor MCP (opcional)
Si implementa la integración opcional del servidor MCP, la solución utiliza AWS AgentCore Gateway para proporcionar un acceso seguro a los datos de las pruebas de carga para los agentes de IA. AgentCore Gateway valida los tokens de autenticación de Amazon Cognito para cada solicitud, lo que garantiza que solo los usuarios autorizados puedan acceder al servidor MCP. La función Lambda del servidor MCP implementa patrones de acceso de solo lectura, lo que impide que los agentes de IA modifiquen las configuraciones o los resultados de las pruebas. Todas las interacciones del servidor MCP utilizan los mismos límites de permisos y controles de acceso que la consola web.
