Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo de responsabilidad compartida reduce la carga operativa, ya que AWS opera, administra y controla los componentes, incluidos el sistema operativo anfitrión, la capa de virtualización y la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad de AWS, visite Seguridad en la nube de AWS.

Roles de IAM

Las funciones de AWS Identity and Access Management (IAM) permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan acceso a las funciones de AWS Lambda de la solución para crear recursos regionales.

Amazon CloudFront

Esta solución implementa una interfaz de usuario web alojada en un bucket de Amazon S3, distribuido por Amazon CloudFront. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución con una identidad de acceso de origen, es decir, un CloudFront usuario que proporciona acceso público al contenido del bucket del sitio web de la solución. De forma predeterminada, la CloudFront distribución usa TLS 1.2 para aplicar el nivel más alto de protocolo de seguridad. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

CloudFront activa medidas de seguridad adicionales para añadir encabezados de seguridad HTTP a cada respuesta del espectador. Para obtener más información, consulta Añadir o eliminar encabezados HTTP en las respuestas. CloudFront

Esta solución usa el CloudFront certificado predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debe usar un certificado SSL personalizado en lugar del certificado predeterminado. CloudFront Para obtener más información, consulte Cómo configuro mi CloudFront distribución para usar un certificado. SSL/TLS

Amazon API Gateway

Esta solución implementa puntos de enlace de Amazon API Gateway optimizados RESTful APIs para proporcionar la funcionalidad de pruebas de carga mediante el punto de enlace de API Gateway predeterminado en lugar de un dominio personalizado. Para la optimización perimetral APIs mediante el punto final predeterminado, API Gateway utiliza la política de seguridad TLS-1-0. Para obtener más información, consulte Cómo trabajar con REST APIs en la Guía para desarrolladores de Amazon API Gateway.

Esta solución usa el certificado API Gateway predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debes usar un dominio personalizado con un certificado SSL personalizado en lugar del certificado API Gateway predeterminado. Para obtener más información, consulta Cómo configurar nombres de dominio personalizados para REST. APIs

Grupo de seguridad AWS Fargate

De forma predeterminada, esta solución abre al público la regla de salida del grupo de seguridad de AWS Fargate. Si quiere impedir que AWS Fargate envíe tráfico a todas partes, cambie la regla de salida por un enrutamiento entre dominios sin clase (CIDR) específico.

Este grupo de seguridad también incluye una regla de entrada que permite el tráfico local en el puerto 50.000 a cualquier fuente que pertenezca al mismo grupo de seguridad. Esto se usa para permitir que los contenedores se comuniquen entre sí.

Prueba de stress de red

Usted es responsable de usar esta solución según la política de pruebas de esfuerzo de red. Esta política cubre situaciones como cuando planea ejecutar pruebas de red de gran volumen directamente desde sus instancias de Amazon a otras ubicaciones, como otras EC2 instancias de Amazon EC2 , propiedades o servicios de AWS o puntos de enlace externos. Estas pruebas a veces se denominan pruebas de stress, pruebas de carga o pruebas diurnas. La mayoría de las pruebas realizadas con clientes no están sujetas a esta política; sin embargo, consulte esta política si cree que generará tráfico que se mantendrá, en total, durante más de 1 minuto, a más de 1 Gbps (mil millones de bits por segundo) o más de 1 Gbps (mil millones de paquetes por segundo).

Restringir el acceso a la interfaz de usuario pública

Para restringir el acceso a la interfaz de usuario pública más allá de los mecanismos de autenticación y autorización proporcionados por IAM y Amazon Cognito, utilice la solución de automatización de seguridad AWS WAF (firewall de aplicaciones web).

Esta solución implementa automáticamente un conjunto de reglas de AWS WAF que filtran los ataques habituales basados en la web. Los usuarios pueden seleccionar entre las funciones de protección preconfiguradas que definen las reglas incluidas en una lista de control de acceso web (ACL web) de AWS WAF.

Seguridad del servidor MCP (opcional)

Si implementa la integración opcional del servidor MCP, la solución utiliza AWS AgentCore Gateway para proporcionar un acceso seguro a los datos de las pruebas de carga para los agentes de IA. AgentCore Gateway valida los tokens de autenticación de Amazon Cognito para cada solicitud, lo que garantiza que solo los usuarios autorizados puedan acceder al servidor MCP. La función Lambda del servidor MCP implementa patrones de acceso de solo lectura, lo que impide que los agentes de IA modifiquen las configuraciones o los resultados de las pruebas. Todas las interacciones del servidor MCP utilizan los mismos límites de permisos y controles de acceso que la consola web.