Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad
<a name="security-1"></a>

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) reduce la carga operativa, ya que AWS opera, administra y controla los componentes, incluidos el sistema operativo anfitrión, la capa de virtualización y la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad de AWS, visite el [Centro de seguridad de AWS](https://aws.amazon.com/security/).

## Acceso a recursos
<a name="resource-access"></a>

### Roles de IAM
<a name="iam-roles"></a>

Las funciones de IAM permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Se requieren varios roles para ejecutar Workload Discovery en AWS y descubrir recursos en las cuentas de AWS.

### Amazon Cognito
<a name="amazon-cognito"></a>

Amazon Cognito se utiliza para autenticar el acceso con credenciales sólidas y de corta duración que permiten el acceso a los componentes que Workload Discovery necesita en AWS.

## Acceso a la red
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

Workload Discovery en AWS se implementa en una VPC de Amazon y se configura de acuerdo con las prácticas recomendadas para ofrecer seguridad y alta disponibilidad. Para obtener más información, consulte las [prácticas recomendadas de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Los puntos finales de VPC permiten el tránsito entre los servicios sin conexión a Internet y se configuran cuando están disponibles.

Los grupos de seguridad se utilizan para controlar y aislar el tráfico de red entre los componentes necesarios para ejecutar Workload Discovery en AWS.

Le recomendamos que revise los grupos de seguridad y restrinja aún más el acceso según sea necesario una vez que la implementación esté en marcha.

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

Esta solución implementa una interfaz de usuario de consola web [alojada](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) en un bucket de Amazon S3 distribuido por Amazon CloudFront. Al utilizar la función de identidad de acceso de origen, solo se puede acceder al contenido de este bucket de Amazon S3 a través de CloudFront. Para obtener más información, consulte [Restringir el acceso a un origen de Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.

CloudFront activa medidas de seguridad adicionales para añadir encabezados de seguridad HTTP a cada respuesta del espectador. Para obtener más información, consulta [Añadir o eliminar encabezados HTTP](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html) en las respuestas. CloudFront 

Esta solución usa el CloudFront certificado predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debe usar un certificado SSL personalizado en lugar del certificado predeterminado. CloudFront Para obtener más información, consulte [Cómo configuro mi CloudFront distribución para usar un certificado SSL/TLS](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/).

## Configuración de aplicaciones
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

[Workload Discovery on AWS GraphQL APIs solicita la validación proporcionada por AWS de AppSync acuerdo con la especificación de GraphQL.](https://spec.graphql.org/June2018/#sec-Validation) Además, la autenticación y la autorización se implementan mediante IAM y Amazon Cognito, que utilizan el JWT proporcionado por Amazon Cognito cuando un usuario se autentica correctamente en la interfaz de usuario web.

### AWS Lambda
<a name="aws-lambda"></a>

De forma predeterminada, las funciones de Lambda se configuran con la versión estable más reciente del motor de ejecución del lenguaje. No se registran datos confidenciales ni secretos. Las interacciones de servicio se llevan a cabo con el mínimo de privilegios requerido. Los roles que definen estos privilegios no se comparten entre funciones.

### OpenSearch Servicio Amazon
<a name="amazon-opensearch-service"></a>

Los dominios OpenSearch de Amazon Service están configurados con una política de acceso que restringe el acceso para detener cualquier solicitud no firmada realizada al clúster de OpenSearch servicios. Esto está restringido a una sola función Lambda.

El clúster de OpenSearch servicios está creado con el node-to-node cifrado activado para añadir una capa adicional de protección de datos a las [funciones de seguridad](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) del OpenSearch servicio existentes.