Sécurité de l'infrastructure dans AWS Proton - AWS Proton
Points de terminaison d’un VPC (AWS PrivateLink)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans AWS Proton

En tant que service géré, AWS Proton il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez des appels d'API AWS publiés pour accéder AWS Proton via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Pour améliorer l'isolation du réseau, vous pouvez utiliser AWS PrivateLink les méthodes décrites dans la section suivante.

AWS Proton et points de terminaison VPC d'interface ()AWS PrivateLink

Vous pouvez établir une connexion privée entre votre VPC et créer un point de AWS Proton terminaison VPC d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLinkune technologie qui vous permet d'accéder en privé AWS Proton APIs sans passerelle Internet, appareil NAT, connexion VPN ou AWS Direct Connect connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec elles. AWS Proton APIs Le trafic entre votre VPC et celui qui AWS Proton ne quitte pas le réseau Amazon.

Chaque point de terminaison d’interface est représenté par une ou plusieurs interfaces réseau Elastic dans vos sous-réseaux.

Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l’utilisateur Amazon VPC.

Considérations relatives aux points de AWS Proton terminaison VPC

Avant de configurer un point de terminaison VPC d'interface pour AWS Proton, assurez-vous de consulter les propriétés et les limites du point de terminaison d'interface dans le guide de l'utilisateur Amazon VPC.

AWS Proton permet d'appeler toutes ses actions d'API depuis votre VPC.

Les politiques de point de terminaison VPC sont prises en charge pour. AWS Proton Par défaut, l'accès complet à AWS Proton est autorisé via le point de terminaison. Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Création d'un point de terminaison VPC d'interface pour AWS Proton

Vous pouvez créer un point de terminaison VPC pour le AWS Proton service à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d’informations, consultez Création d’un point de terminaison d’interface dans le Guide de l’utilisateur Amazon VPC.

Créez un point de terminaison VPC à l' AWS Proton aide du nom de service suivant :

  • com.amazonaws. region.proton

Si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API AWS Proton en utilisant son nom DNS par défaut pour la région, par exemple,proton.region.amazonaws.com.

Pour plus d'informations, consultez Accès à un service via un point de terminaison d'interface dans le Guide de l'utilisateur Amazon VPC.

Création d'une politique de point de terminaison VPC pour AWS Proton

Vous pouvez attacher une stratégie de point de terminaison à votre point de terminaison d’un VPC qui contrôle l’accès à AWS Proton. La politique spécifie les informations suivantes :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.

Exemple : politique de point de terminaison VPC pour les actions AWS Proton

Voici un exemple de politique de point de terminaison pour AWS Proton. Lorsqu'elle est attachée à un point de terminaison, cette politique accorde l'accès aux AWS Proton actions répertoriées à tous les principaux sur toutes les ressources.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}