Sécurité - Cloud Migration Factory sur AWS
Rôles IAMAmazon CognitoAmazon CloudFrontAWS WAF - Pare-feu pour applications WebAmazon API GatewayAmazon CloudWatch Alarms/CanariesClés AWS KMS gérées par le clientConservation de journalAmazon Bedrock

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle partagé peut réduire votre charge opérationnelle car AWS exploite, gère et contrôle les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité sur AWS, rendez-vous sur AWS Cloud Security.

Rôles IAM

Les rôles AWS Identity and Access Management (IAM) vous permettent d'attribuer des politiques d'accès et des autorisations détaillées aux services et aux utilisateurs du cloud AWS. Cette solution crée des rôles IAM qui accordent à la fonction AWS Lambda l'accès aux autres services AWS utilisés dans cette solution.

Amazon Cognito

L'utilisateur Amazon Cognito créé par cette solution est un utilisateur local autorisé à accéder uniquement au reste APIs de cette solution. Cet utilisateur n'est pas autorisé à accéder aux autres services de votre compte AWS. Pour plus d'informations, reportez-vous à la section Groupes d'utilisateurs Amazon Cognito dans le manuel du développeur Amazon Cognito.

La solution prend éventuellement en charge la connexion SAML externe via la configuration de fournisseurs d'identité fédérés et la fonctionnalité d'interface utilisateur hébergée d'Amazon Cognito.

Amazon CloudFront

Cette solution par défaut déploie une console Web hébergée dans un compartiment Amazon S3. Pour réduire la latence et améliorer la sécurité, cette solution inclut une CloudFront distribution Amazon dotée d'une identité d'accès d'origine, qui est un CloudFront utilisateur spécial qui permet de fournir un accès public au contenu du bucket du site Web de la solution. Pour plus d'informations, reportez-vous à la section Restreindre l'accès au contenu Amazon S3 à l'aide d'une identité d'accès d'origine dans le manuel Amazon CloudFront Developer Guide.

Si un type de déploiement privé est sélectionné lors du déploiement de la pile, CloudFront aucune distribution n'est déployée et nécessite l'utilisation d'un autre service d'hébergement Web pour héberger la console Web.

AWS WAF - Pare-feu pour applications Web

Si le type de déploiement sélectionné dans la pile est Public avec AWS WAF, le ACLs Web et les règles AWS WAF requis CloudFormation seront déployés pour protéger les points de terminaison CloudFront API Gateway et Cognito créés par la solution CMF. Ces points de terminaison seront restreints pour autoriser uniquement les adresses IP sources spécifiées à accéder à ces points de terminaison. Lors du déploiement de la pile, deux plages CIDR doivent être fournies avec la fonctionnalité permettant d'ajouter des règles supplémentaires après le déploiement via la console AWS WAF.

Important

Lorsque vous configurez les restrictions IP WAF, assurez-vous que l'adresse IP de votre serveur d'automatisation CMF ou l'adresse IP de la passerelle NAT sortante est incluse dans les plages CIDR autorisées. Cela est essentiel au bon fonctionnement des scripts d'automatisation CMF qui doivent accéder aux points de terminaison de l'API de la solution.

Amazon API Gateway

Cette solution déploie Amazon API Gateway REST APIs et utilise le point de terminaison d'API et le certificat SSL par défaut. Le point de terminaison d'API par défaut prend en charge TLSv1 la politique de sécurité. Il est recommandé d'utiliser la politique de sécurité TLS_1_2 pour appliquer la version TLSv1 .2+ avec votre propre nom de domaine personnalisé et votre certificat SSL personnalisé. Pour plus d'informations, reportez-vous au choix d'une version TLS minimale pour un domaine personnalisé dans API Gateway et à la configuration de domaines personnalisés dans le manuel du développeur Amazon API Gateway.

Amazon CloudWatch Alarms/Canaries

CloudWatch Les alarmes Amazon vous aident à contrôler le fonctionnement de la solution et les hypothèses de sécurité sont respectées. La solution inclut la journalisation et les métriques pour les fonctions AWS Lambda et les points de terminaison API Gateway. Si une surveillance supplémentaire est nécessaire pour votre cas d'utilisation spécifique, vous pouvez configurer des CloudWatch alarmes pour surveiller :

  • Surveillance de l'API Gateway :

    • Configurez des alarmes pour les erreurs 4XX et 5XX afin de détecter les tentatives d'accès non autorisées ou les problèmes d'API

    • Surveillez la latence de l'API Gateway pour garantir les performances

    • Suivez le nombre de demandes d'API pour identifier les modèles inhabituels

  • Surveillance des fonctions AWS Lambda :

    • Créez des alarmes pour les erreurs et les délais d'expiration des fonctions Lambda

    • Surveillez la durée de la fonction Lambda pour garantir des performances optimales

    • Configurez des alarmes pour les exécutions simultanées afin d'éviter les ralentissements

Vous pouvez créer ces alarmes à l'aide de la CloudWatch console ou de CloudFormation modèles AWS. Pour obtenir des instructions détaillées sur la création d' CloudWatch alarmes, reportez-vous à la section Création d' CloudWatch alarmes Amazon dans le guide de CloudWatch l'utilisateur Amazon.

Clés AWS KMS gérées par le client

Cette solution utilise le chiffrement au repos pour sécuriser les données et utilise des clés gérées par AWS pour les données des clients. Ces clés sont utilisées pour chiffrer automatiquement et de manière transparente vos données avant qu'elles ne soient écrites dans les couches de stockage. Certains utilisateurs préféreront peut-être mieux contrôler leurs processus de chiffrement des données. Cette approche vous permet d'administrer vos propres informations de sécurité, offrant ainsi un meilleur niveau de contrôle et de visibilité. Pour plus d'informations, reportez-vous aux concepts de base et aux clés AWS KMS dans le guide du développeur AWS Key Management Service.

Conservation de journal

Cette solution capture les journaux des applications et des services en créant CloudWatch des groupes de journaux Amazon dans votre compte. Par défaut, les journaux sont conservés pendant 10 ans. Vous pouvez ajuster le LogRetentionPeriod paramètre pour chaque groupe de journaux, passer à une conservation indéfinie ou choisir une période de conservation comprise entre un jour et 10 ans en fonction de vos besoins. Pour plus d'informations, reportez-vous à Qu'est-ce qu'Amazon CloudWatch Logs ? dans le guide de l'utilisateur d'Amazon CloudWatch Logs.

Amazon Bedrock

La solution sélectionne automatiquement le meilleur modèle de base disponible pour votre région lors du déploiement de la CloudFormation pile. Le processus de sélection utilise une fonction Lambda qui appelle list_foundation_models() et choisit le premier modèle disponible dans cet ordre de priorité :

  1. anthropic.claude-sonnet-4-20250514-v1:0(Sonnet 4)

  2. anthropic.claude-3-7-sonnet-20250219-v1:0(Sonnet 3.7)

  3. anthropic.claude-3-5-sonnet-20241022-v2:0(Sonnet 3.5v2)

  4. anthropic.claude-3-5-sonnet-20240620-v1:0(Sonnet 3.5)

  5. anthropic.claude-3-sonnet-20240229-v1:0(Sonnet 3)

  6. amazon.nova-pro-v1:0(Nova Pro)

Vous devez activer le modèle sélectionné dans votre compte AWS via la console Bedrock pour utiliser les fonctionnalités de GenAI. Les fonctionnalités de base de la solution restent pleinement opérationnelles sans activer les fonctionnalités GenAI. Les clients peuvent choisir d'utiliser l'outil avec des saisies manuelles s'ils préfèrent ne pas utiliser les fonctionnalités assistées par l'IA.

Après le déploiement, vous pouvez trouver l'ARN du modèle sélectionné dans les sorties de la CloudFormation pile situées sous le GenAISelectedModelArn champ du WPMStack.

CloudFormation sortie de pile montrant l'ARN du modèle GenAI sélectionné
Interface d'activation du modèle Amazon Bedrock

La configuration par défaut de cette solution déploiera Amazon Bedrock Guardrails afin de :

  • Filtrez les contenus dangereux

  • Bloquez les injections rapides qui ne sont pas pertinentes pour votre cas d'utilisation

Interface de configuration d'Amazon Bedrock Guardrails

Pour plus d'informations, consultez Amazon Bedrock Guardrails. Pour désactiver Guardrails dans la solution CMF, vous pouvez sélectionner False dans la section des paramètres du modèle.