Sécurité - Cloud Migration Factory sur AWS
Rôles IAMAmazon CognitoAmazon CloudFrontAWS WAF - Pare-feu pour applications Web

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle partagé peut réduire votre charge opérationnelle car AWS exploite, gère et contrôle les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité sur AWS, rendez-vous sur AWS Cloud Security.

Rôles IAM

Les rôles AWS Identity and Access Management (IAM) vous permettent d'attribuer des politiques d'accès et des autorisations détaillées aux services et aux utilisateurs du cloud AWS. Cette solution crée des rôles IAM qui accordent à la fonction AWS Lambda l'accès aux autres services AWS utilisés dans cette solution.

Amazon Cognito

L'utilisateur Amazon Cognito créé par cette solution est un utilisateur local autorisé à accéder uniquement au reste APIs de cette solution. Cet utilisateur n'est pas autorisé à accéder aux autres services de votre compte AWS. Pour plus d'informations, reportez-vous à la section Groupes d'utilisateurs Amazon Cognito dans le manuel du développeur Amazon Cognito.

La solution prend éventuellement en charge la connexion SAML externe via la configuration de fournisseurs d'identité fédérés et la fonctionnalité d'interface utilisateur hébergée d'Amazon Cognito.

Amazon CloudFront

Cette solution par défaut déploie une console Web hébergée dans un compartiment Amazon S3. Pour réduire la latence et améliorer la sécurité, cette solution inclut une CloudFront distribution Amazon dotée d'une identité d'accès d'origine, qui est un CloudFront utilisateur spécial qui permet de fournir un accès public au contenu du bucket du site Web de la solution. Pour plus d'informations, reportez-vous à la section Restreindre l'accès au contenu Amazon S3 à l'aide d'une identité d'accès d'origine dans le manuel Amazon CloudFront Developer Guide.

Si un type de déploiement privé est sélectionné lors du déploiement de la pile, CloudFront aucune distribution n'est déployée et nécessite l'utilisation d'un autre service d'hébergement Web pour héberger la console Web.

AWS WAF - Pare-feu pour applications Web

Si le type de déploiement sélectionné dans la pile est Public avec AWS WAF, le ACLs Web et les règles AWS WAF requis CloudFormation seront déployés pour protéger les points de terminaison CloudFront API Gateway et Cognito créés par la solution CMF. Ces points de terminaison seront restreints pour autoriser uniquement les adresses IP sources spécifiées à accéder à ces points de terminaison. Lors du déploiement de la pile, deux plages CIDR doivent être fournies avec la fonctionnalité permettant d'ajouter des règles supplémentaires après le déploiement via la console AWS WAF.

Important

Lorsque vous configurez les restrictions IP WAF, assurez-vous que l'adresse IP de votre serveur d'automatisation CMF ou l'adresse IP de la passerelle NAT sortante est incluse dans les plages CIDR autorisées. Cela est essentiel au bon fonctionnement des scripts d'automatisation CMF qui doivent accéder aux points de terminaison de l'API de la solution.