Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan

Saat Anda membangun sistem pada infrastruktur AWS, tanggung jawab keamanan dibagi antara Anda dan AWS. Model bersama ini dapat mengurangi beban operasional Anda karena AWS mengoperasikan, mengelola, dan mengontrol komponen dari sistem operasi host dan lapisan virtualisasi hingga keamanan fisik fasilitas tempat layanan beroperasi. Untuk informasi selengkapnya tentang keamanan di AWS, kunjungi AWS Cloud Security.

Peran IAM

Peran AWS Identity and Access Management (IAM) memungkinkan Anda menetapkan kebijakan akses terperinci dan izin untuk layanan dan pengguna di AWS Cloud. Solusi ini menciptakan peran IAM yang memberikan akses fungsi AWS Lambda ke layanan AWS lain yang digunakan dalam solusi ini.

Amazon Cognito

Pengguna Amazon Cognito yang dibuat oleh solusi ini adalah pengguna lokal dengan izin untuk hanya mengakses Sisa APIs untuk solusi ini. Pengguna ini tidak memiliki izin untuk mengakses layanan lain di akun AWS Anda. Untuk informasi selengkapnya, lihat Kumpulan Pengguna Amazon Cognito di Panduan Pengembang Amazon Cognito.

Solusi ini secara opsional mendukung login SAMP eksternal melalui konfigurasi penyedia identitas federasi dan fungsionalitas UI yang dihosting dari Amazon Cognito.

Amazon CloudFront

Solusi default ini menerapkan konsol web yang dihosting di bucket Amazon S3. Untuk membantu mengurangi latensi dan meningkatkan keamanan, solusi ini mencakup CloudFront distribusi Amazon dengan identitas akses asal, yang merupakan CloudFront pengguna khusus yang membantu menyediakan akses publik ke konten bucket situs web solusi. Untuk informasi selengkapnya, lihat Membatasi Akses ke Konten Amazon S3 dengan Menggunakan Identitas Akses Asal di Panduan Pengembang CloudFront Amazon.

Jika jenis penyebaran pribadi dipilih selama penyebaran tumpukan, maka CloudFront distribusi tidak digunakan, dan mengharuskan layanan hosting web lain digunakan untuk meng-host konsol web.

AWS WAF - Firewall Aplikasi Web

Jika jenis penerapan yang dipilih dalam tumpukan adalah Publik dengan AWS WAF maka CloudFormation akan menerapkan ACLs Web dan Aturan AWS WAF yang diperlukan yang dikonfigurasi untuk melindungi, CloudFront API Gateway, dan titik akhir Cognito yang dibuat oleh solusi CMF. Titik akhir ini akan dibatasi untuk memungkinkan hanya alamat IP sumber tertentu untuk mengakses titik akhir ini. Selama penerapan tumpukan, dua rentang CIDR harus disertakan dengan fasilitas untuk menambahkan aturan tambahan setelah penerapan melalui konsol AWS WAF.

Amazon API Gateway

Solusi ini menerapkan Amazon API Gateway REST APIs dan menggunakan titik akhir API default dan sertifikat SSL. Titik akhir API default mendukung kebijakan TLSv1 keamanan. Disarankan untuk menggunakan kebijakan keamanan TLS_1_2 untuk menegakkan TLSv1 .2+ dengan nama domain kustom Anda sendiri dan sertifikat SSL kustom. Untuk informasi selengkapnya, lihat memilih versi TLS minimum untuk domain kustom di API Gateway dan mengonfigurasi domain kustom di Panduan Pengembang Amazon API Gateway.

CloudWatch Alarm Amazon/Kenari

CloudWatch Alarm Amazon membantu Anda memantau asumsi fungsional dan keamanan solusi yang sedang diikuti. Solusinya mencakup pencatatan dan metrik untuk fungsi AWS Lambda dan titik akhir API Gateway. Jika pemantauan tambahan diperlukan untuk kasus penggunaan spesifik Anda, Anda dapat mengonfigurasi CloudWatch alarm untuk memantau:

Anda dapat membuat alarm ini menggunakan CloudWatch konsol atau melalui CloudFormation templat AWS. Untuk petunjuk mendetail tentang cara membuat CloudWatch alarm, lihat Membuat CloudWatch Alarm Amazon di CloudWatch Panduan Pengguna Amazon.

Kunci AWS KMS yang Dikelola Pelanggan

Solusi ini menggunakan enkripsi saat istirahat untuk mengamankan data dan menggunakan kunci terkelola AWS untuk data pelanggan. Kunci ini digunakan untuk mengenkripsi data Anda secara otomatis dan transparan sebelum ditulis ke lapisan penyimpanan. Beberapa pengguna mungkin lebih suka memiliki kontrol lebih besar atas proses enkripsi data mereka. Pendekatan ini memungkinkan Anda untuk mengelola kredensyal keamanan Anda sendiri, menawarkan tingkat kontrol dan visibilitas yang lebih besar. Untuk informasi selengkapnya, lihat Konsep Dasar dan Kunci AWS KMS di Panduan Pengembang AWS Key Management Service.

Retensi Log

Solusi ini menangkap log aplikasi dan layanan dengan membuat grup CloudWatch log Amazon di akun Anda. Secara default, log disimpan selama 10 tahun. Anda dapat menyesuaikan LogRetentionPeriod parameter untuk setiap grup log, beralih ke retensi tidak terbatas, atau memilih periode retensi antara satu hari dan 10 tahun berdasarkan kebutuhan Anda. Untuk informasi lebih lanjut, lihat Apa itu Amazon CloudWatch Logs? di Panduan Pengguna CloudWatch Log Amazon.

Amazon Bedrock

Solusi ini secara otomatis memilih model fondasi terbaik yang tersedia untuk wilayah Anda selama penerapan CloudFormation tumpukan. Proses seleksi menggunakan fungsi Lambda yang memanggil list_foundation_models() dan memilih model pertama yang tersedia dari urutan prioritas ini:

Anda harus mengaktifkan model yang dipilih di akun AWS Anda melalui konsol Bedrock untuk menggunakan fitur GenAI. Fungsi inti solusi tetap beroperasi penuh tanpa mengaktifkan fitur GenAI. Pelanggan dapat memilih untuk menggunakan alat dengan input manual jika mereka memilih untuk tidak menggunakan kemampuan yang dibantu AI.

Setelah penerapan, Anda dapat menemukan model ARN yang dipilih di output tumpukan CloudFormation di bawah bidang GenAISelectedModelArn di. WPMStack

Konfigurasi default solusi ini akan menerapkan Amazon Bedrock Guardrails untuk:

Untuk informasi lebih lanjut, lihat Amazon Bedrock Guardrails. Untuk memilih keluar Guardrails dalam solusi CMF, Anda dapat memilih false di bagian parameter template.