Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan
<a name="security-1"></a>

Saat Anda membangun sistem pada infrastruktur AWS, tanggung jawab keamanan dibagi antara Anda dan AWS. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) ini mengurangi beban operasional Anda karena AWS mengoperasikan, mengelola, dan mengontrol komponen termasuk sistem operasi host, lapisan virtualisasi, dan keamanan fisik fasilitas tempat layanan beroperasi. Untuk informasi selengkapnya tentang keamanan AWS, kunjungi [Pusat Keamanan AWS](https://aws.amazon.com/security/).

## Akses sumber daya
<a name="resource-access"></a>

### Peran IAM
<a name="iam-roles"></a>

Peran IAM memungkinkan pelanggan untuk menetapkan kebijakan akses terperinci dan izin ke layanan dan pengguna di AWS Cloud. Beberapa peran diperlukan untuk menjalankan Workload Discovery di AWS dan menemukan sumber daya di akun AWS.

### Amazon Cognito
<a name="amazon-cognito"></a>

Amazon Cognito digunakan untuk mengautentikasi akses dengan kredensyal yang berumur pendek dan kuat yang memberikan akses ke komponen yang dibutuhkan oleh Workload Discovery di AWS.

## Akses jaringan
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

Workload Discovery di AWS diterapkan dalam VPC Amazon dan dikonfigurasi sesuai dengan praktik terbaik untuk memberikan keamanan dan ketersediaan tinggi. Untuk detail tambahan, lihat [Praktik terbaik Keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Titik akhir VPC memungkinkan transit non-internet antar layanan dan dikonfigurasi jika tersedia.

Grup keamanan digunakan untuk mengontrol dan mengisolasi lalu lintas jaringan antara komponen yang diperlukan untuk menjalankan Workload Discovery di AWS.

Kami menyarankan Anda meninjau grup keamanan dan membatasi akses lebih lanjut sesuai kebutuhan setelah penerapan aktif dan berjalan.

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

Solusi ini menerapkan UI konsol web yang [dihosting](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) di bucket Amazon S3 yang didistribusikan oleh Amazon. CloudFront Dengan menggunakan fitur identitas akses asal, konten bucket Amazon S3 ini hanya dapat diakses melalui. CloudFront Untuk informasi selengkapnya, lihat [Membatasi akses ke asal Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) di Panduan Pengembang * CloudFront Amazon*.

CloudFront mengaktifkan mitigasi keamanan tambahan untuk menambahkan header keamanan HTTP ke setiap respons penampil. Untuk detail tambahan, lihat [Menambahkan atau menghapus header HTTP dalam CloudFront tanggapan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html).

Solusi ini menggunakan CloudFront sertifikat default yang memiliki protokol keamanan minimum yang didukung TLS v1.0. Untuk menegakkan penggunaan TLS v1.2 atau TLS v1.3, Anda harus menggunakan sertifikat SSL kustom alih-alih sertifikat default. CloudFront Untuk informasi lebih lanjut, lihat [Bagaimana cara mengonfigurasi CloudFront distribusi saya untuk menggunakan sertifikat SSL/TLS](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/).

## Konfigurasi aplikasi
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

[Penemuan Beban Kerja di AWS APIs GraphQL memiliki validasi permintaan yang disediakan oleh AWS AppSync sesuai dengan spesifikasi GraphQL.](https://spec.graphql.org/June2018/#sec-Validation) Selanjutnya, otentikasi dan otorisasi diimplementasikan menggunakan IAM dan Amazon Cognito, yang menggunakan JWT yang disediakan oleh Amazon Cognito ketika pengguna berhasil mengautentikasi di UI web.

### AWS Lambda
<a name="aws-lambda"></a>

Secara default, fungsi Lambda dikonfigurasi dengan versi stabil terbaru dari runtime bahasa. Tidak ada data sensitif atau rahasia yang dicatat. Interaksi layanan dilakukan dengan hak istimewa yang paling tidak diperlukan. Peran yang menentukan hak istimewa ini tidak dibagi antar fungsi.

### OpenSearch Layanan Amazon
<a name="amazon-opensearch-service"></a>

Domain OpenSearch Layanan Amazon dikonfigurasi dengan kebijakan akses yang membatasi akses untuk menghentikan permintaan yang tidak ditandatangani yang dibuat ke kluster Layanan. OpenSearch Ini terbatas pada satu fungsi Lambda.

Kluster OpenSearch Layanan dibangun dengan node-to-node enkripsi yang diaktifkan untuk menambahkan lapisan perlindungan data tambahan di atas [fitur keamanan OpenSearch ](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) Layanan yang ada.