Sicurezza dell'infrastruttura in Amazon QuickSight

Amazon QuickSight viene fornito come applicazione Web, ospitata su host Amazon EC2 dedicati, separati dai cloud privati virtuali (VPC) AWS. Invece di implementare QuickSight sui tuoi host, accedi al servizio QuickSight tramite endpoint pubblici regionali. QuickSight accede alle origini dati tramite una connessione Internet protetta dagli endpoint regionali. Per accedere a origini dati che si trovano all'interno di una rete aziendale, è possibile configurare la rete per consentire l'accesso da parte di uno dei blocchi di indirizzi IP pubblici di QuickSight. Ti consigliamo di prendere in considerazione l'utilizzo di un VPC (una rete virtuale dedicata al tuo account AWS).

Per ulteriori informazioni, consulta gli argomenti seguenti:

In qualità di servizio gestito, Amazon QuickSight è protetto dalle procedure di sicurezza di rete globale AWS descritte nel whitepaper Amazon Web Services: Panoramica dei processi di sicurezza.

Se si utilizzano le chiamate API pubblicate di AWS per accedere a QuickSight tramite la rete, i client devono supportare Transport Layer Security (TLS) 1.0 o versioni successive. È consigliabile TLS 1.2 o versioni successive. I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale AWS Identity and Access Management (IAM). O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

È possibile richiamare queste operazioni API da qualsiasi posizione di rete, ma QuickSight non supporta le policy di accesso basate sulle risorse che possono includere limitazioni sull'indirizzo IP di origine. È inoltre possibile utilizzare le policy di QuickSight per controllare l'accesso da endpoint Amazon Virtual Private Cloud (Amazon VPC) o VPC specifici. Di fatto, ciò isola l'accesso di rete a una risorsa QuickSight specificata solo dal VPC specifico all'interno della rete AWS. Per ulteriori informazioni sull'utilizzo di QuickSight in un VPC, consulta Connessione a un VCP in Amazon QuickSight.