Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza
Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo [modello condiviso](https://aws.amazon.com/compliance/shared-responsibility-model/) può ridurre il carico operativo in quanto AWS opera, gestisce e controlla i componenti, dal sistema operativo host e dal livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza su AWS, visita [AWS Cloud Security](https://aws.amazon.com/security).
## Ruoli IAM
I ruoli AWS Identity and Access Management (IAM) consentono di assegnare policy di accesso e autorizzazioni granulari a servizi e utenti nel cloud AWS. Questa soluzione crea ruoli IAM che garantiscono alla funzione AWS Lambda l'accesso agli altri servizi AWS utilizzati in questa soluzione.
## Amazon Cognito
L'utente Amazon Cognito creato da questa soluzione è un utente locale con le autorizzazioni per accedere solo al resto APIs di questa soluzione. Questo utente non dispone delle autorizzazioni per accedere ad altri servizi nel tuo account AWS. Per ulteriori informazioni, consulta [Amazon Cognito User Pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) nella Amazon *Cognito Developer Guide*.
La soluzione supporta opzionalmente l'accesso SAML esterno tramite la configurazione di provider di identità federati e la funzionalità dell'interfaccia utente ospitata di Amazon Cognito.
## Amazon CloudFront
Questa soluzione predefinita implementa una console Web [ospitata](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) in un bucket Amazon S3. Per contribuire a ridurre la latenza e migliorare la sicurezza, questa soluzione include una CloudFront distribuzione [Amazon](https://aws.amazon.com/cloudfront/) con un'identità di accesso all'origine, ovvero un CloudFront utente speciale che aiuta a fornire l'accesso pubblico ai contenuti del bucket del sito Web della soluzione. Per ulteriori informazioni, consulta la sezione [Limitazione dell'accesso ai contenuti Amazon S3 utilizzando un'identità Origin Access](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella * CloudFront Amazon* Developer Guide.
Se durante la distribuzione stack viene selezionato un tipo di distribuzione **privata**, la CloudFront distribuzione non viene distribuita e richiede l'utilizzo di un altro servizio di web hosting per ospitare la console web.
## AWS WAF - Firewall per applicazioni Web
Se il tipo di distribuzione selezionato nello stack è Public with [AWS](https://aws.amazon.com/waf/) WAF, distribuirà CloudFormation gli endpoint ACLs Web e Rules AWS WAF richiesti configurati per proteggere, CloudFront API Gateway e endpoint Cognito creati dalla soluzione CMF. Questi endpoint saranno limitati per consentire solo a indirizzi IP di origine specificati di accedere a questi endpoint. Durante la distribuzione dello stack, è necessario fornire due intervalli CIDR con la funzione di aggiungere regole aggiuntive dopo la distribuzione tramite la console AWS WAF.
**Importante**
Quando configuri le restrizioni IP WAF, assicurati che l'indirizzo IP del tuo server di automazione CMF o l'IP del gateway NAT in uscita sia incluso negli intervalli CIDR consentiti. Questo è fondamentale per il corretto funzionamento degli script di automazione CMF che devono accedere agli endpoint API della soluzione.
## Gateway Amazon API
Questa soluzione implementa Amazon API Gateway REST APIs e utilizza l'endpoint API e il certificato SSL predefiniti. L'endpoint API predefinito supporta la politica di sicurezza. TLSv1 Si consiglia di utilizzare la politica di sicurezza TLS\$11\$12 per applicare TLSv1 .2\$1 con il proprio nome di dominio personalizzato e il certificato SSL personalizzato. Per ulteriori informazioni, consulta la sezione relativa alla [scelta di una versione TLS minima per un dominio personalizzato in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) e alla [configurazione di domini personalizzati](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) nella *Amazon API Gateway* Developer Guide.
## Amazon CloudWatch Alarms//Canarie
Gli CloudWatch allarmi Amazon ti aiutano a monitorare il rispetto dei presupposti funzionali e di sicurezza della soluzione. La soluzione include log e metriche per le funzioni di AWS Lambda e gli endpoint API Gateway. Se è necessario un monitoraggio aggiuntivo per un caso d'uso specifico, puoi configurare CloudWatch allarmi per monitorare:
+ **Monitoraggio API Gateway:**
+ Imposta allarmi per errori 4XX e 5XX per rilevare tentativi di accesso non autorizzati o problemi relativi alle API
+ Monitora la latenza dell'API Gateway per garantire le prestazioni
+ Tieni traccia del numero di richieste API per identificare modelli insoliti
+ **Monitoraggio delle funzioni AWS Lambda:**
+ Crea allarmi per errori e timeout della funzione Lambda
+ Monitora la durata della funzione Lambda per garantire prestazioni ottimali
+ Imposta allarmi per le esecuzioni simultanee per evitare rallentamenti
Puoi creare questi allarmi utilizzando la CloudWatch console o tramite CloudFormation modelli AWS. Per istruzioni dettagliate sulla creazione di CloudWatch allarmi, consulta [Creating Amazon CloudWatch Alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) nella *Amazon CloudWatch User* Guide.
## Chiavi AWS KMS gestite dal cliente
Questa soluzione utilizza la crittografia a riposo per proteggere i dati e utilizza chiavi gestite da AWS per i dati dei clienti. Queste chiavi vengono utilizzate per crittografare automaticamente e in modo trasparente i dati prima che vengano scritti su livelli di storage. Alcuni utenti potrebbero preferire avere un maggiore controllo sui processi di crittografia dei dati. Questo approccio consente di amministrare le proprie credenziali di sicurezza, offrendo un maggiore livello di controllo e visibilità. Per ulteriori informazioni, consulta [Basic Concepts](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) e [AWS KMS Keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) nella *AWS Key Management Service Developer Guide*.
## Retention dei log
Questa soluzione acquisisce i log delle applicazioni e dei servizi creando gruppi di CloudWatch log Amazon nel tuo account. Per impostazione predefinita, i log vengono conservati per 10 anni. È possibile modificare il LogRetentionPeriod parametro per ogni gruppo di log, passare alla conservazione a tempo indeterminato o scegliere un periodo di conservazione compreso tra un giorno e 10 anni in base alle proprie esigenze. Per ulteriori informazioni, consulta [What is Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features)? nella *Amazon CloudWatch Logs User Guide*.
## Amazon Bedrock
La soluzione seleziona automaticamente il miglior modello di base disponibile per la tua regione durante l'implementazione CloudFormation dello stack. Il processo di selezione utilizza una funzione Lambda che chiama `list_foundation_models()` e sceglie il primo modello disponibile da questo ordine di priorità:
1. `anthropic.claude-sonnet-4-20250514-v1:0`(Sonetto 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0`(Sonetto 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0`(Sonetto 3.5 v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0`(Sonetto 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0`(Sonetto 3)
1. `amazon.nova-pro-v1:0`(Nova Pro)
È necessario abilitare il modello selezionato nel proprio account AWS tramite la console Bedrock per utilizzare le funzionalità GenAI. Le funzionalità principali della soluzione rimangono pienamente operative senza abilitare le funzionalità GenAI. I clienti possono scegliere di utilizzare lo strumento con input manuali se preferiscono non utilizzare le funzionalità assistite dall'intelligenza artificiale.
Dopo l'implementazione, è possibile trovare il modello ARN selezionato negli output dello CloudFormation stack sotto il `GenAISelectedModelArn` campo in. WPMStack
![\[CloudFormation stack output che mostra l'ARN del modello GenAI selezionato\]](http://docs.aws.amazon.com/it_it/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Interfaccia di abilitazione del modello Amazon Bedrock\]](http://docs.aws.amazon.com/it_it/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
La configurazione predefinita di questa soluzione implementerà Amazon Bedrock Guardrails per:
+ Filtrare i contenuti dannosi
+ Blocca le iniezioni tempestive che non sono pertinenti al tuo caso d'uso
![\[Interfaccia di configurazione Amazon Bedrock Guardrails\]](http://docs.aws.amazon.com/it_it/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
Per ulteriori informazioni, consulta [Amazon Bedrock Guardrails](https://aws.amazon.com/bedrock/guardrails/). Per disattivare Guardrails nella soluzione CMF, puoi selezionare false nella sezione dei parametri del modello.