Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza
Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo modello di responsabilità condivisa
Ruoli IAM
I ruoli di AWS Identity and Access Management (IAM) consentono ai clienti di assegnare policy e autorizzazioni di accesso granulari a servizi e utenti sul cloud AWS. Questa soluzione crea ruoli IAM che garantiscono l'accesso alle funzioni AWS Lambda della soluzione per creare risorse regionali.
Amazon CloudFront
Questa soluzione implementa un'interfaccia utente Web ospitata in un bucket Amazon S3, distribuito da Amazon. CloudFront Per contribuire a ridurre la latenza e migliorare la sicurezza, questa soluzione include una CloudFront distribuzione con un'identità di accesso di origine, ovvero un CloudFront utente che fornisce l'accesso pubblico ai contenuti del bucket del sito Web della soluzione. Per impostazione predefinita, la CloudFront distribuzione utilizza TLS 1.2 per applicare il più alto livello di protocollo di sicurezza. Per ulteriori informazioni, consulta la sezione Limitazione dell'accesso a un'origine Amazon S3 nella CloudFront Amazon Developer Guide.
CloudFront attiva ulteriori mitigazioni di sicurezza per aggiungere intestazioni di sicurezza HTTP a ciascuna risposta del visualizzatore. Per ulteriori informazioni, consulta Aggiungere o rimuovere intestazioni HTTP nelle risposte. CloudFront
Questa soluzione utilizza il CloudFront certificato predefinito, che ha un protocollo di sicurezza minimo supportato di TLS v1.0. Per imporre l'uso di TLS v1.2 o TLS v1.3, è necessario utilizzare un certificato SSL personalizzato anziché il certificato predefinito. CloudFront Per ulteriori informazioni, consulta Come posso configurare la mia CloudFront
Gateway Amazon API
Questa soluzione implementa endpoint Amazon API Gateway ottimizzati per i dispositivi perimetrali RESTful APIs per fornire la funzionalità di test di carico utilizzando l'endpoint API Gateway predefinito anziché un dominio personalizzato. Per l'ottimizzazione dell'edge APIs utilizzando l'endpoint predefinito, API Gateway utilizza la politica di sicurezza TLS-1-0. Per ulteriori informazioni, consulta Working with REST APIs nella Amazon API Gateway Developer Guide.
Questa soluzione utilizza il certificato API Gateway predefinito, che ha un protocollo di sicurezza minimo supportato di TLS v1.0. Per imporre l'uso di TLS v1.2 o TLS v1.3, è necessario utilizzare un dominio personalizzato con un certificato SSL personalizzato anziché il certificato API Gateway predefinito. Per ulteriori informazioni, consulta Configurazione di nomi di dominio personalizzati per REST. APIs
Gruppo di sicurezza AWS Fargate
Per impostazione predefinita, questa soluzione apre al pubblico la regola in uscita del gruppo di sicurezza AWS Fargate. Se desideri impedire ad AWS Fargate di inviare traffico ovunque, modifica la regola in uscita con uno specifico Classless Inter-Domain Routing (CIDR).
Questo gruppo di sicurezza include anche una regola in entrata che consente il traffico locale sulla porta 50.000 verso qualsiasi fonte appartenente allo stesso gruppo di sicurezza. Viene utilizzato per consentire ai contenitori di comunicare tra loro.
Amazon VPC
VPC: un cloud privato virtuale (VPC) basato sul servizio Amazon VPC offre una rete privata e logicamente isolata nel cloud AWS.
Puoi specificare il tuo VPC nei CloudFormation parametri AWS durante la distribuzione. Il VPC viene utilizzato esclusivamente dalle attività ECS che generano carico; la console Web e l'API non vengono distribuite all'interno di questo VPC. Se non si specifica un VPC esistente, la soluzione creerà un nuovo VPC con la configurazione di rete richiesta. Se si sceglie di utilizzare un VPC esistente, è necessario che soddisfi i seguenti requisiti per eseguire correttamente le attività di test di carico.
Requisiti VPC
I requisiti minimi per un VPC da utilizzare con Distributed Load Testing on AWS sono elencati di seguito.
-
Il VPC deve contenere almeno due AZs
-
Il VPC deve contenere almeno due sottoreti, ciascuna in una AZ separata
-
Le sottoreti VPC possono essere pubbliche o private, ma devono utilizzare la stessa configurazione (sia pubblica che privata)
-
Il VPC deve fornire l'accesso agli endpoint per ECR, CloudWatch Logs, S3 e IoT Core.
-
Il VPC deve fornire l'accesso ai servizi oggetto dei test di carico.
Nota
Se non disponi di un VPC che soddisfi questi criteri, puoi creare rapidamente un VPC con la procedura guidata VPC. Per ulteriori informazioni, consulta la sezione Creazione di un VPC.
Le sottoreti pubbliche possono soddisfare questi requisiti includendo quanto segue:
-
Un gateway Internet collegato al VPC
-
Un percorso verso il gateway Internet (0.0.0.0/0)
Le sottoreti private possono soddisfare questi requisiti tramite l'uso di gateway NAT o endpoint VPC, come descritto di seguito.
Opzione 1: NAT Gateway
-
Implementa un gateway NAT in ogni AZ con sottoreti private
-
Configura le tabelle di routing per instradare il traffico diretto a Internet (0.0.0.0/0) attraverso il NAT Gateway
Opzione 2: endpoint VPC
Crea i seguenti endpoint VPC nel tuo VPC:
-
Endpoint dell'API Amazon ECR:
com.amazonaws.<region>.ecr.api -
Endpoint Amazon ECR DKR:
com.amazonaws.<region>.ecr.dkr -
Endpoint Amazon CloudWatch Logs:
com.amazonaws.<region>.logs -
Endpoint Amazon S3 Gateway:
com.amazonaws.<region>.s3 -
Endpoint AWS IoT Core (richiesto se si utilizzano i grafici di dati in tempo reale)
com.amazonaws.<region>.iot.data
Potrebbero funzionare anche altre configurazioni VPC.
Importante
Il gruppo di sicurezza collegato a ciascuna interfaccia endpoint VPC deve consentire il traffico TCP in entrata sulla porta 443 dal gruppo di sicurezza delle attività ECS.
Configurazione del gruppo di sicurezza
Durante l'implementazione, la soluzione creerà un gruppo di sicurezza all'interno del VPC per consentire il seguente traffico con attività nel cluster ECS:
-
Tutto il traffico in uscita
-
Traffico in entrata sulla porta 50000 proveniente da altre attività dello stesso gruppo di sicurezza, per facilitare il coordinamento tra le attività dei dipendenti e quelle dei dirigenti.
Test di stress della rete
L'utente è responsabile dell'utilizzo di questa soluzione in base alla politica di Network Stress Test
Limitazione dell'accesso all'interfaccia utente pubblica
Per limitare l'accesso all'interfaccia utente pubblica oltre ai meccanismi di autenticazione e autorizzazione forniti da IAM e Amazon Cognito, utilizza la soluzione AWS WAF (web application firewall
Questa soluzione implementa automaticamente una serie di regole AWS WAF che filtrano i comuni attacchi basati sul Web. Gli utenti possono scegliere tra funzionalità di protezione preconfigurate che definiscono le regole incluse in una lista di controllo degli accessi Web AWS WAF (Web ACL).
Sicurezza del server MCP (opzionale)
Se distribuisci l'integrazione opzionale con MCP Server, la soluzione utilizza AWS AgentCore Gateway per fornire un accesso sicuro ai dati di test di carico per gli agenti AI. AgentCore Gateway convalida i token di autenticazione Amazon Cognito per ogni richiesta, garantendo che solo gli utenti autorizzati possano accedere al server MCP. La funzione MCP Server Lambda implementa modelli di accesso di sola lettura, impedendo agli agenti AI di modificare le configurazioni o i risultati dei test. Tutte le interazioni con il server MCP utilizzano gli stessi limiti di autorizzazione e gli stessi controlli di accesso della console web.
