Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza
<a name="security-1"></a>

Quando crei sistemi sull'infrastruttura AWS, le responsabilità di sicurezza vengono condivise tra te e AWS. Questo [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) riduce il carico operativo perché AWS gestisce, gestisce e controlla i componenti, tra cui il sistema operativo host, il livello di virtualizzazione e la sicurezza fisica delle strutture in cui operano i servizi. Per ulteriori informazioni sulla sicurezza di AWS, visita il [Centro di sicurezza AWS](https://aws.amazon.com/security/).

## Accesso alle risorse
<a name="resource-access"></a>

### Ruoli IAM
<a name="iam-roles"></a>

I ruoli IAM consentono ai clienti di assegnare policy di accesso e autorizzazioni granulari a servizi e utenti sul cloud AWS. Sono necessari più ruoli per eseguire Workload Discovery su AWS e scoprire risorse negli account AWS.

### Amazon Cognito
<a name="amazon-cognito"></a>

Amazon Cognito viene utilizzato per autenticare l'accesso con credenziali forti e di breve durata che garantiscono l'accesso ai componenti necessari a Workload Discovery su AWS.

## Accesso alla rete
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

Workload Discovery on AWS è distribuito all'interno di un Amazon VPC e configurato secondo le migliori pratiche per offrire sicurezza e alta disponibilità. Per ulteriori dettagli, consulta le [best practice di sicurezza per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Gli endpoint VPC consentono il transito non Internet tra i servizi e sono configurati laddove disponibili.

I gruppi di sicurezza vengono utilizzati per controllare e isolare il traffico di rete tra i componenti necessari per eseguire Workload Discovery su AWS.

Ti consigliamo di esaminare i gruppi di sicurezza e di limitare ulteriormente l'accesso, se necessario, una volta che la distribuzione è attiva e funzionante.

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

Questa soluzione implementa un'interfaccia utente per console Web [ospitata](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) in un bucket Amazon S3 distribuito da Amazon. CloudFront Utilizzando la funzionalità Origin Access Identity, i contenuti di questo bucket Amazon S3 sono accessibili solo tramite. CloudFront Per ulteriori informazioni, consulta la sezione [Limitazione dell'accesso a un'origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella * CloudFront Amazon Developer Guide*.

CloudFront attiva ulteriori mitigazioni di sicurezza per aggiungere intestazioni di sicurezza HTTP a ciascuna risposta del visualizzatore. Per ulteriori dettagli, consulta [Aggiungere o rimuovere intestazioni HTTP](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html) nelle risposte. CloudFront 

Questa soluzione utilizza il CloudFront certificato predefinito che ha un protocollo di sicurezza minimo supportato di TLS v1.0. Per imporre l'uso di TLS v1.2 o TLS v1.3, è necessario utilizzare un certificato SSL personalizzato anziché il certificato predefinito. CloudFront Per ulteriori informazioni, consulta [Come posso configurare la mia CloudFront distribuzione](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/) per utilizzare un certificato SSL/TLS.

## Configurazione dell'applicazione
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

[Workload Discovery su AWS APIs GraphQL prevede la convalida delle richieste fornita da AppSync AWS secondo le specifiche GraphQL.](https://spec.graphql.org/June2018/#sec-Validation) Inoltre, l'autenticazione e l'autorizzazione vengono implementate utilizzando IAM e Amazon Cognito, che utilizzano il JWT fornito da Amazon Cognito quando un utente si autentica correttamente nell'interfaccia utente Web.

### AWS Lambda
<a name="aws-lambda"></a>

Per impostazione predefinita, le funzioni Lambda sono configurate con la versione stabile più recente del runtime del linguaggio. Non vengono registrati dati o segreti sensibili. Le interazioni di servizio vengono eseguite con il privilegio minimo richiesto. I ruoli che definiscono questi privilegi non sono condivisi tra le funzioni.

### OpenSearch Servizio Amazon
<a name="amazon-opensearch-service"></a>

I domini Amazon OpenSearch Service sono configurati con una politica di accesso che limita l'accesso per bloccare qualsiasi richiesta non firmata effettuata al OpenSearch cluster di servizi. Questo è limitato a una singola funzione Lambda.

Il cluster OpenSearch di servizi è costruito con node-to-node la crittografia attivata per aggiungere un ulteriore livello di protezione dei dati oltre alle [funzionalità di sicurezza](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) del OpenSearch servizio esistenti.