IAM ロール Amazon Cognito Amazon CloudFront AWS WAF - ウェブアプリケーションファイアウォール

セキュリティ

AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。ホストオペレーティングシステムや仮想化レイヤーから、サービスが運用されている施設の物理的なセキュリティに至るまで、AWS がコンポーネントを運用、管理、および制御するため、この共有モデルはお客様の運用上の負担を軽減するのに役立ちます。AWS でのセキュリティの詳細については、「AWS クラウドセキュリティ」を参照してください。

IAM ロール

AWS Identity and Access Management (IAM) ロールにより、AWS クラウドのサービスとユーザーに対してアクセスポリシーとアクセス許可を詳細に割り当てることができます。このソリューションでは、このソリューションで使用されているその他の AWS サービスへのアクセスを AWS Lambda 関数に付与する IAM ロールを作成します。

Amazon Cognito

このソリューションで作成された Amazon Cognito ユーザーは、このソリューションの RestAPI にのみアクセスする権限を持つローカルユーザーです。このユーザーには、AWS アカウントの他のサービスにアクセスするアクセス許可はありません。詳細については、「Amazon Cognito デベロッパーガイド」の「Amazon Cognito ユーザープール」を参照してください。

このソリューションでは、フェデレーション ID プロバイダーの設定と Amazon Cognito のホスト UI 機能による外部 SAML サインインをオプションでサポートします。

Amazon CloudFront

このデフォルトソリューションは、Amazon S3 バケットでホストされたウェブコンソールをデプロイします。レイテンシーの削減とセキュリティ向上のため、このソリューションにはオリジンアクセスアイデンティティを持つ Amazon CloudFront ディストリビューションが含まれます。これは、ソリューションのウェブサイトバケットコンテンツへのパブリックアクセスの提供を支援する特別な CloudFront ユーザーです。詳細については、「Amazon CloudFront デベロッパーガイド」の「オリジンアクセス ID を使用して Amazon S3 コンテンツへのアクセスを制限する」を参照してください。

プライベートデプロイタイプがスタックのデプロイ時に選択された場合、CloudFront ディストリビューションはデプロイされないため、ウェブコンソールのホストには別のウェブホスティングサービスを使用する必要があります。

AWS WAF - ウェブアプリケーションファイアウォール

スタックで選択されたデプロイタイプが AWS WAF でパブリックの場合、CloudFormation は CMF ソリューションによって作成された CloudFront、API ゲートウェイ、および Cognito エンドポイントを保護するように設定された AWS WAF ウェブ ACL とルールをデプロイします。これらのエンドポイントは、指定されたソース IP アドレスのみがこれらのエンドポイントにアクセスできるように制限されます。スタックのデプロイ時には、2 つの CIDR 範囲を指定して、AWS WAF コンソールを経由したデプロイ後にルールを追加する必要があります。

重要

WAF IP 制限を設定する際は、CMF 自動化サーバーの IP アドレスまたは送信 NAT ゲートウェイ IP が、許可された CIDR 範囲に含まれていることを確認してください。これは、ソリューションの API エンドポイントにアクセスする必要がある CMF 自動化スクリプトが適切に機能するために重要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

コスト

サポートしている AWS リージョン