Segurança da infraestrutura em AWS Proton

Como serviço gerenciado, AWS Proton é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa chamadas de API AWS publicadas para acessar AWS Proton pela rede. Os clientes devem oferecer compatibilidade com:

Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Para melhorar o isolamento da rede, você pode usar AWS PrivateLink conforme descrito na seção a seguir.

AWS Proton e endpoints VPC de interface ()AWS PrivateLink

Você pode estabelecer uma conexão privada entre sua VPC e criar uma AWS Proton interface VPC endpoint. Os endpoints de interface são alimentados por AWS PrivateLinkuma tecnologia que permite que você acesse de forma privada AWS Proton APIs sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar. AWS Proton APIs O tráfego entre sua VPC e AWS Proton o tráfego não sai da rede Amazon.

Cada endpoint de interface é representado por uma ou mais Interfaces de Rede Elástica nas sub-redes.

Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Manual do Usuário do Amazon VPC.

Considerações sobre AWS Proton VPC endpoints

Antes de configurar uma interface para o VPC endpoint AWS Proton, certifique-se de revisar as propriedades e limitações do endpoint da interface no Guia do usuário do Amazon VPC.

AWS Proton suporta fazer chamadas para todas as suas ações de API a partir de sua VPC.

Há suporte para políticas de endpoint de VPC. AWS Proton Por padrão, o acesso total ao AWS Proton é permitido por meio do endpoint. Para mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Criação de uma interface VPC endpoint para AWS Proton

Você pode criar um VPC endpoint para o AWS Proton serviço usando o console Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Crie um VPC endpoint para AWS Proton usar o seguinte nome de serviço:

com.amazonaws. region.próton

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API AWS Proton usando seu nome DNS padrão para a região, por exemplo,. proton.region.amazonaws.com

Para mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Criação de uma política de VPC endpoint para AWS Proton

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao AWS Proton. Essa política especifica as seguintes informações:

A entidade principal que pode realizar ações.
As ações que podem ser realizadas.
Os recursos aos quais as ações podem ser aplicadas.

Para mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Exemplo: política de VPC endpoint para ações AWS Proton

Veja a seguir um exemplo de uma política de endpoint para AWS Proton. Quando anexada a um endpoint, essa política concede acesso às AWS Proton ações listadas para todos os diretores em todos os recursos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Principal": "*",
      "Action": [
        "proton:ListServiceTemplates",
        "proton:ListServiceTemplateMajorVersions",
        "proton:ListServiceTemplateMinorVersions",
        "proton:ListServices",
        "proton:ListServiceInstances",
        "proton:ListEnvironments",
        "proton:GetServiceTemplate",
        "proton:GetServiceTemplateMajorVersion",
        "proton:GetServiceTemplateMinorVersion",
        "proton:GetService",
        "proton:GetServiceInstance",
        "proton:GetEnvironment",
        "proton:CreateService",
        "proton:UpdateService",
        "proton:UpdateServiceInstance",
        "proton:UpdateServicePipeline",
        "proton:DeleteService"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção de dados

Registro em log e monitoramento