Segurança - Cloud Migration Factory na AWS
Perfis do IAMAmazon CognitoAmazon CloudFrontAWS WAF - Web Application Firewall

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse modelo compartilhado pode reduzir sua carga operacional à medida que a AWS opera, gerencia e controla os componentes do sistema operacional hospedeiro e da camada de virtualização até a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre segurança na AWS, acesse AWS Cloud Security.

Perfis do IAM

As funções do AWS Identity and Access Management (IAM) permitem que você atribua políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. Essa solução cria funções do IAM que concedem à função AWS Lambda acesso aos outros serviços da AWS usados nessa solução.

Amazon Cognito

O usuário do Amazon Cognito criado por essa solução é um usuário local com permissões para acessar somente o restante APIs dessa solução. Esse usuário não tem permissões para acessar nenhum outro serviço na sua conta da AWS. Para mais informações, consulte Grupos de usuários do Amazon Cognito no Guia do desenvolvedor do Amazon Cognito.

Como opção, a solução oferece suporte ao login externo do SAML por meio da configuração de provedores de identidade federados e da funcionalidade de interface de usuário hospedada do Amazon Cognito.

Amazon CloudFront

Essa solução padrão implementa um console web hospedado em um bucket do Amazon S3. Para ajudar a reduzir a latência e melhorar a segurança, essa solução inclui uma CloudFront distribuição da Amazon com uma identidade de acesso de origem, que é um CloudFront usuário especial que ajuda a fornecer acesso público ao conteúdo do bucket do site da solução. Para obter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3 usando uma identidade de acesso de origem no CloudFront Amazon Developer Guide.

Se um tipo de implantação privada for selecionado durante a implantação da pilha, a CloudFront distribuição não será implantada e exigirá que outro serviço de hospedagem na web seja usado para hospedar o console web.

AWS WAF - Web Application Firewall

Se o tipo de implantação selecionado na pilha for Público com o AWS WAF, eles implantarão CloudFormation a ACLs Web e as Regras do AWS WAF necessárias, configuradas para proteger, o CloudFront API Gateway e os endpoints do Cognito criados pela solução CMF. Esses endpoints serão restritos para permitir que somente endereços IP de origem especificados acessem esses endpoints. Durante a implantação da pilha, dois intervalos de CIDR devem ser fornecidos com o recurso para adicionar regras adicionais após a implantação por meio do console do AWS WAF.

Importante

Ao configurar as restrições de IP do WAF, certifique-se de que o endereço IP do seu servidor de automação CMF ou o IP de saída do NAT Gateway esteja incluído nos intervalos de CIDR permitidos. Isso é fundamental para o funcionamento adequado dos scripts de automação do CMF que precisam acessar os endpoints da API da solução.