Segurança - Cloud Migration Factory na AWS
Perfis do IAMAmazon CognitoAmazon CloudFrontAWS WAF - Web Application FirewallAmazon API GatewayAmazon CloudWatch Alarms//CanáriasChaves do AWS KMS gerenciadas pelo clienteRetenção de logAmazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse modelo compartilhado pode reduzir sua carga operacional à medida que a AWS opera, gerencia e controla os componentes do sistema operacional hospedeiro e da camada de virtualização até a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre segurança na AWS, visite AWS Cloud Security.

Perfis do IAM

As funções do AWS Identity and Access Management (IAM) permitem que você atribua políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. Essa solução cria funções do IAM que concedem à função AWS Lambda acesso aos outros serviços da AWS usados nessa solução.

Amazon Cognito

O usuário do Amazon Cognito criado por essa solução é um usuário local com permissões para acessar somente o restante APIs dessa solução. Esse usuário não tem permissões para acessar nenhum outro serviço na sua conta da AWS. Para mais informações, consulte Grupos de usuários do Amazon Cognito no Guia do desenvolvedor do Amazon Cognito.

Como opção, a solução oferece suporte ao login externo do SAML por meio da configuração de provedores de identidade federados e da funcionalidade de interface de usuário hospedada do Amazon Cognito.

Amazon CloudFront

Essa solução padrão implementa um console web hospedado em um bucket do Amazon S3. Para ajudar a reduzir a latência e melhorar a segurança, essa solução inclui uma CloudFront distribuição da Amazon com uma identidade de acesso de origem, que é um CloudFront usuário especial que ajuda a fornecer acesso público ao conteúdo do bucket do site da solução. Para obter mais informações, consulte Restringir o acesso ao conteúdo do Amazon S3 usando uma identidade de acesso de origem no CloudFront Amazon Developer Guide.

Se um tipo de implantação privada for selecionado durante a implantação da pilha, a CloudFront distribuição não será implantada e exigirá que outro serviço de hospedagem na web seja usado para hospedar o console web.

AWS WAF - Web Application Firewall

Se o tipo de implantação selecionado na pilha for Público com o AWS WAF, eles implantarão CloudFormation a ACLs Web e as Regras do AWS WAF necessárias, configuradas para proteger, o CloudFront API Gateway e os endpoints do Cognito criados pela solução CMF. Esses endpoints serão restritos para permitir que somente endereços IP de origem especificados acessem esses endpoints. Durante a implantação da pilha, dois intervalos de CIDR devem ser fornecidos com o recurso para adicionar regras adicionais após a implantação por meio do console do AWS WAF.

Importante

Ao configurar as restrições de IP do WAF, certifique-se de que o endereço IP do seu servidor de automação CMF ou o IP de saída do NAT Gateway esteja incluído nos intervalos de CIDR permitidos. Isso é fundamental para o funcionamento adequado dos scripts de automação do CMF que precisam acessar os endpoints da API da solução.

Amazon API Gateway

Essa solução implanta o Amazon API Gateway REST APIs e usa o endpoint de API padrão e o certificado SSL. O endpoint padrão da API oferece suporte à política TLSv1 de segurança. É recomendável usar a política de segurança TLS_1_2 para aplicar TLSv1 .2+ com seu próprio nome de domínio personalizado e certificado SSL personalizado. Para obter mais informações, consulte a escolha de uma versão mínima do TLS para um domínio personalizado no API Gateway e a configuração de domínios personalizados no Guia do desenvolvedor do Amazon API Gateway.

Amazon CloudWatch Alarms//Canárias

Os CloudWatch alarmes da Amazon ajudam você a monitorar as suposições funcionais e de segurança da solução que estão sendo seguidas. A solução inclui registros e métricas para funções do AWS Lambda e endpoints do API Gateway. Se for necessário monitoramento adicional para seu caso de uso específico, você pode configurar CloudWatch alarmes para monitorar:

  • Monitoramento do API Gateway:

    • Configure alarmes para erros 4XX e 5XX para detectar tentativas de acesso não autorizado ou problemas de API

    • Monitore a latência do API Gateway para garantir o desempenho

    • Acompanhe a contagem de solicitações de API para identificar padrões incomuns

  • Monitoramento de funções do AWS Lambda:

    • Crie alarmes para erros e tempos limite da função Lambda

    • Monitore a duração da função Lambda para garantir o desempenho ideal

    • Configure alarmes para execuções simultâneas para evitar a limitação

Você pode criar esses alarmes usando o CloudWatch console ou por meio de CloudFormation modelos da AWS. Para obter instruções detalhadas sobre a criação de CloudWatch alarmes, consulte Criação de CloudWatch alarmes da Amazon no Guia CloudWatch do usuário da Amazon.

Chaves do AWS KMS gerenciadas pelo cliente

Essa solução usa criptografia em repouso para proteger dados e emprega chaves gerenciadas pela AWS para dados de clientes. Essas chaves são usadas para criptografar seus dados de forma automática e transparente antes de serem gravados nas camadas de armazenamento. Alguns usuários podem preferir ter mais controle sobre seus processos de criptografia de dados. Essa abordagem permite que você administre suas próprias credenciais de segurança, oferecendo um maior nível de controle e visibilidade. Para obter mais informações, consulte Conceitos básicos e chaves do AWS KMS no Guia do desenvolvedor do AWS Key Management Service.

Retenção de log

Essa solução captura registros de aplicativos e serviços criando grupos de CloudWatch registros da Amazon em sua conta. Por padrão, os registros são mantidos por 10 anos. Você pode ajustar o LogRetentionPeriod parâmetro para cada grupo de registros, alternando para retenção indefinida ou escolhendo um período de retenção entre um dia e 10 anos com base em suas necessidades. Para obter mais informações, consulte O que é o Amazon CloudWatch Logs? no Guia do usuário do Amazon CloudWatch Logs.

Amazon Bedrock

A solução seleciona automaticamente o melhor modelo de base disponível para sua região durante a implantação da CloudFormation pilha. O processo de seleção usa uma função Lambda que chama list_foundation_models() e escolhe o primeiro modelo disponível nessa ordem de prioridade:

  1. anthropic.claude-sonnet-4-20250514-v1:0(Soneto 4)

  2. anthropic.claude-3-7-sonnet-20250219-v1:0(Soneto 3.7)

  3. anthropic.claude-3-5-sonnet-20241022-v2:0(Soneto 3.5v2)

  4. anthropic.claude-3-5-sonnet-20240620-v1:0(Soneto 3.5)

  5. anthropic.claude-3-sonnet-20240229-v1:0(Soneto 3)

  6. amazon.nova-pro-v1:0(Novo Pro)

Você deve habilitar o modelo selecionado em sua conta da AWS por meio do console Bedrock para usar os recursos do GenAI. As principais funcionalidades da solução permanecem totalmente operacionais sem habilitar os recursos do GenAI. Os clientes podem optar por usar a ferramenta com entradas manuais se preferirem não usar os recursos assistidos por IA.

Após a implantação, você pode encontrar o ARN do modelo selecionado nas saídas da CloudFormation pilha, abaixo do campo noGenAISelectedModelArn. WPMStack

CloudFormation saída da pilha mostrando o ARN do modelo GenAI selecionado
Interface de habilitação do modelo Amazon Bedrock

A configuração padrão dessa solução implantará o Amazon Bedrock Guardrails para:

  • Filtrar conteúdo nocivo

  • Bloqueie injeções imediatas que são irrelevantes para seu caso de uso

Interface de configuração do Amazon Bedrock Guardrails

Para obter mais informações, consulte Amazon Bedrock Guardrails. Para desativar o Guardrails na solução CMF, você pode selecionar false na seção de parâmetros do modelo.