As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Segurança Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse [modelo compartilhado](https://aws.amazon.com/compliance/shared-responsibility-model/) pode reduzir sua carga operacional à medida que a AWS opera, gerencia e controla os componentes do sistema operacional hospedeiro e da camada de virtualização até a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre segurança na AWS, visite [AWS Cloud Security](https://aws.amazon.com/security). ## Perfis do IAM As funções do AWS Identity and Access Management (IAM) permitem que você atribua políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. Essa solução cria funções do IAM que concedem à função AWS Lambda acesso aos outros serviços da AWS usados nessa solução. ## Amazon Cognito O usuário do Amazon Cognito criado por essa solução é um usuário local com permissões para acessar somente o restante APIs dessa solução. Esse usuário não tem permissões para acessar nenhum outro serviço na sua conta da AWS. Para mais informações, consulte [Grupos de usuários do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) no *Guia do desenvolvedor do Amazon Cognito*. Como opção, a solução oferece suporte ao login externo do SAML por meio da configuração de provedores de identidade federados e da funcionalidade de interface de usuário hospedada do Amazon Cognito. ## Amazon CloudFront Essa solução padrão implementa um console web [hospedado](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) em um bucket do Amazon S3. Para ajudar a reduzir a latência e melhorar a segurança, essa solução inclui uma CloudFront distribuição [da Amazon](https://aws.amazon.com/cloudfront/) com uma identidade de acesso de origem, que é um CloudFront usuário especial que ajuda a fornecer acesso público ao conteúdo do bucket do site da solução. Para obter mais informações, consulte [Restringir o acesso ao conteúdo do Amazon S3 usando uma identidade de acesso de origem](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) no * CloudFront Amazon* Developer Guide. Se um tipo de implantação **privada** for selecionado durante a implantação da pilha, a CloudFront distribuição não será implantada e exigirá que outro serviço de hospedagem na web seja usado para hospedar o console web. ## AWS WAF - Web Application Firewall Se o tipo de implantação selecionado na pilha for Público com o [AWS](https://aws.amazon.com/waf/) WAF, eles implantarão CloudFormation a ACLs Web e as Regras do AWS WAF necessárias, configuradas para proteger, o CloudFront API Gateway e os endpoints do Cognito criados pela solução CMF. Esses endpoints serão restritos para permitir que somente endereços IP de origem especificados acessem esses endpoints. Durante a implantação da pilha, dois intervalos de CIDR devem ser fornecidos com o recurso para adicionar regras adicionais após a implantação por meio do console do AWS WAF. **Importante** Ao configurar as restrições de IP do WAF, certifique-se de que o endereço IP do seu servidor de automação CMF ou o IP de saída do NAT Gateway esteja incluído nos intervalos de CIDR permitidos. Isso é fundamental para o funcionamento adequado dos scripts de automação do CMF que precisam acessar os endpoints da API da solução. ## Amazon API Gateway Essa solução implanta o Amazon API Gateway REST APIs e usa o endpoint de API padrão e o certificado SSL. O endpoint padrão da API oferece suporte à política TLSv1 de segurança. É recomendável usar a política de segurança TLS\_1\_2 para aplicar TLSv1 .2\+ com seu próprio nome de domínio personalizado e certificado SSL personalizado. Para obter mais informações, consulte a [escolha de uma versão mínima do TLS para um domínio personalizado no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) e a [configuração de domínios personalizados](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) no Guia do desenvolvedor do *Amazon API Gateway*. ## Amazon CloudWatch Alarms//Canárias Os CloudWatch alarmes da Amazon ajudam você a monitorar as suposições funcionais e de segurança da solução que estão sendo seguidas. A solução inclui registros e métricas para funções do AWS Lambda e endpoints do API Gateway. Se for necessário monitoramento adicional para seu caso de uso específico, você pode configurar CloudWatch alarmes para monitorar: + **Monitoramento do API Gateway:** + Configure alarmes para erros 4XX e 5XX para detectar tentativas de acesso não autorizado ou problemas de API + Monitore a latência do API Gateway para garantir o desempenho + Acompanhe a contagem de solicitações de API para identificar padrões incomuns + **Monitoramento de funções do AWS Lambda:** + Crie alarmes para erros e tempos limite da função Lambda + Monitore a duração da função Lambda para garantir o desempenho ideal + Configure alarmes para execuções simultâneas para evitar a limitação Você pode criar esses alarmes usando o CloudWatch console ou por meio de CloudFormation modelos da AWS. Para obter instruções detalhadas sobre a criação de CloudWatch alarmes, consulte [Criação de CloudWatch alarmes da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) no Guia * CloudWatch do usuário da Amazon*. ## Chaves do AWS KMS gerenciadas pelo cliente Essa solução usa criptografia em repouso para proteger dados e emprega chaves gerenciadas pela AWS para dados de clientes. Essas chaves são usadas para criptografar seus dados de forma automática e transparente antes de serem gravados nas camadas de armazenamento. Alguns usuários podem preferir ter mais controle sobre seus processos de criptografia de dados. Essa abordagem permite que você administre suas próprias credenciais de segurança, oferecendo um maior nível de controle e visibilidade. Para obter mais informações, consulte [Conceitos básicos](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) e [chaves do AWS KMS no Guia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) do *desenvolvedor do AWS Key Management Service*. ## Retenção de log Essa solução captura registros de aplicativos e serviços criando grupos de CloudWatch registros da Amazon em sua conta. Por padrão, os registros são mantidos por 10 anos. Você pode ajustar o LogRetentionPeriod parâmetro para cada grupo de registros, alternando para retenção indefinida ou escolhendo um período de retenção entre um dia e 10 anos com base em suas necessidades. Para obter mais informações, consulte [O que é o Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features) no *Guia do usuário do Amazon CloudWatch Logs*. ## Amazon Bedrock A solução seleciona automaticamente o melhor modelo de base disponível para sua região durante a implantação da CloudFormation pilha. O processo de seleção usa uma função Lambda que chama `list_foundation_models()` e escolhe o primeiro modelo disponível nessa ordem de prioridade: 1. `anthropic.claude-sonnet-4-20250514-v1:0`(Soneto 4) 1. `anthropic.claude-3-7-sonnet-20250219-v1:0`(Soneto 3.7) 1. `anthropic.claude-3-5-sonnet-20241022-v2:0`(Soneto 3.5v2) 1. `anthropic.claude-3-5-sonnet-20240620-v1:0`(Soneto 3.5) 1. `anthropic.claude-3-sonnet-20240229-v1:0`(Soneto 3) 1. `amazon.nova-pro-v1:0`(Novo Pro) Você deve habilitar o modelo selecionado em sua conta da AWS por meio do console Bedrock para usar os recursos do GenAI. As principais funcionalidades da solução permanecem totalmente operacionais sem habilitar os recursos do GenAI. Os clientes podem optar por usar a ferramenta com entradas manuais se preferirem não usar os recursos assistidos por IA. Após a implantação, você pode encontrar o ARN do modelo selecionado nas saídas da CloudFormation pilha, abaixo do campo no`GenAISelectedModelArn`. WPMStack ![CloudFormation saída da pilha mostrando o ARN do modelo GenAI selecionado](http://docs.aws.amazon.com/pt_br/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png) ![Interface de habilitação do modelo Amazon Bedrock](http://docs.aws.amazon.com/pt_br/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png) A configuração padrão dessa solução implantará o Amazon Bedrock Guardrails para: + Filtrar conteúdo nocivo + Bloqueie injeções imediatas que são irrelevantes para seu caso de uso ![Interface de configuração do Amazon Bedrock Guardrails](http://docs.aws.amazon.com/pt_br/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png) Para obter mais informações, consulte [Amazon Bedrock Guardrails](https://aws.amazon.com/bedrock/guardrails/). Para desativar o Guardrails na solução CMF, você pode selecionar false na seção de parâmetros do modelo.