As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança
<a name="security-1"></a>

Quando você cria sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Esse [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) reduz sua carga operacional porque a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações nas quais os serviços operam. Para obter mais informações sobre a segurança da AWS, visite o [Centro de Segurança da AWS](https://aws.amazon.com/security/).

## Acesso ao recurso
<a name="resource-access"></a>

### Perfis do IAM
<a name="iam-roles"></a>

As funções do IAM permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. São necessárias várias funções para executar o Workload Discovery na AWS e descobrir recursos nas contas da AWS.

### Amazon Cognito
<a name="amazon-cognito"></a>

O Amazon Cognito é usado para autenticar o acesso com credenciais fortes e de curta duração, concedendo acesso aos componentes necessários para o Workload Discovery na AWS.

## Acesso à rede
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

O Workload Discovery na AWS é implantado em uma Amazon VPC e configurado de acordo com as melhores práticas para oferecer segurança e alta disponibilidade. Para obter detalhes adicionais, consulte as [melhores práticas de segurança para sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Os endpoints VPC permitem o trânsito sem Internet entre os serviços e são configurados quando disponíveis.

Os grupos de segurança são usados para controlar e isolar o tráfego de rede entre os componentes necessários para executar o Workload Discovery na AWS.

Recomendamos que você revise os grupos de segurança e restrinja ainda mais o acesso conforme necessário quando a implantação estiver em execução.

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

Essa solução implanta uma interface de usuário de console web [hospedada](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) em um bucket Amazon S3 que é distribuído pela Amazon. CloudFront Ao usar o recurso de identidade de acesso de origem, o conteúdo desse bucket do Amazon S3 pode ser acessado somente por meio de. CloudFront Para obter mais informações, consulte [Restringir o acesso a uma origem do Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) no * CloudFront Amazon Developer Guide*.

CloudFront ativa mitigações de segurança adicionais para acrescentar cabeçalhos de segurança HTTP à resposta de cada visualizador. Para obter detalhes adicionais, consulte [Adicionar ou remover cabeçalhos HTTP nas CloudFront respostas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html).

Essa solução usa o CloudFront certificado padrão que tem um protocolo de segurança mínimo suportado de TLS v1.0. Para impor o uso do TLS v1.2 ou do TLS v1.3, você deve usar um certificado SSL personalizado em vez do certificado padrão. CloudFront Para obter mais informações, consulte [Como configuro minha CloudFront distribuição para usar um certificado SSL/TLS](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/).

## Configuração do aplicativo
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

O Workload Discovery no AWS APIs GraphQL tem a validação de solicitações fornecida pela AppSync AWS de acordo com a especificação [GraphQL](https://spec.graphql.org/June2018/#sec-Validation). Além disso, a autenticação e a autorização são implementadas usando o IAM e o Amazon Cognito, que usam o JWT fornecido pelo Amazon Cognito quando um usuário se autentica com sucesso na interface de usuário da web.

### AWS Lambda
<a name="aws-lambda"></a>

Por padrão, as funções do Lambda são configuradas com a versão estável mais recente do runtime da linguagem. Nenhum dado ou segredo confidencial é registrado. As interações de serviço são realizadas com o menor privilégio necessário. As funções que definem esses privilégios não são compartilhadas entre as funções.

### OpenSearch Serviço Amazon
<a name="amazon-opensearch-service"></a>

Os domínios do Amazon OpenSearch Service são configurados com uma política de acesso que restringe o acesso para interromper quaisquer solicitações não assinadas feitas ao OpenSearch cluster de serviços. Isso é restrito a uma única função Lambda.

O cluster OpenSearch de serviços é construído com a node-to-node criptografia ativada para adicionar uma camada extra de proteção de dados aos [recursos de segurança](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) do OpenSearch serviço existentes.