本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全性
当您在 AWS 基础设施上构建系统时,AWS 和您如何共同分担安全责任。此责任共担模式
IAM 角色
AWS Identity and Access Management (IAM) 角色允许客户向 AWS 云上的服务和用户分配精细的访问策略和权限。此解决方案创建 IAM 角色,这些角色向解决方案的 AWS Lambda 函数授予创建区域资源的访问权限。
Amazon CloudFront
此解决方案部署了托管在 Amazon S3 存储桶中的网页用户界面,该存储桶由亚马逊 CloudFront分发。为了帮助减少延迟和提高安全性,该解决方案包括一个具有原始访问身份的 CloudFront 分发,即提供对解决方案网站存储桶内容的公开访问权限的 CloudFront 用户。默认情况下,该 CloudFront 发行版使用 TLS 1.2 来强制执行最高级别的安全协议。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问。
CloudFront 激活其他安全缓解措施,将 HTTP 安全标头附加到每个查看者响应中。有关更多信息,请参阅在 CloudFront 响应中添加或删除 HTTP 标头。
此解决方案使用默认 CloudFront 证书,其支持的最低安全协议为 TLS v1.0。要强制使用 TLS v1.2 或 TLS v1.3,必须使用自定义 SSL 证书而不是默认 CloudFront 证书。有关更多信息,请参阅如何将我的 CloudFront 发行版配置为使用 SSL/TLS 证书
Amazon API Gateway
该解决方案部署了边缘优化的 Amazon API Gateway 终端节点,以使用默认 API Gateway 终端节点而不是自定义域来提供 RESTful APIs 负载测试功能。对于 APIs 使用默认端点进行边缘优化,API Gateway 使用 TLS-1-0 安全策略。有关更多信息,请参阅 Amazon API Gateway 开发者指南 APIs中的使用 REST。
此解决方案使用默认 API Gateway 证书,该证书支持的最低安全协议为 TLS v1.0。要强制使用 TLS v1.2 或 TLS v1.3,您必须使用带有自定义 SSL 证书的自定义域名,而不是默认的 API Gateway 证书。有关更多信息,请参阅为 REST 设置自定义域名 APIs。
AWS Fargate 安全组
默认情况下,此解决方案向公众开放 AWS Fargate 安全组的出站规则。如果您想阻止 AWS Fargate 向任何地方发送流量,请将出站规则更改为特定的无类域间路由 (CIDR)。
该安全组还包括一条入站规则,允许端口 50,000 上的本地流量流向属于同一安全组的任何来源。这用于允许容器相互通信。
网络 stress test
根据网络压力测试政策
限制对公共用户界面的访问
要在 IAM 和 Amazon Cognito 提供的身份验证和授权机制之外限制对面向公众的用户界面的访问,请使用 AWS WAF(网络应用程序防火墙
此解决方案会自动部署一组 AWS WAF 规则,用于过滤常见的基于 Web 的攻击。用户可以从预配置的保护功能中进行选择,这些功能定义了 AWS WAF Web 访问控制列表 (Web ACL) 中包含的规则。
MCP 服务器安全(可选)
如果您部署了可选的 MCP 服务器集成,则该解决方案将使用 AWS AgentCore Gateway 为 AI 代理提供对负载测试数据的安全访问。 AgentCore Gateway 会验证每个请求的 Amazon Cognito 身份验证令牌,确保只有经过授权的用户才能访问 MCP 服务器。MCP 服务器 Lambda 函数实现只读访问模式,从而防止 AI 代理修改测试配置或结果。所有 MCP 服务器交互都使用与 Web 控制台相同的权限边界和访问控制。
