本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性
<a name="security-1"></a>

当您在 AWS 基础设施上构建系统时，安全责任由您和 AWS 共同承担。这种[分担责任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)减轻了您的运营负担，因为 AWS 运营、管理和控制包括主机操作系统、虚拟化层和服务运行设施的物理安全在内的组件。有关 AWS 安全的更多信息，请访问 [AWS 安全中心](https://aws.amazon.com/security/)。

## 资源访问权限
<a name="resource-access"></a>

### IAM 角色
<a name="iam-roles"></a>

IAM 角色允许客户向 AWS 云上的服务和用户分配精细的访问策略和权限。需要多个角色才能在 AWS 上运行工作负载发现和发现 AWS 账户中的资源。

### Amazon Cognito
<a name="amazon-cognito"></a>

Amazon Cognito 用于使用短期的强凭证对访问进行身份验证，该证书允许访问 AWS 上工作负载发现所需的组件。

## 网络访问
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

AWS 上的工作负载发现部署在 Amazon VPC 中，并根据最佳实践进行配置，以提供安全性和高可用性。有关更多详细信息，请参阅[您的 VPC 安全最佳实践](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。VPC 终端节点允许在服务之间进行非互联网传输，并在可用时进行配置。

安全组用于控制和隔离在 AWS 上运行 Workload Discovery 所需的组件之间的网络流量。

我们建议您在部署启动并运行后查看安全组并根据需要进一步限制访问权限。

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

此解决方案部署了[托管](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html)在亚马逊分发的 Amazon S3 存储桶中的 Web 控制台用户界面。 CloudFront通过使用源访问身份功能，只能通过访问此 Amazon S3 存储桶的内容 CloudFront。有关更多信息，请参阅《亚马逊* CloudFront 开发者指南》中的限制对 Amazon* [S3 来源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。

CloudFront 激活其他安全缓解措施，将 HTTP 安全标头附加到每个查看者响应中。有关更多详细信息，请参阅[在 CloudFront 响应中添加或删除 HTTP 标头](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html)。

此解决方案使用默认 CloudFront 证书，其支持的最低安全协议为 TLS v1.0。要强制使用 TLS v1.2 或 TLS v1.3，必须使用自定义 SSL 证书而不是默认 CloudFront 证书。有关更多信息，请参阅[如何将我的 CloudFront 发行版配置为使用 SSL/TLS 证书](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/)。

## 应用程序配置
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

[AWS GraphQL 上的工作负载发现 APIs 功能由 AWS AppSync 根据 GraphQL 规范提供请求验证。](https://spec.graphql.org/June2018/#sec-Validation)此外，身份验证和授权是使用 IAM 和 Amazon Cognito 实现的，当用户在网页用户界面中成功进行身份验证时，它们使用 Amazon Cognito 提供的 JWT。

### AWS Lambda
<a name="aws-lambda"></a>

默认情况下，Lambda 函数使用最新稳定版本的语言运行时进行配置。不记录任何敏感数据或机密。服务交互是以最低要求的权限进行的。定义这些权限的角色不会在函数之间共享。

### 亚马逊 OpenSearch 服务
<a name="amazon-opensearch-service"></a>

Amazon S OpenSearch ervice 域配置了访问策略，该策略限制访问权限，以阻止向 OpenSearch 服务集群发出的任何未签名请求。这仅限于单个 Lambda 函数。

 OpenSearch 服务集群是在激活 node-to-node加密的情况下构建的，以便在现有 OpenSearch 服务[安全功能](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html)之上再增加一层数据保护。