安全 - AWS 上的分散式負載測試
IAM 角色Amazon CloudFrontAmazon API GatewayAWS Fargate 安全群組Amazon VPC網路壓力測試限制對公有使用者介面的存取MCP 伺服器安全性 (選用)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全

當您在 AWS 基礎設施上建置系統時,安全責任由您和 AWS 共同承擔。此共同責任模型可減輕您的營運負擔,因為 AWS 會操作、管理和控制元件,包括主機作業系統、虛擬化層,以及服務營運所在設施的實體安全性。如需 AWS 安全性的詳細資訊,請造訪 AWS Cloud Security

IAM 角色

AWS Identity and Access Management (IAM) 角色可讓客戶將精細的存取政策和許可指派給 AWS 雲端上的服務和使用者。此解決方案會建立 IAM 角色,授予解決方案的 AWS Lambda 函數建立區域資源的存取權。

Amazon CloudFront

此解決方案會部署託管在 Amazon S3 儲存貯體中的 Web UI,該儲存貯體由 Amazon CloudFront 分發。為了協助減少延遲並改善安全性,此解決方案包含具有原始存取身分的 CloudFront 分佈,這是提供解決方案網站儲存貯體內容公開存取權的 CloudFront 使用者。根據預設,CloudFront 分佈會使用 TLS 1.2 來強制執行最高層級的安全通訊協定。如需詳細資訊,請參閱《Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取Amazon CloudFront

CloudFront 會啟用其他安全緩解措施,將 HTTP 安全標頭附加至每個檢視器回應。如需詳細資訊,請參閱在 CloudFront 回應中新增或移除 HTTP 標頭

此解決方案使用預設 CloudFront 憑證,其具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3,您必須使用自訂 SSL 憑證,而非預設 CloudFront 憑證。如需詳細資訊,請參閱如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證

Amazon API Gateway

此解決方案部署邊緣最佳化的 Amazon API Gateway 端點,以使用預設 APIs Gateway 端點而非自訂網域為負載測試功能提供 RESTful API。對於使用預設端點的邊緣最佳化 APIs,API Gateway 會使用 TLS-1-0 安全政策。如需詳細資訊,請參閱《Amazon APIs》中的使用 REST API。 Amazon API Gateway

此解決方案使用預設 API Gateway 憑證,其具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3,您必須使用具有自訂 SSL 憑證的自訂網域,而非預設 API Gateway 憑證。如需詳細資訊,請參閱設定 REST APIs 的自訂網域名稱

AWS Fargate 安全群組

根據預設,此解決方案會將 AWS Fargate 安全群組的傳出規則開放給大眾。如果您想要封鎖 AWS Fargate 到處傳送流量,請將傳出規則變更為特定無類別網域間路由 (CIDR)。

此安全群組也包含傳入規則,允許連接埠 50,000 上的本機流量流向屬於相同安全群組的任何來源。這用於允許容器彼此通訊。

Amazon VPC

VPC:以 Amazon VPC 服務為基礎的虛擬私有雲端 (VPC) 為您提供 AWS 雲端中邏輯上隔離的私有網路。

您可以在部署期間在 AWS CloudFormation 參數中指定自己的 VPC。VPC 僅供產生負載的 ECS 任務使用;Web 主控台和 API 不會部署在此 VPC 中。如果您未指定現有的 VPC,解決方案將使用所需的聯網組態建立新的 VPC。如果您選擇使用現有的 VPC,則必須符合下列要求,才能成功執行負載測試任務。

VPC 要求

與 AWS 上的分散式負載測試搭配使用的 VPC 最低需求如下所示。

  • VPC 必須至少包含兩個 AZs

  • VPC 必須至少包含兩個子網路,每個子網路都位於單獨的 AZ 中

  • VPC 子網路可以是公有或私有,但必須使用相同的組態 (公有或私有)

  • VPC 必須提供 ECR、CloudWatch Logs、S3 和 IoT Core 端點的存取權。

  • VPC 必須提供負載測試鎖定目標的 (服務) 存取權。

注意

如果您沒有符合這些條件的 VPC,您可以使用 VPC 精靈快速建立 VPC。如需詳細資訊,請參閱建立一個 VPC

公有子網路可以滿足這些要求,方法是包含下列項目:

  • 連接至 VPC 的網際網路閘道

  • 網際網路閘道的路由 (0.0.0.0/0)

私有子網路可以透過使用 NAT Gateway 或 VPC 端點來滿足這些需求,如下所述。

選項 1:NAT 閘道

  • 在具有私有子網路的每個 AZ 中部署 NAT 閘道

  • 設定路由表以透過 NAT Gateway 路由網際網路繫結流量 (0.0.0.0/0)

選項 2:VPC 端點

在 VPC 中建立下列 VPC 端點:

  • Amazon ECR API 端點: com.amazonaws.<region>.ecr.api

  • Amazon ECR DKR 端點: com.amazonaws.<region>.ecr.dkr

  • Amazon CloudWatch Logs 端點: com.amazonaws.<region>.logs

  • Amazon S3 Gateway 端點: com.amazonaws.<region>.s3

  • AWS IoT Core 端點 (如果使用即時資料圖表則為必要) com.amazonaws.<region>.iot.data

其他 VPC 組態也可能運作。

重要

連接到每個 VPC 端點界面的安全群組必須允許來自 ECS 任務安全群組的連接埠 443 上的傳入 TCP 流量。

安全群組組態

在部署期間,解決方案會在 VPC 中建立安全群組,以允許 ECS 叢集中具有任務的下列流量:

  • 所有傳出流量

  • 連接埠 50000 上的傳入流量來自相同安全群組中的其他任務,以促進工作者和領導者任務之間的協調。

網路壓力測試

您有責任在網路壓力測試政策下使用此解決方案。此政策涵蓋的情況包括當您計劃直接從 Amazon EC2 執行個體執行大量網路測試到其他位置,例如其他 Amazon EC2 執行個體、AWS 屬性/服務或外部端點。這些測試有時稱為壓力測試、負載測試或遊戲日測試。大多數客戶測試不會屬於此政策;不過,如果您認為產生的流量總計維持超過 1 分鐘、超過 1 Gbps (每秒 10 億位元) 或超過 1 Gpps (每秒 10 億封包)。

限制對公有使用者介面的存取

若要限制存取 IAM 和 Amazon Cognito 提供的身分驗證和授權機制以外的公開使用者介面,請使用 AWS WAF (Web 應用程式防火牆) 安全自動化解決方案

此解決方案會自動部署一組可篩選常見 Web 型攻擊的 AWS WAF 規則。使用者可以從預先設定的保護功能中選取 ,這些功能定義 AWS WAF Web 存取控制清單 (Web ACL) 中包含的規則。

MCP 伺服器安全性 (選用)

如果您部署選用的 MCP Server 整合,解決方案會使用 AWS AgentCore Gateway 提供安全的存取,以載入 AI 代理器的測試資料。AgentCore Gateway 會驗證每個請求的 Amazon Cognito 身分驗證字符,確保只有授權使用者可以存取 MCP 伺服器。MCP Server Lambda 函數實作唯讀存取模式,防止 AI 代理器修改測試組態或結果。所有 MCP 伺服器互動都使用與 Web 主控台相同的許可界限和存取控制。