本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全
當您在 AWS 基礎設施上建置系統時,安全責任將由您與 AWS 共同承擔。此共同責任模型
IAM 角色
AWS Identity and Access Management (IAM) 角色可讓客戶將精細的存取政策和許可指派給 AWS 雲端上的服務和使用者。此解決方案會建立 IAM 角色,授予解決方案的 AWS Lambda 函數建立區域資源的存取權。
Amazon CloudFront
此解決方案會部署託管在 Amazon S3 儲存貯體中的 Web UI,該儲存貯體由 Amazon CloudFront 分發。為了協助減少延遲並改善安全性,此解決方案包含具有原始存取身分的 CloudFront 分佈,這是提供解決方案網站儲存貯體內容公開存取權的 CloudFront 使用者。根據預設,CloudFront 分佈會使用 TLS 1.2 來強制執行最高層級的安全通訊協定。如需詳細資訊,請參閱《Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取。 Amazon CloudFront
CloudFront 會啟用其他安全緩解措施,將 HTTP 安全標頭附加至每個檢視器回應。如需詳細資訊,請參閱在 CloudFront 回應中新增或移除 HTTP 標頭。
此解決方案使用預設 CloudFront 憑證,其具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3,您必須使用自訂 SSL 憑證,而非預設 CloudFront 憑證。如需詳細資訊,請參閱如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證
Amazon API Gateway
此解決方案部署邊緣最佳化的 Amazon API Gateway 端點,以使用預設 APIs Gateway 端點而非自訂網域為負載測試功能提供 RESTful API。對於使用預設端點的邊緣最佳化 APIs,API Gateway 會使用 TLS-1-0 安全政策。如需詳細資訊,請參閱《Amazon APIs》中的使用 REST API。 Amazon API Gateway
此解決方案使用預設 API Gateway 憑證,其具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3,您必須使用具有自訂 SSL 憑證的自訂網域,而非預設 API Gateway 憑證。如需詳細資訊,請參閱設定 REST APIs 的自訂網域名稱。
AWS Fargate 安全群組
根據預設,此解決方案會將 AWS Fargate 安全群組的傳出規則開放給大眾。如果您想要封鎖 AWS Fargate 到處傳送流量,請將傳出規則變更為特定無類別網域間路由 (CIDR)。
此安全群組也包含傳入規則,允許連接埠 50,000 上的本機流量流向屬於相同安全群組的任何來源。這用於允許容器彼此通訊。
網路壓力測試
您有責任在網路壓力測試政策
限制對公有使用者介面的存取
若要限制存取 IAM 和 Amazon Cognito 提供的身分驗證和授權機制以外的公開使用者介面,請使用 AWS WAF (Web 應用程式防火牆) 安全自動化解決方案
此解決方案會自動部署一組可篩選常見 Web 型攻擊的 AWS WAF 規則。使用者可以從預先設定的保護功能中選擇,這些功能定義 AWS WAF Web 存取控制清單 (Web ACL) 中包含的規則。
MCP 伺服器安全性 (選用)
如果您部署選用的 MCP Server 整合,解決方案會使用 AWS AgentCore Gateway 提供安全的存取,以載入 AI 代理器的測試資料。AgentCore Gateway 會驗證每個請求的 Amazon Cognito 身分驗證字符,確保只有授權使用者可以存取 MCP 伺服器。MCP Server Lambda 函數實作唯讀存取模式,防止 AI 代理器修改測試組態或結果。所有 MCP 伺服器互動都使用與 Web 主控台相同的許可界限和存取控制。
