本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全
<a name="security-1"></a>

當您在 AWS 基礎設施上建置系統時，您與 AWS 之間會共同承擔安全責任。此[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可減少您的營運負擔，因為 AWS 會操作、管理和控制元件，包括主機作業系統、虛擬化層，以及服務營運所在設施的實體安全性。如需 AWS 安全性的詳細資訊，請造訪 [AWS 安全中心](https://aws.amazon.com/security/)。

## 資源存取
<a name="resource-access"></a>

### IAM 角色
<a name="iam-roles"></a>

IAM 角色可讓客戶將精細存取政策和許可指派給 AWS 雲端上的服務和使用者。在 AWS 上執行工作負載探索和探索 AWS 帳戶中的資源需要多個角色。

### Amazon Cognito
<a name="amazon-cognito"></a>

Amazon Cognito 用於使用短期、強大的登入資料來驗證存取權，以授予 AWS 上工作負載探索所需的元件存取權。

## 網路存取
<a name="network-access"></a>

### Amazon VPC
<a name="amazon-vpc"></a>

AWS 上的工作負載探索部署在 Amazon VPC 中，並根據最佳實務進行設定，以提供安全性和高可用性。如需其他詳細資訊，請參閱 [VPC 的安全最佳實務](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html)。VPC 端點允許服務之間的非網際網路傳輸，並在可用時設定。

安全群組用於控制和隔離在 AWS 上執行工作負載探索所需的元件之間的網路流量。

我們建議您檢閱安全群組，並在部署啟動並執行後視需要進一步限制存取。

### Amazon CloudFront
<a name="amazon-cloudfront"></a>

此解決方案會部署[託管](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html)在由 Amazon CloudFront 分佈的 Amazon S3 儲存貯體中的 Web 主控台 UI。 Amazon CloudFront 透過使用原始存取身分功能，只能透過 CloudFront 存取此 Amazon S3 儲存貯體的內容。如需詳細資訊，請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *

CloudFront 會啟用其他安全緩解措施，將 HTTP 安全標頭附加到每個檢視器回應。如需其他詳細資訊，請參閱在 [ CloudFront 回應中新增或移除 HTTP 標頭](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html)。

此解決方案使用預設 CloudFront 憑證，該憑證具有 TLS v1.0 的最低支援安全通訊協定。若要強制使用 TLS v1.2 或 TLS v1.3，您必須使用自訂 SSL 憑證，而非預設 CloudFront 憑證。如需詳細資訊，請參閱[如何將 CloudFront 分佈設定為使用 SSL/TLS 憑證](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/)。

## 應用程式組態
<a name="application-configuration"></a>

### AWS AppSync
<a name="aws-appsync"></a>

AWS GraphQL APIs 上的工作負載探索具有 AWS AppSync 根據 [GraphQL 規格](https://spec.graphql.org/June2018/#sec-Validation)提供的請求驗證。此外，身分驗證和授權是使用 IAM 和 Amazon Cognito 實作，當使用者在 Web UI 中成功驗證時，會使用 Amazon Cognito 提供的 JWT。

### AWS Lambda
<a name="aws-lambda"></a>

根據預設，Lambda 函數會設定為最新穩定版本的語言執行時間。不會記錄任何敏感資料或秘密。服務互動是以最低必要權限執行。定義這些權限的角色不會在函數之間共用。

### Amazon OpenSearch Service
<a name="amazon-opensearch-service"></a>

Amazon OpenSearch Service 網域設定了存取政策，限制存取以停止對 OpenSearch Service 叢集提出的任何未簽署請求。這僅限於單一 Lambda 函數。

OpenSearch Service 叢集建置時已啟用node-to-node加密，可在現有的 OpenSearch Service [安全功能](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html)上新增額外的資料保護層。