Garde et sécurité
Considérations en matière de sécurité pour Guard API partenaire de vente d'Amazon
Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce modèle partagé réduit votre charge opérationnelle dans la mesure où AWS exploite, gère et contrôle les composants, notamment le système d'exploitation hôte, la couche de virtualisation et la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité AWS, rendez-vous dans la section Sécurité du cloud AWS.
Rôles AWS pour la gestion des identités et des accès (IAM)
-
Les rôles AWS IAM permettent aux clients d'attribuer des politiques d'accès et des autorisations granulaires aux services et aux utilisateurs du cloud AWS. Guard API partenaire de vente crée des rôles IAM qui permettent aux fonctions AWS Lambda d'accéder à des ressources régionales. Les rôles sont les suivants :
-
Rôle d'exécution AWS Lambda : ce rôle fournit aux gestionnaires Lambda les autorisations nécessaires pour effectuer les opérations suivantes :
- autoriser l'infrastructure d'assistance à envoyer des notifications par e-mail ;
- ajouter/modifier/supprimer des abonnements Amazon EventBridge ;
- démarrer/arrêter l'analyse des services de sécurité ;
- créer/terminer le processus d'instance Amazon EC2.
-
Rôle d'instance Amazon EC2 : ce rôle est créé et rattaché à l'instance EC2 afin d'accorder des autorisations suffisantes pour effectuer des appels d'API vers les services AWS respectifs. Il fournit les autorisations nécessaires pour effectuer les appels S3 en vue de télécharger les artefacts requis pour exécuter les commandes d'interface de ligne de commande.
-
Politique d'accès à Amazon S3: cette politique est réservée aux rôles IAM nécessaires qui limitent la récupération des artefacts.
Groupes de sécurité
Les groupes de sécurité de Guard API partenaire de vente sont conçus pour contrôler et isoler le trafic réseau sur vos instances Amazon EC2. Nous vous recommandons de passer en revue les groupes de sécurité et de restreindre davantage l'accès tous les trimestres. Dans le cadre de la création d'instances Amazon EC2, Guard API partenaire de vente crée un nouveau groupe de sécurité avec la balise GuardCLI, permettant de restreindre l'accès réseau à deux plages d'adresses IP pour le protocole SSH avec les exigences suivantes.
-
Préfixe IP du gestionnaire de sessions : Guard API partenaire de vente extrait la plage dynamique de la plage IP SSM et fournit l'accès dans Security Group, garantissant ainsi la création d'une session basée sur un navigateur sur l'instance Amazon EC2 et l'exécution des commandes de l'interface de ligne de commande à l'aide du lien de session généré pendant l'exécution.
-
Votre propre préfixe IP AWS : Guard API partenaire de vente extrait votre préfixe IP pendant l'exécution et accorde les autorisations nécessaires pour accéder à votre réseau local.
Updated 23 days ago