Guard e segurança

Considerações de segurança para o Guard da API do parceiro de vendas da Amazon

Ao criar sistemas na infraestrutura da AWS, as responsabilidades de segurança são compartilhadas entre você e a AWS. Este modelo compartilhado reduz a carga operacional porque a AWS opera, gerencia e controla os componentes, incluindo o sistema operacional do host, a camada de virtualização e a segurança física das instalações nas quais os serviços são executados. Para obter mais informações sobre a segurança da AWS, visite Segurança na nuvem da AWS.

Funções do AWS Identity and Access Management (IAM)

  • As funções do AWS IAM permitem que os clientes atribuam políticas e permissões de acesso granulares a serviços e usuários na nuvem da AWS. O Guard da API do parceiro de vendas cria funções do IAM que concedem acesso às funções do AWS Lambda para criar recursos regionais. O Guard da API do parceiro de vendas cria as seguintes funções:

  • Função de execução do AWS Lambda: essa função fornece aos manipuladores do Lambda permissões para realizar as seguintes operações:

    • Permitir que a infraestrutura de suporte envie notificações por e-mail
    • Adicionar/modificar/excluir assinaturas do Amazon EventBridge
    • Iniciar/interromper a verificação dos serviços de segurança
    • Criar/encerrar o processo de instância do Amazon EC2
  • Função da instância do Amazon EC2: essa função é criada e anexada à instância do EC2 para conceder permissões suficientes para fazer chamadas de API para os respectivos serviços da AWS. Ela tem permissões para fazer as chamadas do S3 para fazer download dos artefatos necessários para executar os comandos da CLI.

  • Política de acesso do Amazon S3: essa política é restrita às funções necessárias do IAM que limitam a recuperação de artefatos.

Grupos de segurança

Os grupos de segurança do Guard da API do parceiro de vendas foram projetados para controlar e isolar o tráfego de rede nas instâncias do Amazon EC2. Recomendamos que você revise os grupos de segurança e restrinja ainda mais o acesso a cada trimestre. Como parte da criação de instâncias do Amazon EC2, o Guard da API do parceiro de vendas cria um novo grupo de segurança com a tag GuardCLI, que restringe o acesso à rede a dois intervalos de IP para o protocolo SSH com os seguintes requisitos:

  • Prefixo IP do Gerenciador de sessões: o Guard da API do parceiro de vendas busca a faixa dinâmica do SSM IP Range e fornece acesso no grupo de segurança. Isso garante que o Guard da API do parceiro de vendas crie uma sessão baseada em navegador na instância do Amazon EC2 e execute comandos da CLI usando o link de sessão gerado durante o tempo de execução.

  • Seu próprio prefixo IP da AWS: o Guard da API do parceiro de vendas busca seu prefixo IP durante o tempo de execução e concede as permissões necessárias para acessar em sua rede local.


Esta página ajudou você?