Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad
Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este [modelo compartido](https://aws.amazon.com/compliance/shared-responsibility-model/) puede reducir la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad en AWS, visite [AWS Cloud Security](https://aws.amazon.com/security).
## Roles de IAM
Las funciones de AWS Identity and Access Management (IAM) le permiten asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan a la función de AWS Lambda acceso a los demás servicios de AWS que se utilizan en esta solución.
## Amazon Cognito
El usuario de Amazon Cognito creado por esta solución es un usuario local con permisos para acceder únicamente al resto APIs de esta solución. Este usuario no tiene permisos para acceder a ningún otro servicio de su cuenta de AWS. Para obtener más información, consulte [Grupos de usuarios de Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) en la *Guía para desarrolladores de Amazon Cognito*.
La solución admite opcionalmente el inicio de sesión externo con SAML mediante la configuración de proveedores de identidad federados y la funcionalidad de interfaz de usuario alojada de Amazon Cognito.
## Amazon CloudFront
Esta solución predeterminada implementa una consola web [alojada](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) en un bucket de Amazon S3. Para ayudar a reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución de [Amazon](https://aws.amazon.com/cloudfront/) con una identidad de acceso de origen, que es un CloudFront usuario especial que ayuda a proporcionar acceso público al contenido del bucket del sitio web de la solución. Para obtener más información, consulte [Restringir el acceso al contenido de Amazon S3 mediante una identidad de acceso de origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) en la *Guía para CloudFront desarrolladores de Amazon*.
Si se selecciona un tipo de despliegue **privado** durante el despliegue apilado, no se despliega una CloudFront distribución y es necesario utilizar otro servicio de alojamiento web para alojar la consola web.
## AWS WAF: Web Application Firewall
Si el tipo de implementación seleccionado en la pila es Pública con [AWS WAF](https://aws.amazon.com/waf/), CloudFormation implementará la ACLs web y las reglas de AWS WAF requeridas configuradas para proteger, CloudFront API Gateway y Cognito puntos de conexión creados por la solución CMF. Estos puntos de conexión se restringirán para permitir que sólo las direcciones IP de origen especificadas accedan a estos puntos de conexión. Durante la implementación de la pila, se deben proporcionar dos rangos de CIDR con la función para agregar reglas adicionales después de la implementación a través de la consola AWS WAF.
**importante**
Al configurar las restricciones de IP del WAF, asegúrese de que la dirección IP de su servidor de automatización CMF o la IP de la puerta de enlace NAT saliente esté incluida en los rangos de CIDR permitidos. Esto es fundamental para el correcto funcionamiento de los scripts de automatización de CMF que necesitan acceder a los puntos finales de la API de la solución.
## Amazon API Gateway
Esta solución implementa Amazon API Gateway REST APIs y utiliza el punto de enlace de API y el certificado SSL predeterminados. El punto de enlace de la API predeterminado es compatible con TLSv1 la política de seguridad. Se recomienda utilizar la política de seguridad TLS\$11\$12 para aplicar TLSv1 .2\$1 con su propio nombre de dominio y certificado SSL personalizados. Para obtener más información, consulte [Elegir una versión mínima de TLS para un dominio personalizado en API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) y [configurar dominios personalizados](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) en la *Guía para desarrolladores de Amazon API Gateway*.
## Amazon CloudWatch Alarms/Canarias
CloudWatch Las alarmas de Amazon le ayudan a supervisar si se siguen las suposiciones funcionales y de seguridad de la solución. La solución incluye registros y métricas para las funciones de AWS Lambda y los puntos de enlace de API Gateway. Si necesita una supervisión adicional para su caso de uso específico, puede configurar CloudWatch las alarmas para monitorear:
+ **Supervisión de API Gateway:**
+ Configura alarmas para los errores 4XX y 5XX a fin de detectar intentos de acceso no autorizados o problemas con la API
+ Supervise la latencia de API Gateway para garantizar el rendimiento
+ Realice un seguimiento del recuento de solicitudes a la API para identificar patrones inusuales
+ **Supervisión de funciones de AWS Lambda:**
+ Cree alarmas para errores y tiempos de espera de la función Lambda
+ Supervise la duración de la función Lambda para garantizar un rendimiento óptimo
+ Configure alarmas para las ejecuciones simultáneas a fin de evitar la ralentización
Puede crear estas alarmas mediante la CloudWatch consola o mediante CloudFormation plantillas de AWS. Para obtener instrucciones detalladas sobre la creación de CloudWatch alarmas, consulta [Creación de CloudWatch alarmas de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del CloudWatch usuario de Amazon*.
## Claves AWS KMS administradas por el cliente
Esta solución utiliza el cifrado en reposo para proteger los datos y emplea claves administradas por AWS para los datos de los clientes. Estas claves se utilizan para cifrar los datos de forma automática y transparente antes de escribirlos en las capas de almacenamiento. Es posible que algunos usuarios prefieran tener más control sobre sus procesos de cifrado de datos. Este enfoque le permite administrar sus propias credenciales de seguridad, lo que ofrece un mayor nivel de control y visibilidad. Para obtener más información, consulte [Conceptos básicos](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) y [claves de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) en la *Guía para desarrolladores de AWS Key Management Service*.
## Retención de registros
Esta solución captura los registros de aplicaciones y servicios mediante la creación de grupos de CloudWatch registros de Amazon en su cuenta. De forma predeterminada, los registros se guardan durante 10 años. Puede ajustar el LogRetentionPeriod parámetro para cada grupo de registros, cambiar a una retención indefinida o elegir un período de retención de entre un día y 10 años en función de sus necesidades. Para obtener más información, consulta [¿Qué es Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features) en la *Guía del usuario CloudWatch de Amazon Logs*.
## Amazon Bedrock
La solución selecciona automáticamente el mejor modelo base disponible para su región durante la implementación de la CloudFormation pila. El proceso de selección utiliza una función Lambda que llama `list_foundation_models()` y elige el primer modelo disponible de este orden de prioridad:
1. `anthropic.claude-sonnet-4-20250514-v1:0`(Soneto 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0`(Soneto 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0`(Soneto 3,5 v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0`(Soneto 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0`(Soneto 3)
1. `amazon.nova-pro-v1:0`(Nova Pro)
Debe habilitar el modelo seleccionado en su cuenta de AWS a través de la consola Bedrock para utilizar las funciones de GenAI. Las funcionalidades principales de la solución permanecen en pleno funcionamiento sin habilitar las funciones de GenAI. Los clientes pueden optar por utilizar la herramienta con entradas manuales si prefieren no utilizar las capacidades asistidas por IA.
Tras la implementación, puede encontrar el ARN del modelo seleccionado en las salidas de la CloudFormation pila, en el `GenAISelectedModelArn` campo de. WPMStack
![\[CloudFormation salida de pila que muestra el ARN del modelo GenAI seleccionado\]](http://docs.aws.amazon.com/es_es/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Interfaz de habilitación del modelo Amazon Bedrock\]](http://docs.aws.amazon.com/es_es/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
La configuración predeterminada de esta solución implementará Amazon Bedrock Guardrails para:
+ Filtrar el contenido dañino
+ Bloquee las inyecciones rápidas que sean irrelevantes para su caso de uso
![\[Interfaz de configuración de Amazon Bedrock Guardrails\]](http://docs.aws.amazon.com/es_es/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
Para obtener más información, consulte [Amazon Bedrock Guardrails](https://aws.amazon.com/bedrock/guardrails/). Para excluir Guardrails en la solución CMF, puede seleccionar false en la sección de parámetros de la plantilla.