本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全
當您在 AWS 基礎設施上建置系統時,安全責任會由您和 AWS 共同承擔。此[共用模型](https://aws.amazon.com/compliance/shared-responsibility-model/)可以減輕您的操作負擔,因為 AWS 會操作、管理和控制從主機作業系統和虛擬化層到服務操作所在設施實體安全性的元件。如需 AWS 安全性的詳細資訊,請造訪 [AWS Cloud Security](https://aws.amazon.com/security)。
## IAM 角色
AWS Identity and Access Management (IAM) 角色可讓您將精細存取政策和許可指派給 AWS 雲端中的服務和使用者。此解決方案會建立 IAM 角色,授予 AWS Lambda 函數存取此解決方案中使用的其他 AWS 服務的權限。
## Amazon Cognito
此解決方案建立的 Amazon Cognito 使用者是具有僅存取此解決方案 RestAPIs之許可的本機使用者。此使用者沒有存取您 AWS 帳戶中任何其他服務的許可。如需詳細資訊,請參閱[《Amazon Cognito 開發人員指南》中的 Amazon Cognito 使用者集](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)區。 *Amazon Cognito *
解決方案可選擇性地透過聯合身分提供者的組態和 Amazon Cognito 的託管 UI 功能來支援外部 SAML 登入。
## Amazon CloudFront
此預設解決方案會部署[託管](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html)在 Amazon S3 儲存貯體中的 Web 主控台。為了協助減少延遲並改善安全性,此解決方案包含具有原始存取身分的 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 分佈,這是一個特殊的 CloudFront 使用者,可協助公開存取解決方案的網站儲存貯體內容。如需詳細資訊,請參閱《[Amazon CloudFront 開發人員指南》中的使用原始存取身分限制對 Amazon S3 內容的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 *Amazon CloudFront *
如果在堆疊部署期間選取**私有**部署類型,則不會部署 CloudFront 分佈,並且需要使用另一個 Web 託管服務來託管 Web 主控台。
## AWS WAF - Web 應用程式防火牆
如果在堆疊中選取的部署類型是 Public with [AWS WAF](https://aws.amazon.com/waf/),則 CloudFormation 將部署必要的 AWS WAF Web ACLs和規則,設定為保護 CMF 解決方案建立的 CloudFront、API Gateway 和 Cognito 端點。這些端點將受到限制,只允許指定的來源 IP 地址存取這些端點。在堆疊部署期間,設施必須提供兩個 CIDR 範圍,以便在透過 AWS WAF 主控台部署後新增其他規則。
**重要**
設定 WAF IP 限制時,請確定 CMF 自動化伺服器的 IP 地址或傳出 NAT Gateway IP 包含在允許的 CIDR 範圍內。這對於需要存取解決方案 API 端點的 CMF 自動化指令碼正常運作至關重要。
## Amazon API Gateway
此解決方案會部署 Amazon API Gateway REST APIs並使用預設 API 端點和 SSL 憑證。預設 API 端點支援 TLSv1 安全政策。建議使用 TLS\$11\$12 安全政策,搭配您自己的自訂網域名稱和自訂 SSL 憑證強制執行 TLSv1.2\$1。如需詳細資訊,請參閱《*Amazon API Gateway * [API Gateway 開發人員指南》中的為自訂網域選擇最低 TLS 版本](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html),以及[設定自訂網域](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)。
## Amazon CloudWatch 警示/Canary
Amazon CloudWatch 警示可協助您監控解決方案的功能和安全性假設。解決方案包括 AWS Lambda 函數和 API Gateway 端點的記錄和指標。如果您的特定使用案例需要額外監控,您可以設定 CloudWatch 警示來監控:
+ **API Gateway 監控:**
+ 設定 4XX 和 5XX 錯誤的警示,以偵測未經授權的存取嘗試或 API 問題
+ 監控 API Gateway 延遲以確保效能
+ 追蹤 API 請求的計數,以識別異常模式
+ **AWS Lambda 函數監控:**
+ 建立 Lambda 函數錯誤和逾時的警示
+ 監控 Lambda 函數持續時間以確保最佳效能
+ 設定並行執行的警示以防止限流
您可以使用 CloudWatch 主控台或透過 AWS CloudFormation 範本建立這些警示。如需建立 CloudWatch 警示的詳細說明,請參閱《[Amazon CloudWatch 使用者指南》中的建立 Amazon CloudWatch 警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。 *Amazon CloudWatch *
## 客戶受管 AWS KMS 金鑰
此解決方案使用靜態加密來保護資料,並為客戶資料使用 AWS 受管金鑰。這些金鑰用於在資料寫入儲存層之前自動且透明地加密資料。有些使用者可能偏好對其資料加密程序進行更多控制。此方法可讓您管理自己的安全登入資料,提供更高層級的控制和可見性。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的[基本概念](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html)和 AWS KMS 金鑰。 [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) *AWS Key Management Service *
## 日誌保留
此解決方案透過在您的帳戶中建立 Amazon CloudWatch logs。根據預設,日誌會保留 10 年。您可以調整每個日誌群組的 LogRetentionPeriod 參數、切換至無限期保留,或根據您的需求選擇一天到 10 年的保留期間。如需詳細資訊,請參閱《[Amazon CloudWatch Logs 使用者指南》中的什麼是 Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features)。 *Amazon CloudWatch *
## Amazon Bedrock
解決方案會在 CloudFormation 堆疊部署期間自動選取您區域的最佳可用基礎模型。選擇程序使用 Lambda 函數來呼叫 ,`list_foundation_models()`並從此優先順序中選擇第一個可用的模型:
1. `anthropic.claude-sonnet-4-20250514-v1:0` (Sonnet 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0` (Sonnet 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0` (Sonnet 3.5v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0` (Sonnet 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0` (Sonnet 3)
1. `amazon.nova-pro-v1:0` (Nova Pro)
您必須透過 Bedrock 主控台在 AWS 帳戶中啟用選取的模型,才能使用 GenAI 功能。解決方案的核心功能在未啟用 GenAI 功能的情況下仍可維持完全運作。如果客戶不想使用 AI 輔助功能,可以選擇將工具與手動輸入搭配使用。
部署之後,您可以在 WPMStack 的 `GenAISelectedModelArn` 欄位下的 CloudFormation 堆疊輸出中找到選取的模型 ARN。
![\[CloudFormation 堆疊輸出顯示選取的 GenAI 模型 ARN\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Amazon Bedrock 模型啟用界面\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
此解決方案的預設組態會部署 Amazon Bedrock Guardrail,以便:
+ 篩選掉有害內容
+ 與您的使用案例無關的區塊提示注入
![\[Amazon Bedrock Guardrails 組態界面\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
如需詳細資訊,請參閱 [Amazon Bedrock 護欄](https://aws.amazon.com/bedrock/guardrails/)。若要在 CMF 解決方案中選擇退出護欄,您可以在範本參數區段中選取 false。