Guias de uso
Documentação GlobalDeveloper HubSuporteStatus da API

Seguridad

Consideraciones de seguridad para Amazon Selling Partner API Guard

Suggest Edits

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo compartido reduce su carga operativa porque AWS opera, administra y controla los componentes, incluido el sistema operativo del host, la capa de virtualización y la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad de AWS, visite AWS Cloud Security .

Roles de AWS Identity y Access Management (IAM)

  • Los roles de AWS IAM permiten a los clientes asignar políticas y permisos de acceso granular a servicios y usuarios en la AWS Cloud. Selling Partner API Guard crea roles de IAM que otorgan acceso a las funciones de AWS Lambda para crear recursos regionales. Selling Partner API Guard crea los siguientes roles:
  • AWS Lambda Execution Role: : este rol otorga a los controladores de Lambda permisos para realizar las siguientes operaciones:
    • Permita que la infraestructura de soporte envíe notificaciones por email
    • Agregar/modificar/eliminar suscripciones de Amazon EventBridge
    • Iniciar/detener el análisis de los servicios de seguridad
    • Crear/terminar el proceso de la instancia de Amazon EC2
  • Amazon EC2 instance role : este rol se crea y se adjunta a la instancia EC2 para permitir suficientes permisos para realizar llamadas API a los respectivos servicios de AWS. Tiene permisos para realizar las llamadas S3 para descargar los artefactos necesarios para ejecutar los comandos CLI.
  • Amazon S3 access policy : esta política está restringida a los roles de IAM necesarios que limitan la recuperación de artefactos.

Grupos de seguridad

Los grupos de seguridad de Selling Partner API Guard están diseñados para controlar y aislar el tráfico de red en sus instancias de Amazon EC2. Le recomendamos que revise los grupos de seguridad y restrinja aún más el acceso trimestralmente. Como parte de la creación de instancias de Amazon EC2, Selling Partner API Guard crea un nuevo grupo de seguridad con la tag GuardCLI, que restringe el acceso a la red a dos ranges de IP para el protocolo SSH con los siguientes requisitos.

  • Prefijo de IP del administrador de sesión : Selling Partner API Guard obtiene el range dinámico del range de IP de SSM y proporciona acceso en el grupo de seguridad. Esto garantiza que Selling Partner API Guard cree una sesión basada en navegador en la instancia de Amazon EC2 y ejecute comandos de la CLI mediante el link de sesión generado durante el tiempo de ejecución.
  • Su propio prefijo de IP de AWS : Selling Partner API Guard obtiene su prefijo de IP durante el tiempo de ejecución y otorga los permisos necesarios para acceder a su red local.

Updated over 1 year ago