tldr: см. Общие вопросы, выделенные жирным шрифтом ниже.
Я создал инфраструктуру, описанную ниже (в приложении) в AWS.OAuth указывает сервер аутентификации, который выдает токены (Авторизует), а затем аутентифицирует токены при каждом запросе и предоставляет прокси для внутреннего ALB.
Он основан на архитектуре микросервисов и использует oauth для выдачи токенов и аутентификации их.из клиентских приложений.Клиентские приложения могут быть приложениями внутри VPC или приложениями, внешними по отношению к VPC.Как видите, я хочу, чтобы все запросы проходили через OAuth-сервер, прежде чем они попадут во внутренний ALB.Теперь разные типы приложений должны использовать разные типы грантов для получения токенов доступа.Эти маркеры доступа будут содержать область действия, которая относится к маршрутам (конечным точкам API) внутреннего ALB.
Теперь у меня есть несколько вопросов, которые, я надеюсь, являются максимально краткими:
AWS VPC ALB Вопросы
Что является наиболеебезопасный способ гарантировать, что только приложения oauth взаимодействуют с внутренним ALB, а не с другими приложениями в общедоступной подсети? Таким образом, мы можем быть уверены, что все запросы к внутреннему ALB проходят проверку подлинности?Нужно ли каким-либо образом подключать новую подсеть oauth only к входу внутреннего ALB, но как мне ограничить вход внутреннего ALB?
С той же целью, как мне это сделать?гарантировать, что приложения в одной подсети не обмениваются данными друг с другом? По сути, как я могу гарантировать, что никакие внутренние приложения не обмениваются данными друг с другом и должны передаваться полностью на внешний балансировщик нагрузки и, следовательно, на oauth из частной подсети?.
Маршрут 53 Завершение SLL ALB
Останавливает ли прекращение SSL на определенном порту трафик, направляемый из разных доменов. Если я звоню в ALBпорт 433 из внутреннего ALB с прекращением SSL должен ли я звонить с хоста (route53thing.com), указанного в сертификате, или я могу использовать DNS-имя хоста ALB (thing.elb.amozonaws.com), разрешенного AWS, хорошо?
Области и OAuth
Как сравнить URL каждого запроса и его токен с областями oauth? Я хочу связать области oauthк конечным точкам API.Таким образом, каждый запрос направляется в конечную точку маршрута с access_token, который содержит области действия.Эту область необходимо сравнивать с URL-адресом запроса для каждого запроса, чтобы убедиться, что он разрешен.Oauth поставляется с этой функциональностью?Я бы не догадался.Однако какой смысл в том случае, если это не так?Похоже, область видимости - это просто массив, который мне нужно выполнить после аутентификации, а не особенность в oauth.Я, наверное, что-то упускаю: -).
Это сообщение уже слишком длинное, поэтому я по понятным причинам не могу разобраться во всех деталях, но если вы хотите получить более подробную информацию, я бы, конечно, дал их.На этом этапе будет полезна даже помощь в правильном направлении.
Заранее спасибо.
