ssm.ro Docs
Securitate, Infrastructură & OperațiuniInfrastructurăAWS (Model Enterprise)

Servicii AWS Utilizate

Ambele modele utilizează S3, API Gateway, Lambda și CloudWatch Logs. Diferența: infrastructură partajată (Partajat) vs. dedicată per client (Enterprise).

Servicii AWS per Model de Deployment

Serviciile AWS utilizate diferă în funcție de modelul de deployment — Partajat (multi-tenant pe Heroku) sau Enterprise (infrastructură dedicată AWS).

Model Partajat (SaaS)

Modelul Partajat utilizează microservicii AWS pentru procesare, stocare și jurnalizare, în cadrul unei infrastructuri partajate cu ceilalți clienți.

Serviciu AWSRolConfigurare cheie
AWS S3 — Primary bucketStocare conținut documenteVersioning activat; SSE; Block-public-access ON; lifecycle delete markers 100 zile
AWS S3 — CRR ReplicaBackup/DR pasiv cross-regionReplică managed; SSE; nicio aplicație nu citește/scrie direct
AWS API GatewayProxy pentru microservicii LambdaRute HTTPS; autentificare/autorizare cereri; throttling
AWS LambdaFuncții microservicii statelessIAM-scoped; VPC/private endpoints
AWS CloudWatch LogsJurnal audit semnăriAppend-only; criptat la repaus; retenție 5 ani

Flux de Acces S3 — Model Partajat

Web dyno (aplicație)
    │ HTTPS (credențiale IAM least-privilege)

AWS S3 Primary bucket
    │ CRR managed automat

AWS S3 CRR Replica (altă regiune — backup only)

Servicii AWS Neutilizate în Modelul Partajat

ServiciuMotiv
AWS RDSBaza de date este Heroku Postgres (managed)
AWS CloudFrontNu se utilizează CDN
AWS SESEmailul tranzacțional este prin Postmark
AWS Route 53DNS-ul este gestionat prin Heroku

Model Enterprise (Infrastructură Dedicată)

Modelul Enterprise utilizează o suită extinsă de servicii AWS, configurate dedicat per client, conform specificațiilor contractuale.

Serviciu AWSRolConfigurare cheie
AWS RDS PostgreSQLBaza de date relațională principalăDedicat per client; criptat la repaus (KMS); backup automat zilnic (retenție 30 zile) + PITR
AWS ElastiCache (Redis)Cache aplicație + coadă joburi asincroneDedicat per client; criptat la repaus (KMS); privat în VPC
AWS S3 — Primary bucketStocare conținut documenteVersioning activat; SSE; Block-public-access ON; lifecycle delete markers 100 zile
AWS S3 — CRR ReplicaBackup/DR pasivReplică cross-region managed; SSE; nicio aplicație nu citește/scrie direct
AWS ECSContainere aplicație și joburi asincroneClustere dedicate per client; IAM task roles
AWS API GatewayProxy și rutare APIRute HTTPS; autentificare/autorizare cereri; throttling și usage plans
AWS LambdaFuncții de procesare statelessIAM-scoped; VPC/private endpoints; versioned deployments
AWS SESEmail tranzacționalNotificări, OTP, alerte sistem; domeniu verificat per client
AWS CloudWatch LogsJurnal audit semnări + loguri aplicațieRetenție 5 ani (semnare); append-only; criptat la repaus; IAM-restricted

Acces și Autentificare (Ambele Modele)

  • Accesul la serviciile AWS se face prin credențiale IAM cu least-privilege — fiecare componentă are permisiunile minime necesare
  • Credențialele sunt stocate securizat în variabilele de mediu ale aplicației — nu în codul sursă
  • 2FA obligatoriu pe contul AWS administrativ
  • Accesul la S3 exclusiv prin API autentificat — nicio expunere publică directă

Variabile de Mediu și Secretele

Secretele în Heroku config vars — nu în cod sursă; acces limitat per mediu și 2FA obligatoriu

IAM AWS

Least-privilege IAM per model de deployment; credențiale stocate securizat; 2FA pe cont administrativ

On this page

Servicii AWS per Model de DeploymentModel Partajat (SaaS)Flux de Acces S3 — Model PartajatServicii AWS Neutilizate în Modelul PartajatModel Enterprise (Infrastructură Dedicată)Acces și Autentificare (Ambele Modele)