Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden für Amazon DataZone
Amazon DataZone bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Implementieren des Zugriffs mit geringsten Berechtigungen
Bei der Erteilung von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche DataZone Amazon-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.
Weitere Informationen finden Sie unter Richtlinien AWS verwaltete Richtlinien für Amazon DataZone zur Servicesteuerung (SCPs).
Verwenden von IAM-Rollen
Hersteller- und Kundenanwendungen müssen über gültige Anmeldeinformationen verfügen, um auf DataZone Amazon-Ressourcen zugreifen zu können. Sie sollten AWS Anmeldeinformationen nicht direkt in einer Client-Anwendung oder in einem Amazon S3 S3-Bucket speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und bedeutende geschäftliche Auswirkungen haben könnten, wenn sie kompromittiert werden.
Stattdessen sollten Sie eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Ihre Produzenten- und Kundenanwendungen für den Zugriff auf DataZone Amazon-Ressourcen zu verwalten. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen (z. B. Benutzername und Passwort oder Zugriffsschlüssel) für den Zugriff auf andere Ressourcen verwenden.
Weitere Informationen finden Sie unter folgenden Themen im IAM-Benutzerhandbuch:
Implementieren einer serverseitigen Verschlüsselung in abhängigen Ressourcen
Daten im Ruhezustand und Daten während der Übertragung können in Amazon verschlüsselt werden DataZone.
Wird CloudTrail zur Überwachung von API-Aufrufen verwendet
Amazon DataZone ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service bei Amazon ausgeführt wurden DataZone.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon gestellt wurde DataZone, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
RAM in Amazon verwenden DataZone
Wenn Sie Ihre AWS Konten mit DataZone Amazon-Domains verknüpfen, können Domain-Benutzer Daten aus diesen AWS Konten veröffentlichen und nutzen. Amazon DataZone verwendet AWS Resource Access Manager (RAM), um den kontoübergreifenden Zugriff zu verwalten. Weitere Informationen finden Sie unter Verbundene Konten bei Amazon DataZone und Sicherheit im AWS RAM.
