Amazon Data Firehose war zuvor als Amazon Kinesis Data Firehose bekannt
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden für Amazon Data Firehose
Amazon Data Firehose bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Implementieren des Zugriffs mit geringsten Berechtigungen
Bei der Erteilung von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Amazon Data Firehose erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.
Verwenden von IAM-Rollen
Producer- und Client-Anwendungen müssen über gültige Anmeldeinformationen für den Zugriff auf Firehose-Streams verfügen, und Ihr Firehose-Stream muss über gültige Anmeldeinformationen für den Zugriff auf Ziele verfügen. Sie sollten AWS Anmeldeinformationen nicht direkt in einer Client-Anwendung oder in einem Amazon S3 S3-Bucket speichern. Dabei handelt es sich um langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und bedeutende geschäftliche Auswirkungen haben könnten, wenn sie kompromittiert werden.
Stattdessen sollten Sie eine IAM-Rolle verwenden, um temporäre Anmeldeinformationen für Ihre Producer- und Client-Anwendungen für den Zugriff auf Firehose-Streams zu verwalten. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen (z. B. Benutzername und Passwort oder Zugriffsschlüssel) für den Zugriff auf andere Ressourcen verwenden.
Weitere Informationen finden Sie unter folgenden Themen im IAM-Benutzerhandbuch:
Implementieren einer serverseitigen Verschlüsselung in abhängigen Ressourcen
Daten im Ruhezustand und Daten während der Übertragung können in Amazon Data Firehose verschlüsselt werden. Weitere Informationen finden Sie unter Datenschutz in Amazon Amazon Data Firehose.
Wird CloudTrail zur Überwachung von API-Aufrufen verwendet
Amazon Data Firehose ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon Data Firehose ausgeführt wurden.
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Data Firehose gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen finden Sie unter Protokollieren von Amazon Data Firehose-API-Aufrufen mit AWS CloudTrail.
