Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für die Sicherheit für AWS IoT Greengrass
Dieses Thema behandelt bewährte Methoden in Bezug auf die Sicherheit für AWS IoT Greengrass.
Erteilen von Mindestberechtigungen
Folgen Sie dem Prinzip der geringsten Rechte für Ihre Komponenten, indem Sie sie als Benutzer ohne Rechte ausführen. Komponenten sollten nicht als Root-Benutzer ausgeführt werden, es sei denn, dies ist unbedingt erforderlich.
Verwenden Sie die Mindestanzahl an Berechtigungen für IAM-Rollen. Beschränken Sie die Verwendung von*
Platzhalter fürAction
undResource
Eigenschaften in Ihren IAM-Richtlinien. Deklarieren Sie stattdessen, wenn möglich, eine endliche Menge von Aktionen und Ressourcen. Weitere Informationen zu den geringsten Berechtigungen und anderen bewährten Methoden für Richtlinien finden Sie unter Bewährte Methoden für Richtlinien.
Die bewährte Methode mit den geringsten Rechten gilt auch fürAWS IoTRichtlinien, die Sie an Ihren Greengrass-Kern anhängen.
Kodieren Sie Anmeldeinformationen nicht fest in Greengrass-Komponenten
Kodieren Sie Anmeldeinformationen nicht fest in Ihren benutzerdefinierten Greengrass-Komponenten. So schützen Sie Ihre Anmeldeinformationen besser:
-
Um zu interagieren mitAWSDienste, definieren Sie Berechtigungen für bestimmte Aktionen und Ressourcen imDie zentrale Rolle des Greengrass-Gerätedienstes.
-
Benutze dieSecret Manager-Komponenteum Ihre Zugangsdaten zu speichern. Oder, wenn die Funktion das verwendetAWSSDK, verwenden Sie Anmeldeinformationen aus der Standard-Anmeldeinformationsanbieterkette.
Keine Protokollierung sensibler Informationen
Sie sollten die Protokollierung von Anmeldeinformationen und anderen persönlich identifizierbaren Informationen (PII) verhindern. Wir empfehlen Ihnen, die folgenden Sicherheitsvorkehrungen zu implementieren, auch wenn für den Zugriff auf lokale Protokolle auf einem Kerngerät Root-Rechte und Zugriff auf erforderlich sind CloudWatch Für Protokolle sind IAM-Berechtigungen erforderlich.
-
Verwenden Sie keine sensiblen Informationen in MQTT-Themenpfaden.
-
Verwenden Sie keine sensiblen Informationen in Gerätenamen (Objektnamen), Typen und Attributen in der AWS IoT Core-Registrierung.
-
Protokollieren Sie keine vertraulichen Informationen in Ihren benutzerdefinierten Greengrass-Komponenten oder Lambda-Funktionen.
-
Verwenden Sie keine vertraulichen Informationen in den Namen und IDs von Greengrass-Ressourcen:
-
Kerngeräte
-
Komponenten
-
Bereitstellungen
-
Logger
-
Synchronisieren der internen Uhr Ihres Geräts
Es ist wichtig, dass Sie eine genaue Uhrzeit auf Ihrem Gerät haben. X.509-Zertifikate haben ein Ablaufdatum und eine Ablaufzeit. Die Uhr auf Ihrem Gerät wird verwendet, um sicherzustellen, dass ein Serverzertifikat noch gültig ist. Geräteuhren können im Laufe der Zeit unpräzise werden, oder die Batterien werden entladen.
Weitere Informationen finden Sie in der bewährten Methode Synchronisieren der internen Uhr Ihres Geräts im AWS IoT Core-Entwicklerhandbuch.
Empfehlungen für die Cipher Suite
Greengrass wählt standardmäßig die neuesten TLS Cipher Suites aus, die auf dem Gerät verfügbar sind. Erwägen Sie, die Verwendung älterer Cipher Suites auf dem Gerät zu deaktivieren. Zum Beispiel CBC-Verschlüsselungssammlungen.
Weitere Informationen finden Sie imKonfiguration der Java-Kryptografie
Weitere Informationen finden Sie auch unter
-
Bewährte Sicherheitsverfahren inAWS IoT Corein derAWS IoTLeitfaden für Entwickler
-
Zehn goldene Sicherheitsregeln für industrielle IoT-Lösungen
auf derInternet der Dinge aufAWSOffizieller Blog