Mejores prácticas de seguridad para Amazon Data Firehose - Amazon Data Firehose

Amazon Data Firehose se conocía anteriormente como Amazon Kinesis Data Firehose

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas de seguridad para Amazon Data Firehose

Amazon Data Firehose proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Implementación del acceso a los privilegios mínimos

Al conceder permisos, usted decide quién obtiene qué permisos y qué recursos de Amazon Data Firehose. Habilite las acciones específicas que desea permitir en dichos recursos. Por lo tanto, debe conceder únicamente los permisos obligatorios para realizar una tarea. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.

Uso de roles de IAM

Las aplicaciones de productores y clientes deben tener credenciales válidas para acceder a las transmisiones de entrega de Amazon Data Firehose, y su transmisión de Firehose debe tener credenciales válidas para acceder a los destinos. No debe almacenar AWS las credenciales directamente en una aplicación cliente o en un bucket de Amazon S3. Estas son las credenciales a largo plazo que no rotan automáticamente y que podrían tener un impacto empresarial significativo si se comprometen.

En su lugar, deberías usar un rol de IAM para administrar las credenciales temporales de tus aplicaciones de productor y cliente para acceder a las transmisiones de Firehose. Al utilizar un rol, no tiene que utilizar credenciales a largo plazo (como un nombre de usuario y una contraseña o claves de acceso) para acceder a otros recursos.

Para obtener más información, consulte los siguientes temas de la guía del usuario de IAM:

Implementación del cifrado en el servidor en recursos dependientes

Los datos en reposo y los datos en tránsito se pueden cifrar en Amazon Data Firehose. Para obtener más información, consulte Protección de datos en Amazon Amazon Data Firehose.

Se usa CloudTrail para monitorear las llamadas a la API

Amazon Data Firehose está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon Data Firehose.

Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon Data Firehose, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.

Para obtener más información, consulte Registro de llamadas a la API Firehose de Amazon Data con AWS CloudTrail.