Conceda los mínimos permisos posibles No codifique las credenciales en los componentes de Greengrass No registre información confidencial Mantenga sincronizado el reloj del dispositivo Recomendaciones de Cipher Suite Véase también

Prácticas recomendadas de seguridad para AWS IoT Greengrass

Este tema contiene las prácticas de seguridad recomendadas para AWS IoT Greengrass.

Conceda los mínimos permisos posibles

Siga el principio de privilegios mínimos para sus componentes ejecutándolos como usuarios sin privilegios. Los componentes no deben ejecutarse como root a menos que sea absolutamente necesario.

Utilice el conjunto mínimo de permisos en las funciones de IAM. Limite el uso de*comodín para elActionyResourcepropiedades en sus políticas de IAM. En su lugar, declare un conjunto finito de acciones y recursos cuando sea posible. Para obtener más información acerca de los privilegios mínimos y otras prácticas recomendadas de política, consulte Prácticas recomendadas relativas a políticas.

La mejor práctica de privilegios mínimos también se aplica aAWS IoTpolíticas que adjunte a su núcleo de Greengrass.

No codifique las credenciales en los componentes de Greengrass

No codifique las credenciales en sus componentes de Greengrass definidos por el usuario. Para proteger mejor sus credenciales:

Para interactuar conAWSservicios, defina los permisos para acciones y recursos específicos en elFunción principal de servicio de dispositivos de Greengrass.
Usa elcomponente de administrador secretopara almacenar sus credenciales. O bien, si la función usaAWSSDK, utilice las credenciales de la cadena de proveedores de credenciales predeterminada.

No registre información confidencial

Debe evitar el registro de credenciales y otra información de identificación personal (PII). Le recomendamos que implemente las siguientes medidas de seguridad, aunque el acceso a los registros locales de un dispositivo principal requiera privilegios de root y el acceso a CloudWatch Los registros requieren permisos de IAM.

No utilice información confidencial en las rutas de temas de MQTT.
No utilice información confidencial en nombres, tipos y atributos de dispositivo (objeto) en el registro de AWS IoT Core.
No registre información confidencial en los componentes de Greengrass definidos por el usuario ni en las funciones de Lambda.
No utilice información confidencial en los nombres e identificadores de los recursos de Greengrass:
- Dispositivos principales
- Componentes
- Implementaciones
- Loggers

Mantenga sincronizado el reloj del dispositivo

Es importante que la hora del dispositivo sea precisa. Los certificados X.509 tienen una fecha y una hora de caducidad. El reloj del dispositivo se utiliza para comprobar que un certificado de servidor sigue siendo válido. Los relojes de dispositivos pueden variar con el tiempo o las baterías pueden descargarse.

Para obtener más información, consulte las prácticas recomendadas Mantener sincronizado el reloj del dispositivo en la Guía del desarrollador de AWS IoT Core.

Recomendaciones de Cipher Suite

De forma predeterminada, Greengrass selecciona los conjuntos de cifrado TLS más recientes disponibles en el dispositivo. Considere la posibilidad de deshabilitar el uso de conjuntos de cifrado antiguos en el dispositivo. Por ejemplo, los conjuntos de cifrado CBC.

Para obtener más información, consulte laConfiguración de criptografía de Java.

Véase también

Mejores prácticas de seguridad enAWS IoT Coreen elAWS IoTGuía para desarrolladores
Diez reglas de oro de seguridad para las soluciones de IoT industrialen elInternet de las cosas enAWSBlog oficial

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Puntos de conexión de VPC (AWS PrivateLink)

Uso AWS IoT Device Tester para AWS IoT Greengrass V2