Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Este tema contiene las mejores prácticas de seguridad para AWS IoT Greengrass.
Conceda los mínimos permisos posibles
Siga el principio de privilegio mínimo para los componentes ejecutándolos como usuarios sin privilegios. Los componentes no deben ejecutarse como raíz a menos que sea absolutamente necesario.
Utilice el conjunto mínimo de permisos en roles de IAM. Limite el uso del comodín * para las propiedades Action y Resource en las políticas de IAM. En su lugar, declare un conjunto finito de acciones y recursos cuando sea posible. Para obtener más información acerca de los privilegios mínimos y otras prácticas recomendadas de política, consulte Prácticas recomendadas sobre las políticas.
La mejor práctica de privilegios mínimos también se aplica a AWS IoT las políticas que asocie a su núcleo de Greengrass.
No codifique las credenciales en los componentes de Greengrass
No codifique las credenciales en los componentes de Greengrass definidos por el usuario. Para proteger mejor sus credenciales:
-
Para interactuar con AWS los servicios, defina los permisos para acciones y recursos específicos en la función de servicio principal de dispositivos de Greengrass.
-
Utilice el componente de administrador de secretos para almacenar sus credenciales. O bien, si la función usa el AWS SDK, use las credenciales de la cadena de proveedores de credenciales predeterminada.
No registre información confidencial
Debe evitar el registro de credenciales y otra información de identificación personal (PII). Le recomendamos que implemente las siguientes medidas de seguridad, aunque el acceso a los registros locales en un dispositivo principal requiera privilegios de root y el acceso a los CloudWatch registros requiera permisos de IAM.
-
No utilice información confidencial en las rutas de temas de MQTT.
-
No utilice información confidencial en nombres, tipos y atributos de dispositivo (objeto) en el registro de AWS IoT Core .
-
No registre información confidencial en los componentes de Greengrass o funciones de lambda definidas por el usuario.
-
No utilice información confidencial en los nombres ni en los IDs recursos de Greengrass:
-
Dispositivos principales
-
Componentes
-
Implementaciones
-
Loggers
-
Mantenga sincronizado el reloj del dispositivo
Es importante que la hora del dispositivo sea precisa. Los certificados X.509 tienen una fecha y una hora de caducidad. El reloj del dispositivo se utiliza para comprobar que un certificado de servidor sigue siendo válido. Los relojes de dispositivos pueden variar con el tiempo o las baterías pueden descargarse.
Para obtener más información, consulte las prácticas recomendadas Mantener sincronizado el reloj del dispositivo en la Guía del desarrollador de AWS IoT Core .
Recomendaciones de conjunto de cifrado
Greengrass selecciona de forma predeterminada los conjuntos de cifrado TLS más recientes disponibles en el dispositivo. Considere deshabilitar el uso de conjuntos de cifrado antiguos en el dispositivo. Por ejemplo, los conjuntos de cifrado CBC.
Para obtener más información, consulte la configuración de cifrado de Java
Véase también
-
Prácticas recomendadas de seguridad para AWS IoT Core en la Guía del desarrollador de AWS IoT
-
Diez reglas de oro de seguridad para las soluciones de IoT industrial
en el Internet de las cosas en el blog AWS oficial
