Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de sécurité pour Kinesis Data Streams
Amazon Kinesis Data Streams fournit différentes fonctions de sécurité à prendre en compte lorsque vous développez et implémentez vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
Implémentation d'un accès sur la base du moindre privilège
Lorsque vous accordez des autorisations, vous sélectionnez qui obtient les autorisations pour telles ou telles ressources Kinesis Data Streams. Vous activez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous devez accorder uniquement les autorisations qui sont requises pour exécuter une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.
Utilisation des rôles IAM
Les applications client et de type producteur doivent disposer d'informations d'identification valides pour accéder aux flux de données Kinesis. Vous ne devez pas stocker les AWS informations d'identification directement dans une application cliente ou dans un compartiment Amazon S3. Il s'agit d'autorisations à long terme qui ne font pas automatiquement l'objet d'une rotation et qui pourraient avoir un impact commercial important si elles étaient compromises.
Au lieu de cela, vous devez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour votre application client ou de type producteur afin d'accéder à des flux de données Kinesis. Lorsque vous utilisez un rôle, vous n'avez pas à utiliser d'informations d'identification à long terme (par exemple, un nom d'utilisateur et un mot de passe ou des clés d'accès) pour accéder à d'autres ressources.
Pour plus d'informations, veuillez consulter les rubriques suivantes dans le Guide de l'utilisateur IAM :
Implémentation d'un chiffrement côté serveur dans des ressources dépendantes
Les données au repos et les données en transit peuvent être chiffrées dans Kinesis Data Streams. Pour de plus amples informations, veuillez consulter Protection des données dans Amazon Kinesis Data Streams.
CloudTrail À utiliser pour surveiller les appels d'API
Kinesis Data Streams est intégré AWS CloudTrailà un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou AWS un service dans Kinesis Data Streams.
À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Kinesis Data Streams, l'adresse IP à partir de laquelle la demande a été effectuée, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.
Pour de plus amples informations, veuillez consulter Journalisation des appels d'API Amazon Kinesis Data Streams à l'aide de AWS CloudTrail.
