Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Keamanan untuk Amazon DataZone
Amazon DataZone menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
Terapkan akses hak akses paling rendah
Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin apa untuk sumber daya Amazon mana. DataZone Anda memungkinkan tindakan tertentu yang ingin Anda lakukan di sumber daya tersebut. Oleh karena itu, Anda harus memberikan hanya izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.
Untuk informasi selengkapnya, lihat AWS kebijakan terkelola untuk Amazon DataZone dan Kebijakan kontrol layanan (SCPs).
Gunakan IAM role
Aplikasi produsen dan klien harus memiliki kredensyal yang valid untuk mengakses sumber daya Amazon DataZone. Anda tidak boleh menyimpan AWS kredensyal secara langsung di aplikasi klien atau di bucket Amazon S3. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis dan dapat menimbulkan dampak bisnis yang signifikan jika dibobol.
Sebagai gantinya, Anda harus menggunakan peran IAM untuk mengelola kredensyal sementara untuk aplikasi produsen dan klien Anda untuk mengakses sumber daya Amazon. DataZone Saat Anda menggunakan peran, Anda tidak perlu menggunakan kredensial jangka panjang (seperti nama pengguna dan kata sandi atau access key) untuk mengakses sumber daya lainnya.
Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna IAM:
Terapkan Enkripsi Sisi Server di Sumber Daya Dependen
Data saat istirahat dan data dalam perjalanan dapat dienkripsi di Amazon. DataZone
Gunakan CloudTrail untuk Memantau Panggilan API
Amazon DataZone terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon DataZone.
Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Amazon DataZone, alamat IP dari mana permintaan itu dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Menggunakan RAM di Amazon DataZone
Mengaitkan AWS akun Anda dengan DataZone domain Amazon memungkinkan pengguna domain mempublikasikan dan menggunakan data dari akun ini AWS . Amazon DataZone menggunakan AWS Resource Access Manager (RAM) untuk mengelola akses lintas akun. Untuk informasi selengkapnya, lihat Akun terkait di Amazon DataZone dan Keamanan dalam AWS RAM.
