Berikan izin minimum yang memungkinkan Jangan me-hardcode kredensial dalam fungsi Lambda Jangan log informasi sensitif Buat langganan yang ditargetkan Sinkronkan jam perangkat Anda Mengelola autentikasi perangkat dengan core Greengrass Lihat juga

AWS IoT Greengrass Version 1 memasuki fase umur panjang pada 30 Juni 2023. Untuk informasi selengkapnya, lihat kebijakan AWS IoT Greengrass V1 pemeliharaan. Setelah tanggal ini, tidak AWS IoT Greengrass V1 akan merilis pembaruan yang menyediakan fitur, penyempurnaan, perbaikan bug, atau patch keamanan. Perangkat yang berjalan AWS IoT Greengrass V1 tidak akan terganggu dan akan terus beroperasi dan terhubung ke cloud. Kami sangat menyarankan Anda bermigrasi ke AWS IoT Greengrass Version 2, yang menambahkan fitur baru yang signifikan dan dukungan untuk platform tambahan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk AWS IoT Greengrass

Topik ini berisi praktik terbaik keamanan untuk AWS IoT Greengrass.

Berikan izin minimum yang memungkinkan

Ikuti prinsip hak istimewa paling sedikit dengan menggunakan seperangkat izin minimum pada IAM Role. Batasi penggunaan * wildcard untuk Action dan Resource di kebijakan IAM Anda. Sebaliknya, nyatakan serangkaian terbatas tindakan dan sumber daya bila memungkinkan. Untuk informasi lebih lanjut tentang hak istimewa minimum dan praktik terbaik kebijakan lainnya, lihat Praktik terbaik kebijakan.

Praktik terbaik dengan hak istimewa paling sedikit juga berlaku untuk AWS IoT kebijakan yang Anda lampirkan ke perangkat inti dan klien Greengrass Anda.

Jangan me-hardcode kredensial dalam fungsi Lambda

Jangan me-hardcode kredensial dalam fungsi Lambda yang ditetapkan pengguna milik Anda. Untuk melindungi kredensial Anda dengan lebih baik:

Untuk berinteraksi dengan AWS layanan, tentukan izin untuk tindakan tertentu dan sumber daya dalam Peran grup Greengrass.
Gunakan Rahasia Lokal untuk menyimpan kredensial Anda. Atau, jika fungsi menggunakan AWS SDK, gunakan kredensial dari rantai penyedia kredensial default.

Jangan log informasi sensitif

Anda harus mencegah logging kredensial dan informasi pengenal pribadi (PII) lainnya. Kami menyarankan Anda menerapkan perlindungan berikut meskipun akses ke log lokal pada perangkat inti memerlukan hak akses root dan akses ke CloudWatch Log memerlukan izin IAM.

Jangan gunakan informasi sensitif di jalur topik MQTT.
Jangan gunakan informasi sensitif pada nama, jenis, dan atribut perangkat (hal) di registri AWS IoT Core ini.
Jangan mencatat informasi sensitif dalam fungsi Lambda yang ditetapkan pengguna Anda.
Jangan gunakan informasi sensitif dalam nama dan ID sumber daya Greengrass:
- Konektor
- Core
- Perangkat
- Fungsi
- Grup
- Pencatat
- Sumber daya (lokal, machine learning, atau rahasia)
- Langganan

Buat langganan yang ditargetkan

Langganan mengontrol aliran informasi dalam grup Greengrass dengan mendefinisikan cara pesan dipertukarkan antara layanan, perangkat, dan fungsi Lambda. Untuk memastikan bahwa aplikasi hanya dapat melakukan apa yang dimaksudkan untuk dilakukan, langganan Anda harus mengizinkan penerbit untuk mengirim pesan ke topik tertentu saja, dan membatasi pelanggan untuk menerima pesan hanya dari topik yang diperlukan untuk fungsionalitas mereka.

Sinkronkan jam perangkat Anda

Penting untuk memiliki waktu yang akurat di perangkat Anda. Sertifikat X.509 memiliki tanggal dan waktu kedaluwarsa. Jam di perangkat Anda digunakan untuk memverifikasi bahwa sertifikat server masih valid. Jam perangkat dapat melayang dari waktu ke waktu atau baterai dapat habis.

Untuk informasi lebih lanjut, lihat praktik terbaik Sinkronkan jam perangkat di AWS IoT Core Panduan Developer.

Mengelola autentikasi perangkat dengan core Greengrass

Perangkat klien dapat menjalankan FreeRTOS atau menggunakan AWS IoTDevice SDK AWS IoT Greengrassatau Discovery API untuk mendapatkan informasi penemuan yang digunakan untuk menghubungkan dan mengautentikasi dengan inti dalam grup Greengrass yang sama. Informasi penemuan meliputi:

Informasi konektivitas untuk inti Greengrass yang ada di grup Greengrass yang sama dengan perangkat klien. Informasi ini mencakup alamat host dan nomor port setiap titik akhir untuk perangkat core.
Sertifikat CA grup yang digunakan untuk menandatangani sertifikat server MQTT lokal. Perangkat klien menggunakan sertifikat CA grup untuk memvalidasi sertifikat server MQTT yang disajikan oleh inti.

Berikut ini adalah praktik terbaik untuk perangkat klien untuk mengelola otentikasi timbal balik dengan inti Greengrass. Praktik ini dapat membantu mengurangi risiko Anda jika perangkat core Anda terganggu.

Validasi sertifikat server MQTT lokal untuk setiap koneksi.: Perangkat klien harus memvalidasi sertifikat server MQTT yang disajikan oleh inti setiap kali mereka membuat koneksi dengan inti. Validasi ini adalah sisi perangkat klien dari otentikasi timbal balik antara perangkat inti dan perangkat klien. Perangkat klien harus dapat mendeteksi kegagalan dan mengakhiri koneksi.
Jangan hardcode informasi penemuan.: Perangkat klien harus mengandalkan operasi penemuan untuk mendapatkan informasi konektivitas inti dan sertifikat CA grup, bahkan jika inti menggunakan alamat IP statis. Perangkat klien tidak boleh melakukan hardcode informasi penemuan ini.
Perbarui informasi penemuan secara berkala.: Perangkat klien harus menjalankan penemuan secara berkala untuk memperbarui informasi konektivitas inti dan sertifikat CA grup. Kami menyarankan agar perangkat klien memperbarui informasi ini sebelum mereka membuat koneksi dengan inti. Karena durasi yang lebih pendek antara operasi penemuan dapat meminimalkan potensi waktu pemaparan Anda, kami menyarankan agar perangkat klien memutuskan sambungan dan menyambung kembali secara berkala untuk memicu pembaruan.

Jika Anda kehilangan kendali atas perangkat inti Greengrass dan Anda ingin mencegah perangkat klien mentransmisikan data ke inti, lakukan hal berikut:

Hapus core Greengrass dari grup Greengrass.
Putar sertifikat CA grup. Dalam konsol AWS IoT tersebut, Anda dapat memutar sertifikat CA pada halaman grup Pengaturan ini. Di AWS IoT Greengrass API, Anda dapat menggunakan CreateGroupCertificateAuthoritytindakan.

Kami juga merekomendasikan untuk menggunakan enkripsi disk penuh jika hard drive perangkat core Anda lemah terhadap pencurian.

Untuk informasi selengkapnya, lihat Autentikasi dan otorisasi perangkat untuk AWS IoT Greengrass.

Lihat juga

Praktik terbaik keamanan di AWS IoT Core pada Panduan Developer AWS IoT
Sepuluh aturan emas keamanan untuk solusi IoT Industri di Internet of Things di Blog Resmi AWS

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Titik akhir VPC (AWS PrivateLink)

Pencatatan dan pemantauan