Praktik terbaik keamanan untuk AWS IoT Greengrass - AWS IoT Greengrass

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk AWS IoT Greengrass

Topik ini berisi praktik terbaik keamanan untuk AWS IoT Greengrass.

Berikan izin minimum yang memungkinkan

Ikuti prinsip hak istimewa paling sedikit dengan menggunakan seperangkat izin minimum pada IAM Role. Batasi penggunaan * wildcard untuk Action dan Resource di kebijakan IAM Anda. Sebaliknya, nyatakan serangkaian terbatas tindakan dan sumber daya bila memungkinkan. Untuk informasi lebih lanjut tentang hak istimewa minimum dan praktik terbaik kebijakan lainnya, lihat Praktik terbaik kebijakan.

Praktik terbaik hak istimewa setidaknya juga berlaku untuk kebijakan AWS IoT yang Anda lampirkan ke inti Greengrass Anda.

Jangan kode keras kredensial dalam komponen Greengrass

Jangan membuat kode keras pada kredensial dalam komponen Greengrass yang ditentukan pengguna Anda. Untuk melindungi kredensial Anda dengan lebih baik:

  • Untuk berinteraksi dengan layanan AWS, tentukan izin untuk tindakan tertentu dan sumber daya dalam Peran layanan perangkat inti Greengrass.

  • Gunakan komponen secret manager untuk menyimpan kredensial Anda. Atau, jika fungsi tersebut menggunakan SDK AWS, gunakan kredensial dari rantai penyedia kredensial default.

Jangan log informasi sensitif

Anda harus mencegah logging kredensial dan informasi pengenal pribadi (PII) lainnya. Sebaiknya Anda menerapkan perlindungan berikut meskipun akses ke log lokal di perangkat inti memerlukan hak istimewa dasar dan akses ke CloudWatch Izin IAM yang diperlukan.

  • Jangan gunakan informasi sensitif di jalur topik MQTT.

  • Jangan gunakan informasi sensitif pada nama, jenis, dan atribut perangkat (objek) di registri AWS IoT Core.

  • Jangan log informasi sensitif dalam komponen Greengrass yang ditetapkan pengguna Anda atau fungsi Lambda.

  • Jangan gunakan informasi sensitif dalam nama dan ID sumber daya Greengrass:

    • Perangkat inti

    • Komponen

    • Deployment

    • Pencatat

Sinkronkan jam perangkat Anda

Penting untuk memiliki waktu yang akurat di perangkat Anda. Sertifikat X.509 memiliki tanggal dan waktu kedaluwarsa. Jam di perangkat Anda digunakan untuk memverifikasi bahwa sertifikat server masih valid. Jam perangkat dapat melayang dari waktu ke waktu atau baterai dapat habis.

Untuk informasi selengkapnya, lihat praktik terbaik Terus sinkronkan jam perangkat di Panduan Developer AWS IoT Core.

Lihat juga