Amazon Managed Service untuk Apache Flink sebelumnya dikenal sebagai Amazon Kinesis Data Analytics untuk Apache Flink.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan untuk Layanan Terkelola untuk Apache Flink
Amazon Managed Service untuk Apache Flink menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
Terapkan akses hak akses paling rendah
Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin apa untuk Layanan Terkelola untuk sumber daya Apache Flink. Anda memungkinkan tindakan tertentu yang ingin Anda lakukan di sumber daya tersebut. Oleh karena itu, Anda harus memberikan hanya izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.
Gunakan IAM peran untuk mengakses layanan Amazon lainnya
Layanan Terkelola untuk aplikasi Apache Flink Anda harus memiliki kredensil yang valid untuk mengakses sumber daya di layanan lain, seperti aliran data Kinesis, aliran Firehose, atau bucket Amazon S3. Anda tidak boleh menyimpan AWS kredensil secara langsung di aplikasi atau di ember Amazon S3. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis dan dapat menimbulkan dampak bisnis yang signifikan jika dibobol.
Sebagai gantinya, Anda harus menggunakan IAM peran untuk mengelola kredensi sementara untuk aplikasi Anda untuk mengakses sumber daya lain. Ketika Anda menggunakan peran, Anda tidak perlu menggunakan kredensi jangka panjang untuk mengakses sumber daya lain.
Untuk informasi selengkapnya, lihat topik berikut di Panduan IAM Pengguna:
Menerapkan enkripsi sisi server dalam sumber daya dependen
Data saat istirahat dan data dalam perjalanan dienkripsi dalam Layanan Terkelola untuk Apache Flink, dan enkripsi ini tidak dapat dinonaktifkan. Anda harus menerapkan enkripsi sisi server di sumber daya dependen Anda, seperti aliran data Kinesis, aliran Firehose, dan bucket Amazon S3. Untuk informasi selengkapnya tentang menerapkan enkripsi sisi server dalam sumber daya dependen, lihat Perlindungan data dalam Layanan Terkelola untuk Apache Flink.
Gunakan CloudTrail untuk memantau API panggilan
Layanan Terkelola untuk Apache Flink terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau layanan Amazon di Layanan Terkelola untuk Apache Flink.
Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Layanan Terkelola untuk Apache Flink, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk informasi selengkapnya, lihat Log Managed Service untuk panggilan Apache Flink API dengan AWS CloudTrail.
