Praktik terbaik keamanan untuk AWS Proton - AWS Proton
Gunakan IAM untuk mengontrol aksesJangan menanamkan kredensi di template dan bundel template AndaGunakan enkripsi untuk melindungi data sensitifGunakan AWS CloudTrail untuk melihat dan mencatat panggilan API

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk AWS Proton

AWS Proton menyediakan fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

Gunakan IAM untuk mengontrol akses

IAM adalah Layanan AWS yang dapat Anda gunakan untuk mengelola pengguna dan izin mereka. AWS Anda dapat menggunakan IAM AWS Proton untuk menentukan AWS Proton tindakan yang dapat dilakukan oleh administrator dan pengembang, seperti mengelola templat, lingkungan, atau layanan. Anda dapat menggunakan peran layanan IAM untuk memungkinkan AWS Proton melakukan panggilan ke layanan lain atas nama Anda.

Untuk informasi lebih lanjut tentang AWS Proton dan peran IAM, lihatIdentity and Access Management untuk AWS Proton.

Menerapkan akses hak istimewa paling sedikit. Untuk informasi selengkapnya, lihat Kebijakan dan izin di IAM di AWS Identity and Access Management Panduan Pengguna.

Jangan menanamkan kredensi di template dan bundel template Anda

Daripada menyematkan informasi sensitif dalam AWS CloudFormation template dan bundel template Anda, kami sarankan Anda menggunakan referensi dinamis dalam template tumpukan Anda.

Referensi dinamis menyediakan cara yang ringkas dan ampuh bagi Anda untuk mereferensikan nilai eksternal yang disimpan dan dikelola di layanan lain, seperti AWS Systems Manager Parameter Store atau AWS Secrets Manager. Bila Anda menggunakan referensi dinamis, CloudFormation mengambil nilai referensi yang ditentukan bila diperlukan selama tumpukan dan mengubah operasi set, dan meneruskan nilai ke sumber daya yang sesuai. Namun, CloudFormation tidak pernah menyimpan nilai referensi yang sebenarnya. Untuk informasi selengkapnya, lihat Menggunakan Referensi Dinamis untuk Menentukan Nilai Template di Panduan AWS CloudFormation Pengguna.

AWS Secrets Managermembantu Anda mengenkripsi, menyimpan, dan mengambil kredensil untuk database dan layanan lainnya dengan aman. AWS Systems Manager Parameter Store menyediakan penyimpanan hierarkis yang aman untuk manajemen data konfigurasi.

Untuk informasi selengkapnya tentang menentukan parameter template, lihat https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html di Panduan AWS CloudFormation Pengguna.

Gunakan enkripsi untuk melindungi data sensitif

Di dalam AWS Proton, semua data pelanggan dienkripsi secara default menggunakan kunci yang AWS Proton dimiliki.

Sebagai anggota tim platform, Anda dapat memberikan kunci yang dikelola pelanggan AWS Proton untuk mengenkripsi dan mengamankan data sensitif Anda. Enkripsi data sensitif saat istirahat di bucket S3 Anda. Untuk informasi selengkapnya, lihat Perlindungan data di AWS Proton.

Gunakan AWS CloudTrail untuk melihat dan mencatat panggilan API

AWS CloudTrail melacak siapa pun yang melakukan panggilan API di Anda Akun AWS. Panggilan API dicatat setiap kali ada yang menggunakan AWS Proton API, AWS Proton konsol, atau AWS Proton AWS CLI perintah. Aktifkan logging dan tentukan bucket Amazon S3 untuk menyimpan log. Dengan begitu, jika perlu, Anda dapat mengaudit siapa yang melakukan AWS Proton panggilan apa di akun Anda. Lihat informasi yang lebih lengkap di Penebangan dan pemantauan di AWS Proton.