Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Amazon Data Firehose offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.
Implementazione dell'accesso con privilegi minimi
Quando concedi le autorizzazioni, sei tu a decidere chi deve ottenere quali autorizzazioni per quali risorse Amazon Data Firehose. È possibile abilitare operazioni specifiche che si desidera consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.
Uso di ruoli IAM
Le applicazioni Producer e Client devono disporre di credenziali valide per accedere ai flussi Firehose e lo stream Firehose deve disporre di credenziali valide per accedere alle destinazioni. Non è necessario archiviare AWS le credenziali direttamente in un'applicazione client o in un bucket Amazon S3. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e potrebbero avere un impatto aziendale significativo se vengono compromesse.
Invece, è necessario utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni producer e client per accedere ai flussi Firehose. Quando utilizzi un ruolo, non devi necessariamente usare credenziali a lungo termine (ad esempio, nome utente e password o chiavi di accesso) per accedere ad altre risorse.
Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente IAM:
Implementa la crittografia lato server nelle risorse dipendenti
I dati inattivi e i dati in transito possono essere crittografati in Amazon Data Firehose. Per ulteriori informazioni, consulta la sezione Protezione dei dati in Amazon Data Firehose.
CloudTrail Da utilizzare per monitorare le chiamate API
Amazon Data Firehose è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Data Firehose.
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon Data Firehose, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni, consulta Registra le chiamate Amazon Data Firehose con API AWS CloudTrail.
