Amazon Data Firehose era precedentemente noto come Amazon Kinesis Data Firehose
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice di sicurezza per Amazon Data Firehose
Amazon Data Firehose offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.
Implementazione dell'accesso con privilegi minimi
Quando concedi le autorizzazioni, sei tu a decidere chi deve ottenere quali autorizzazioni per quali risorse Amazon Data Firehose. È possibile abilitare operazioni specifiche che si desidera consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.
Uso di ruoli IAM
Le applicazioni Producer e Client devono disporre di credenziali valide per accedere ai flussi Firehose e lo stream Firehose deve disporre di credenziali valide per accedere alle destinazioni. Non è necessario archiviare AWS le credenziali direttamente in un'applicazione client o in un bucket Amazon S3. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e potrebbero avere un impatto aziendale significativo se vengono compromesse.
Invece, è necessario utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni producer e client per accedere ai flussi Firehose. Quando utilizzi un ruolo, non devi necessariamente usare credenziali a lungo termine (ad esempio, nome utente e password o chiavi di accesso) per accedere ad altre risorse.
Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente IAM:
Implementazione della crittografia lato server in risorse dipendenti
I dati inattivi e i dati in transito possono essere crittografati in Amazon Data Firehose. Per ulteriori informazioni, consulta la sezione Protezione dei dati in Amazon Amazon Data Firehose.
CloudTrail Da utilizzare per monitorare le chiamate API
Amazon Data Firehose è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Data Firehose.
Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon Data Firehose, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.
Per ulteriori informazioni, consulta Registrazione delle chiamate API Amazon Data Firehose con AWS CloudTrail.
