Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice relative alla sicurezza di AWS IoT Greengrass
In questo argomento sono contenute le best practice per la sicurezza di AWS IoT Greengrass.
Concedere autorizzazioni minime possibili
Segui il principio del privilegio minimo per i tuoi componenti eseguendoli come utenti senza privilegi. I componenti non devono essere eseguiti come root a meno che non sia assolutamente necessario.
Utilizza il set minimo di autorizzazioni nei ruoli IAM. Limita l'uso di*
jolly perAction
eResource
proprietà nelle tue politiche IAM. Invece, dichiarare un insieme finito di operazioni e risorse quando possibile. Per ulteriori informazioni su privilegi minimi e altre best practice sulle policy, consulta Best practice per le policy.
La best practice con privilegi minimi si applica anche aAWS IoTle politiche che allegate al vostro core Greengrass.
Non codificate le credenziali nei componenti Greengrass
Non codificate le credenziali nei componenti Greengrass definiti dall'utente. Per proteggere meglio le credenziali:
-
Per interagire conAWSservizi, definisci le autorizzazioni per azioni e risorse specifiche inRuolo di servizio principale di Greengrass per i dispositivi.
-
Usa ilcomponente gestore segretoper memorizzare le tue credenziali. Oppure, se la funzione utilizzaAWSSDK, utilizza le credenziali della catena di provider di credenziali predefinita.
Non registrare informazioni riservate
È necessario impedire la registrazione delle credenziali e di altre informazioni di identificazione personale (PII). Ti consigliamo di implementare le seguenti misure di protezione anche se l'accesso ai log locali su un dispositivo principale richiede i privilegi di root e l'accesso a CloudWatch I log richiedono autorizzazioni IAM.
-
Non utilizzare informazioni riservate nei percorsi argomento MQTT.
-
Non utilizzare informazioni riservate nei nomi, nei tipi e negli attributi dei dispositivi nel Registro di sistema AWS IoT Core.
-
Non registrate informazioni sensibili nei componenti Greengrass definiti dall'utente o nelle funzioni Lambda.
-
Non utilizzare informazioni sensibili nei nomi e negli ID delle risorse Greengrass:
-
Dispositivi principali
-
Componenti
-
Distribuzioni
-
Loggers
-
Tenere sincronizzato l'orologio del dispositivo
È importante avere un orario preciso sul dispositivo. I certificati X.509 hanno data e ora di scadenza. L'orologio sul dispositivo viene utilizzato per verificare che un certificato server sia ancora valido. Gli orologi dei dispositivi possono andare alla deriva nel tempo o le batterie possono scaricarsi.
Per ulteriori informazioni, consulta la best practice Tenere sincronizzato l'orologio del dispositivo nella Guida per sviluppatori AWS IoT Core.
Raccomandazioni di Cipher Suite
L'impostazione predefinita di Greengrass seleziona le più recenti suite di crittografia TLS disponibili sul dispositivo. Prendi in considerazione la possibilità di disabilitare l'uso delle suite di crittografia precedenti sul dispositivo. Ad esempio, le suite di crittografia CBC.
Per ulteriori informazioni, consulta ilConfigurazione della crittografia Java
Consulta anche
-
Le migliori pratiche di sicurezza inAWS IoT CorenelAWS IoTGuida per gli sviluppatori
-
Dieci regole d'oro di sicurezza per le soluzioni IoT industriali
sulInternet of Things suAWSBlog ufficiale