Concedere autorizzazioni minime possibili Non codificate le credenziali nei componenti Greengrass Non registrare informazioni riservate Tenere sincronizzato l'orologio del dispositivo Raccomandazioni di Cipher Suite Consulta anche

Best practice relative alla sicurezza di AWS IoT Greengrass

In questo argomento sono contenute le best practice per la sicurezza di AWS IoT Greengrass.

Concedere autorizzazioni minime possibili

Segui il principio del privilegio minimo per i tuoi componenti eseguendoli come utenti senza privilegi. I componenti non devono essere eseguiti come root a meno che non sia assolutamente necessario.

Utilizza il set minimo di autorizzazioni nei ruoli IAM. Limita l'uso di*jolly perActioneResourceproprietà nelle tue politiche IAM. Invece, dichiarare un insieme finito di operazioni e risorse quando possibile. Per ulteriori informazioni su privilegi minimi e altre best practice sulle policy, consulta Best practice per le policy.

La best practice con privilegi minimi si applica anche aAWS IoTle politiche che allegate al vostro core Greengrass.

Non codificate le credenziali nei componenti Greengrass

Non codificate le credenziali nei componenti Greengrass definiti dall'utente. Per proteggere meglio le credenziali:

Per interagire conAWSservizi, definisci le autorizzazioni per azioni e risorse specifiche inRuolo di servizio principale di Greengrass per i dispositivi.
Usa ilcomponente gestore segretoper memorizzare le tue credenziali. Oppure, se la funzione utilizzaAWSSDK, utilizza le credenziali della catena di provider di credenziali predefinita.

Non registrare informazioni riservate

È necessario impedire la registrazione delle credenziali e di altre informazioni di identificazione personale (PII). Ti consigliamo di implementare le seguenti misure di protezione anche se l'accesso ai log locali su un dispositivo principale richiede i privilegi di root e l'accesso a CloudWatch I log richiedono autorizzazioni IAM.

Non utilizzare informazioni riservate nei percorsi argomento MQTT.
Non utilizzare informazioni riservate nei nomi, nei tipi e negli attributi dei dispositivi nel Registro di sistema AWS IoT Core.
Non registrate informazioni sensibili nei componenti Greengrass definiti dall'utente o nelle funzioni Lambda.
Non utilizzare informazioni sensibili nei nomi e negli ID delle risorse Greengrass:
- Dispositivi principali
- Componenti
- Distribuzioni
- Loggers

Tenere sincronizzato l'orologio del dispositivo

È importante avere un orario preciso sul dispositivo. I certificati X.509 hanno data e ora di scadenza. L'orologio sul dispositivo viene utilizzato per verificare che un certificato server sia ancora valido. Gli orologi dei dispositivi possono andare alla deriva nel tempo o le batterie possono scaricarsi.

Per ulteriori informazioni, consulta la best practice Tenere sincronizzato l'orologio del dispositivo nella Guida per sviluppatori AWS IoT Core.

Raccomandazioni di Cipher Suite

L'impostazione predefinita di Greengrass seleziona le più recenti suite di crittografia TLS disponibili sul dispositivo. Prendi in considerazione la possibilità di disabilitare l'uso delle suite di crittografia precedenti sul dispositivo. Ad esempio, le suite di crittografia CBC.

Per ulteriori informazioni, consulta ilConfigurazione della crittografia Java.

Consulta anche

Le migliori pratiche di sicurezza inAWS IoT CorenelAWS IoTGuida per gli sviluppatori
Dieci regole d'oro di sicurezza per le soluzioni IoT industrialisulInternet of Things suAWSBlog ufficiale

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Endpoint VPC (AWS PrivateLink)

Utilizzo AWS IoT Device Tester per AWS IoT Greengrass V2