기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 주제에는에 대한 보안 모범 사례가 포함되어 있습니다 AWS IoT Greengrass.
가능한 최소 권한 부여
구성 요소를 권한 없는 사용자로 실행하여 구성 요소에 대한 최소 권한 원칙을 따릅니다. 꼭 필요한 경우가 아니라면 구성 요소를 루트로 실행해서는 안 됩니다.
IAM 역할에서 최소한의 권한 세트를 사용합니다. IAM 정책의 Action
및 Resource
속성에 대한 *
와일드카드 사용을 제한합니다. 대신, 가능한 경우 한정된 작업과 리소스를 선언합니다. 최소 권한 및 기타 정책 모범 사례에 대한 자세한 내용은 정책 모범 사례을 참조하세요.
최소 권한 모범 사례는 Greengrass 코어에 연결하는 AWS IoT 정책에도 적용됩니다.
Greengrass 구성 요소에서 자격 증명을 하드 코딩하지 마세요.
사용자 정의 Greengrass 구성 요소에서 자격 증명을 하드 코딩하지 마세요. 자격 증명에 대한 보호를 강화하려면 다음을 수행하십시오.
-
AWS 서비스와 상호 작용하려면 Greengrass 코어 디바이스 서비스 역할에서 특정 작업 및 리소스에 대한 권한을 정의합니다.
-
보안 암호 관리자 구성 요소를 사용하여 자격 증명을 저장합니다. 또는 함수가 AWS SDK를 사용하는 경우 기본 자격 증명 공급자 체인의 자격 증명을 사용합니다.
민감한 정보를 기록하지 않음
자격 증명 및 기타 개인 식별 정보(PII)의 로깅을 방지해야 합니다. 코어 장치의 로컬 로그에 액세스하기 위해 루트 권한이 필요하고 CloudWatch Logs에 대한 액세스를 위해 IAM 권한이 필요한 경우에도 다음과 같은 보호 조치를 구현하는 것이 좋습니다.
-
MQTT 주제 경로에는 민감한 정보를 사용하지 마십시오.
-
AWS IoT Core 레지스트리의 장치(사물) 이름, 유형 및 속성에 민감한 정보를 사용하지 마십시오.
-
사용자 정의 Greengrass 구성 요소나 Lambda 함수에 민감한 정보를 기록하지 마세요.
-
Greengrass 리소스의 이름과 ID에 민감한 정보를 사용하지 마십시오.
-
코어 디바이스
-
Components
-
배포
-
Loggers
-
장치의 시계를 동기화 상태로 유지
장치에서는 정확한 시간을 유지하는 것이 중요합니다. X.509 인증서에는 만료 날짜와 시간이 있습니다. 장치의 시계는 서버 인증서가 여전히 유효한지 확인하는 데 사용됩니다. 장치 시계는 시간이 지나 드리프트 상태가 되거나 배터리가 방전될 수 있습니다.
자세한 내용은 AWS IoT Core 개발자 안내서의 장치 시계를 동기화된 상태로 유지 모범 사례를 참조하십시오.
Cipher Suite 권장 사항
Greengrass 기본값은 디바이스에서 사용할 수 있는 최신 TLS Cipher Suite를 선택합니다. 디바이스에서 레거시 암호 제품군 사용을 비활성화하는 것이 좋습니다. 예: CBC 암호 제품군.
자세한 내용은 Java Cryptography Configuration
다음 사항도 참조하세요.
-
AWS IoT 개발자 안내서의 AWS IoT Core내 보안 모범 사례
-
AWS 공식 블로그의 사물 인터넷에서 산업용 IoT 솔루션에 대한 10가지 보안 황금률