Kinesis Data Streams의 보안 모범 사례

Amazon Kinesis Data Streams는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

최소 권한 액세스 구현

권한을 부여할 때 누가 어떤 Kinesis Data Streams 리소스에 대해 어떤 권한을 갖는지 결정합니다. 해당 리소스에서 허용할 작업을 사용 설정합니다. 따라서 작업을 수행하는 데 필요한 권한만 부여해야 합니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.

IAM 역할 사용

Kinesis 데이터 스트림에 액세스하려면 생산자 및 클라이언트 애플리케이션에 유효한 보안 인증이 있어야 합니다. AWS 자격 증명을 클라이언트 애플리케이션이나 Amazon S3 버킷에 직접 저장해서는 안 됩니다. 이러한 보안 인증은 자동으로 교체되지 않으며 손상된 경우 비즈니스에 큰 영향을 줄 수 있는 장기 보안 인증입니다.

대신 IAM 역할을 사용하여 생산자 및 클라이언트 애플리케이션이 Kinesis 데이터 스트림에 액세스하기 위한 임시 보안 인증을 관리해야 합니다. 역할을 사용하면 장기 자격 증명(예: 사용자 이름과 암호 또는 액세스 키)을 사용하여 다른 리소스에 액세스할 필요가 없습니다.

자세한 정보는 IAM 사용 설명서에서 다음 주제를 참조하세요.

• IAM 역할

• 역할에 대한 일반적인 시나리오: 사용자, 애플리케이션 및 서비스

종속 리소스에서 서버 측 암호화 구현

Kinesis Data Streams에서 저장 데이터와 전송 중 데이터를 암호화할 수 있습니다. 자세한 설명은 Amazon Kinesis Data Streams의 데이터 보호 섹션을 참조하세요.

API 호출을 모니터링하는 CloudTrail 데 사용합니다.

Kinesis Data Streams는 Kinesis Data Streams에서 사용자, 역할 또는 AWS 서비스가 수행한 작업의 기록을 제공하는 서비스와 AWS CloudTrail통합됩니다.

에서 수집한 CloudTrail 정보를 사용하여 Kinesis Data Streams에 대한 요청, 요청이 이루어진 IP 주소, 요청한 사람, 요청 시기 및 추가 세부 정보를 확인할 수 있습니다.

자세한 내용은 AWS CloudTrail을 사용하여 Amazon Kinesis Data Streams API 호출 로깅을(를) 참조하세요.