Timestream for InfluxDB의 보안 모범 사례 - Amazon Timestream
최소 권한 액세스 구현IAM 역할 사용종속 리소스에서 서버 측 암호화 구현CloudTrail을 사용하여 API 호출 모니터링퍼블릭 액세스 가능성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Timestream for InfluxDB의 보안 모범 사례

Amazon Timestream for InfluxDB는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

최소 권한 액세스 구현

권한을 부여할 때 InfluxDB 리소스에 대한 Timestream의 권한을 얻는 사용자를 결정합니다. 해당 리소스에서 허용할 작업을 사용 설정합니다. 따라서 작업을 수행하는 데 필요한 권한만 부여해야 합니다. 최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다.

IAM 역할 사용

생산자 및 클라이언트 애플리케이션에서 InfluxDB DB 인스턴스용 Timestream에 액세스하려면 유효한 자격 증명이 있어야 합니다. 클라이언트 애플리케이션 또는 Amazon S3 버킷에 직접 AWS 자격 증명을 저장해서는 안 됩니다. 이러한 보안 인증은 자동으로 교체되지 않으며 손상된 경우 비즈니스에 큰 영향을 줄 수 있는 장기 보안 인증입니다.

대신 IAM 역할을 사용하여 생산자 및 클라이언트 애플리케이션이 InfluxDB DB 인스턴스용 Timestream에 액세스할 수 있는 임시 자격 증명을 관리해야 합니다. 역할을 사용하면 장기 자격 증명(예: 사용자 이름과 암호 또는 액세스 키)을 사용하여 다른 리소스에 액세스할 필요가 없습니다.

자세한 설명은 IAM 사용자 가이드에서 다음 주제를 참조하세요:

AWS Identity and Access Management (IAM) 계정을 사용하여 Amazon Timestream for InfluxDB API 작업, 특히 Amazon Timestream for InfluxDB 리소스를 생성, 수정 또는 삭제하는 작업에 대한 액세스를 제어합니다. 이러한 리소스에는 DB 인스턴스, 보안 그룹 및 파라미터 그룹이 포함됩니다.

  • 자신을 포함하여 Amazon Timestream for InfluxDB 리소스를 관리하는 각 사용자에 대해 개별 사용자를 생성합니다. AWS 루트 자격 증명을 사용하여 Amazon Timestream for InfluxDB 리소스를 관리하지 마세요.

  • 각 사용자에게 각자의 임무를 수행하는 데 필요한 최소 권한 집합을 부여합니다.

  • IAM 그룹을 사용해 여러 사용자에 대한 권한을 효과적으로 관리합니다.

  • IAM 자격 증명을 정기적으로 순환합니다.

  • Amazon Timestream for InfluxDB의 보안 암호를 자동으로 교체하도록 AWS Secrets Manager를 구성합니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 Secrets Manager 보안 암호 교체를 참조하세요. AWS AWS Secrets Manager에서 프로그래밍 방식으로 자격 증명을 검색할 수도 있습니다. 자세한 내용은 AWS Secrets Manager 사용 설명서의 보안 암호 값 검색을 참조하세요.

  • 를 사용하여 Timestream for InfluxDB influx API 토큰을 보호합니다API 토큰.

종속 리소스에서 서버 측 암호화 구현

저장 데이터와 전송 중인 데이터는 InfluxDB용 Timestream에서 암호화할 수 있습니다. 자세한 내용은 전송 중 암호화 단원을 참조하십시오.

CloudTrail을 사용하여 API 호출 모니터링

Timestream for InfluxDB는 InfluxDB용 Timestream에서 사용자, 역할 또는 서비스가 수행한 작업에 대한 레코드를 AWS CloudTrail제공하는 AWS 서비스와 통합됩니다.

CloudTrail에서 수집한 정보를 사용하여 Timestream for InfluxDB에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.

자세한 내용은 를 사용하여 LiveAnalytics API 호출에 대한 Timestream 로깅 AWS CloudTrail 단원을 참조하십시오.

Amazon Timestream for InfluxDB는 제어 영역 CloudTrail 이벤트를 지원하지만 데이터 영역은 지원하지 않습니다. 자세한 내용은 컨트롤 플레인 및 데이터 플레인을 참조하세요.

퍼블릭 액세스 가능성

Amazon VPC 서비스 기반 Virtual Private Cloud(VPC)에서 DB 인스턴스를 시작할 때 해당 DB 인스턴스의 퍼블릭 액세스를 켜거나 끌 수 있습니다. 퍼블릭 액세스 가능성 파라미터를 사용하여 사용자가 생성한 DB 인스턴스가 퍼블릭 IP 주소로 확인되는 DNS 이름을 가지도록 지정할 수 있습니다. 이 파라미터를 사용하여 DB 인스턴스에 대한 퍼블릭 액세스가 있는지 여부를 지정할 수 있습니다.

DB 인스턴스가 VPC에 있지만 공개적으로 액세스할 수 없는 경우 AWS Site-to-Site VPN 연결 또는 AWS Direct Connect 연결을 사용하여 프라이빗 네트워크에서 액세스할 수도 있습니다.

DB 인스턴스에 공개적으로 액세스할 수 있는 경우 서비스 관련 위협의 거부를 방지하거나 완화하는 데 도움이 되는 조치를 취해야 합니다. 자세한 내용은 서비스 공격 거부 소개네트워크 보호를 참조하세요.