As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas de segurança para a Amazon DataZone
DataZone A Amazon fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.
Implemente o acesso de privilégio mínimo
Ao conceder permissões, você decide quem está recebendo quais permissões para quais DataZone recursos da Amazon. Habilite ações específicas que quer permitir nesses recursos. Portanto, é necessário conceder somente as permissões necessárias para executar uma tarefa. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
Para obter mais informações, consulte AWS políticas gerenciadas para a Amazon DataZone Políticas de controle de serviços (SCPs).
Usar funções do IAM
Os aplicativos de produtores e clientes devem ter credenciais válidas para acessar os DataZone recursos da Amazon. Você não deve armazenar AWS credenciais diretamente em um aplicativo cliente ou em um bucket do Amazon S3. Essas são credenciais de longo prazo que não são automaticamente alternadas e podem ter um impacto comercial significativo se forem comprometidas.
Em vez disso, você deve usar uma função do IAM para gerenciar credenciais temporárias para que seus aplicativos de produtor e cliente acessem DataZone os recursos da Amazon. Ao usar uma função, não é necessário usar credenciais de longo prazo (como um nome de usuário e uma senha ou chaves de acesso) para acessar outros recursos.
Para obter mais informações, consulte os seguintes tópicos no Manual do usuário do IAM:
Implemente a criptografia do lado do servidor em recursos dependentes
Dados em repouso e dados em trânsito podem ser criptografados na Amazon DataZone.
Use CloudTrail para monitorar chamadas de API
DataZone A Amazon está integrada com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço na Amazon DataZone.
Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita à Amazon DataZone, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Usando RAM na Amazon DataZone
Associar suas AWS contas aos DataZone domínios da Amazon permite que os usuários do domínio publiquem e consumam dados dessas AWS contas. A Amazon DataZone usa o AWS Resource Access Manager (RAM) para gerenciar o acesso entre contas. Para obter mais informações, consulte Contas associadas na Amazon DataZone Segurança na AWS RAM.
