Anteriormente, o Amazon Managed Service for Apache Flink era conhecido como Amazon Kinesis Data Analytics for Apache Flink.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas de segurança para serviços gerenciados para Apache Flink
O Amazon Managed Service for Apache Flink fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.
Implemente o acesso de privilégio mínimo
Ao conceder permissões, você decide quem receberá quais permissões para quais recursos do Managed Service for Apache Flink. Você habilita ações específicas que quer permitir nesses recursos. Portanto, você deve conceder somente as permissões necessárias para executar uma tarefa. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
Use IAM funções para acessar outros serviços da Amazon
Seu aplicativo Managed Service for Apache Flink deve ter credenciais válidas para acessar recursos em outros serviços, como fluxos de dados Kinesis, streams Firehose ou buckets Amazon S3. Você não deve armazenar AWS credenciais diretamente no aplicativo ou em um bucket do Amazon S3. Essas são credenciais de longo prazo que não são automaticamente alternadas e podem ter um impacto comercial significativo se forem comprometidas.
Em vez disso, você deve usar uma IAM função para gerenciar credenciais temporárias para que seu aplicativo acesse outros recursos. Quando você usa um perfil, não precisa usar credenciais de longo prazo para acessar outros recursos.
Para obter mais informações, consulte os seguintes tópicos no Guia IAM do usuário:
Implemente criptografia do lado do servidor em recursos dependentes
Dados em repouso e dados em trânsito são criptografados no Managed Service for Apache Flink e essa criptografia não pode ser desabilitada. Você deve implementar a criptografia do lado do servidor em seus recursos dependentes, como streams de dados Kinesis, streams Firehose e buckets Amazon S3. Para obter mais informações sobre como implementar a criptografia do lado do servidor em recursos dependentes, consulte Proteção de dados no Managed Service para Apache Flink.
Use CloudTrail para monitorar API chamadas
O Managed Service for Apache Flink é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou serviço da Amazon no Managed Service for Apache Flink.
Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Managed Service for Apache Flink, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para obter mais informações, consulte Serviço gerenciado de log para chamadas do Apache Flink API com AWS CloudTrail.