Anteriormente, o Amazon Managed Service for Apache Flink (Amazon MSF) era conhecido como Amazon Kinesis Data Analytics for Apache Flink.
Melhores práticas de segurança para o Managed Service for Apache Flink
O Amazon Managed Service for Apache Flink fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
Implemente o privilégio de acesso mínimo
Ao conceder permissões, você decide quem receberá quais permissões para quais recursos do Managed Service for Apache Flink. Habilite ações específicas que quer permitir nesses recursos. Portanto, é necessário conceder somente as permissões necessárias para executar uma tarefa. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
Use perfis do IAM para acessar outros serviços da Amazon
O aplicativo do Managed Service for Apache Flink deve ter credenciais válidas para acessar recursos em outros serviços, como fluxos de dados do Kinesis, fluxos do Firehose ou buckets do Amazon S3. Você não deve armazenar credenciais da AWS diretamente no aplicativo ou em um bucket do Amazon S3. Essas são credenciais de longo prazo que não são automaticamente alternadas e podem ter um impacto comercial significativo se forem comprometidas.
Em vez disso, você deve usar um perfil do IAM para gerenciar credenciais temporárias para que o aplicativo acesse outros recursos. Quando você usa um perfil, não precisa usar credenciais de longo prazo para acessar outros recursos.
Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do IAM:
Implementação da criptografia do lado do servidor em recursos dependentes
Dados em repouso e dados em trânsito são criptografados no Managed Service for Apache Flink e essa criptografia não pode ser desabilitada. É necessário implementar a criptografia do lado do servidor nos recursos dependentes, como fluxos de dados do Kinesis, fluxos do Firehose e buckets do Amazon S3. Para obter mais informações sobre como implementar a criptografia do lado do servidor em recursos dependentes, consulte Proteção de dados .
Uso do CloudTrail para monitoramento de chamadas de API
O Managed Service for Apache Flink é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações executadas por um usuário, perfil ou serviço da Amazon no Managed Service for Apache Flink.
Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o Managed Service for Apache Flink, o endereço IP no qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.
Para obter mais informações, consulte Registre em log as chamadas de API do Managed Service for Apache Flink com o AWS CloudTrail.
