As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas de segurança para o Kinesis Data Streams
O Amazon Kinesis Data Streams fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.
Implemente o acesso de privilégio mínimo
Ao conceder permissões, você decide quem receberá quais permissões para quais recursos do Kinesis Data Streams. Você habilita ações específicas que quer permitir nesses recursos. Portanto, você deve conceder somente as permissões necessárias para executar uma tarefa. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
Use IAM funções
Aplicações de clientes e produtores precisam ter credenciais válidas para acessar fluxos de dados do Kinesis. Você não deve armazenar AWS credenciais diretamente em um aplicativo cliente ou em um bucket do Amazon S3. Essas são credenciais de longo prazo que não são automaticamente alternadas e podem ter um impacto comercial significativo se forem comprometidas.
Em vez disso, você deve usar uma IAM função para gerenciar credenciais temporárias para que seus aplicativos de produtor e cliente acessem os fluxos de dados do Kinesis. Quando você usa uma função, não precisa usar credenciais de longo prazo (como um nome de usuário e uma senha ou chaves de acesso) para acessar outros recursos.
Para obter mais informações, consulte os seguintes tópicos no Guia IAM do usuário:
Implemente criptografia do lado do servidor em recursos dependentes
É possível criptografar dados em repouso e dados em trânsito no Kinesis Data Streams. Para obter mais informações, consulte Proteção de dados no Amazon Kinesis Data Streams.
Use CloudTrail para monitorar API chamadas
O Kinesis Data Streams está integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, uma função ou um AWS serviço no Kinesis Data Streams.
Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Kinesis Data Streams, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para obter mais informações, consulte Registre chamadas do Amazon Kinesis API Data Streams com AWS CloudTrail.
