Amazon 安全最佳实践 DataZone

Amazon DataZone 提供了许多安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求，因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

在授予权限时，由您决定谁将获得对哪些 Amazon DataZone 资源的权限。您可以对这些资源启用希望允许的特定操作。因此，您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

有关更多信息，请参阅AWS Amazon 的托管政策 DataZone和服务控制策略 (SCPs)。

使用 IAM 角色

创建器和客户端应用程序必须具有有效凭证才能访问 Amazon DataZone 资源。您不应将 AWS 证书直接存储在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证，如果它们受到损害，可能会对业务产生重大影响。

相反，您应该使用 IAM 角色来管理您的创建器和客户端应用程序访问亚马逊 DataZone 资源的临时证书。在使用角色时，您不必使用长期凭证（如用户名和密码或访问密钥）来访问其他资源。

有关更多信息，请参阅 IAM 用户指南中的以下主题：

• IAM 角色

• 针对角色的常见情形：用户、应用程序和服务

实施从属资源中的服务器端加密

静态数据和传输中的数据可以在 Amazon 中进行加密 DataZone。

CloudTrail 用于监控 API 调用

DataZone Amazon 与 AWS CloudTrail一项服务集成，该服务可记录用户、角色或 AWS 服务在亚马逊中执行的操作 DataZone。

通过收集的信息 CloudTrail，您可以确定向亚马逊发出的请求 DataZone、发出请求的 IP 地址、谁提出请求、何时提出请求以及其他详细信息。

在亚马逊中使用 RAM DataZone

将您的 AWS 账户与 Amazon DataZone 域名关联后，域用户就可以发布和使用这些 AWS 账户中的数据。亚马逊 DataZone 使用 AWS 资源访问管理器 (RAM) 来管理跨账户访问。有关更多信息，请参阅 Amazon 中的关联账户 DataZone AWS RAM 中的安全性。