本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon DataZone 提供了许多安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。
实施最低权限访问
在授予权限时,由您决定谁将获得对哪些 Amazon DataZone 资源的权限。您可以对这些资源启用希望允许的特定操作。因此,您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。
使用 IAM 角色
创建器和客户端应用程序必须具有有效凭证才能访问 Amazon DataZone 资源。您不应将 AWS 证书直接存储在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证,如果它们受到损害,可能会对业务产生重大影响。
相反,您应该使用 IAM 角色来管理您的创建器和客户端应用程序访问亚马逊 DataZone资源的临时证书。在使用角色时,您不必使用长期凭证(如用户名和密码或访问密钥)来访问其他资源。
有关更多信息,请参阅 IAM 用户指南中的以下主题:
实施从属资源中的服务器端加密
静态数据和传输中的数据可以在 Amazon 中进行加密 DataZone。
CloudTrail 用于监控 API 调用
DataZone Amazon 与 AWS CloudTrail一项服务集成,该服务可记录用户、角色或 AWS 服务在亚马逊中执行的操作 DataZone。
通过收集的信息 CloudTrail,您可以确定向亚马逊发出的请求 DataZone、发出请求的 IP 地址、谁提出请求、何时提出请求以及其他详细信息。
