Amazon DataZone 的安全最佳實務

Amazon DataZone 提供許多安全功能，供您在開發和實作自己的安全政策時加以考量。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

實作最低權限存取

授予許可時，您可以決定誰要取得哪些 Amazon DataZone 資源的許可。您還需針對這些資源啟用允許執行的動作，因此，您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。

如需詳細資訊，請參閱 AWS Amazon DataZone 的 受管政策和 服務控制政策 SCPs)。

使用 IAM 角色

生產者和用戶端應用程式必須具有有效的登入資料，才能存取 Amazon DataZone 資源。您不應將 AWS 登入資料直接存放在用戶端應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證，如果遭到盜用，可能會對業務造成嚴重的影響。

反之，您應該使用 IAM 角色來管理臨時登入資料，讓您的生產者和用戶端應用程式存取 Amazon DataZone 資源。使用角色時，您不必使用長期登入資料 (例如使用者名稱和密碼或存取金鑰) 來存取其他資源。

如需詳細資訊，請參閱《IAM 使用者指南》中的以下主題：

• IAM 角色

• 常見的角色方案：使用者、應用程式和服務

在相依資源實作伺服器端加密

靜態資料和傳輸中的資料可以在 Amazon DataZone 中加密。

使用 CloudTrail 來監控 API 呼叫

Amazon DataZone 已與 服務整合 AWS CloudTrail，此服務提供由 Amazon DataZone AWS 中的使用者、角色或服務所採取之動作的記錄。

使用 CloudTrail 收集的資訊，您可以判斷對 Amazon DataZone 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間，以及其他詳細資訊。

在 Amazon DataZone 中使用 RAM

將 AWS 您的帳戶與 Amazon DataZone 網域建立關聯，可讓網域使用者從這些 AWS 帳戶發佈和取用資料。Amazon DataZone 使用 AWS Resource Access Manager (RAM) 來管理跨帳戶存取。如需詳細資訊，請參閱 Amazon DataZone 中的關聯帳戶和 AWS RAM 中的安全性。