本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Kinesis Video Streams 的安全性最佳做法
Amazon Kinesis Video Streams 提供許多安全功能,可在您開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
如需您遠端裝置的安全最佳實務,請參閱裝置代理程式的安全最佳實務。
實作最低權限存取
授與權限時,您可以決定誰取得哪些 Kinesis Video Streams 資源的權限。您還需針對這些資源啟用允許執行的動作,因此,您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。
例如,將資料傳送至 Kinesis Video Streams 的製作人只需要PutMedia
GetStreamingEndpoint
、和DescribeStream
。請勿授予生產者應用程式所有動作 (*
) 或其他動作 (例如 GetMedia
) 的許可。
如需詳細資訊,請參閱什麼是最低權限以及為什麼需要它?
使用IAM角色
生產者和用戶端應用程式必須具有有效的認證才能存取 Kinesis Video Streams。你不應該存儲 AWS 直接在用戶端應用程式或 Amazon S3 儲存貯體中登入資料。這些是長期憑證,不會自動輪換,如果遭到破壞,可能會產生重大的業務影響。
相反地,您應該使用IAM角色來管理生產者和用戶端應用程式的臨時登入資料,以存取 Kinesis Video Streams。使用角色時,您不需要使用長期認證 (例如使用者名稱和密碼或存取金鑰) 來存取其他資源。
如需詳細資訊,請參閱《IAM使用指南》中的下列主題:
用 CloudTrail 於監控API通話
Kinesis Video Streams 的工作原理 AWS CloudTrail,提供使用者、角色或使用者所採取之動作記錄的服務 AWS 服務 在 Kinesis Video Streams。
您可以使用收集的資訊 CloudTrail 來判斷向 Kinesis Video Streams 提出的要求、提出要求的來源 IP 位址、提出要求的人員、提出要求的時間以及其他詳細資訊。
如需詳細資訊,請參閱日誌 Amazon Kinesis Video Streams API 呼叫 AWS CloudTrail。