Amazon Managed Service for Apache Flink 之前稱為 Amazon Kinesis Data Analytics for Apache Flink。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Managed Service for Apache Flink 的安全最佳實務
在您開發和實作自己的安全政策時,可考慮使用 Amazon Managed Service for Apache Flink 提供的多種安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
實作最低權限存取
當您授與許可時,需要決定哪些使用者會取得哪些 Apache Flink 資源的哪些許可。您還需針對這些資源啟用允許執行的動作,因此,您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。
使用 IAM角色來存取其他 Amazon 服務
您的 Managed Service for Apache Flink 應用程式必須具有有效的登入資料,才能存取其他服務中的資源,例如 Kinesis 資料串流、Firehose 串流或 Amazon S3 儲存貯體。您不應將 AWS 登入資料直接存放在應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證,如果遭到盜用,可能會對業務造成嚴重的影響。
反之,您應該使用 IAM角色來管理應用程式的臨時登入資料,以存取其他資源。使用角色時,您不必使用長期憑證來存取其他資源。
如需詳細資訊,請參閱《IAM 使用者指南》中的以下主題:
在相依資源中實作伺服器端加密
靜態資料和傳輸中的資料會在 Managed Service for Apache Flink 中加密,而且此加密無法停用。您應該在相依資源中實作伺服器端加密,例如 Kinesis 資料串流、Firehose 串流和 Amazon S3 儲存貯體。如需在相依資源中實作伺服器端加密的詳細資訊,請參閱 Managed Service for Apache Flink 中的資料保護。
使用 CloudTrail 監控API呼叫
Managed Service for Apache Flink 已與 整合 AWS CloudTrail,此服務提供使用者、角色或 Managed Service for Apache Flink 中 Amazon 服務所採取動作的記錄。
您可以使用 所收集的資訊 CloudTrail,判斷對 Managed Service for Apache Flink 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。
如需詳細資訊,請參閱日誌管理服務的阿帕奇 Flink API 呼叫 AWS CloudTrail。
