本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
適用於 Kinesis Data Streams 的安全最佳實務
在您開發和實作自己的安全政策時,可考慮使用 Amazon Kinesis Data Streams 提供的多種安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
實作最低權限存取
授予許可時,需要決定哪些使用者會取得哪些 Kinesis Data Streams 資源的許可。您還需針對這些資源啟用允許執行的動作,因此,您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。
使用 IAM 角色
生產者和用戶端應用程式必須擁有有效的憑證,才能存取 Kinesis 資料串流。您不應將 AWS 登入資料直接存放在用戶端應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證,如果遭到盜用,可能會對業務造成嚴重的影響。
反之,您應該使用 IAM 角色來管理生產者和用戶端應用程式存取 Kinesis 資料串流的暫時憑證。使用角色時,您不必使用長期登入資料 (例如使用者名稱和密碼或存取金鑰) 來存取其他資源。
如需詳細資訊,請參閱《IAM 使用者指南》中的以下主題:
在相依資源實作伺服器端加密
您可以在 Kinesis Data Streams 加密靜態資料和傳輸中的資料。如需詳細資訊,請參閱 Amazon Kinesis Data Streams 中的資料保護。
用 CloudTrail 於監控 API 呼叫
Kinesis Data Streams 與 Kinesis 資料串流中的使用者 AWS CloudTrail、角色或服務所採取的動作記錄的 AWS 服務整合在一起。
使用收集的資訊 CloudTrail,您可以判斷向 Kinesis Data Streams 提出的要求、提出要求的來源 IP 位址、提出要求的人員、提出要求的時間以及其他詳細資訊。
如需更多詳細資訊,請參閱 使用 AWS CloudTrail 記錄 Amazon Kinesis Data Streams API 呼叫。
