Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

亚马逊 Data Firehose 以前被称为亚马逊 Kinesis Data Firehose

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

亚马逊 Data Firehose 的安全最佳实践

Amazon Data Firehose 提供了许多安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求，因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

在授予权限时，您可以决定谁将获得对哪些 Amazon Data Firehose 资源的权限。您可以对这些资源启用希望允许的特定操作。因此，您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

使用 IAM 角色

创建器和客户端应用程序必须具有有效凭证才能访问 Amazon Data Firehose 传输流，并且您的 Firehose 流必须具有访问目标的有效凭证。您不应将 Amazon 证书直接存储在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证，如果它们受到损害，可能会对业务产生重大影响。

相反，您应该使用 IAM 角色来管理您的创建器和客户端应用程序访问Firehose流的临时证书。在使用角色时，您不必使用长期凭证（如用户名和密码或访问密钥）来访问其他资源。

有关更多信息，请参阅 IAM 用户指南中的以下主题：

实施从属资源中的服务器端加密

静态数据和传输中的数据可以在 Amazon Data Firehose 中进行加密。有关更多信息，请参阅亚马逊 Amazon Data Firehose 中的数据保护。

CloudTrail 用于监控 API 调用

Amazon Data Firehose 与一项服务集成，可记录用户 Amazon CloudTrail、角色或 Amazon 服务在 Amazon Data Firehose 中执行的操作。

通过收集的信息 CloudTrail，您可以确定向 Amazon Data Firehose 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。

有关更多信息，请参阅 使用记录亚马逊数据 Firehose API 调用 Amazon CloudTrail。