AWS IoT Greengrass 的安全最佳实践 - AWS IoT Greengrass
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS IoT Greengrass 的安全最佳实践

本主题包含 AWS IoT Greengrass 的安全最佳实践。

授予可能的最低权限

通过在 IAM 角色中使用最小权限集,遵循最低权限原则。限制使用* wildcard for the ActionResource属性。而是在可能的情况下声明一组有限的操作和资源。有关最低权限和其他策略最佳实践的更多信息,请参阅 策略最佳实践

最低权限最佳实践也适用于您附加到 Greengrass 核心的 AWS IoT 策略。

Greengrass 组件中不要对凭证进行硬编码

不要在用户定义的 Greengrass 组件中对凭证进行硬编码。为了更好地保护您的凭证:

不要记录敏感信息

您应该禁止记录凭证和其他个人身份信息 (PII)。我们建议您实施以下保护措施,即使是在对核心设备上的本地日志的访问需要根权限,对 CloudWatch Logs 的访问需要 IAM 权限的情况下。

  • 不要在 MQTT 主题路径中使用敏感信息。

  • 不要在 AWS IoT 核心注册表中的设备(事物)名称、类型和属性中使用敏感信息。

  • 不要在用户定义的 Greengrass 组件或 Lambda 函数中记录敏感信息。

  • 不要在 Greengrass 资源的名称和 ID 中使用敏感信息:

    • 核心设备

    • 组件

    • 部署

    • 日志记录程序

使设备时钟保持同步

请务必确保您的设备上有准确的时间。X.509 证书具有到期日期和时间。设备上的时钟用于验证服务器证书是否仍有效。设备时钟可能会在一段时间后出现偏差,或者电池可能会放电。

有关更多信息,请参阅 。使设备的时钟保持同步中的最佳实践AWS IoT Core 开发人员指南

另请参阅