本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon IoT SiteWise 的安全最佳实践
本主题包含 Amazon IoT SiteWise 的安全最佳实践。
在 OPC-UA 服务器上使用身份验证凭证
连接到您的 OPC-UA 服务器需要身份验证凭证。要执行此操作,请参考适用于您的服务器的文档。然后,要允许网关连接到 OPC-UA 服务器,请向网关添加服务器身份验证密钥。有关更多信息,请参阅配置源身份验证:
为 OPC-UA 服务器使用加密通信模式
在为网关配置 OPC-UA 源时,请选择未弃用的加密消息安全模式。这有助于在工业数据从 OPC-UA 服务器移动到网关时对其进行保护。有关更多信息,请参阅 通过本地网络传输的数据 和 配置数据源。
让您的组件保持最新
如果你使用Amazon IoT SiteWise网关用于向服务摄取数据,您有责任配置和维护网关的环境。这项职责包括升级到最新版本的网关系统软件,Amazon IoT Greengrass软件和连接器。
注意
的Amazon IoT SiteWise边缘连接器将机密存储在您的文件系统上。这些密钥控制谁可以查看网关中缓存的数据。强烈建议您为运行网关的系统开启磁盘或文件系统加密。
加密网关的文件系统
加密并保护您的网关,确保工业数据在通过网关传输时的安全。如果您的网关有硬件安全模块,则可以配置 Amazon IoT Greengrass 以保护网关。有关更多信息,请参阅硬件安全集成在Amazon IoT Greengrass Version 1开发者指南。否则,请参阅适用于您的操作系统的文档,了解如何加密和保护文件系统。
安全访问您的边缘配置
不要共享您的 Edge 控制台应用程序密码或您的 SiteWise 监控应用程序密码。不要将此密码放在任何人都能看到的地方。通过为密码配置适当的过期时间,实施健康的密码轮换策略。
格兰特 SiteWise 监控用户可能的最低权限
遵循最低权限原则,为门户用户使用最低访问策略权限。
-
创建门户时,请定义一个角色,允许该门户所需的最小资源集。有关更多信息,请参阅为 Amazon IoT SiteWise Monitor 使用服务角色:
-
当您和门户管理员创建并共享项目时,请使用该项目所需的最小资源集。
-
当身份不再需要访问门户或项目时,请将其从该资源中移除。如果该身份不再适用于您的组织,请从您的身份存储中删除该身份。
最基本的最佳实践也适用于 IAM 角色。有关更多信息,请参阅策略最佳实践:
不要暴露敏感信息
您应该禁止记录凭证和其他敏感信息,例如个人身份信息 (PII)。即使访问网关上的本地日志需要 root 权限和访问权限,我们也建议您实施以下安全措施 CloudWatch 日志需要 IAM 权限。
-
请勿在资产或模型的名称、描述或属性中使用敏感信息。
-
请勿在网关或源名称中使用敏感信息。
-
请勿在门户、项目或控制面板的名称或描述中使用敏感信息。
遵守 Amazon IoT Greengrass 安全最佳实践
遵循网关的 Amazon IoT Greengrass 安全最佳实践。有关更多信息,请参阅安全最佳实践在Amazon IoT Greengrass Version 1开发者指南。
另请参阅
-
安全最佳实践在Amazon IoT开发者指南