以下方面的安全最佳实践 Amazon IoT SiteWise - Amazon IoT SiteWise
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

以下方面的安全最佳实践 Amazon IoT SiteWise

本主题包含的安全最佳实践 Amazon IoT SiteWise。

在 OPC-UA 服务器上使用身份验证凭证

连接到您的 OPC-UA 服务器需要身份验证凭证。要执行此操作,请参考适用于您的服务器的文档。然后,要允许您的 SiteWise Edge 网关连接到 OPC-UA 服务器,请向 SiteWise Edge 网关添加服务器身份验证密钥。有关更多信息,请参阅配置源身份验证

为 OPC-UA 服务器使用加密通信模式

在为 Edge 网关配置 OPC-UA 源时,请选择未弃用的加密消息安全模式。 SiteWise 这有助于在工业数据从 OPC-UA 服务器转移到 SiteWise Edge 网关时对其进行保护。有关更多信息,请参阅 通过本地网络传输的数据配置数据源

保持组件更新

如果您使用 SiteWise Edge 网关向服务采集数据,则您有责任配置和维护 SiteWise Edge 网关的环境。此责任包括升级到网关的系统软件、 Amazon IoT Greengrass 软件和连接器的最新版本。

注意

Amazon IoT SiteWise Edge 连接器将机密存储在您的文件系统上。这些密钥控制谁可以查看您的 SiteWise Edge 网关中缓存的数据。强烈建议您为运行 E SiteWise dge 网关的系统开启磁盘或文件系统加密。

加密您的 SiteWise Edge 网关的文件系统

加密和保护您的 SiteWise Edge 网关,因此您的工业数据在通过 SiteWise Edge 网关时是安全的。如果您的 SiteWise Edge 网关具有硬件安全模块,则可以进行配置 Amazon IoT Greengrass 以保护您的 SiteWise Edge 网关。有关更多信息,请参阅 Amazon IoT Greengrass Version 1 开发人员指南中的硬件安全性集成。否则,请参阅适用于您的操作系统的文档,了解如何加密和保护文件系统。

安全访问您的边缘配置

不要共享您的 Edge 控制台应用程序密码或 Mon SiteWise itor 应用程序密码。请勿将此密码放在任何人都能看到的地方。为密码配置适当的过期时间,实施健康的密码轮换策略。

向 SiteWise 监控器用户授予可能的最低权限

通过对门户用户使用最小访问策略权限集,遵循最低权限原则。

  • 创建门户时,请定义一个角色,允许该门户所需的最小资源集。有关更多信息,请参阅将服务角色用于 Amazon IoT SiteWise Monitor

  • 当您和门户管理员创建并共享项目时,请使用该项目所需的最小资源集。

  • 当身份不再需要访问门户或项目时,请将其从该资源中删除。如果该身份不再适用于您的组织,请从您的身份存储中删除该身份。

最低权限原则最佳实践也适用于 IAM 角色。有关更多信息,请参阅策略最佳实践

不要暴露敏感信息

您应该禁止记录凭证和其他敏感信息,例如个人身份信息 (PII)。尽管访问 SiteWise Edge 网关上的本地日志需要根权限,而访问 CloudWatch 日志需要 IAM 权限,但我们仍建议您实施以下保护措施。

  • 请勿在资产或模型的名称、描述或属性中使用敏感信息。

  • 请勿在 SiteWise Edge 网关或源名称中使用敏感信息。

  • 请勿在门户、项目或控制面板的名称或描述中使用敏感信息。

遵循 Amazon IoT Greengrass 安全最佳实践

遵循 SiteWise Edge 网关 Amazon IoT Greengrass 的安全最佳实践。有关更多信息,请参阅Amazon IoT Greengrass Version 1 开发人员指南中的安全最佳实践

另请参阅