本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 以下方面的安全最佳实践 Amazon IoT SiteWise
<a name="security-best-practices"></a>

本主题包含的安全最佳实践 Amazon IoT SiteWise。

## 保持组件更新
<a name="security-best-practices-update-regularly"></a>

如果您使用 SiteWise Edge 网关向服务采集数据，则您有责任配置和维护 SiteWise Edge 网关的环境。此责任包括升级到网关的系统软件、 Amazon IoT Greengrass 软件和连接器的最新版本。

**注意**  
 Amazon IoT SiteWise Edge 连接器在您的文件系统上存储机密。这些密钥控制谁可以查看您的 SiteWise Edge 网关中缓存的数据。强烈建议您为运行 E SiteWise dge 网关的系统开启磁盘或文件系统加密。

有关如何在 Amazon IoT SiteWise 控制台中升级组件的信息，请参阅[更改 SiteWise Edge 网关组件包的版本](manage-gateways-ggv2.md#manage-gateway-update-packs)。

## 加密您的 SiteWise Edge 网关的文件系统
<a name="security-best-practices-gateway-encryption"></a>

加密和保护您的 SiteWise Edge 网关，因此您的工业数据在通过 SiteWise Edge 网关时是安全的。如果您的 SiteWise Edge 网关具有硬件安全模块，则可以进行配置 Amazon IoT Greengrass 以保护您的 SiteWise Edge 网关。有关更多信息，请参阅 *Amazon IoT Greengrass Version 1 开发人员指南*中的[硬件安全性集成](https://docs.amazonaws.cn/greengrass/v1/developerguide/hardware-security.html)。否则，请参阅适用于您的操作系统的文档，了解如何加密和保护文件系统。

## 安全访问您的边缘配置
<a name="security-best-practices-edge-access-control"></a>

不要共享您的 Edge 控制台应用程序密码或 Mon SiteWise itor 应用程序密码。请勿将此密码放在任何人都能看到的地方。为密码配置适当的过期时间，实施健康的密码轮换策略。

## 在 Siemens Industrial Edge Management 上保护数据安全
<a name="security-best-practices-siemens-app"></a>

您选择与 Amazon IoT SiteWise Edge 共享的设备数据将在您的Siemens IEM Databus配置主题中确定。通过选择要与 SiteWise Edge 共享的主题，您就是在与之共享主题级数据。 Amazon IoT SiteWiseSiemens Industrial Edge Marketplace是一个独立的市场，与 Amazon。为了保护您的共享数据，除非您使用 SiteWise Edge 应用程序，否则不会运行Siemens Secured Storage。有关更多信息，请参阅 Siemens 文档中的[安全存储](https://docs.eu1.edge.siemens.cloud/build_a_device/device_building/development/development/secure-storage.html)。

## 向 SiteWise 监控器用户授予可能的最低权限
<a name="security-best-practices-minimum-monitor-permissions"></a>

通过对门户用户使用最小访问策略权限集，遵循最低权限原则。
+ 创建门户时，请定义一个角色，允许该门户所需的最小资源集。有关更多信息，请参阅 [将服务角色用于 Amazon IoT SiteWise Monitor](monitor-service-role.md)。
+ 当您和门户管理员创建并共享项目时，请使用该项目所需的最小资源集。
+ 当身份不再需要访问门户或项目时，请将其从该资源中删除。如果该身份不再适用于您的组织，请从您的身份存储中删除该身份。

最低权限原则最佳实践也适用于 IAM 角色。有关更多信息，请参阅 [策略最佳实践](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)。

## 不要暴露敏感信息
<a name="security-best-practices-sensitive-information"></a>

您应该禁止记录凭证和其他敏感信息，例如个人身份信息 (PII)。尽管访问 SiteWise Edge 网关上的本地日志需要根权限，而访问 CloudWatch 日志需要 IAM 权限，但我们仍建议您实施以下保护措施。
+ 请勿在资产或模型的名称、描述或属性中使用敏感信息。
+ 请勿在 SiteWise Edge 网关或源名称中使用敏感信息。
+ 请勿在门户、项目或控制面板的名称或描述中使用敏感信息。

## 遵循 Amazon IoT Greengrass 安全最佳实践
<a name="security-best-practices-greengrass-guidelines"></a>

遵循 SiteWise Edge 网关 Amazon IoT Greengrass 的安全最佳实践。有关更多信息，请参阅*Amazon IoT Greengrass Version 1 开发人员指南*中的[安全最佳实践](https://docs.amazonaws.cn/greengrass/v1/developerguide/security-best-practices.html)。

## 另请参阅
<a name="security-best-practices-see-also"></a>
+ *Amazon IoT 开发人员指南*中的[安全最佳实践](https://docs.amazonaws.cn/iot/latest/developerguide/security-best-practices.html)
+ [工业 IoT 解决方案的十大安全黄金法则](https://www.amazonaws.cn/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/)