Kinesis Data Analytics 的安全最佳实践 - SQL 应用程序 Amazon Kinesis Data Analytics 开发人员指南
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Kinesis Data Analytics 的安全最佳实践

Amazon Kinesis Data Analytics 提供了在您开发和实施自己的安全策略时需要考虑的大量安全功能。以下最佳实践是一般指导原则,并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

在授予权限时,您可以决定谁获得哪些 Kinesis Data Analytics 资源的哪些权限。您可以对这些资源启用希望允许的特定操作。因此,您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

使用 IAM 角色访问其他 Amazon 服务

您的 Kinesis Data Analytics 应用程序必须具有有效的凭证,以访问其他服务中的资源,如 Kinesis 数据流、Kinesis Data Firehose 传输流或 Amazon S3 存储桶。你不应该存储Amazon凭证直接在应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证,如果它们受到损害,可能会对业务产生重大影响。

相反,您应该使用 IAM 角色来管理应用程序的临时凭证以访问其他资源。在使用角色时,您不必使用长期凭证 (如用户名和密码或访问密钥) 来访问其他资源。

有关更多信息,请参阅 IAM 用户指南中的以下主题:

实施从属资源中的服务器端加密

静态数据和传输中的数据在 Kinesis Data Analytics 中加密,并且无法禁用此加密。您应在您的从属资源中实施服务器端加密,如 Kinesis 数据流、Kinesis Data Firehose 传输流和 Amazon S3 存储桶。有关在从属资源中实施服务器端加密的更多信息,请参阅 数据保护

使用 CloudTrail 监控 API 调用

与 Kinesis Data Analytics 集成Amazon CloudTrail,后者是在 Kinesis Data Analytics 中提供用户、角色或 Amazon 服务所采取操作的记录的服务。

使用收集的信息CloudTrail中,您可以确定向 Kinesis Data Analytics 发出的请求、从中发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。

有关更多信息,请参阅 记录 Kinesis Data Analytics API 调用Amazon CloudTrail