本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Kinesis 视频流的安全最佳实践
Amazon Kinesis Video Streams 提供了许多安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。
有关远程设备的安全最佳实践,请参阅设备代理的安全最佳实践。
实施最低权限访问
授予权限时,您可以决定谁将获得哪些 Kinesis Video Streams 资源的权限。您可以对这些资源启用希望允许的特定操作。因此,您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。
例如,向 Kinesis Video Streams 发送数据的制作人只需要PutMedia,GetStreamingEndpoint,以及DescribeStream。请勿向创建者应用程序授予所有操作 (*) 或其他操作(例如 GetMedia)的权限。
有关更多信息,请参阅什么是最低权限以及为什么需要它?
使用 IAM 角色
制作者和客户端应用程序必须具有有效凭据才能访问 Kinesis 视频流。你不应该存储Amazon直接在客户端应用程序或 Amazon S3 存储桶中使用证书。这些是长期证书,不会自动轮换,如果遭到泄露,可能会对业务产生重大影响。
相反,您应该使用 IAM 角色来管理生产者和客户端应用程序的临时证书,以访问 Kinesis Video Streams。使用角色时,不必使用长期证书(例如用户名和密码或访问密钥)来访问其他资源。
有关更多信息,请参阅 IAM 用户指南中的以下主题:
使用CloudTrail监控 API 调用
Kinesis 视频直播可与Amazon CloudTrail,一种提供用户、角色或用户所执行操作记录的服务Amazon Web Service在 Kinesis 视频直播中。
您可以使用通过以下方式收集的信息CloudTrail以确定向 Kinesis Video Streams 发出的请求、发出请求的 IP 地址、发出请求的人、发出请求的时间以及其他详细信息。
有关更多信息,请参阅使用以下方式记录亚马逊 Kinesis 视频流 API 调用Amazon CloudTrail: