LiveAnalytics 预防性安全最佳实践的时间流 - Amazon Timestream
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

LiveAnalytics 预防性安全最佳实践的时间流

以下最佳实践可以帮助您预测和防止 Timestream 中的安全事件。 LiveAnalytics

静态加密

LiveAnalytics Timestream 使用存储在 Amazon Key Management Service ()Amazon KMS 中的加密密钥对存储在表中的所有用户数据进行静态加密。保护您的数据免受未经授权访问,为基础存储提供额外一层数据保护。

Timestream for LiveAnalytics 使用单个服务默认密钥(Amazon 拥有的 CMK)来加密您的所有表。如果此密钥不存在,则会为您创建。服务默认密钥无法禁用。有关更多信息,请参阅静 LiveAnalytics 态加密的时间流

使用 IAM 角色对 Timestream 的访问权限进行身份验证 LiveAnalytics

要访问Timestream的用户、应用程序和其他 Amazon 服务 LiveAnalytics,他们必须在其 Amazon API请求中包含有效的 Amazon 凭证。您不应将 Amazon 凭证直接存储在应用程序或 EC2 实例中。这些长期凭证不会自动轮换,如果外泄,可能造成重大业务影响。利用 IAM 角色,可以获得临时访问密钥,用于访问 Amazon 服务和资源。

有关更多信息,请参阅 IAM 角色

使用 Timestream 的 IAM 策略进行 LiveAnalytics 基本授权

在授予权限时,你可以决定谁在获得权限、 LiveAnalytics APIs 他们获得哪个 Timestream 的权限,以及你想允许对这些资源执行哪些具体操作。实施最低权限对于减小安全风险以及错误或恶意意图造成的影响至关重要。

向 IAM 身份(即用户、群组和角色)附加权限策略,从而授予在 Timestream 上对 LiveAnalytics资源执行操作的权限。

可以通过以下方法实现:

考虑客户端加密

如果您将敏感或机密数据存储在 Timestream 中 LiveAnalytics,则可能需要在尽可能靠近其来源的地方加密这些数据,以便您的数据在其整个生命周期中受到保护。对传输中和静态的敏感数据进行加密有助于确保任何第三方都无法获得您的纯文本数据。