Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

要获得与亚马逊 Timestream 类似的功能 LiveAnalytics，可以考虑适用于 InfluxDB 的亚马逊 Timestream。适用于 InfluxDB 的 Amazon Timestream 提供简化的数据摄取和个位数毫秒级的查询响应时间，以实现实时分析。点击此处了解更多信息。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

适用于 InfluxDB 的 Timestream 安全最佳实践

适用于 InfluxDB 的 Amazon Timestream 提供在您开发和实施自己的安全策略时需要考虑的大量安全特征。以下最佳实践是一般指导原则，并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求，因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

在授予权限时，您可以决定谁获得哪些适用于 InfluxDB 的 Timestream 资源的哪些权限。您可以对这些资源启用希望允许的特定操作。因此，您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

使用 IAM 角色

创建者和客户端应用程序必须具备有效的凭证，以访问适用于 InfluxDB 的 Timestream 数据库实例。您不应将 Amazon 证书直接存储在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证，如果它们受到损害，可能会对业务产生重大影响。

而是应该使用 IAM 角色来管理生产者和客户端应用程序的临时凭证，以访问适用于 InfluxDB 的 Timestream 数据库实例。在使用角色时，您不必使用长期凭证（如用户名和密码或访问密钥）来访问其他资源。

有关更多信息，请参阅 IAM 用户指南中的以下主题：

使用 Amazon Identity and Access Management (IAM) 账户控制 InfluxDB API 操作对亚马逊 Timestream 的访问权限，尤其是创建、修改或删除 InfluxDB 资源的亚马逊 Timestream 资源的操作。此类资源包括数据库实例、安全组和参数组。

实施从属资源中的服务器端加密

可以在适用于 InfluxDB 的 Timestream 中加密静态数据和传输中数据。有关更多信息，请参阅 传输中加密。

CloudTrail 用于监控 API 调用

InfluxDB 的 Timestream 与一项服务集成，该服务提供用户 Amazon CloudTrail、角色或 Amazon 服务在 InfluxDB 的 Timestream 中采取的操作的记录。

使用收集的信息 CloudTrail，您可以确定向 Timestream for InfluxDB 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。

有关更多信息，请参阅 使用记录 LiveAnalytics API 调用的时间流 Amazon CloudTrail。

适用于 InfluxDB 的 Amazon Timestream 支持控制平面 CloudTrail 事件，但不支持数据平面。有关更多信息，请参阅控制面板和数据面板。

公开可用性

在基于 Amazon VPC 服务的虚拟私有云（VPC）内启动数据库实例时，可以打开或关闭该数据库实例的公共可访问性。要指定您创建的数据库实例是否具有解析为公共 IP 地址的 DNS 名称，请使用公共可用性 参数。通过使用此参数，您可以指定是否可以公开访问数据库实例

如果您的数据库实例位于 VPC 中但无法公开访问，则您也可以使用 Amazon Site-to-Site VPN 连接或 Di Amazon rect Connect 连接从私有网络访问该实例。

如果数据库实例可公开访问，请务必采取措施防止或帮助缓解与拒绝服务相关的威胁。有关更多信息，请参阅拒绝服务攻击简介以及网络防护。