一般安全 - Amazon Timestream
权限网络访问依赖项S3 存储桶
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

一般安全

权限

应向InfluxDB用户授予最低权限权限。迁移期间只能使用授予特定用户的令牌,而不是操作员令牌。

InfluxDB 的 Timestream 使用 IAM 权限来控制用户权限。我们建议向用户授予他们所需的特定操作和资源的访问权限。有关更多信息,请参阅授予最低权限访问权限

网络访问

Influx 迁移脚本可以在本地运行,在同一系统上的两个 InfluxDB 实例之间迁移数据,但假设迁移的主要用例是通过网络(本地或公共网络)迁移数据。随之而来的是安全方面的考虑。默认情况下,Influx 迁移脚本将为启用了 TLS 的实例验证 TLS 证书:我们建议用户在其 InfluxDB 实例中启用 TLS,不要使用脚本的--skip-verify选项。

我们建议您使用允许列表来限制来自预期来源的网络流量。为此,您可以将网络流量限制为仅来自已知的 InfluxDB 实例。 IPs

依赖项

应使用所有依赖项的最新主要版本,包括 Influx CLI、InfluxDB、Python、请求模块以及可选的依赖项,例如和。mountpoint-s3 rclone

S3 存储桶

如果将 S3 存储桶用作迁移的临时存储,我们建议启用 TLS、版本控制和禁用公共访问。

使用 S3 存储桶进行迁移

  1. 打开 Amazon Web Services Management Console,导航至 Amazon 简单存储服务,然后选择存储桶

  2. 选择您要使用的存储桶。

  3. 选择 Permissions(权限)选项卡。

  4. 屏蔽公共访问权限(存储桶设置)下,请选择编辑

  5. 选中 “阻止所有公共访问”。

  6. 选择 Save changes(保存更改)

  7. Bucket policy(存储桶策略)下,请选择 Edit(编辑)

  8. 输入以下内容,<example-bucket>替换为您的存储桶名称,以强制使用 TLS 1.2 或更高版本进行连接:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceTLSv12orHigher",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::<example bucket>/*",
                "arn:aws:s3:::<example bucket>"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

  9. 选择 Save changes(保存更改)

  10. 选择属性选项卡。

  11. 存储桶版本控制下,请选择编辑

  12. 选中 “启用”。

  13. 选择 Save changes(保存更改)

有关 Amazon S3 存储桶最佳安全实践的信息,请参阅亚马逊简单存储服务的安全最佳实践