一般安全性 - Amazon Timestream
Permissions网络访问依赖项S3 桶
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

要获得与亚马逊 Timestream 类似的功能 LiveAnalytics,可以考虑适用于 InfluxDB 的亚马逊 Timestream。适用于 InfluxDB 的 Amazon Timestream 提供简化的数据摄取和个位数毫秒级的查询响应时间,以实现实时分析。点击此处了解更多信息。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

一般安全性

Permissions

应向 InfluxDB 用户授予最低权限。在迁移过程中,应仅使用授予特定用户的令牌,而非运算符令牌。

适用于 InfluxDB 的 Timestream 使用 IAM 权限以控制用户权限。我们建议向用户授予其所需的特定操作和资源的访问权限。有关更多信息,请参阅授予最低权限访问权限

网络访问

Influx 迁移脚本可在本地运行,在同一系统内的两个 InfluxDB 实例之间迁移数据,但假设迁移的主要使用案例是通过网络(本地或公共网络)迁移数据。随之而来的是安全考量。默认情况下,Influx 迁移脚本将验证已启用 TLS 实例的 TLS 证书:我们建议用户在其 InfluxDB 实例中启用 TLS,且不要使用脚本的 --skip-verify 选项。

我们建议您使用允许列表以限制网络流量,仅允许来自预期源的流量。为此,您可以将网络流量限制为仅来自已知的 InfluxDB 实例。 IPs

依赖项

应使用所有依赖项的最新主要版本,包括 Influx CLI、InfluxDB、Python、Requests 模块以及可选的依赖项(例如 mountpoint-s3rclone)。

S3 桶

如果将 S3 存储桶用作迁移的临时存储,我们建议启用 TLS、版本控制并禁用公共访问权限。

使用 S3 存储桶进行迁移

  1. 打开 Amazon Web Services 管理控制台,导航至 Amazon 简单存储服务,然后选择存储桶

  2. 选择要使用的存储桶。

  3. 选择权限选项卡。

  4. 屏蔽公共访问权限(存储桶设置)下,请选择编辑

  5. 勾选屏蔽所有公共访问权限

  6. 选择保存更改

  7. Bucket policy(存储桶策略)下,请选择 Edit(编辑)

  8. 输入以下内容,将 <example-bucket> 替换为存储桶名称,以强制使用 TLS 1.2 或更高版本进行连接:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnforceTLSv12orHigher",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::<example bucket>/*",
                "arn:aws:s3:::<example bucket>"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

  9. 选择保存更改

  10. 选择属性选项卡。

  11. 存储桶版本控制下,请选择编辑

  12. 勾选启用

  13. 选择保存更改

有关 Amazon S3 存储桶最佳安全性实践的信息,请参阅 Amazon Simple Storage Service 的安全最佳实践