Para obtener capacidades similares a las de Amazon Timestream, considere Amazon Timestream LiveAnalytics para InfluxDB. Ofrece una ingesta de datos simplificada y tiempos de respuesta a las consultas en milisegundos de un solo dígito para realizar análisis en tiempo real. Obtenga más información aquí.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas de seguridad de Timestream para InfluxDB
Amazon Timestream para InfluxDB proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
Implementación del acceso a los privilegios mínimos
Cuando concede permisos, debe decidir a quién concede cada permiso y para qué recurso de Timestream para InfluxDB se lo concede. Habilite las acciones específicas que desea permitir en dichos recursos. Por lo tanto, debe conceder únicamente los permisos obligatorios para realizar una tarea. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.
Uso de roles de IAM
Las aplicaciones de cliente y productor deben tener credenciales válidas para acceder a las instancias de base de datos de Timestream para InfluxDB. No debe almacenar AWS las credenciales directamente en una aplicación cliente o en un bucket de Amazon S3. Estas son las credenciales a largo plazo que no rotan automáticamente y que podrían tener un impacto empresarial significativo si se comprometen.
En su lugar, tiene que utilizar un rol de IAM para administrar credenciales temporales de las aplicaciones de cliente y productor con el fin de acceder a las instancias de base de datos de Timestream para InfluxDB. Al utilizar un rol, no tiene que utilizar credenciales a largo plazo (como un nombre de usuario y una contraseña o claves de acceso) para acceder a otros recursos.
Para obtener más información, consulte los siguientes temas de la guía del usuario de IAM:
Utilice cuentas AWS Identity and Access Management (IAM) para controlar el acceso a las operaciones de la API Amazon Timestream for InfluxDB, especialmente las operaciones que crean, modifican o eliminan los recursos de Amazon Timestream for InfluxDB. Dichos recursos incluyen instancias de base de datos, grupos de seguridad y grupos de parámetros.
Cree un usuario individual para cada persona que administre recursos de Amazon Timestream para InfluxDB, incluido usted mismo. No utilice credenciales AWS raíz para administrar los recursos de Amazon Timestream for InfluxDB.
Asigne a cada usuario el conjunto mínimo de permisos requerido para realizar sus tareas.
Use los grupos de IAM para administrar con eficacia los permisos para varios usuarios.
Rote con regularidad sus credenciales de IAM.
Configure AWS Secrets Manager para rotar automáticamente los secretos de Amazon Timestream for InfluxDB. Para obtener más información, consulte Rotación de AWS los secretos de Secrets Manager en la Guía del usuario de AWS Secrets Manager. También puede recuperar la credencial de AWS Secrets Manager mediante programación. Para obtener más información, consulte Recuperar el valor secreto en la Guía del usuario de AWS Secrets Manager.
Proteja sus tokens de API de Timestream para InfluxDB mediante Tokens de la API.
Implementación del cifrado en el servidor en recursos dependientes
Los datos en reposo y los datos en tránsito se pueden cifrar en Timestream para InfluxDB. Para obtener más información, consulte Cifrado en tránsito.
Se usa para monitorear las llamadas CloudTrail a la API
Timestream for InfluxDB está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Timestream for InfluxDB.
Con la información recopilada por InfluxDB CloudTrail, puede determinar la solicitud de InfluxDB que se realizó a Timestream, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información, consulte Registrar la transmisión temporal de las llamadas a la LiveAnalytics API con AWS CloudTrail.
Amazon Timestream para InfluxDB admite eventos del plano de control, pero no del CloudTrail plano de datos. Para más información, consulte Planos de control y planos de datos.
Public accessibility (Accesibilidad pública)
Cuando lance una instancia de base de datos dentro de una nube privada virtual (VPC, por sus siglas en inglés) basada en el servicio de Amazon VPC, podrá activar o desactivar la accesibilidad pública para esa instancia de base de datos. Para designar si la instancia de base de datos que se crea tiene un nombre de DNS que se resuelve en una dirección IP pública, utilice el parámetro Public accessibility (Accesibilidad pública). Con este parámetro, podrá especificar si hay acceso público a la instancia de base de datos.
Si su instancia de base de datos está en una VPC pero no es de acceso público, también puede usar una conexión AWS Site-to-Site VPN o una conexión Direct AWS Connect para acceder a ella desde una red privada.
Si su instancia de base de datos es de acceso público, asegúrese de tomar medidas para prevenir o ayudar a mitigar las amenazas relacionadas con la denegación de servicio. Para obtener más información, consulte Introducción a los ataques de denegación de servicio y Protección de redes.
