Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Implementa le best practice di sicurezza per Amazon Data Firehose
<a name="security-best-practices"></a>

Amazon Data Firehose offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni. 

## Implementazione dell'accesso con privilegi minimi
<a name="security-best-practices-privileges"></a>

Quando concedi le autorizzazioni, sei tu a decidere chi deve ottenere quali autorizzazioni per quali risorse Amazon Data Firehose. È possibile abilitare operazioni specifiche che si desidera consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose. 

## Uso di ruoli IAM
<a name="security-best-practices-roles"></a>

Le applicazioni Producer e Client devono disporre di credenziali valide per accedere ai flussi Firehose e lo stream Firehose deve disporre di credenziali valide per accedere alle destinazioni. Non è necessario archiviare AWS le credenziali direttamente in un'applicazione client o in un bucket Amazon S3. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e potrebbero avere un impatto aziendale significativo se vengono compromesse. 

Invece, è necessario utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni producer e client per accedere ai flussi Firehose. Quando utilizzi un ruolo, non devi necessariamente usare credenziali a lungo termine (ad esempio, nome utente e password o chiavi di accesso) per accedere ad altre risorse.

Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente IAM*:
+ [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Scenari comuni per ruoli: utenti, applicazioni e servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

## Implementa la crittografia lato server nelle risorse dipendenti
<a name="security-best-practices-sse"></a>

I dati inattivi e i dati in transito possono essere crittografati in Amazon Data Firehose. Per ulteriori informazioni, consulta [Protezione dei dati in Amazon Data Firehose](encryption.md).

## Utilizzato CloudTrail per monitorare le chiamate API
<a name="security-best-practices-cloudtrail"></a>

Amazon Data Firehose è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Data Firehose.

Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon Data Firehose, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.

Per ulteriori informazioni, consulta [Registra le chiamate API Amazon Data Firehose con AWS CloudTrail](monitoring-using-cloudtrail.md).