As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Melhores práticas de segurança para AWS IoT Greengrass
Este tópico contém as melhores práticas de segurança para AWS IoT Greengrass.
## Conceder o mínimo possível de permissões
Siga o princípio de privilégio mínimo para seus componentes executando-os como usuários sem privilégio. Os componentes não devem ser executados como raiz, a menos que seja absolutamente necessário.
Use o conjunto mínimo de permissões nos perfis do IAM. Limite o uso do caractere curinga `*` para as propriedades `Action` e `Resource` em suas políticas do IAM. Em vez disso, declare um conjunto finito de ações e recursos quando possível. Para obter mais informações sobre as melhores práticas de privilégio mínimo e outras de políticas, consulte [Práticas recomendadas de política](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices).
A melhor prática de privilégios mínimos também se aplica às AWS IoT políticas que você anexa ao seu núcleo do Greengrass.
## Não codificar credenciais em componentes do Greengrass
Não codifique credenciais em seus componentes do Greengrass definidos pelo usuário. Como proteger melhor suas credenciais:
+ Para interagir com AWS os serviços, defina permissões para ações e recursos específicos na função de [serviço do dispositivo principal do Greengrass](device-service-role.md).
+ Use o [componente Gerenciador de segredos](secret-manager-component.md) para armazenar as credenciais. Ou, se a função usar o AWS SDK, use as credenciais da cadeia de fornecedores de credenciais padrão.
## Não registrar em log informações confidenciais
Você deve impedir o registro de credenciais e outras informações de identificação pessoal (PII). Recomendamos que você implemente as seguintes proteções, mesmo que o acesso aos registros locais em um dispositivo principal exija privilégios de root e o acesso aos CloudWatch registros exija permissões do IAM.
+ Não use informações confidenciais em caminhos de tópico MQTT.
+ Não use informações confidenciais em nomes, tipos e atributos de dispositivo (coisa) no registro do AWS IoT Core .
+ Não registre informações confidenciais em componentes do Greengrass ou funções do Lambda definidos pelo usuário.
+ Não use informações confidenciais nos nomes e nos recursos IDs do Greengrass:
+ Dispositivos principais
+ Componentes
+ Implantações
+ Loggers
## Manter o relógio do dispositivo sincronizado
É importante ter a hora exata no seu dispositivo. Os certificados X.509 têm data e hora de expiração. O relógio em seu dispositivo é usado para verificar se um certificado de servidor ainda é válido. Os relógios do dispositivo podem atrasar ao longo do tempo ou as baterias podem descarregar.
Para obter mais informações, consulte a melhor prática [Manter o relógio do dispositivo sincronizado](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html#device-clock) no *Guia do desenvolvedor do AWS IoT Core *.
## Recomendações de suíte de cifras
O padrão do Greengrass é selecionar as suítes de cifras TLS mais recentes disponíveis no dispositivo. Considere desabilitar o uso de suítes de cifras antigas no dispositivo. Por exemplo, suítes de cifras CBC.
Para obter mais informações, consulte a [configuração de criptografia do Java](https://www.java.com/configure_crypto.html).
## Consulte também
+ [Melhores práticas de segurança para o AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html) no *Guia do desenvolvedor do AWS IoT *
+ [Dez regras de ouro de segurança para soluções de IoT industrial](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/) na *Internet das Coisas no blog oficial AWS *