Segurança geral - Amazon Timestream
PermissõesAcesso à redeDependênciasBuckets do S3

Para recursos semelhantes aos do Amazon Timestream para, considere o Amazon Timestream LiveAnalytics para InfluxDB. Ele oferece ingestão de dados simplificada e tempos de resposta de consulta de um dígito em milissegundos para análises em tempo real. Saiba mais aqui.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança geral

Permissões

Os usuários do InfluxDB devem ter permissões de privilégio mínimo. Somente tokens concedidos a usuários específicos, em vez dos tokens do operador, devem ser usados durante a migração.

O Timestream para InfluxDB usa permissões do IAM para controlar as permissões do usuário. Recomendamos que os usuários tenham acesso às ações e recursos específicos de que necessitam. Para obter mais informações, consulte Conceder privilégio mínimo de acesso.

Acesso à rede

O script de migração do Influx pode funcionar localmente, migrando dados entre duas instâncias do InfluxDB no mesmo sistema, mas presume-se que o principal caso de uso para migrações será a migração de dados pela rede, seja uma rede local ou pública. Com isso, vêm as considerações de segurança. O script de migração do Influx verificará, por padrão, os certificados TLS para instâncias com o TLS ativado: recomendamos que os usuários habilitem o TLS em suas instâncias do InfluxDB e não usem a opção --skip-verify do script.

Recomendamos que você use uma lista de permissões para restringir o tráfego de rede, para que ele seja proveniente das fontes que você espera. Você pode fazer isso limitando o tráfego de rede às instâncias do InfluxDB somente de instâncias conhecidas. IPs

Dependências

As versões principais mais recentes de todas as dependências devem ser usadas, incluindo Influx CLI, InfluxDB, Python, o módulo Requests e dependências opcionais, como mountpoint-s3 e rclone.

Buckets do S3

Se os buckets do S3 forem usados como armazenamento temporário para migração, recomendamos ativar o TLS, versionamento e desativar o acesso público.

Uso de buckets do S3 para migração

  1. Abra o Console de gerenciamento da AWS, navegue até o Amazon Simple Storage Service e escolha Buckets.

  2. Escolha o bucket que você deseja usar.

  3. Escolha a aba Permissões.

  4. Em Block public access (bucket settings) (Bloqueio de acesso público (configurações de bucket), escolha Edit (Editar).

  5. Marque Bloquear todo o acesso público.

  6. Escolha Salvar alterações.

  7. Em Bucket policy (Política de bucket), escolha Edit (Editar).

  8. Digite o seguinte, substituindo <example-bucket> pelo nome do seu bucket, para impor o uso do TLS versão 1.2 ou posterior para conexões:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnforceTLSv12orHigher",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::<example bucket>/*",
                "arn:aws:s3:::<example bucket>"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

  9. Escolha Salvar alterações.

  10. Escolha a guia Properties (Propriedades).

  11. Em Bucket Versioning (Versionamento de bucket), escolha Edit (Editar).

  12. Marque Ativar.

  13. Escolha Salvar alterações.

Para obter informações sobre práticas recomendadas de segurança do Amazon S3, consulte Práticas recomendadas de segurança para o Amazon Simple Storage Service.