实施 Amazon Data Firehose 的安全最佳实践

Amazon KData Firehose 提供了许多安全功能，供您在开发和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求，因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

授予权限时，您可以决定谁将获得对哪些 Amazon Data Firehose 资源的哪些权限。您可以对这些资源启用希望允许的特定操作。因此，您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

生产者和客户端应用程序必须具有有效凭证才能访问 Firehose 流，并且您的 Firehose 流必须具有有效凭证才能访问目标。您不应将 AWS 证书直接存储在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证，如果它们受到损害，可能会对业务产生重大影响。

而是应该使用 IAM 角色来管理生产者和客户端应用程序的临时凭证，以访问 Firehose 流。在使用角色时，您不必使用长期凭证（如用户名和密码或访问密钥）来访问其他资源。

有关更多信息，请参阅 IAM 用户指南中的以下主题：

可在 Amazon Data Firehose 中加密静态数据和传输中数据。有关更多信息，请参阅 Amazon Data Firehose 中的数据保护。

Amazon Data Firehose 与 AWS CloudTrail一项服务集成，可记录用户、角色或 AWS 服务在 Amazon Data Firehose 中采取的操作。

通过收集的信息 CloudTrail，您可以确定向 Amazon Data Firehose 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

将 Firehose 与 AWS PrivateLink

监控 Amazon Data Firehose