经过仔细考虑，我们决定停用适用于 SQL 应用程序的 Amazon Kinesis Data Analytics：

1. 从 **2025年9月1日起，**我们将不再为适用于SQL应用程序的Amazon Kinesis Data Analytics Data Analytics提供任何错误修复，因为鉴于即将停产，我们对其的支持将有限。

2. 从 **2025 年 10 月 15 日**起，您将无法为 SQL 应用程序创建新的 Kinesis Data Analytics。

3. 从 **2026 年 1 月 27 日**起，我们将删除您的应用程序。您将无法启动或操作 Amazon Kinesis Data Analytics for SQL 应用程序。从那时起，将不再提供对 Amazon Kinesis Data Analytics for SQL 的支持。有关更多信息，请参阅 [Amazon Kinesis Data Analytics for SQL 应用程序停用](discontinuation.md)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Kinesis Data Analytics 最佳安全实践
<a name="security-best-practices"></a>

Amazon Kinesis Data Analytics 提供了许多安全功能，供您在开发和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

## 使用 IAM 角色访问其他 Amazon 服务
<a name="security-best-practices-roles"></a>

您的 Kinesis Data Analytics 应用程序必须具有有效的凭证，才能访问其他服务中的资源，如 Kinesis 数据流、Firehose 传输流或 Amazon S3 存储桶。您不应将 AWS 证书直接存储在应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证，如果它们受到损害，可能会对业务产生重大影响。

相反，您应该使用 IAM 角色来管理访问其他资源的应用程序的临时凭证。在使用角色时，您不必使用长期凭证来访问其他资源。

有关更多信息，请参阅 *IAM 用户指南*中的以下主题：
+ [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [针对角色的常见情形：用户、应用程序和服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

## 实施从属资源中的服务器端加密
<a name="security-best-practices-sse"></a>

静态数据和传输中的数据在 Kinesis Data Analytics 中加密，并且无法禁用此加密。您应在您的从属资源（如 Kinesis 数据流、Firehose 传输流和 Amazon S3 存储桶）中实施服务器端加密。有关在从属资源中实施服务器端加密的更多信息，请参阅 [数据保护](data-protection.md)。

## CloudTrail 用于监控 API 调用
<a name="security-best-practices-cloudtrail"></a>

Kinesis Data Analytics AWS CloudTrail与一项服务集成，可记录用户、角色或亚马逊服务在 Kinesis Data Analytics 中采取的操作。

使用收集的信息 CloudTrail，您可以确定向 Kinesis Data Analytics 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。

有关更多信息，请参阅 [使用 记录 AWS CloudTrail API 调用](logging-using-cloudtrail.md)。