本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全支柱
安全支柱可以帮助你了解在使用 Timestream for InfluxDB 时如何应用分担责任模型。
安全支柱包括以下关键重点领域:
-
数据安全性
-
网络安全
-
身份验证和授权
以下各节介绍如何为 InfluxDB 配置 Timestream 以满足您的安全性和合规性目标。您还将学习如何使用其他 AWS 服务 方法来监控和保护InfluxDB资源的时间流。
实现数据安全
数据泄露和违规行为会使您的客户处于危险之中,并可能对您的公司造成严重的负面影响。 AWS 分担责任模型适用于
-
请勿在实例名称、标签、参数组、 AWS Identity and Access Management (IAM) 角色和其他元数据中包含机密信息。这些数据可能会出现在账单或诊断日志中。
-
使用加密来增强部署在云中的应用程序的数据保护。加密实例可帮助保护您的数据免遭未经授权访问底层存储,从而提供额外的数据保护层。InfluxDB 加密的时间流默认处于启用状态。
-
APIs 尽可能使用参数化。
有关数据保护和加密的更多信息,请参阅 InfluxDB 的 Timestream 文档。
保护网络安全
您只能在上的虚拟私有云 (VPC) 中为 InfluxDB 实例创建 Timestream。 AWS要进一步保护您的实例,请执行以下操作:
-
通过执行以下任一操作来限制对实例终端节点的公共访问:
-
在 “创建 InfluxDB 数据库” 页面上选择 “不可公开访问”(默认选中)。
-
将该PubliclyAccessible属性设置为
falsein AWS CloudFormation (AWS::Timestream::InfluxDBInstance)。
当您选择不可公开访问或设置
PubliclyAccessible为时false,实例的终端节点只能在 VPC 内访问。这些终端节点通常可从与 InfluxDB 实例的 Timestream 运行在同一 VPC 中的亚马逊弹性计算云 (Amazon EC2) 实例进行访问。 -
-
使用安全组进一步保护您在 VPC 内访问 Timestream for InfluxDB 的网络访问权限。
-
用于 SSL/TLS 与 AWS 资源通信。InfluxDB 的时间流需要 TLS 1.2,我们推荐 TLS 1.3。
-
通过创建接口 VPC 终端节点,在您的 VPC 和 Amazon Timestream 之间为 InfluxDB 控制平面 API 终端节点建立私有连接。
有关安全性的更多信息,请参阅 InfluxDB 的 Timestream 文档。
实现身份验证和授权
使用 IAM 证书控制 InfluxDB 实例在 Timestream 上执行的管理操作。当你使用 IAM 凭证连接到 Timestream for InfluxDB 时,你的 IAM 角色必须具有 IAM 策略,这些策略授予执行 Timestream 对 InfluxDB 管理操作所需的权限。确保遵循最低权限原则,仅授予完成任务所需的权限。有关更多信息,请参阅适用于 InfluxDB 的 Amazon Timestream 的身份和访问管理。
你可以在 IAM 策略中使用 Amazon Timestream 进行 InfluxDB 操作,以控制谁可以管理你的 InfluxDB 实例的时间流。
要为存储在 Amazon Timestream for InfluxDB 实例中的数据提供精细的访问控制,请向用户提供 InfluxDB API 令牌。
为了与其他人互动 AWS 服务,适用于 InfluxDB 的 Amazon Timestream 使用 IAM 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 InfluxDB 的 Timestream。服务相关角色由 Timestream 为 InfluxDB 预定义,它们包括该服务代表您调用其他 AWS 服务 角色所需的所有权限。有关更多信息,请参阅使用适用于 InfluxDB 的 Amazon Timestream 的服务相关角色。
