本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全支柱
[安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)可以帮助你了解在使用 Timestream for InfluxDB 时如何应用分担责任模型。
安全支柱包括以下关键重点领域:
+ 数据安全性
+ 网络安全
+ 身份验证和授权
以下各节介绍如何为 InfluxDB 配置 Timestream 以满足您的安全性和合规性目标。您还将学习如何使用其他 AWS 服务 方法来监控和保护InfluxDB资源的时间流。
## 实现数据安全
数据泄露和违规行为会使您的客户处于危险之中,并可能对您的公司造成严重的负面影响。 AWS [分担责任模型适用于](https://aws.amazon.com/compliance/shared-responsibility-model/) InfluxDB的Timestream中的数据保护。以下做法有助于保护您的客户数据免遭无意和恶意泄露:
+ 请勿在实例名称、标签、参数组、 AWS Identity and Access Management (IAM) 角色和其他元数据中包含机密信息。这些数据可能会出现在账单或诊断日志中。
+ 使用加密来增强部署在云中的应用程序的数据保护。加密实例可帮助保护您的数据免遭未经授权访问底层存储,从而提供额外的数据保护层。InfluxDB 加密的时间流默认处于启用状态。
+ APIs 尽可能使用参数化。
有关数据保护和加密的更多信息,请参阅 [InfluxDB 的 Timestream](https://docs.aws.amazon.com/timestream/latest/developerguide/data-protection-for-influx-db.html) 文档。
## 保护网络安全
您只能在上的虚拟私有云 (VPC) 中为 InfluxDB 实例创建 Timestream。 AWS要进一步保护您的实例,请执行以下操作:
+ 通过执行以下任一操作来限制对实例终端节点的公共访问:
+ 在 “**创建 InfluxDB 数据库**” 页面上选择 “**不可公开访问**”(默认选中)。
+ 将该[PubliclyAccessible](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-timestream-influxdbinstance.html#cfn-timestream-influxdbinstance-publiclyaccessible)属性设置为 `false`**** in AWS CloudFormation (`AWS::Timestream::InfluxDBInstance`)。
当您选择**不可公开访问**或设置`PubliclyAccessible`为时`false`,实例的终端节点只能在 VPC 内访问。这些终端节点通常可从与 InfluxDB 实例的 Timestream 运行在同一 VPC 中的[亚马逊弹性计算云 (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) 实例进行访问。
+ 使用安全组进一步保护您在 VPC 内访问 Timestream for InfluxDB 的网络访问权限。
+ 用于 SSL/TLS 与 AWS 资源通信。InfluxDB 的时间流需要 TLS 1.2,我们推荐 TLS 1.3。
+ 按照[创建并连接到 InfluxDB 实例的 Timestream 中的说明安全地连接到](https://docs.aws.amazon.com/timestream/latest/developerguide/timestream-for-influx-getting-started-creating-db-instance.html)您的实例。
+ [通过创建接口 VPC 终端节点,在您的 VPC 和 Amazon Timestream 之间为 InfluxDB 控制平面 API 终端节点建立私有连接。](https://docs.aws.amazon.com/timestream/latest/developerguide/timestream-influxb-privatelink.html)
有关安全性的更多信息,请参阅 [InfluxDB 的 Timestream](https://docs.aws.amazon.com/timestream/latest/developerguide/security-timestream-for-influxdb.html) 文档。
## 实现身份验证和授权
使用 IAM 证书控制 InfluxDB 实例在 Timestream 上****执行的管理操作。当你使用 IAM 凭证连接到 Timestream for InfluxDB 时,你的 IAM 角色必须具有 IAM 策略,这些策略授予执行 Timestream 对 InfluxDB 管理操作所需的权限。确保遵循最低权限原则,仅授予完成任务所需的权限。有关更多信息,请参阅适用于 InfluxDB 的 [Amazon Timestream 的身份和访问管理](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-for-influxdb.html)。
你可以在 IAM 策略中使用 [Amazon Timestream 进行 InfluxDB 操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestreaminfluxdb.html),以控制谁可以管理你的 InfluxDB 实例的时间流。
[要为存储在 Amazon Timestream for InfluxDB 实例中的数据提供精细的访问控制,请向用户提供 InfluxDB API 令牌。](https://docs.influxdata.com/influxdb/v2/admin/tokens/)
为了与其他人互动 AWS 服务,适用于 InfluxDB 的 Amazon Timestream 使用 IAM 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 InfluxDB 的 Timestream。服务相关角色由 Timestream 为 InfluxDB 预定义,它们包括该服务代表您调用其他 AWS 服务 角色所需的所有权限。有关更多信息,请参阅[使用适用于 InfluxDB 的 Amazon Timestream 的服务相关角色](https://docs.aws.amazon.com/timestream/latest/developerguide/using-service-linked-roles.html)。