一般安全性 - Amazon Timestream
权限网络访问依赖项S3 存储桶

有关与适用于 LiveAnalytics 的 Amazon Timestream 类似的功能,可以考虑使用适用于 InfluxDB 的 Amazon Timestream。适用于 InfluxDB 的 Amazon Timestream 提供简化的数据摄取和个位数毫秒级的查询响应时间,以实现实时分析。点击此处了解更多信息。

一般安全性

权限

应向 InfluxDB 用户授予最低权限。在迁移过程中,应仅使用授予特定用户的令牌,而非运算符令牌。

适用于 InfluxDB 的 Timestream 使用 IAM 权限以控制用户权限。我们建议向用户授予其所需的特定操作和资源的访问权限。有关更多信息,请参阅授予最低权限访问权限

网络访问

Influx 迁移脚本可在本地运行,在同一系统内的两个 InfluxDB 实例之间迁移数据,但假设迁移的主要使用案例是通过网络(本地或公共网络)迁移数据。随之而来的是安全考量。默认情况下,Influx 迁移脚本将验证已启用 TLS 实例的 TLS 证书:我们建议用户在其 InfluxDB 实例中启用 TLS,且不要使用脚本的 --skip-verify 选项。

我们建议您使用允许列表以限制网络流量,仅允许来自预期源的流量。为此,可将网络流量限制为仅来自已知 IP 的 InfluxDB 实例。

依赖项

应使用所有依赖项的最新主要版本,包括 Influx CLI、InfluxDB、Python、Requests 模块以及可选的依赖项(例如 mountpoint-s3rclone)。

S3 存储桶

如果将 S3 存储桶用作迁移的临时存储,我们建议启用 TLS、版本控制并禁用公共访问权限。

使用 S3 存储桶进行迁移

  1. 打开 AWS 管理控制台,导航至 Amazon Simple Storage Service,然后选择存储桶

  2. 选择要使用的存储桶。

  3. 选择 Permissions(权限)选项卡。

  4. 屏蔽公共访问权限(存储桶设置)下,请选择编辑

  5. 勾选屏蔽所有公共访问权限

  6. 选择保存更改

  7. Bucket policy(存储桶策略)下,请选择 Edit(编辑)

  8. 输入以下内容,将 <example-bucket> 替换为存储桶名称,以强制使用 TLS 1.2 或更高版本进行连接:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "EnforceTLSv12orHigher",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::<example bucket>/*",
                "arn:aws:s3:::<example bucket>"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

  9. 选择保存更改

  10. 选择属性选项卡。

  11. 存储桶版本控制下,请选择编辑

  12. 勾选启用

  13. 选择保存更改

有关 Amazon S3 存储桶最佳安全性实践的信息,请参阅 Amazon Simple Storage Service 的安全最佳实践