本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的安全最佳實務 AWS IoT SiteWise
<a name="security-best-practices"></a>

本主題包含 的安全最佳實務 AWS IoT SiteWise。

## 在 OPC UA 伺服器上使用身分驗證憑證
<a name="security-best-practices-opc-ua-authentication"></a>

需要身分驗證憑證才能連線到您的 OPC UA 伺服器。請參閱伺服器的文件以執行這項操作。然後，若要允許 SiteWise Edge 閘道連線至 OPC UA 伺服器，請將伺服器身分驗證秘密新增至 SiteWise Edge 閘道。如需詳細資訊，請參閱[設定 SiteWise Edge 的資料來源身分驗證](configure-source-authentication-ggv2.md)。

## 為您的 OPC UA 伺服器使用加密的通訊模式
<a name="security-best-practices-opc-ua-encryption"></a>

當您為 SiteWise Edge 閘道設定 OPC UA 來源時，請選擇未取代的加密訊息安全模式。當工業資料從 OPC UA 伺服器移至 SiteWise Edge 閘道時，這有助於保護您的工業資料。如需詳細資訊，請參閱[透過區域網路傳輸資料](local-encryption-in-transit.md)及[在 SiteWise Edge 中設定 OPC UA 來源](configure-opcua-source.md)。

## 讓您的元件保持在最新狀態
<a name="security-best-practices-update-regularly"></a>

如果您使用 SiteWise Edge 閘道將資料擷取至服務，您有責任設定和維護 SiteWise Edge 閘道的環境。此責任包括升級至最新版本的閘道系統軟體、 AWS IoT Greengrass 軟體和連接器。

**注意**  
 AWS IoT SiteWise Edge 連接器會將秘密存放在您的檔案系統上。這些秘密會控制誰可以檢視 SiteWise Edge 閘道中快取的資料。強烈建議您為執行 SiteWise Edge 閘道的系統開啟磁碟或檔案系統加密。

如需如何在 AWS IoT SiteWise 主控台升級元件的詳細資訊，請參閱 [變更 SiteWise Edge 閘道元件套件的版本](manage-gateways-ggv2.md#manage-gateway-update-packs)。

## 加密 SiteWise Edge 閘道的檔案系統
<a name="security-best-practices-gateway-encryption"></a>

加密並保護您的 SiteWise Edge 閘道，讓您的工業資料在通過 SiteWise Edge 閘道時安全無虞。如果您的 SiteWise Edge 閘道具有硬體安全模組，您可以設定 AWS IoT Greengrass 來保護 SiteWise Edge 閘道。如需詳細資訊，請參閱《 *AWS IoT Greengrass Version 1 開發人員指南*》中的[硬體安全整合](https://docs.aws.amazon.com/greengrass/v1/developerguide/hardware-security.html)。您也可以參閱作業系統的文件，以了解如何加密和保護您的檔案系統。

## 安全存取您的邊緣組態
<a name="security-best-practices-edge-access-control"></a>

請勿共用您的邊緣主控台應用程式密碼或 SiteWise Monitor 應用程式密碼。請勿將此密碼放在任何人都可看見的地方。為您的密碼設定適當的過期時間，以實作運作狀態良好的密碼輪換政策。

## 保護 上的資料 Siemens Industrial Edge Management
<a name="security-best-practices-siemens-app"></a>

您選擇與 AWS IoT SiteWise Edge 共用的裝置資料取決於您的Siemens IEM Databus組態主題。透過選擇要與 SiteWise Edge 共用的主題，您可以共用主題層級的資料 AWS IoT SiteWise。Siemens Industrial Edge Marketplace 是一個獨立市場，與 分開 AWS。為了保護您的共用資料，除非您使用 ，否則 SiteWise Edge 應用程式將不會執行Siemens Secured Storage。如需詳細資訊，請參閱 Siemens 文件中的[安全儲存](https://docs.eu1.edge.siemens.cloud/build_a_device/device_building/development/development/secure-storage.html)。

## 授予 SiteWise Monitor 使用者最低可能許可
<a name="security-best-practices-minimum-monitor-permissions"></a>

使用入口網站使用者的最低存取政策許可集，以遵循最低權限原則。
+ 建立入口網站時，請定義可允許該入口網站所需最低資產集的角色。如需詳細資訊，請參閱[使用 的服務角色 AWS IoT SiteWise Monitor](monitor-service-role.md)。
+ 當您和您的入口網站管理員建立並共用專案時，請使用該專案所需的最低資產集。
+ 當身分不再需要存取入口網站或專案時，請從該資源中移除它們。如果該身分不再適用於您的組織，請從您的身分存放區刪除該身分。

最低原則最佳實務也適用於 IAM 角色。如需詳細資訊，請參閱[政策最佳實務](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)。

## 請勿公開敏感資訊
<a name="security-best-practices-sensitive-information"></a>

您應該避免記錄登入資料和其他敏感資訊，例如個人識別資訊 (PII)。即使存取 SiteWise Edge 閘道上的本機日誌需要根權限，而且存取 CloudWatch Logs 需要 IAM 許可，仍建議您實作下列保護措施。
+ 請勿在資產或模型的名稱、說明或屬性中使用敏感資訊。
+ 請勿在 SiteWise Edge 閘道或來源名稱中使用敏感資訊。
+ 請勿在入口網站、專案或儀表板的名稱或描述中使用敏感資訊。

## 遵循 AWS IoT Greengrass 安全最佳實務
<a name="security-best-practices-greengrass-guidelines"></a>

遵循 SiteWise Edge 閘道 AWS IoT Greengrass 的安全最佳實務。如需詳細資訊，請參閱《 *AWS IoT Greengrass Version 1 開發人員指南*》中的[安全最佳實務](https://docs.aws.amazon.com/greengrass/v1/developerguide/security-best-practices.html)。

## 另請參閱
<a name="security-best-practices-see-also"></a>
+ 《 *AWS IoT 開發人員指南*》中的[安全最佳實務](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html) 
+ [工業 IoT 解決方案的十項安全黃金規則](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/)