在仔細考慮之後，我們決定停止 Amazon Kinesis Data Analytics for SQL 應用程式：

1. 從 **2025 年 9 月 1 日起，**我們不會為 Amazon Kinesis Data Analytics for SQL 應用程式提供任何錯誤修正，因為考慮到即將終止，我們將對其提供有限的支援。

2. 從 **2025 年 10 月 15 日起，**您將無法建立新的 Kinesis Data Analytics for SQL 應用程式。

3. 我們將自 **2026 年 1 月 27** 日起刪除您的應用程式。您將無法啟動或操作 Amazon Kinesis Data Analytics for SQL 應用程式。從那時起，Amazon Kinesis Data Analytics for SQL 將不再提供支援。如需詳細資訊，請參閱[Amazon Kinesis Data Analytics for SQL 應用程式終止](discontinuation.md)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 適用於 Kinesis Data Analytics 的安全最佳實務
<a name="security-best-practices"></a>

在您開發和實作自己的安全政策時，可考慮使用 Amazon Kinesis Data Analytics 提供的多種安全功能。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

## 使用 IAM 角色存取其他 Amazon 服務
<a name="security-best-practices-roles"></a>

您的 Kinesis Data Analytics 應用程式必須具有有效的登入資料，才能存取其他服務中的資源，例如 Kinesis 資料串流、Firehose 交付串流或 Amazon S3 儲存貯體。您不應將 AWS 登入資料直接存放在應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證，如果遭到盜用，可能會對業務造成嚴重的影響。

反之，您應使用 IAM 角色來管理暫時性憑證，讓應用程式存取其他資源。使用角色時，您不必使用長期憑證來存取其他資源。

如需詳細資訊，請參閱*《IAM 使用者指南》*中的以下主題：
+ [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [常見的角色方案：使用者、應用程式和服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

## 在相依資源實作伺服器端加密
<a name="security-best-practices-sse"></a>

Kinesis Data Analytics 中的靜態資料和傳輸中的資料都會進行加密，而且無法停用此加密。您應該在相依資源中實作伺服器端加密，例如 Kinesis 資料串流、Firehose 交付串流和 Amazon S3 儲存貯體。如需在相依資源中實作伺服器端加密的詳細資訊，請參閱 [資料保護](data-protection.md)。

## 使用 CloudTrail 來監控 API 呼叫
<a name="security-best-practices-cloudtrail"></a>

Kinesis Data Analytics 已與 整合 AWS CloudTrail，此服務提供由使用者、角色或 Amazon 服務在 Kinesis Data Analytics 中所採取動作的記錄。

您可以利用 CloudTrail 所收集的資訊來判斷向 Kinesis Data Streams 發出的請求，以及發出請求的 IP 地址、人員、時間和其他詳細資訊。

如需詳細資訊，請參閱[使用 記錄 AWS CloudTrail API 呼叫](logging-using-cloudtrail.md)。