本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全支柱
[安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)可協助您了解如何在使用 Timestream for InfluxDB 時套用共同責任模型。
安全支柱包含下列主要重點領域:
+ 資料安全
+ 網路安全
+ 身分驗證和授權
下列各節說明如何設定 InfluxDB 的 Timestream,以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務 來協助您監控和保護 Timestream for InfluxDB 資源。
## 實作資料安全性
資料外洩和違規會讓您的客戶面臨風險,並可能對您的公司造成重大負面影響。 AWS [共同責任模型適用於](https://aws.amazon.com/compliance/shared-responsibility-model/) Timestream for InfluxDB 中的資料保護。下列實務有助於保護您的客戶資料免於意外和惡意暴露:
+ 請勿在執行個體名稱、標籤、參數群組、 AWS Identity and Access Management (IAM) 角色和其他中繼資料中包含機密資訊。該資料可能會出現在帳單或診斷日誌中。
+ 使用加密來增加部署在雲端之應用程式的資料保護。加密的執行個體透過協助保護您的資料免於未經授權存取基礎儲存體,提供額外的資料保護層。InfluxDB 加密的時間串流預設為啟用。
+ 盡可能使用 APIs參數化。
如需資料保護和加密的詳細資訊,請參閱 [Timestream for InfluxDB 文件](https://docs.aws.amazon.com/timestream/latest/developerguide/data-protection-for-influx-db.html)。
## 保護您的網路
您只能在 的虛擬私有雲端 (VPC) 中建立 Timestream for InfluxDB 執行個體 AWS。若要進一步保護您的執行個體,請執行下列動作:
+ 執行下列其中一項動作 ,限制對執行個體端點的公開存取:
+ 在**建立 InfluxDB 資料庫**頁面上選擇**不可公開存取 **(預設為選取)。
+ 在 () `false`** **中 AWS CloudFormation 將 [PubliclyAccessible](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-timestream-influxdbinstance.html#cfn-timestream-influxdbinstance-publiclyaccessible) 屬性設定為 `AWS::Timestream::InfluxDBInstance`。
當您選擇**不可公開存取**或`PubliclyAccessible`設定為 時`false`,執行個體的端點只能在 VPC 內存取。通常會從與 Timestream for InfluxDB 執行個體在相同 VPC 中執行的 [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) 執行個體存取端點。
+ 使用安全群組進一步保護 VPC 內 Timestream for InfluxDB 的網路存取。
+ 使用 SSL/TLS 與 AWS 資源通訊。InfluxDB 的 Timestream 需要 TLS 1.2,我們建議您使用 TLS 1.3。
+ 遵循[建立並連線至 Timestream for InfluxDB 執行個體中的指示,安全地連線至您的執行個體](https://docs.aws.amazon.com/timestream/latest/developerguide/timestream-for-influx-getting-started-creating-db-instance.html)。
+ 透過建立[介面](https://docs.aws.amazon.com/timestream/latest/developerguide/timestream-influxb-privatelink.html) VPC 端點,在 VPC 和 Amazon Timestream for InfluxDB 控制平面 API 端點之間建立私有連線。
如需安全性的詳細資訊,請參閱 [Timestream for InfluxDB 文件](https://docs.aws.amazon.com/timestream/latest/developerguide/security-timestream-for-influxdb.html)。
## 實作身分驗證和授權
使用 IAM 登入資料來控制 Timestream for InfluxDB 執行個體上的管理** **動作。當您使用 IAM 登入資料連線至 Timestream for InfluxDB 時,您的 IAM 角色必須具有 IAM 政策,授予執行 Timestream for InfluxDB 管理操作所需的許可。確保您遵循最低權限原則,只授予完成任務所需的許可。如需詳細資訊,請參閱 [Amazon Timestream for InfluxDB 的 Identity and Access Management](https://docs.aws.amazon.com/timestream/latest/developerguide/security-iam-for-influxdb.html)。
您可以在 IAM 政策中使用 [Amazon Timestream for InfluxDB 動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazontimestreaminfluxdb.html)來控制誰可以管理 Timestream for InfluxDB 執行個體。
若要為存放在 Amazon Timestream for InfluxDB 執行個體中的資料提供精細存取控制,請提供使用者 [InfluxDB API 字符](https://docs.influxdata.com/influxdb/v2/admin/tokens/)。
為了與其他 互動 AWS 服務,Amazon Timestream for InfluxDB 使用 IAM 服務連結角色。服務連結角色是直接連結至 Timestream for InfluxDB 的唯一 IAM 角色類型。Timestream for InfluxDB 會預先定義服務連結角色,其中包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。如需詳細資訊,請參閱[使用 Amazon Timestream for InfluxDB 的服務連結角色](https://docs.aws.amazon.com/timestream/latest/developerguide/using-service-linked-roles.html)。