如需與 Amazon Timestream for LiveAnalytics 類似的功能，請考慮使用 Amazon Timestream for InfluxDB。它提供簡化的資料擷取和單一位數毫秒查詢回應時間，以進行即時分析。[在這裡](https://docs.aws.amazon.com//timestream/latest/developerguide/timestream-for-influxdb.html)進一步了解。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Timestream for InfluxDB 的安全最佳實務
<a name="security-best-practices"></a>

Amazon Timestream for InfluxDB 提供許多安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

## 實作最低權限存取
<a name="security-best-practices-privileges"></a>

授予許可時，您可以決定誰要取得哪個 Timestream for InfluxDB 資源的許可。您還需針對這些資源啟用允許執行的動作，因此，您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。

## 使用 IAM 角色
<a name="security-best-practices-roles"></a>

生產者和用戶端應用程式必須具有有效的登入資料，才能存取 Timestream for InfluxDB 資料庫執行個體。您不應將 AWS 登入資料直接存放在用戶端應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證，如果遭到盜用，可能會對業務造成嚴重的影響。

反之，您應該使用 IAM 角色來管理生產者和用戶端應用程式的臨時登入資料，以存取 Timestream for InfluxDB 資料庫執行個體。使用角色時，您不必使用長期登入資料 (例如使用者名稱和密碼或存取金鑰) 來存取其他資源。

如需詳細資訊，請參閱*《IAM 使用者指南》*中的以下主題：
+ [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [常見的角色方案：使用者、應用程式和服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

使用 AWS Identity and Access Management (IAM) 帳戶來控制對 Amazon Timestream for InfluxDB API 操作的存取，尤其是建立、修改或刪除 Amazon Timestream for InfluxDB 資源的操作。這些資源包括資料庫執行個體、安全群組和參數群組。
+ 為管理 Amazon Timestream for InfluxDB 資源的每個人建立個別使用者，包括您自己。請勿使用 AWS 根登入資料來管理 Amazon Timestream for InfluxDB 資源。
+ 授予每個使用者執行其職責所需最低程度的許可。
+ 使用 IAM 群組來有效管理多個使用者的許可。
+ 定期輪替您的 IAM 登入資料。
+ 設定 AWS Secrets Manager 自動輪換 Amazon Timestream for InfluxDB 的秘密。如需詳細資訊，請參閱《[AWS Secrets Manager 使用者指南》中的輪換](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) *AWS Secrets Manager* 秘密。您也可以透過程式設計方式從 AWS Secrets Manager 擷取登入資料。如需詳細資訊，請參閱《*AWS Secrets Manager 使用者指南*》中的[擷取秘密值](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_retrieve-secret.html)。
+ 使用 來保護您的 Timestream for InfluxDB influx API 權杖[API 權杖](timestream-for-influx-security-db-authentication.md#timestream-for-influx-security-db-authentication-api-token)。

## 在相依資源實作伺服器端加密
<a name="security-best-practices-sse"></a>

靜態資料和傳輸中的資料可以在 Timestream for InfluxDB 中加密。如需詳細資訊，請參閱[傳輸中加密](EncryptionInTransit-for-influx-db.md)。

## 使用 CloudTrail 來監控 API 呼叫
<a name="security-best-practices-cloudtrail"></a>

Timestream for InfluxDB 已與 整合 AWS CloudTrail，此服務提供使用者、角色或 Timestream for InfluxDB 中 AWS 服務所採取動作的記錄。

您可以使用 CloudTrail 收集的資訊，判斷對 Timestream for InfluxDB 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間，以及其他詳細資訊。

如需詳細資訊，請參閱[使用 記錄 LiveAnalytics API 呼叫的 Timestream AWS CloudTrail](logging-using-cloudtrail.md)。

Amazon Timestream for InfluxDB 支援控制平面 CloudTrail 事件，但不支援資料平面。如需詳細資訊，請參閱[控制平面和資料平面](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/control-planes-and-data-planes.html)。

## Public accessibility (公開存取性)
<a name="timestream-for-influx-security-public-accessibility"></a>

當您根據 Amazon VPC 服務啟動虛擬私有雲端 (VPC) 內的資料庫執行個體時，您可以開啟或關閉該資料庫執行個體的公開存取性。請使用 Public accessibility (公開存取權限) 參數，來指定您建立的資料庫執行個體是否有解析為公有 IP 地址的 DNS。使用此參數，您可以指定是否有資料庫執行個體的公開存取權

如果您的資料庫執行個體位於 VPC 中，但無法公開存取，您也可以使用 a AWS Site-to-Site VPN 連線或 AWS Direct Connect 連線從私有網路存取。

如果您的資料庫執行個體可公開存取，請務必採取步驟來防止或協助減少拒絕服務相關威脅。如需詳細資訊，請參閱[拒絕服務攻擊和保護網路簡介](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/introduction-denial-of-service-attacks.html)。 [https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html)