Allgemeine Sicherheit - Amazon Timestream
BerechtigungenNetzwerkzugriffAbhängigkeitenS3-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Allgemeine Sicherheit

Berechtigungen

InfluxDB-Benutzern sollten Berechtigungen mit den geringsten Rechten gewährt werden. Während der Migration sollten nur Token verwendet werden, die bestimmten Benutzern gewährt wurden, anstelle von Operator-Token.

Timestream for InfluxDB verwendet IAM Berechtigungen, um Benutzerberechtigungen zu kontrollieren. Wir empfehlen, Benutzern Zugriff auf die spezifischen Aktionen und Ressourcen zu gewähren, die sie benötigen. Weitere Informationen finden Sie unter Zugriff mit geringsten Rechten gewähren.

Netzwerkzugriff

Das Influx-Migrationsskript kann lokal funktionieren und Daten zwischen zwei InfluxDB-Instanzen auf demselben System migrieren. Es wird jedoch davon ausgegangen, dass der primäre Anwendungsfall für Migrationen die Migration von Daten über das Netzwerk ist, entweder ein lokales oder ein öffentliches Netzwerk. Damit gehen Sicherheitsüberlegungen einher. Das Influx-Migrationsskript überprüft standardmäßig TLS Zertifikate für Instances mit TLS aktivierter Option: Wir empfehlen Benutzern, die Aktivierung TLS in ihren InfluxDB-Instances vorzunehmen und die --skip-verify Option für das Skript nicht zu verwenden.

Wir empfehlen Ihnen, eine Zulassungsliste zu verwenden, um den Netzwerkverkehr auf Quellen zu beschränken, die Sie erwarten. Sie können dies tun, indem Sie den Netzwerkverkehr nur aus bekannten Quellen auf die InfluxDB-Instances beschränken. IPs

Abhängigkeiten

Es sollten die neuesten Hauptversionen aller Abhängigkeiten verwendet werden, einschließlich InfluxCLI, InfluxDB, Python, des Request-Moduls und optionaler Abhängigkeiten wie und. mountpoint-s3 rclone

S3-Buckets

Wenn S3-Buckets als temporärer Speicher für die Migration verwendet werden, empfehlen wir, den öffentlichen Zugriff zu aktivierenTLS, zu versionieren und zu deaktivieren.

Verwendung von S3-Buckets für die Migration

  1. Öffnen Sie den AWS Management Console, navigieren Sie zu Amazon Simple Storage Service und wählen Sie dann Buckets aus.

  2. Wählen Sie den Bucket aus, den Sie verwenden möchten.

  3. Wählen Sie die Registerkarte Berechtigungen.

  4. Wählen Sie unter Block public access (bucket settings) (Öffentlichen Zugriff blockieren (Bucket-Einstellungen)), die Option Edit (Bearbeiten).

  5. Markieren Sie Alle öffentlichen Zugänge blockieren.

  6. Wählen Sie Änderungen speichern.

  7. Wählen Sie unter Bucket-Richtlinie Bearbeiten aus.

  8. Geben Sie Folgendes ein und <example-bucket>ersetzen Sie es durch Ihren Bucket-Namen, um die Verwendung von TLS Version 1.2 oder höher für Verbindungen zu erzwingen:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceTLSv12orHigher",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::<example bucket>/*",
                "arn:aws:s3:::<example bucket>"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

  9. Wählen Sie Änderungen speichern.

  10. Wählen Sie die Registerkarte Eigenschaften aus.

  11. Wählen Sie unter Bucket Versioning (Bucket-Versioning) die Option Edit (Bearbeiten).

  12. Markieren Sie Aktivieren.

  13. Wählen Sie Änderungen speichern.

Informationen zu den bewährten Sicherheitspraktiken für Amazon S3 S3-Buckets finden Sie unter Bewährte Sicherheitsmethoden für Amazon Simple Storage Service.