Seguridad general - Amazon Timestream
PermisosAcceso a la redDependenciasBuckets de S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad general

Permisos

A los usuarios de InfluxDB se les deben conceder los permisos de mínimo privilegio. Durante la migración, solo se deben usar los tokens otorgados a usuarios específicos, en lugar de los tokens de operador.

Timestream for InfluxDB usa IAM permisos para controlar los permisos de los usuarios. Recomendamos que los usuarios tengan acceso a las acciones y recursos específicos que necesiten. Para obtener más información, consulte Otorgar acceso con privilegios mínimos.

Acceso a la red

El script de migración de Influx puede funcionar localmente, migrando datos entre dos instancias de InfluxDB del mismo sistema, pero se supone que el caso de uso principal de las migraciones será la migración de datos a través de la red, ya sea una red local o pública. Esto conlleva consideraciones de seguridad. El script de migración de Influx verificará, de forma predeterminada, TLS los certificados de las instancias que TLS estén habilitadas: recomendamos a los usuarios que habiliten la opción TLS en sus instancias de InfluxDB y no usen la --skip-verify opción para el script.

Le recomendamos que utilice una lista de permitidos para impedir que el tráfico de red provenga de las fuentes esperadas. Para ello, limite el tráfico de red a las instancias de InfluxDB únicamente desde las conocidas. IPs

Dependencias

Deben usarse las últimas versiones principales de todas las dependencias, incluidas Influx, InfluxDBCLI, Python, el módulo Requests y las dependencias opcionales como y. mountpoint-s3 rclone

Buckets de S3

Si los buckets de S3 se utilizan como almacenamiento temporal para la migración, recomendamos habilitarTLS, versionar y deshabilitar el acceso público.

Uso de cubos de S3 para la migración

  1. Abre el AWS Management Console, navega hasta Amazon Simple Storage Service y, a continuación, selecciona Buckets.

  2. Elige el depósito que deseas usar.

  3. Elija la pestaña Permisos.

  4. En Block public access (bucket settings) (Bloquear acceso público [configuración de bucket]), elija Edit (Editar).

  5. Marca Bloquear todo el acceso público.

  6. Elija Guardar cambios.

  7. En Política de bucket, elija Editar.

  8. Introduce lo siguiente y <example-bucket>sustitúyelo por el nombre de tu bucket para imponer el uso de la TLS versión 1.2 o posterior para las conexiones:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceTLSv12orHigher",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::<example bucket>/*",
                "arn:aws:s3:::<example bucket>"
            ],
            "Condition": {
                "NumericLessThan": {
                    "s3:TlsVersion": 1.2
                }
            }
        }
    ]
}

  9. Elija Guardar cambios.

  10. Elija la pestaña Properties (Propiedades).

  11. En Bucket Versioning (Versiones del bucket), elija Edit (Editar).

  12. Marca Activar.

  13. Elija Guardar cambios.

Para obtener información sobre las prácticas de seguridad recomendadas para los buckets de Amazon S3, consulte Prácticas recomendadas de seguridad para Amazon Simple Storage Service.