Implémentation d’un accès sur la base du moindre privilège Utilisation des rôles IAM Implémenter le chiffrement côté serveur dans les ressources dépendantes CloudTrail À utiliser pour surveiller les appels d'API

Mettre en œuvre les meilleures pratiques de sécurité pour Amazon Data Firehose

Amazon Data Firehose propose un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Implémentation d’un accès sur la base du moindre privilège

Lorsque vous accordez des autorisations, vous décidez qui obtient quelles autorisations à quelles ressources Amazon Data Firehose. Vous activez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous devez accorder uniquement les autorisations qui sont requises pour exécuter une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.

Utilisation des rôles IAM

Les applications productrices et clientes doivent disposer d'informations d'identification valides pour accéder aux flux Firehose, et votre flux Firehose doit disposer d'informations d'identification valides pour accéder aux destinations. Vous ne devez pas stocker les AWS informations d'identification directement dans une application cliente ou dans un compartiment Amazon S3. Il s’agit d’autorisations à long terme qui ne font pas automatiquement l’objet d’une rotation et qui pourraient avoir un impact commercial important si elles étaient compromises.

Vous devez plutôt utiliser un rôle IAM pour gérer les informations d'identification temporaires permettant à vos applications productrices et clientes d'accéder aux flux Firehose. Lorsque vous utilisez un rôle, vous n'avez pas à utiliser d'informations d'identification à long terme (par exemple, un nom d'utilisateur et un mot de passe ou des clés d'accès) pour accéder à d'autres ressources.

Pour plus d’informations, consultez les rubriques suivantes dans le Guide de l’utilisateur IAM :

Implémenter le chiffrement côté serveur dans les ressources dépendantes

Les données au repos et les données en transit peuvent être chiffrées dans Amazon Data Firehose. Pour plus d'informations, consultez la section Protection des données dans Amazon Data Firehose.

CloudTrail À utiliser pour surveiller les appels d'API

Amazon Data Firehose est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un AWS service dans Amazon Data Firehose.

À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon Data Firehose, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.

Pour de plus amples informations, veuillez consulter Enregistrez les appels Amazon Data Firehose API avec AWS CloudTrail.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utiliser Firehose avec AWS PrivateLink

Surveillez Amazon Data Firehose