Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques en matière de sécurité pour AWS IoT Greengrass
Cette rubrique présente les meilleures pratiques de sécurité pour AWS IoT Greengrass.
Accorder le moins d’autorisations possibles
Respectez le principe du moindre privilège pour vos composants en les exécutant en tant qu'utilisateurs non privilégiés. Les composants ne doivent pas être exécutés en tant que root, sauf si cela est absolument nécessaire.
Utilisez l'ensemble minimal d'autorisations dans les rôles IAM. Limitez l'utilisation du * caractère générique pour les Resource propriétés Action et dans vos politiques IAM. Au lieu de cela, déclarez un ensemble fini d'actions et de ressources lorsque cela est possible. Pour plus d'informations sur le moindre privilège et les autres bonnes pratiques en matière de stratégie, veuillez consulter Bonnes pratiques en matière de politiques.
La meilleure pratique du moindre privilège s'applique également aux AWS IoT politiques que vous attachez à votre noyau Greengrass.
Ne codez pas en dur les informations d'identification dans les composants Greengrass
Ne codez pas en dur les informations d'identification dans vos composants Greengrass définis par l'utilisateur. Pour mieux protéger vos informations d'identification :
-
Pour interagir avec les AWS services, définissez des autorisations pour des actions et des ressources spécifiques dans le rôle de service principal de Greengrass sur les appareils.
-
Utilisez le composant secret manager pour stocker vos informations d'identification. Ou, si la fonction utilise le AWS SDK, utilisez les informations d'identification de la chaîne de fournisseurs d'informations d'identification par défaut.
Ne journalisez pas les informations sensibles
Vous devez empêcher la journalisation des informations d'identification et d'autres informations personnelles identifiables (PII). Nous vous recommandons de mettre en œuvre les mesures de protection suivantes, même si l'accès aux journaux locaux sur un appareil principal nécessite des privilèges root et que l'accès aux CloudWatch journaux nécessite des autorisations IAM.
-
N'utilisez pas d'informations sensibles dans les chemins de rubrique MQTT.
-
N'utilisez pas d'informations sensibles dans les noms, les types et les attributs d’appareil (objet) dans le registre AWS IoT Core .
-
N'enregistrez pas d'informations sensibles dans vos composants Greengrass ou vos fonctions Lambda définis par l'utilisateur.
-
N'utilisez pas d'informations sensibles dans les noms et les ressources IDs de Greengrass :
-
Appareils principaux
-
Composants
-
Déploiements
-
Loggers
-
Veiller à la synchronisation de l'horloge de votre appareil
Il est important que l'heure soit exacte sur votre appareil. Les certificats X.509 ont une date et une heure d'expiration. L'horloge de votre appareil est utilisée pour vérifier qu'un certificat de serveur est toujours valide. Les horloges de l'appareil peuvent se décaler au fil du temps ou les batteries peuvent se décharger.
Pour de plus amples informations, veuillez consulter les bonnes pratiques décrites dans la section Veiller à la synchronisation de l'horloge de votre appareil dans le Manuel du développeur AWS IoT Core .
Recommandations de Cipher Suite
Greengrass sélectionne par défaut les dernières suites de chiffrement TLS disponibles sur l'appareil. Envisagez de désactiver l'utilisation des anciennes suites de chiffrement sur l'appareil. Par exemple, les suites de chiffrement CBC.
Pour plus d'informations, consultez la section Configuration de la cryptographie Java
Consultez aussi
-
Les meilleures pratiques en matière de sécurité sont AWS IoT Core décrites dans le guide du AWS IoT développeur
-
Dix règles d'or en matière de sécurité pour les solutions IoT industrielles
sur l'Internet des objets sur le blog AWS officiel
