Implementazione dell'accesso con privilegi minimi Usa i ruoli IAM Implementa la crittografia lato server nelle risorse dipendenti Utilizzato CloudTrail per monitorare le chiamate API

Implementa le best practice di sicurezza per Amazon Data Firehose

Amazon Data Firehose offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

Implementazione dell'accesso con privilegi minimi

Quando concedi le autorizzazioni, sei tu a decidere chi deve ottenere quali autorizzazioni per quali risorse Amazon Data Firehose. È possibile abilitare operazioni specifiche che si desidera consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.

Usa i ruoli IAM

Le applicazioni Producer e Client devono disporre di credenziali valide per accedere ai flussi Firehose e lo stream Firehose deve disporre di credenziali valide per accedere alle destinazioni. Non è necessario archiviare AWS le credenziali direttamente in un'applicazione client o in un bucket Amazon S3. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e potrebbero avere un impatto aziendale significativo se vengono compromesse.

Dovreste invece utilizzare un IAM ruolo per gestire le credenziali temporanee per le vostre applicazioni producer e client per accedere ai flussi Firehose. Quando utilizzi un ruolo, non devi necessariamente usare credenziali a lungo termine (ad esempio, nome utente e password o chiavi di accesso) per accedere ad altre risorse.

Per ulteriori informazioni, consultate i seguenti argomenti nella Guida per l'IAMutente:

Implementa la crittografia lato server nelle risorse dipendenti

I dati inattivi e i dati in transito possono essere crittografati in Amazon Data Firehose. Per ulteriori informazioni, consulta la sezione Protezione dei dati in Amazon Data Firehose.

Utilizzato CloudTrail per monitorare le chiamate API

Amazon Data Firehose è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon Data Firehose.

Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon Data Firehose, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e ulteriori dettagli.

Per ulteriori informazioni, consulta Registra le chiamate Amazon Data Firehose con API AWS CloudTrail.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di Firehose con AWS PrivateLink

Monitoraggio di Amazon Data Firehose