기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에 대한 보안 모범 사례 AWS IoT Greengrass
<a name="security-best-practices"></a>

이 주제에는에 대한 보안 모범 사례가 포함되어 있습니다 AWS IoT Greengrass.

## 가능한 최소 권한 부여
<a name="least-privilege"></a>

구성 요소를 권한 없는 사용자로 실행하여 구성 요소에 대한 최소 권한 원칙을 따릅니다. 꼭 필요한 경우가 아니라면 구성 요소를 루트로 실행해서는 안 됩니다.

루트가 아닌 사용자로 AWS IoT Greengrass 코어 소프트웨어 자체를 실행하여 디바이스에 대한 권한을 추가로 제한할 수도 있습니다. 자세한 내용은 [AWS IoT Greengrass V2 코어 디바이스를 루트가 아닌 디바이스로 설정](setup-greengrass-non-root.md) 단원을 참조하십시오.

IAM 역할에서 최소한의 권한 세트를 사용합니다. IAM 정책의 `Action` 및 `Resource` 속성에 대한 `*` 와일드카드 사용을 제한합니다. 대신, 가능한 경우 한정된 작업과 리소스를 선언합니다. 최소 권한 및 기타 정책 모범 사례에 대한 자세한 내용은 [정책 모범 사례](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)을 참조하세요.

최소 권한 모범 사례는 Greengrass 코어에 연결하는 AWS IoT 정책에도 적용됩니다.

## Greengrass 구성 요소에서 자격 증명을 하드 코딩하지 마세요.
<a name="no-hardcoded-credentials"></a>

사용자 정의 Greengrass 구성 요소에서 자격 증명을 하드 코딩하지 마세요. 자격 증명에 대한 보호를 강화하려면 다음을 수행하십시오.
+  AWS 서비스와 상호 작용하려면 [Greengrass 코어 디바이스 서비스 역할](device-service-role.md)에서 특정 작업 및 리소스에 대한 권한을 정의합니다.
+ [보안 암호 관리자 구성 요소](secret-manager-component.md)를 사용하여 자격 증명을 저장합니다. 또는 함수가 AWS SDK를 사용하는 경우 기본 자격 증명 공급자 체인의 자격 증명을 사용합니다.

## 민감한 정보를 기록하지 않음
<a name="protect-pii"></a>

자격 증명 및 기타 개인 식별 정보(PII)의 로깅을 방지해야 합니다. 코어 장치의 로컬 로그에 액세스하기 위해 루트 권한이 필요하고 CloudWatch Logs에 대한 액세스를 위해 IAM 권한이 필요한 경우에도 다음과 같은 보호 조치를 구현하는 것이 좋습니다.
+ MQTT 주제 경로에는 민감한 정보를 사용하지 마십시오.
+  AWS IoT Core 레지스트리의 장치(사물) 이름, 유형 및 속성에 민감한 정보를 사용하지 마십시오.
+ 사용자 정의 Greengrass 구성 요소나 Lambda 함수에 민감한 정보를 기록하지 마세요.
+ Greengrass 리소스의 이름과 ID에 민감한 정보를 사용하지 마십시오.
  + 코어 디바이스
  + 구성 요소
  + 배포
  + Loggers

## 장치의 시계를 동기화 상태로 유지
<a name="device-clock"></a>

장치에서는 정확한 시간을 유지하는 것이 중요합니다. X.509 인증서에는 만료 날짜와 시간이 있습니다. 장치의 시계는 서버 인증서가 여전히 유효한지 확인하는 데 사용됩니다. 장치 시계는 시간이 지나 드리프트 상태가 되거나 배터리가 방전될 수 있습니다.

자세한 내용은 *AWS IoT Core 개발자 안내서*의 [장치 시계를 동기화된 상태로 유지](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html#device-clock) 모범 사례를 참조하십시오.

## Cipher Suite 권장 사항
<a name="cipher-suites"></a>

Greengrass 기본값은 디바이스에서 사용할 수 있는 최신 TLS Cipher Suite를 선택합니다. 디바이스에서 레거시 암호 제품군 사용을 비활성화하는 것이 좋습니다. 예: CBC 암호 제품군.

자세한 내용은 [Java Cryptography Configuration](https://www.java.com/configure_crypto.html)을 참조하세요.

## 다음 사항도 참조하세요.
<a name="security-best-practices-see-also"></a>
+ *AWS IoT 개발자 안내서*의 [AWS IoT Core내 보안 모범 사례](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html)
+ * AWS 공식 블로그의 사물 인터넷*에서[ 산업용 IoT 솔루션에 대한 10가지 보안 황금률](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/)