实施 Amazon Data Firehose 的安全最佳实践

Amazon KData Firehose 提供了许多安全功能，供您在开发和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求，因此将其视为有用的考虑因素而不是惯例。

实施最低权限访问

授予权限时，您可以决定谁将获得对哪些 Amazon Data Firehose 资源的哪些权限。您可以对这些资源启用希望允许的特定操作。因此，您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

生产者和客户端应用程序必须具有有效凭证才能访问 Firehose 流，并且您的 Firehose 流必须具有有效凭证才能访问目标。您不能将 AWS 凭证直接存储在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证，如果它们受到损害，可能会对业务产生重大影响。

而是应该使用 IAM 角色来管理生产者和客户端应用程序的临时凭证，以访问 Firehose 流。在使用角色时，您不必使用长期凭证（如用户名和密码或访问密钥）来访问其他资源。

有关更多信息，请参阅 IAM 用户指南中的以下主题：

可在 Amazon Data Firehose 中加密静态数据和传输中数据。有关更多信息，请参阅 Data Protection in Amazon Data Firehose。

Amazon Data Firehose 已与 AWS CloudTrail 集成，后者是一项服务，提供 Amazon Data Firehose 中用户、角色或 AWS 服务所执行操作的记录。

使用通过 CloudTrail 收集的信息，您可以确定向 Amazon Data Firehose 发出了什么请求、发出请求时使用的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

将 Firehose 与 AWS PrivateLink 结合使用

监控 Amazon Data Firehose