本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 以下方面的安全最佳实践 AWS IoT Greengrass
本主题包含的安全最佳实践 AWS IoT Greengrass。
## 授予可能的最低权限
以非特权用户身份运行组件,遵循最低权限原则。除非绝对必要,否则组件不应以根用户身份运行。
您也可以以非 root 用户身份运行 AWS IoT Greengrass Core 软件本身,以进一步限制设备上的权限。有关更多信息,请参阅 [将 AWS IoT Greengrass V2 核心设备设置为非 root](setup-greengrass-non-root.md)。
使用 IAM 角色中的最小权限集。在 IAM 策略中限制对 `Action` 和 `Resource` 属性使用 `*` 通配符。而是在可能的情况下声明一组有限的操作和资源。有关最低权限和其他策略最佳实践的更多信息,请参阅 [策略最佳实践](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)。
最低权限最佳实践也适用于您附加到 Greengrass 核心的 AWS IoT 策略。
## 不要在 Greengrass 组件中对凭证进行硬编码
不要在用户定义的 Greengrass 组件中对凭证进行硬编码。为了更好地保护您的凭证:
+ 要与 AWS 服务交互,请在 [Greengrass](device-service-role.md) 核心设备服务角色中定义特定操作和资源的权限。
+ 使用[密钥管理器组件](secret-manager-component.md)存储凭证。或者,如果该函数使用 AWS SDK,则使用默认凭证提供程序链中的凭证。
## 不要记录敏感信息
您应该禁止记录凭证和其他个人身份信息 (PII)。尽管访问核心设备上的本地日志需要根权限,而访问 CloudWatch 日志需要 IAM 权限,但我们仍建议您实施以下保护措施。
+ 不要在 MQTT 主题路径中使用敏感信息。
+ 不要在 AWS IoT Core 注册表中的设备(事物)名称、类型和属性中使用敏感信息。
+ 不要在用户定义的 Greengrass 组件或 Lambda 函数中记录敏感信息。
+ 不要在 Greengrass 资源的名称和 Greengrass IDs 资源中使用敏感信息:
+ 核心设备
+ 组件
+ 部署
+ 日志记录程序
## 使设备时钟保持同步
请务必确保您的设备上有准确的时间。X.509 证书具有到期日期和时间。设备上的时钟用于验证服务器证书是否仍有效。设备时钟可能会在一段时间后出现偏差,或者电池可能会放电。
有关更多信息,请参阅《AWS IoT Core 开发人员指南**》中的[保持设备时钟同步](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html#device-clock)最佳实践。
## 密码套件推荐
Greengrass 默认选择设备上提供的最新 TLS 密码套件。考虑在设备上禁用传统密码套件。例如,CBC 密码套件。
有关更多信息,请参阅 [Java 加密配置](https://www.java.com/configure_crypto.html)。
## 另请参阅
+ 《*AWS IoT 开发人员指南》*中的 [AWS IoT Core中的安全最佳实践](https://docs.aws.amazon.com/iot/latest/developerguide/security-best-practices.html)
+ * AWS 官方博客上物联网工业物联网解决方案的*[十大安全黄金法则](https://aws.amazon.com/blogs/iot/ten-security-golden-rules-for-industrial-iot-solutions/)