带网络的 Amazon Kinesis Video Streams 的安全最佳实践 RTC - Kinesis Video Streams
实施最低权限访问使用IAM角色用于监 CloudTrail 视API通话

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

带网络的 Amazon Kinesis Video Streams 的安全最佳实践 RTC

Amazon Kinesis Video Streams(包括其RTC网络功能)提供了许多安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求,请将其视为有用的考虑因素而不是惯例。

有关远程设备的安全最佳实践,请参阅设备代理的安全最佳实践

实施最低权限访问

在授予权限时,您可以决定谁获得哪些 Kinesis Video Streams 资源的哪些权限。您可以对这些资源启用希望允许的特定操作。因此,您应仅授予执行任务所需的权限。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

例如,向 Kinesis Video Streams 发送数据的创建者仅需要 PutMediaGetStreamingEndpointDescribeStream。请勿向创建者应用程序授予所有操作 (*) 或其他操作(例如 GetMedia)的权限。

有关更多信息,请参阅 Apply least-privilege permissions

使用IAM角色

创建者和客户端应用程序必须具有有效的凭证来访问 Kinesis 视频流。你不应该存放 AWS 凭证直接存放在客户端应用程序或 Amazon S3 存储桶中。这些是不会自动轮换的长期凭证,如果它们受到损害,可能会对业务产生重大影响。

相反,您应该使用IAM角色来管理您的制作者和客户端应用程序访问Kinesis视频流的临时证书。在使用角色时,您不必使用长期凭证来访问其他资源。

有关更多信息,请参阅IAM用户指南中的以下主题:

用于监 CloudTrail 视API通话

带RTC网络的 Kinesis Video Streams 已与 AWS CloudTrail,一项提供用户、角色或用户所执行操作的记录的服务 AWS 使用 Web 在 Kinesis Video Streams 中提供RTC服务。

使用收集的信息 CloudTrail,您可以确定向 Kinesis Video Streams with RTC Web 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。

有关更多信息,请参阅 使用记录API通话 AWS CloudTrail