AWS Panorama 设备安全最佳实践

对设备进行物理保护 – 将设备安装在封闭的服务器机架或安全房间中。仅限授权人员实际访问设备。

保护设备的网络连接 – 将设备连接到限制内部和外部资源访问的路由器。该设备需要连接到位于安全内部网络上的摄像头。它还需要连接到 AWS。将第二个以太网端口仅用于物理冗余，并将路由器配置为仅允许所需流量。

使用推荐的网络配置之一来规划网络布局。有关更多信息，请参阅 将 AWS Panorama Appliance 连接到您的网络。

格式化 USB 驱动器 – 预置设备后，移除 USB 驱动器并将其格式化。设备在 AWS Panorama 服务中注册后不会使用 USB 驱动器。格式化驱动器以删除临时凭证、配置文件和预置日志。

使设备保持最新状态 – 及时应用设备软件更新。当您在 AWS Panorama 控制台中查看设备时，控制台会通知您是否有可用的软件更新。有关更多信息，请参阅 管理 AWS Panorama Appliance。

使用 DescribeDevice API 操作，可以通过比较 LatestSoftware 和 CurrentSoftware 字段来自动检查更新。当最新软件版本与当前版本不同时，请使用控制台或使用 CreateJobForDevices 操作应用更新。

如果停止使用设备，请重置设备 – 在将设备移出安全数据中心之前，请将其完全重置。关闭设备电源并接通电源后，同时按住电源和重置按钮 5 秒钟。这将从设备中删除帐户凭证、应用程序和日志。

有关更多信息，请参阅 AWS Panorama 设备按钮和指示灯。

限制对 AWS Panorama 和其他 AWS 服务的访问 – AWSPanoramaFullAccess 提供对所有 AWS Panorama API 操作的访问权限，必要时还提供对其他服务的访问权限。在可能的情况下，该策略会根据命名约定限制对资源的访问。例如，它提供对名称以 panorama 开头的 AWS Secrets Manager 机密的访问权限。对于需要只读访问权限或访问更具体的资源集的用户，请使用托管策略作为最低权限策略的起点。

有关更多信息，请参阅 AWS Panorama 的基于身份的 IAM 策略。