實作 Amazon Data Firehose 的安全最佳實務

Amazon Data Firehose 提供許多安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

實作最低權限存取

授予許可時，您可以決定誰取得哪些 Amazon Data Firehose 資源的許可。您還需針對這些資源啟用允許執行的動作，因此，您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。

生產者和用戶端應用程式必須具有有效的憑證才能存取 Firehose 串流，而您的 Firehose 串流必須具有有效的憑證才能存取目的地。您不應將 AWS 憑證直接存放在用戶端應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證，如果遭到盜用，可能會對業務造成嚴重的影響。

相反地，您應該使用 IAM角色來管理生產者和用戶端應用程式的臨時憑證，以存取 Firehose 串流。使用角色時，您不必使用長期登入資料 (例如使用者名稱和密碼或存取金鑰) 來存取其他資源。

如需詳細資訊，請參閱 IAM 使用者指南 中的下列主題：

靜態資料和傳輸中的資料可以在 Amazon Data Firehose 中加密。如需詳細資訊，請參閱 Amazon Data Firehose 中的資料保護。

Amazon Data Firehose 與整合 AWS CloudTrail，該服務提供使用者、角色或 Amazon Data Firehose 中 AWS 服務所採取動作的記錄。

使用所收集的資訊 CloudTrail，您可以判斷對 Amazon Data Firehose 提出的請求、提出請求的 IP 地址、提出請求的人員、提出時間，以及其他詳細資訊。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

搭配 Firehose 使用 AWS PrivateLink

監控 Amazon Data Firehose