Kinesis Video Streams 的安全最佳實務 - Amazon Kinesis Video Streams
實作最低權限存取使用IAM角色使用 CloudTrail 監控API呼叫

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Kinesis Video Streams 的安全最佳實務

Amazon Kinesis Video Streams 提供許多安全功能,供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。

如需您遠端裝置的安全最佳實務,請參閱裝置代理程式的安全最佳實務

實作最低權限存取

授予許可時,您可以決定誰要取得哪些 Kinesis Video Streams 資源的許可。您還需針對這些資源啟用允許執行的動作,因此,您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限存取是相當重要的一環。

例如,將資料傳送至 Kinesis Video Streams 的生產者只需要 PutMediaGetStreamingEndpointDescribeStream。請勿授予生產者應用程式所有動作 (*) 或其他動作 (例如 GetMedia) 的許可。

如需詳細資訊,請參閱什麼是最低權限以及為什麼需要它?

使用IAM角色

生產者和用戶端應用程式必須具有有效的登入資料才能存取 Kinesis Video Streams。您不應該將 AWS 憑證直接存放在用戶端應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期登入資料,如果遭到入侵,可能會對業務產生重大影響。

反之,您應該使用 IAM角色來管理臨時登入資料,讓您的生產者和用戶端應用程式存取 Kinesis Video Streams。當您使用角色時,您不需要使用長期登入資料 (例如使用者名稱和密碼或存取金鑰) 來存取其他資源。

如需詳細資訊,請參閱《IAM 使用者指南》中的以下主題:

使用 CloudTrail 監控API呼叫

Kinesis Video Streams 可與 搭配使用 AWS CloudTrail,此服務提供使用者、角色或 Kinesis Video Streams AWS 服務 中 所採取動作的記錄。

您可以使用 所收集的資訊 CloudTrail 來判斷對 Kinesis Video Streams 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。

如需詳細資訊,請參閱日誌 Amazon Kinesis Video Streams API 呼叫 AWS CloudTrail