Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda akan mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk Kinesis Video Streams [AWS , lihat Layanan dalam Lingkup](https://aws.amazon.com/compliance/services-in-scope/) berdasarkan Program Kepatuhan.
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Amazon Kinesis Video Streams dengan WebRTC. Topik berikut menunjukkan cara mengonfigurasi Amazon Kinesis Video Streams dengan WebRTC untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga akan mempelajari cara menggunakan AWS layanan lain yang dapat membantu Anda memantau dan mengamankan Amazon Kinesis Video Streams Anda dengan sumber daya WebRTC.
**Topics**
+ [Kontrol akses ke Amazon Kinesis Video Streams dengan sumber daya WebRTC AWS Identity and Access Management](kvswebrtc-how-iam.md)
+ [Validasi kepatuhan untuk Amazon Kinesis Video Streams dengan WebRTC](SERVICE-compliance.md)
+ [Ketahanan di Amazon Kinesis Video Streams dengan WebRTC](kvswebrtc-disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Kinesis Video Streams dengan WebRTC](kvswebrtc-infrastructure-security.md)
+ [Praktik terbaik keamanan untuk Amazon Kinesis Video Streams dengan WebRTC](kvswebrtc-security-best-practices.md)
+ [Enkripsi WebRTC](kvswebrtc-encryption.md)
# Kontrol akses ke Amazon Kinesis Video Streams dengan sumber daya WebRTC AWS Identity and Access Management
Dengan menggunakan AWS Identity and Access Management (IAM) dengan Amazon Kinesis Video Streams dengan WebRTC, Anda dapat mengontrol apakah pengguna di organisasi Anda dapat melakukan tugas menggunakan Kinesis Video Streams tertentu dengan operasi WebRTC API dan apakah mereka dapat menggunakan sumber daya tertentu. AWS
Untuk informasi selengkapnya tentang IAM, lihat berikut ini:
+ [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)
+ [Memulai dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html)
+ [Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)
**Topics**
+ [Sintaksis kebijakan](#policy-syntax)
+ [Tindakan API](#kinesis-using-iam-actions)
+ [Nama Sumber Daya Amazon (ARNs)](#kinesis-using-iam-arn-format)
+ [Berikan akses akun IAM lainnya ke aliran video Kinesis](#how-iam-crossaccount)
+ [Contoh kebijakan](#how-iam-policies)
## Sintaksis kebijakan
kebijakan IAM adalah dokumen JSON yang terdiri dari satu atau beberapa pernyataan. Setiap pernyataan memiliki struktur sebagai berikut:
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Ada berbagai elemen yang membentuk pernyataan:
+ **Efek:** *Efek* bisa berupa `Allow` atau `Deny`. Secara default, para pengguna IAM tidak memiliki izin untuk menggunakan sumber daya dan tindakan API, jadi semua permintaan akan ditolak. izin eksplisit akan menggantikan izin default. penolakan eksplisit akan menggantikan izin apa pun.
+ **Tindakan**: *Tindakan* adalah tindakan API tertentu yang Anda izinkan atau tolak.
+ **Sumber Daya**: Sumber daya yang dipengaruhi oleh tindakan. Untuk menentukan sumber daya dalam sebuah pernyataan kebijakan IAM, gunakan Amazon Resource Name (ARN).
+ **Syarat**: Syarat bersifat opsional. Syarat-syarat ini dapat digunakan untuk mengendalikan kapan kebijakan Anda berlaku.
Saat Anda membuat dan mengelola kebijakan IAM, Anda mungkin ingin menggunakan [IAM Policy Generator dan IAM Policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-generator) [Simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html).
## Tindakan API
Dalam pernyataan kebijakan IAM, Anda dapat menentukan tindakan API apa pun dari layanan apa pun yang mendukung IAM. Untuk Kinesis Video Streams dengan WebRTC, gunakan awalan berikut dengan nama aksi API:. `kinesisvideo:` Misalnya:`kinesisvideo:CreateSignalingChannel`,`kinesisvideo:ListSignalingChannels`, dan`kinesisvideo:DescribeSignalingChannel`.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:
```
"Action": ["kinesisvideo:action1", "kinesisvideo:action2"]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard. Misalnya, Anda dapat menentukan semua tindakan yang namanya dimulai dengan kata “Dapatkan” sebagai berikut:
```
"Action": "kinesisvideo:Get*"
```
Untuk menentukan semua operasi Kinesis Video Streams, gunakan kartu liar asterisk (\$1) sebagai berikut:
```
"Action": "kinesisvideo:*"
```
Untuk daftar lengkap tindakan API Kinesis Video Streams, [https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/API_Reference.html](https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/API_Reference.html).
## Nama Sumber Daya Amazon (ARNs)
Setiap pernyataan kebijakan IAM berlaku untuk sumber daya yang Anda tentukan dengan menggunakan ARNs.
Gunakan format sumber daya ARN berikut untuk Kinesis Video Streams:
```
arn:aws:kinesisvideo:region:account-id:channel/channel-name/code
```
Contoh:
```
"Resource": arn:aws:kinesisvideo::*:111122223333:channel/my-channel/0123456789012
```
Anda bisa mendapatkan ARN dari saluran menggunakan. [DescribeSignalingChannel](https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/API_DescribeStream.html)
## Berikan akses akun IAM lainnya ke aliran video Kinesis
Anda mungkin perlu memberikan izin ke akun IAM lain untuk melakukan operasi pada Kinesis Video Streams dengan saluran pensinyalan WebRTC. Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
## Contoh kebijakan
Contoh kebijakan berikut menunjukkan bagaimana Anda dapat mengontrol akses pengguna ke Kinesis Video Streams Anda dengan saluran WebRTC.
**Example 1: Izinkan pengguna mendapatkan data dari saluran pensinyalan apa pun**
Kebijakan ini memungkinkan pengguna atau grup untuk melakukan`DescribeSignalingChannel`, `GetSignalingChannelEndpoint``ListSignalingChannels`, dan `ListTagsForResource` operasi pada saluran pensinyalan apa pun.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisvideo:Describe*",
"kinesisvideo:Get*",
"kinesisvideo:List*"
],
"Resource": "*"
}
]
}
```
**Example 2: Izinkan pengguna membuat saluran pensinyalan**
Kebijakan ini memungkinkan pengguna atau grup untuk melakukan `CreateSignalingChannel` operasi.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"kinesisvideo:CreateSignalingChannel"
],
"Resource": "*"
}
]
}
```
**Example 3: Izinkan pengguna akses penuh ke semua Kinesis Video Streams dan Kinesis Video Streams dengan sumber daya WebRTC**
Kebijakan ini memungkinkan pengguna atau grup untuk melakukan operasi Kinesis Video Streams pada sumber daya apa pun. Kebijakan ini sesuai untuk administrator.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kinesisvideo:*",
"Resource": "*"
}
]
}
```
**Example 4: Izinkan pengguna mendapatkan data dari saluran pensinyalan tertentu**
Kebijakan ini memungkinkan pengguna atau grup untuk mendapatkan data dari saluran pensinyalan tertentu.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kinesisvideo:DescribeSignalingChannel",
"Resource": "arn:aws:kinesisvideo:us-west-2:123456789012:channel/channel_name/0123456789012"
}
]
}
```
# Validasi kepatuhan untuk Amazon Kinesis Video Streams dengan WebRTC
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Ketahanan di Amazon Kinesis Video Streams dengan WebRTC
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Anda dapat menggunakan Availability Zones untuk merancang dan mengoperasikan aplikasi dan database yang secara otomatis gagal di antara Availability Zone tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di Kinesis Video Streams dengan WebRTC
Sebagai layanan terkelola, Kinesis Video Streams (termasuk kemampuan WebRTC) dilindungi AWS oleh prosedur keamanan jaringan global yang dijelaskan dalam whitepaper Amazon [Web Services](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf): Overview of Security Processes.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Kinesis Video Streams melalui jaringan. Klien harus mendukung Keamanan Lapisan Pengangkutan (TLS) 1.2 atau versi yang lebih baru. Kami merekomendasikan TLS 1.3 atau versi yang lebih baru. Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan sistem yang lebih baru mendukung mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda bisa menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk membuat kredensial keamanan sementara guna menandatangani permintaan.
# Praktik terbaik keamanan untuk Amazon Kinesis Video Streams dengan WebRTC
Amazon Kinesis Video Streams (termasuk kemampuan WebRTC) menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
Untuk praktik terbaik keamanan untuk perangkat jarak jauh, lihat [Praktik Terbaik Keamanan untuk Agen Perangkat](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-DetectMetricsMessagesBestPract.html).
## Terapkan akses hak akses paling rendah
Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin apa untuk sumber daya Kinesis Video Streams mana. Anda memungkinkan tindakan tertentu yang ingin Anda lakukan di sumber daya tersebut. Oleh karena itu, Anda harus memberikan hanya izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.
Misalnya, produser yang mengirimkan data ke Kinesis Video Streams `GetStreamingEndpoint` hanya `PutMedia` membutuhkan,, dan. `DescribeStream` Jangan berikan izin aplikasi produsen untuk semua tindakan (`*`), atau untuk tindakan lain seperti`GetMedia`.
Untuk informasi selengkapnya, lihat [Menerapkan izin hak istimewa paling sedikit.](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
## Gunakan IAM role
Aplikasi produser dan klien harus memiliki kredensi yang valid untuk mengakses aliran video Kinesis. Anda tidak boleh menyimpan AWS kredensi secara langsung di aplikasi klien atau di bucket Amazon S3. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis dan dapat menimbulkan dampak bisnis yang signifikan jika dibobol.
Sebagai gantinya, Anda harus menggunakan peran IAM untuk mengelola kredensi sementara untuk aplikasi produser dan klien Anda untuk mengakses aliran video Kinesis. Ketika Anda menggunakan peran, Anda tidak perlu menggunakan kredensi jangka panjang untuk mengakses sumber daya lain.
Untuk informasi selengkapnya, lihat topik berikut di *panduan pengguna IAM:*
+ [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Skenario umum untuk peran: pengguna, aplikasi, dan layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)
## Gunakan CloudTrail untuk memantau panggilan API
Kinesis Video Streams dengan WebRTC terintegrasi dengan, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau layanan AWS di Kinesis Video Streams dengan WebRTC AWS CloudTrail.
Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Kinesis Video Streams dengan WebRTC, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Lihat informasi yang lebih lengkap di [Log panggilan API dengan AWS CloudTrail](kvswebrtc-monitoring-ct.md).
# Enkripsi WebRTC
Enkripsi ujung ke ujung adalah fitur wajib Amazon Kinesis Video Streams dengan WebRTC, dan Kinesis Video Streams menerapkannya pada semua komponen, termasuk pensinyalan dan media atau streaming data. Terlepas dari apakah komunikasi tersebut peer-to-peer atau disampaikan melalui Kinesis Video Streams TURN end point, semua komunikasi WebRTC dienkripsi dengan aman melalui protokol enkripsi standar.
Pesan pensinyalan dipertukarkan menggunakan Websockets aman (WSS), aliran data dienkripsi menggunakan Datagram Transport Layer Security (DTLS), dan aliran media dienkripsi menggunakan Secure Real-time Transport Protocol (SRTP).