Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Le migliori pratiche di sicurezza per Managed Service for Apache Flink
<a name="security-best-practices"></a>

Il servizio gestito da Amazon per Apache Flink fornisce una serie di funzionalità di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni. 

## Implementazione dell'accesso con privilegi minimi
<a name="security-best-practices-privileges"></a>

Quando concedi le autorizzazioni, puoi decidere chi le ottiene e verso quali risorse del servizio gestito per Apache Flink. È possibile abilitare operazioni specifiche che si desidera consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose. 

## Uso di ruoli IAM per accedere ad altri servizi Amazon
<a name="security-best-practices-roles"></a>

L'applicazione Managed Service for Apache Flink deve disporre di credenziali valide per accedere alle risorse di altri servizi, come i flussi di dati Kinesis, i flussi Firehose o i bucket Amazon S3. Non è necessario archiviare AWS le credenziali direttamente nell'applicazione o in un bucket Amazon S3. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e potrebbero avere un impatto aziendale significativo se vengono compromesse. 

Al contrario, è consigliabile utilizzare un ruolo IAM per gestire le credenziali temporanee per l'applicazione per accedere ad altre risorse. Quando utilizzi un ruolo, non devi necessariamente usare credenziali a lungo termine per accedere ad altre risorse.

Per ulteriori informazioni, consulta gli argomenti seguenti nella *Guida per l'utente IAM*:
+ [Ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Scenari comuni per ruoli: utenti, applicazioni e servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

## Implementa la crittografia lato server nelle risorse dipendenti
<a name="security-best-practices-sse"></a>

I dati a riposo e i dati in transito sono crittografati nel servizio gestito per Apache Flink e questa crittografia non può essere disabilitata. È necessario implementare la crittografia lato server nelle risorse dipendenti, come i flussi di dati Kinesis, i flussi Firehose e i bucket Amazon S3. Per ulteriori informazioni su come implementare la crittografia lato server nelle risorse dipendenti, consulta [Protezione dei dati ](data-protection.md).

## Utilizzalo per monitorare le chiamate API CloudTrail
<a name="security-best-practices-cloudtrail"></a>

Managed Service for Apache Flink è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o un servizio Amazon in Managed Service for Apache Flink.

Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta effettuata a Managed Service for Apache Flink, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.

Per ulteriori informazioni, consulta [Registra il servizio gestito per le chiamate API Apache Flink con AWS CloudTrail](logging-using-cloudtrail.md).