本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Kinesis Video Streams with WebRTC 的安全最佳實務
<a name="kvswebrtc-security-best-practices"></a>

Amazon Kinesis Video Streams （包括其 WebRTC 功能） 提供許多安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

如需您遠端裝置的安全最佳實務，請參閱[裝置代理程式的安全最佳實務](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-DetectMetricsMessagesBestPract.html)。

## 實作最低權限存取
<a name="security-best-practices-privileges"></a>

授予許可時，您可以決定誰要取得哪些 Kinesis Video Streams 資源的許可。您還需針對這些資源啟用允許執行的動作，因此，您只應授與執行任務所需的許可。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。

例如，將資料傳送至 Kinesis Video Streams 的生產者只需要 `PutMedia`、 `GetStreamingEndpoint`和 `DescribeStream`。請勿授予生產者應用程式所有動作 (`*`) 或其他動作 (例如 `GetMedia`) 的許可。

如需詳細資訊，請參閱[套用最低權限許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。

## 使用 IAM 角色
<a name="security-best-practices-roles"></a>

製作者和用戶端應用程式必須具有有效的登入資料，才能存取 Kinesis 影片串流。您不應將 AWS 登入資料直接存放在用戶端應用程式或 Amazon S3 儲存貯體中。這些是不會自動輪換的長期憑證，如果遭到盜用，可能會對業務造成嚴重的影響。

反之，您應該使用 IAM 角色來管理生產者和用戶端應用程式的臨時登入資料，以存取 Kinesis 影片串流。使用角色時，您不必使用長期憑證來存取其他資源。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的下列主題：
+ [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [角色的常見案例：使用者、應用程式和服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html)

## 使用 CloudTrail 監控 API 呼叫
<a name="security-best-practices-cloudtrail"></a>

Kinesis Video Streams with WebRTC 已與 整合 AWS CloudTrail，此服務可提供使用者、角色或 Kinesis Video Streams with WebRTC 中 AWS 服務所採取之動作的記錄。

您可以使用 CloudTrail 所收集的資訊，判斷使用 WebRTC 對 Kinesis Video Streams 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間，以及其他詳細資訊。

如需詳細資訊，請參閱[使用 記錄 API 呼叫 AWS CloudTrail](kvswebrtc-monitoring-ct.md)。