Amazon Keyspaces 的 Detective 安全最佳实践 - Amazon Keyspaces(针对 Apache Cassandra)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 的 Detective 安全最佳实践

以下安全最佳实践被视为可检测的,因为它们可以帮助检测潜在的安全弱点和事故。

使用Amazon CloudTrail要监控的Amazon Key Management Service(Amazon KMS)Amazon KMS密钥用法

如果您使用的是客户托管Amazon KMS密钥进行静态加密时,此密钥的使用将登录到Amazon CloudTrail. CloudTrail 通过记录对您的帐户执行的操作来提供用户活动的可见性。CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、所使用的服务、执行的操作、操作的参数以及Amazon服务。此信息可帮助您跟踪对Amazon资源并解决操作问题。CloudTrail 使您能够更轻松地确保符合内部策略和监管标准。

您可以使用 CloudTrail 审核密钥使用情况。CloudTrail 可创建日志文件,其中包含Amazon您账户的 API 调用和相关事件。这些日志文件包括所有Amazon KMS使用控制台发出的 API 请求,AmazonSDK 和命令行工具,以及通过集成Amazon服务。您可以使用这些日志文件来获取有关Amazon KMS密钥、请求的操作、请求者的身份、发出请求的 IP 地址等。有关更多信息,请参阅 。日志系统Amazon Key Management Service使用的 API 调用Amazon CloudTrailAmazon CloudTrail用户指南.

使用 CloudTrail 监控 Amazon Keyspaces 数据定义语言 (DDL) 操作

CloudTrail 通过记录对您的帐户执行的操作来提供用户活动的可见性。CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、所使用的服务、执行的操作、操作的参数以及Amazon服务。此信息可帮助您跟踪对Amazon资源并解决操作问题。CloudTrail 使您能够更轻松地确保符合内部策略和监管标准。

所有 Amazon KeyspacesDDL 操作将自动登录 CloudTrail。DDL 操作允许您创建和管理 Amazon Keyspaces 和表。

当 Amazon Keyspaces 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他Amazon事件历史记录中的服务事件。有关更多信息,请参阅 。使用记录亚马逊 Keyspaces 操作Amazon CloudTrail. 您可以在您的 Amazon Web Services 账户 . 有关更多信息,请参阅 Amazon CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看事件

要持续记录在您的 Amazon Web Services 账户 (包括亚马逊 Keyspaces 的事件),请创建跟踪. 使用跟踪,CloudTrail 可将日志文件传送至 Amazon Simple Storage Service (Amazon S3) 存储桶。默认情况下,在控制台中创建跟踪时,此跟踪应用于所有 Amazon Web Services 区域 . 此跟踪在 Amazon 分区中记录所有区域中的事件,并将日志文件传送至您指定的 S3 存储桶。此外,您可以配置其他 Amazon 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。

标记您的 Amazon Keyspaces 资源以进行识别和自动化

您可以将元数据分配给Amazon以标签的形式资源。每个标签都是一个简单的标签,包含客户定义的密钥和可选值,让您能够更轻松地管理、搜索和筛选资源。

标记允许实现分组控件。尽管没有固有类型的标签,但利用标签,您可以根据用途、所有者、环境或其他标准来将资源分类。以下是一些示例:

  • 访问 — 用于基于标签控制对 Amazon Keyspaces 资源的访问。有关更多信息,请参阅基于 Amazon Keyspaces 标签的授权

  • 安全性 — 用于确定数据保护设置等要求。

  • 机密性 — 资源支持的特定数据机密性级别的标识符。

  • 环境 — 用于区分开发、测试和生产基础架构。

有关更多信息,请参阅 。Amazon标签策略向资源添加标签和标签.