Amazon Keyspaces 检测性安全最佳实践 - Amazon Keyspaces(针对 Apache Cassandra)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 检测性安全最佳实践

Amazon Keyspaces (for Apache Cassandra) 的以下最佳实践可帮助您检测潜在的安全漏洞和事件。

使用 CloudTrail 监控 Amazon Keyspaces 数据定义语言 (DDL) 操作

CloudTrail 通过记录对您的账户执行的操作,提供对用户活动的可见性。CloudTrail 记录有关每个操作的重要信息,包括发出请求的用户、使用的服务、执行的操作、操作的 参数以及 AWS 服务返回的响应元素。此信息可帮助您跟踪对 AWS 资源所做的更改并解决操作问题。CloudTrail 可让您更轻松地确保符合内部 策略和监管标准。

所有 Amazon Keyspaces DDL 操作都会自动记录在 CloudTrail 中。DDL 操作可让您创建和管理 Amazon Keyspaces 键空间和表。

当 Amazon Keyspaces 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他 AWS 服务事件一同保存在事件历史记录中。有关更多信息,请参阅使用 AWS CloudTrail 记录 Amazon Keyspaces 操作。您可以在 AWS 账户中查看、搜索和下载最新事件。有关更多信息,请参阅 AWS CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看 事件。

要持续记录 AWS 账户中的事件(包括 Amazon Keyspaces 的事件),请创建跟踪。跟踪使 CloudTrail 能够将日志文件传送到 Amazon Simple Storage Service ( Amazon S3 存储桶。默认情况下,在控制台上创建跟踪时,此跟踪应用于所有 AWS 区域。此跟踪在 AWS 分区中记录来自所有区域的事件,并将日志文件传送至您指定的 S3 存储桶。此外,您可以配置其他 AWS 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取操作。

标记 Amazon Keyspaces 资源以进行标识和自动化

您可以标签的形式将元数据分配给 AWS 资源。每个标签都是一个简单标签,由客户定义的键和可选值组成,可以更轻松地管理、搜索和筛选资源。

标记可实现分组控制。虽然没有固有类型的标签,但它们使您能够按用途、所有者、环境或其他标准对资源进行分类。以下是一些示例:

  • 访问 – 用于根据标签控制对 Amazon Keyspaces 资源的访问。有关更多信息,请参阅 基于 Amazon Keyspaces 标签的授权

  • 安全性 – 用于确定数据保护设置等要求。

  • 机密性 – 资源支持的特定数据机密性级别的标识符。

  • 环境 – 用于区分开发、测试和生产基础设施。

有关更多信息,请参阅 AWS 标记策略和向 资源https://docs.amazonaws.cn/keyspaces/latest/devguide/tagging-keyspaces.html添加标签和标签。