本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Keyspaces 的检测性安全最佳实践
以下安全最佳实践属于检测性实践,因为它们可以帮助您检测潜在的安全漏洞和事件。
- 使用 Amazon CloudTrail 监控 Amazon Key Management Service (Amazon KMS) Amazon KMS 密钥的使用情况
-
如果您使用客户自主管理型Amazon KMS密钥进行静态加密,Amazon CloudTrail 将记录该密钥的使用情况。CloudTrail 按照帐户上执行的记录操作,显示用户活动。CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、所使用的服务、执行的操作、操作的参数以及 Amazon 服务返回的响应元素。这些信息有助于跟踪 Amazon 资源更改,解决运营问题。利用 CloudTrail,可以更轻松确保符合内部策略和法规标准。
可以使用 CloudTrail 审计密钥使用情况。CloudTrail 创建日志文件,其中包含账户的 Amazon API 调用和相关事件历史记录。这些日志文件包含通过控制台、Amazon SDK 和命令行工具,以及通过集成的 Amazon 服务发出的所有 Amazon KMS API 请求。可以使用这些日志文件获取 Amazon KMS 密钥使用时间、请求的操作、请求者的身份、发出请求的 IP 地址等信息。有关更多信息,请参见用 Amazon CloudTrail 记录 Amazon Key Management Service API 调用和 Amazon CloudTrail 用户指南。
- 使用 CloudTrail 监控 Amazon Keyspaces 数据定义语言 (DDL) 操作
-
CloudTrail 按照帐户上执行的记录操作,显示用户活动。CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、所使用的服务、执行的操作、操作的参数以及 Amazon 服务返回的响应元素。这些信息有助于跟踪 Amazon 资源更改和排查运营问题。利用 CloudTrail,可以更轻松确保符合内部策略和法规标准。
所有 Amazon Keyspaces DDL 操作都会自动记录在 CloudTrail 中。DDL 操作让您可以创建和管理 Amazon Keyspaces 键空间和表。
当 Amazon Keyspaces 中发生活动时,该活动将与事件历史记录中的其他 Amazon 服务事件一起记录在 CloudTrail 事件中。有关更多信息,请参阅 Logging Amazon Keyspaces operations by using Amazon CloudTrail。您可以在 Amazon Web Services 账户 中查看、搜索和下载最新事件。有关更多信息,请参阅 Amazon CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看事件。
要持续记录 Amazon Web Services 账户中的事件(包括 Amazon Keyspaces 的事件),请创建跟踪。跟踪记录让 CloudTrail 可以将日志文件发送至 Amazon Simple Storage Service (Amazon S3) 存储桶。在控制台创建跟踪记录时,该跟踪记录默认应用于所有 Amazon Web Services 区域。跟踪记录 Amazon 分区所有区域的事件,将日志文件传送至指定的 S3 存储桶。此外,可以配置其他 Amazon 服务,进一步分析和应对 CloudTrail 日志中收集的事件数据。
- 标记 Amazon Keyspaces 资源以进行标识和自动化
-
可以将自己的元数据以标签形式分配给 Amazon 资源。每个标签都是一个简单标注,包含一个客户定义的键和一个可选值,方便管理、搜索和筛选资源。
标签可实现分组控制。尽管没有固有类型的标签,但利用标签,可以根据用途、所有者、环境或其他条件分类资源。下面是一些示例:
访问:用于基于标签控制对 Amazon Keyspaces 资源的访问。有关更多信息,请参阅 基于 Amazon Keyspaces 标签的授权。
-
安全性:用于确定数据保护设置等要求。
-
机密性:资源支持的特定数据机密等级的标识符。
-
环境 – 用于区分开发、测试和生产基础设施。
有关更多信息,请参阅 Amazon tagging strategies
和 Adding tags and labels to resources。