本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Keyspaces e 的Detective 性安全最佳实践
以下安全最佳实践可以帮助发现潜在的安全弱点和事故。
- Amazon CloudTrail用于监视Amazon Key Management Service (Amazon KMS)Amazon KMS 密钥使用情况
-
如果使用客户托管的Amazon KMS密钥进行静态加密,将此密钥的使用记录到中Amazon CloudTrail。 CloudTrail 按照帐户上执行的记录操作,显示用户活动。 CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、使用的服务、执行的操作、操作的参数以及Amazon服务返回的响应元素。这些信息有助于跟踪Amazon资源更改,解决运营问题。 CloudTrail 可以更轻松确保符合内部策略和法规标准。
可以使用审计密钥使用情况。 CloudTrail CloudTrail 创建日志文件,其中包含账户Amazon的 API 调用和相关事件历史记录。这些日志文件,包含使用控制台、Amazon SDK 和命令行工具,以及通过集成Amazon服务发出的所有Amazon KMS API 请求。可以使用这些日志文件,获取 KeAmazon KMS y 使用时间、请求的操作、请求者的身份、发出请求的 IP 地址等信息。有关更多信息,请参见用 Amazon CloudTrail 记录 Amazon Key Management Service API 调用和 Amazon CloudTrail 用户指南。
- CloudTrail 用于监控 Amazon Keyspaces 数据定义语言 (DDL) 操作
-
CloudTrail 按照帐户上执行的记录操作,显示用户活动。 CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、使用的服务、执行的操作、操作的参数以及Amazon服务返回的响应元素。这些信息有助于跟踪Amazon资源更改,解决运营问题。 CloudTrail 可以更轻松确保符合内部策略和法规标准。
所有 Amazon Keyspaces DDL 操作都会 CloudTrail 自动登录。DDL 操作可让您可以创建和管理 Amazon Keyspace 的Keyspaces 和表。
当 Amazon Keyspaces 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他Amazon服务事件一同保存在事件历史记录中。有关更多信息,请参阅使用记录 Amazon Keyspaces 操作Amazon CloudTrail。您可以在 Amazon Web Services 账户 中查看、搜索和下载最新事件。有关更多信息,请参阅《Amazon CloudTrail用户指南》中的 “使用 CloudTrail 事件历史记录查看事件”。
要持续记录中的事件(包括 Amazon Keyspaces 的事件),请创建跟踪。Amazon Web Services 账户通过跟踪,可以 CloudTrail 将日志文件发送到 Amazon Simple Storage Service (Amazon S3) 存储桶。默认情况下,在控制台中创建跟踪时,此跟踪应用于所有Amazon Web Services 区域。跟踪记录 Amazon 分区所有区域的事件,将日志文件传送至指定的 S3 存储桶。此外,您可以配置其他Amazon服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取操作。
- 标记 Amazon Keyspaces 资源以进行标识和自动化
-
可以将自己的元数据以标签形式分配给 Amazon 资源。每个标签都是一个标注,包含一个客户定义的键和一个可选值,方便管理、搜索和筛选资源。
标签可实现分组控制。尽管没有固有类型的标签,但利用标签,可以根据用途、所有者、环境或其他条件分类资源。下面是一些示例:
访问 — 用于基于标签控制对 Amazon Keyspaces 资源的访问。有关更多信息,请参阅基于亚马逊密钥空间标签的授权:
-
安全性 — 用于确定数据保护设置等要求。
-
机密性 — 资源支持的特定数据机密等级的标识符。
-
环境 – 用于区分开发、测试和生产基础设施。
有关更多信息,请参阅Amazon标记策略
和向资源添加标签和标签。