Amazon Keyspaces 预防性安全最佳实践 - Amazon Keyspaces(针对 Apache Cassandra)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 预防性安全最佳实践

以下最佳实践可帮助您预测和预防 Amazon Keyspaces 中的安全事件。

使用静态加密

Amazon Keyspaces 可使用存储在表中的加密密钥静态加密存储在表中的所有用户数据。Amazon Key Management Service(Amazon KMS)。这通过保护您的数据免受未经授权的访问,为基础存储提供额外一层数据保护。

默认情况下,Amazon Keyspaces 使用Amazon所有密钥来加密您的所有表。如果此密钥不存在,将创建该密钥。不能禁用服务默认密钥。

或者,您也可以使用客户托管密钥进行静态加密。有关更多信息,请参阅 。Amazon Keyspaces 加密

使用 IAM 角色对 Amazon Keyspaces 的访问进行身份验证

对于用户、应用程序和其他Amazon服务才能访问 Amazon Keyspaces,则必须包含有效的Amazon凭证AmazonAPI 请求。您不应存储Amazon凭证。这些是不会自动轮换的长期凭证,因此如果它们受到损害,可能会对业务产生重大影响。利用 IAM 角色,您可以获得可用于访问的临时访问密钥Amazon服务和资源.

有关更多信息,请参阅 IAM 角色

将 IAM 策略用于 Amazon Keyspaces 基授权

在授予权限时,您要决定谁获得权限,获得对哪些 Amazon Keyspaces API 的权限,以及您允许对这些资源执行的具体操作。实施最低权限对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 Amazon Keyspaces 资源执行操作的权限。

您可以使用以下方法执行该操作:

使用 IAM 策略条件进行精细访问控制

当 Amazon Keyspaces 中授予权限时,您可以指定确定权限策略如何生效的条件。实施最低权限对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

您可以使用 IAM 策略授予权限时指定条件。例如,您可以执行以下操作:

  • 授予权限,以允许用户对特定密钥空间或表进行只读访问。

  • 根据用户身份授予权限,以允许用户对特定表进行写访问。

有关更多信息,请参阅 。基于身份的策略示例

考虑客户端加密

如果您将敏感或机密数据存储在 Amazon Keyspaces 中,您可能希望将该数据加密到尽可能靠近其源的位置,以便在该数据的整个生命周期内对其进行保护。加密传输中和静态敏感数据有助于确保您的明文数据不会提供给任何第三方。