本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Keyspaces e 的预防性安全最佳实践
以下安全最佳实践被视为预防性操作,因为它们可以帮助预测和预防 Amazon Keyspaces 中的安全事件。
- 使用静态加密
-
Amazon Keyspaces 使用 Amazon Key Management Service(Amazon KMS)
存储的加密密钥,静态加密表中存储的所有用户数据。保护您的数据免受未经授权访问,为基础存储提供额外一层数据保护。 默认情况下,Amazon Keyspaces 使用来加密您的所有表。Amazon 拥有的密钥如果这个密钥不存在,它是为你创建的。不能禁用服务默认密钥。
或者,可以使用客户托管的密钥进行静态加密。有关更多信息,请参见 Amazon Keyspaces e 静态加密。
- 使用 IAM 角色验证对 Amazon Keyspaces 的访问
-
对于访问 Amazon Keyspaces e 的用户、应用程序和其他Amazon服务,必须在Amazon API 请求中包含有效Amazon凭证。不应直接在应用程序或 EC2 实例中存储 Amazon 凭证。这些长期凭证不会自动轮换,如果外泄,可能造成重大业务影响。利用 IAM 角色,可以获得临时访问密钥,用于访问 Amazon 服务和资源。
有关更多信息,请参阅 IAM 角色。
- 使用 IAM 策略进行Amazon Keyspaces e 基本授权
-
在授予权限时,您要决定谁获得权限,获得对哪些 Amazon Keyspaces API 的权限,以及您允许对这些资源执行的具体操作。实施最低权限对于减小安全风险以及错误或恶意意意图造成的影响至关重要。
将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 Amazon Keyspaces 资源执行操作的权限。
可以通过以下方法实现:
- 使用 IAM 策略条件进行精细访问控制
-
在 Amazon Keyspaces 中授予权限时,可以指定确定权限策略如何生效的条件。实施最低权限对于减小安全风险以及错误或恶意意意图造成的影响至关重要。
使用 IAM 策略授予权限时,可以指定条件。例如,您可以执行以下操作:
-
授予权限,允许用户只读访问特定键空间或表。
-
根据用户身份授予权限,允许用户写入特定表。
有关更多信息,请参阅基于身份的策略示例。
-
- 考虑客户端加密
-
如果将敏感或机密数据存储在 Amazon Keyspaces 中,可能需要尽可能接近来源加密数据,以便在数据的整个生命周期内对其进行保护。加密传输中和静态敏感数据有助于确保明文数据不会提供给任何第三方。