Amazon Keyspaces 中的基础设施安全性 - Amazon Keyspaces(针对 Apache Cassandra)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Keyspaces 中的基础设施安全性

作为一项托管服务,Amazon Keyspaces(适用于 Apache Cassandra)由 Amazon Web Services:安全流程概述白皮书中所述的 AWS 全球网络安全程序提供保护。

您可以使用 AWS 发布的 API 调用通过网络访问 Amazon Keyspaces。客户端必须支持传输层安全性 (TLS) 1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Ephemeral Diffie-Hellman (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

Amazon Keyspaces 支持两种方法对客户端请求进行身份验证。第一种方法使用服务特定凭证,这些凭证是为特定 AWS Identity and Access Management (IAM) 用户生成的基于密码的凭证。您可以使用 IAM 控制台、AWS CLI 或 AWS API 创建和管理密码。有关更多信息,请参阅将 IAM 与 Amazon Keyspaces 结合使用

第二种方法对开源 DataStax 适用于 Cassandra 的 Java 驱动程序使用身份验证插件。此插件使 IAM 用户、角色和联合身份能够使用 AWS 签名版本 4 流程 (SigV4) 将身份验证信息添加到 Amazon Keyspaces(对于 Apache Cassandra)API 请求。有关更多信息,请参阅 以编程方式连接到 Amazon Keyspaces.

您可以使用接口 VPC 终端节点,以防止 Amazon VPC 和 Amazon Keyspaces 之间的流量离开 Amazon 网络。接口 VPC 终端节点由 AWS PrivateLink 提供支持,后者是一种 AWS 技术,可将弹性网络接口与 Amazon VPC 中的私有 IPs 结合使用来支持 AWS 服务之间的私有通信。有关更多信息,请参阅 将 Amazon Keyspaces 与接口 VPC 终端节点结合使用.