Infrastruktursicherheit in Amazon Keyspaces - Amazon Keyspaces (für Apache Cassandra)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Infrastruktursicherheit in Amazon Keyspaces

Als verwalteter Service ist Amazon Keyspaces (für Apache Cassandra) durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter AWS Cloud-Sicherheit. Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

Sie verwenden AWS veröffentlichte API Anrufe, um über das Netzwerk auf Amazon Keyspaces zuzugreifen. Kunden müssen Folgendes unterstützen:

  • Sicherheit auf Transportschicht (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Cipher-Suites mit perfekter Vorwärtsgeheimhaltung (PFS) wie (Ephemeral Diffie-Hellman) oder DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

Darüber hinaus müssen Anfragen mithilfe einer Zugriffsschlüssel-ID und eines geheimen Zugriffsschlüssels, der einem Prinzipal zugeordnet ist, signiert werden. IAM Alternativ können Sie mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.

Amazon Keyspaces unterstützt zwei Methoden zur Authentifizierung von Kundenanfragen. Die erste Methode verwendet dienstspezifische Anmeldeinformationen, bei denen es sich um passwortbasierte Anmeldeinformationen handelt, die für einen bestimmten Benutzer generiert wurden. IAM Sie können das Passwort mit der IAM Konsole, dem oder dem AWS API erstellen AWS CLI und verwalten. Weitere Informationen finden Sie unter Verwendung IAM mit Amazon Keyspaces.

Die zweite Methode verwendet ein Authentifizierungs-Plugin für den DataStax Open-Source-Java-Treiber für Cassandra. Mit diesem Plugin können IAMBenutzer, Rollen und föderierte Identitäten mithilfe des AWS Signature Version 4-Prozesses (Sigv4) Authentifizierungsinformationen zu Amazon API Keyspaces-Anfragen (für Apache Cassandra) hinzufügen. Weitere Informationen finden Sie unter Erstellen und Konfigurieren AWS Anmeldeinformationen für Amazon Keyspaces.

Sie können einen VPC Schnittstellenendpunkt verwenden, um zu verhindern, dass der Datenverkehr zwischen Ihren Amazon VPC und Amazon Keyspaces das Amazon-Netzwerk verlässt. VPCSchnittstellenendpunkte werden von einer AWS Technologie unterstützt AWS PrivateLink, die private Kommunikation zwischen AWS Diensten über eine elastic network interface mit Private IPs in Ihrem Amazon VPC ermöglicht. Weitere Informationen finden Sie unter Verwenden von Amazon Keyspaces mit Schnittstellen-VPC-Endpunkten.