Bonnes pratiques de sécurité de détection pour Amazon Keyspaces - Amazon Keyspaces (pour Apache Cassandra)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité de détection pour Amazon Keyspaces

Les bonnes pratiques de sécurité suivantes sont considérées comme de détection, car elles peuvent vous aider à détecter les vulnérabilités et les incidents de sécurité potentiels.

AWS CloudTrailÀ utiliser pour surveiller l'utilisation deAWS KMS la toucheAWS Key Management Service (AWS KMS)

Si vous utilisez une AWS KMSclé gérée par le client pour le chiffrement au repos, l'utilisation de cette clé est journalisée dansAWS CloudTrail. CloudTrail offre une visibilité de l'activité utilisateur en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, dont qui a fait la demande, les services utilisés, les actions réalisées, les paramètres pour les actions et les éléments de réponse renvoyés par leAWS service. Ces informations vous aident à suivre les modifications apportées à vosAWS ressources et à résoudre des problèmes opérationnels. CloudTrail facilite la mise en conformité avec des politiques internes et des normes réglementaires.

Vous pouvez utiliser CloudTrail pour vérifier l'utilisation de la clé. CloudTrail crée des fichiers journaux contenant un historique des appels d'AWSAPI et des événements associés pour votre compte. Ces fichiers journaux incluent toutes les demandes d'AWS KMSAPI qui ont été effectuées avec l'interface,AWS les kits SDK et les outils de ligne de commande, ainsi que viaAWS des services intégrés. Vous pouvez utiliser ces fichiers journaux pour obtenir des informations sur l'utilisation de laAWS KMS clé, sur l'opération qui a été demandée, sur l'identité du demandeur, sur l'adresse IP à partir de laquelle la demande provenait, sur l'adresse IP à partir de laquelle la demande provenait, sur l'adresse IP à partir de laquelle la demande provenait, sur l'adresse IP à partir de laquelle la demande provenait, sur l' Pour plus d'informations, consultez Journalisation des appels d'API AWS Key Management Service avec AWS CloudTrail dans le Guide de l'utilisateur AWS CloudTrail.

Utilisée CloudTrail pour surveiller les opérations en langage de définition de données (DDL) d'Amazon Keyspaces

CloudTrail offre une visibilité de l'activité utilisateur en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, dont qui a fait la demande, les services utilisés, les actions réalisées, les paramètres pour les actions et les éléments de réponse renvoyés par leAWS service. Ces informations vous aident à suivre les modifications apportées à vosAWS ressources et à résoudre des problèmes opérationnels. CloudTrail facilite la mise en conformité avec des politiques internes et des normes réglementaires.

Toutes les opérations DDL d'Amazon Keyspaces sont CloudTrail automatiquement connectées. Les opérations DDL vous permettent de créer et gérer des espaces clés et des tables Amazon Keyspaces.

Lorsqu'une activité se produit dans Amazon Keyspaces, elle est enregistrée dans un CloudTrail événement avec d'autres événements deAWS service dans l'historique des événements. Pour plus d'informations, consultez la section Journalisation des opérations Amazon Keyspaces à l'aide deAWS CloudTrail. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le Guide deAWS CloudTrail l'utilisateur.

Pour un enregistrement continu des événements dans votreCompte AWS, y compris les événements pour Amazon Keyspaces, créez un journal d'activité. Un journal d'activité CloudTrail permet de livrer des fichiers journaux à un compartiment Amazon Simple Storage Service (Amazon S3). Par défaut, lorsque vous créez un journal d'activité sur la console, il s'applique à tousRégions AWS. Le journal d'activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment S3 de votre choix. En outre, vous pouvez configurer d'autresAWS services pour analyser en profondeur les données d'événement collectées dans les CloudTrail journaux et agir sur celles-ci.

Etiqueter vos ressources Amazon Keyspaces pour l'identification et l'automatisation

Vous pouvez attribuer des métadonnées à vos ressources AWS sous la forme d'identifications. Chaque étiquette est un libellé composé d'une clé définie par le client et d'une valeur facultative qui peut faciliter la gestion, la recherche et le filtrage de ressources.

L'étiquetage permet l'implémentation de contrôles groupés. Bien qu'il n'existe pas de types intrinsèques d'étiquettes, celles-ci vous permettent de catégoriser des ressources par objectif, par propriétaire, par environnement ou selon d'autres critères. Voici quelques exemples :

  • Accès — Utilisée pour contrôler l'accès aux ressources Amazon Keyspaces en fonction des balises. Pour plus d'informations, veuillez consulter Autorisation basée sur les tags Amazon Keyspaces.

  • Sécurité — Utilisée pour déterminer des exigences telles que les paramètres de protection des données.

  • Confidentialité — Identifiant pour le niveau spécifique de confidentialité des données qu'une ressource prend en charge.

  • Environnement – Utilisé pour différencier les infrastructures de développement, de test et de production.

Pour plus d'informations, consultez les AWSsections Stratégies de balisage et Ajout de balises et d'étiquettes aux ressources.