Bonnes pratiques de sécurité préventive pour Amazon Keyspaces

Les bonnes pratiques de sécurité suivantes sont considérées comme préventives, car elles peuvent vous aider à anticiper et à prévenir les incidents de sécurité dans Amazon Keyspaces.

Utiliser le chiffrement au repos

Amazon Keyspaces chiffre au repos toutes les données utilisateur stockées dans des tables à l'aide de clés de chiffrement stockées dans AWS Key Management Service(AWS KMS). Cela fournit une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent.

Par défaut, Amazon Keyspaces utilise unClé détenue par AWS pour crypter toutes vos tables. Si cette clé n'existe pas, elle est créée pour vous. Les clés par défaut du service ne peuvent pas être désactivées.

Vous pouvez également utiliser une clé gérée par le client pour le chiffrement au repos. Pour en savoir plus, consultez Amazon Keyspaces Encryption at Rest.

Utiliser Des rôles IAM pour authentifier l'accès à Amazon Keyspaces

Pour que les utilisateurs, les applications et les autresAWS services puissent accéder à Amazon Keyspaces, ils doivent inclure desAWS informations d'identification valides dans leurs demandes d'AWSAPI. Vous ne devez pas stocker d'informations d'identification AWS directement dans l'application ou dans une instance EC2. Il s'agit d'informations d'identification à long terme qui ne font pas l'objet d'une rotation automatique, et dont la compromission pourrait avoir un impact considérable sur l'activité. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires qui peuvent être utilisées pour accéder aux ressources et services AWS.

Pour en savoir plus, consultez Rôles IAM.

Utiliser les politiques IAM pour l'autorisation de base Amazon Keyspaces

Lorsque vous accordez des autorisations, vous décidez qui les reçoit, les API Amazon Keyspaces auxquelles elles s'appliquent, et les actions spécifiques que vous souhaitez autoriser sur ces ressources. L'implémentation d'un privilège minimum est la clé de la réduction des risques de sécurité et de l'impact potentiel d'erreurs ou d'actes de malveillance.

Attachez des politiques d'autorisations à des identités IAM (autrement dit, des utilisateurs, des groupes et des rôles), et accordez ainsi des autorisations pour effectuer des opérations sur des ressources Amazon Keyspaces.

Pour ce faire, utilisez les ressources suivantes :

• AWSPolitiques gérées (prédéfinies)

• Politiques gérées par le client

Utiliser des conditions de politique IAM pour un contrôle d'accès précis

Lorsque vous accordez des autorisations dans Amazon Keyspaces, vous pouvez spécifier des conditions pour déterminer comment une politique d'autorisation doit prendre effet. L'implémentation d'un privilège minimum est la clé de la réduction des risques de sécurité et de l'impact potentiel d'erreurs ou d'actes de malveillance.

Vous pouvez spécifier des conditions lors de l'octroi d'autorisations à l'aide d'une politique IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

• Accordez des autorisations pour permettre aux utilisateurs d'accéder en lecture seule à des espaces clés ou des tables spécifiques.

• Accordez des autorisations pour permettre à un utilisateur d'accéder en écriture à une table donnée, en fonction de son identité.

Pour en savoir plus, consultez Exemples de stratégies basées sur l'identité.

Envisager un chiffrement côté client

Si vous stockez des données sensibles ou confidentielles dans Amazon Keyspaces, il se peut que vous deviez les chiffrer aussi près que possible de leur point de génération, afin qu'elles soient protégées tout au long de leur cycle de vie. Le chiffrement de vos données sensibles en transit et au repos contribue à garantir que vos données en texte brut ne sont pas accessibles à un tiers.