Amazon Keyspaces の発見的セキュリティベストプラクティス - Amazon Keyspaces (Apache Cassandra 向け)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Keyspaces の発見的セキュリティベストプラクティス

セキュリティに関する以下のベストプラクティスは、潜在的なセキュリティ上の弱点とインシデントの検出に役立つため、発見的とみなされています。

AWS CloudTrail を使用して AWS Key Management Service (AWS KMS) AWS KMS キーの使用状況をモニタリングする

保管データ暗号化にカスタマーマネージド AWS KMS キー を使用している場合、このキーの使用状況が AWS CloudTrail に記録されます。CloudTrail は、アカウントで実行されたアクションをレコードすることで、ユーザーのアクティビティを可視化します。CloudTrail は、リクエストを行ったユーザー、使用されたサービス、実行されたアクション、アクションのパラメータ、AWS のサービスから返されたレスポンス要素など、各アクションに関する重要な情報をレコードします。この情報は、AWS リソースに加えられた変更を追跡し、オペレーション上の問題をトラブルシューティングするサポートになります。CloudTrail を使用すると、社内ポリシーや規制スタンダードへのコンプライアンスが容易になります。

CloudTrail を使用して、キーの使用状況を監査できます。CloudTrail は、アカウントの AWS API コールおよび関連イベントの履歴を含むログファイルを作成します。これらのログファイルには、統合された AWS サービスを通じて行われたものに加えて、コンソール、AWS SDK、およびコマンドラインツールを使用して行われたすべての AWS KMS API リクエストが含まれます。これらのログファイルを使って、AWS KMS キーが使用された日時、リクエストされたオペレーション、リクエスタの ID、リクエスト元の IP アドレスなどについての情報を取得できます。詳細については、「AWS CloudTrail を使用した AWS Key Management Service API 呼び出しのログ記録」と「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail を使用して、Amazon Keyspaces データ定義言語 (DDL) オペレーションをモニタリングする

CloudTrail は、アカウントで実行されたアクションをレコードすることで、ユーザーのアクティビティを可視化します。CloudTrail は、リクエストを行ったユーザー、使用されたサービス、実行されたアクション、アクションのパラメータ、AWS のサービスから返されたレスポンス要素など、各アクションに関する重要な情報をレコードします。この情報は、AWS リソースに加えられた変更の追跡、およびオペレーション問題のトラブルシューティングに役立ちます。CloudTrail を使用すると、社内ポリシーや規制スタンダードへのコンプライアンスが容易になります。

Amazon Keyspaces DDL オペレーションはすべて CloudTrail のログに自動的に記録されます。DDL オペレーションでは、Amazon Keyspaces のキースペースとテーブルの作成と管理を行います。

Amazon Keyspaces でアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。詳細については、「Logging Amazon Keyspaces operations by using AWS CloudTrail」 ( を使用した Amazon Keyspaces オペレーションのログ記録) を参照してください。最近のイベントは、AWS アカウント で表示、検索、ダウンロードできます。詳細については、「AWS CloudTrail ユーザーガイド」「Viewing events with CloudTrail event history」(CloudTrail イベント履歴でのイベントの表示) を参照してください。

Amazon Keyspaces のイベントなど、AWS アカウント のイベントの継続記録のために証跡を作成します。証跡により、CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡がすべての AWS リージョン に適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づく対応するためにその他の AWS のサービスを設定できます。

識別とオートメーションのために Amazon Keyspaces リソースにタグを付ける

AWS のリソースにメタデータをタグ付け形式で割り当てることができます。各タグは、カスタマー定義のキーと値 (オプション) で構成されるシンプルなラベルです。タグを使用すると、リソースの管理、検索、フィルターが容易になります。

タグ付けを行うと、グループ化されたコントロールを実装できます。タグには固有のタイプはありませんが、 用途、所有者、環境などの基準でリソースを分類できます。次に例をいくつか示します。

  • アクセス — タグに基づいて Amazon Keyspaces リソースへのアクセスを制御するために使用されます。詳細については、「Amazon Keyspaces タグに基づいた認可」を参照してください。

  • セキュリティ — データ保護設定などの要件を決定するために使用されます。

  • 機密性 — リソースでサポートされるデータ機密性レベルの識別子。

  • 環境 — 開発、テスト、本番稼働用インフラストラクチャを区別するために使用されます。

詳細については、「AWS tagging strategies ( タグ付け戦略)」と「Adding tags and labels to resources (リソースへのタグとラベルの追加)」を参照してください。