Amazon Keyspaces 의 예방 보안 모범 사례

다음과 같은 보안 모범 사례는 Amazon Keyspaces 보안 사고를 예측하고 방지할 수 있도록 지원하므로 예방적 사례로 간주됩니다.

저장 시 암호화를 사용

Amazon Keyspaces 는 저장된 모든 사용자 데이터를 에 저장된 암호화 키를 사용하여 테이블에 저장된 모든 사용자 데이터를 암호화합니다.AWS Key Management Service(AWS KMS). 이를 통해 기본 스토리지에 대한 무단 액세스로부터 데이터를 보호하여 데이터 보호 계층을 추가로 제공합니다.

기본적으로 Amazon 키스페이스는AWS 소유 키모든 테이블을 암호화하는 데 사용됩니다. 이 키가 없는 경우 해당 키가 생성됩니다. 서비스 기본 키는 비활성화할 수 없습니다.

또는 를 사용할 수 있습니다.고객 관리형 키저장 시 암호화를 위해 사용됩니다. 자세한 내용은 단원을 참조하십시오.Amazon Keyspaces 암호화.

IAM 역할을 사용해 Amazon Keyspaces 액세스 인증하기

사용자, 애플리케이션 및 기타AWSAmazon Keyspaces에 액세스하는 서비스에는 유효한 항목이 포함되어야 합니다.AWS자격 증명AWSAPI 요청. AWS 자격 증명을 애플리케이션이나 EC2 인스턴스에 직접 저장해서는 안 됩니다. 이러한 자격 증명은 자동으로 교체되지 않기 때문에 손상된 경우 비즈니스에 큰 영향을 줄 수 있는 장기 자격 증명입니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다.

자세한 내용은 IAM 역할을 참조하세요.

Amazon Keyspaces 기본 인증에 IAM 정책 사용

권한을 부여하려면 권한을 부여받을 사용자, 권한을 행사할 수 있는 Amazon Keyspaces API API, 해당 리소스에 허용하고자 하는 특정 작업을 결정합니다. 최소 권한을 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 줄일 수 있는 비결입니다.

IAM 자격 증명 (즉 사용자, 그룹 및 역할) 에 권한 정책을 연결함으로써 Amazon Keyspaces 리소스에 대한 작업을 수행할 권한을 부여합니다.

이를 위해 다음 정책을 사용할 수 있습니다.

• AWS관리형 (미리 정의된) 정책

• 고객 관리형 정책

IAM 정책 조건을 사용하여 세분화된 액세스 제어 구현

Amazon Keyspaces 에서 권한을 부여할 때 권한 정책이 적용되는 방식을 결정하는 조건을 지정할 수 있습니다. 최소 권한을 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 줄일 수 있는 비결입니다.

IAM 정책을 사용해 권한을 부여할 때 조건을 지정할 수 있습니다. 예를 들면,

• 사용자에게 특정 키스페이스 또는 테이블에 대한 읽기 전용 액세스를 허용하는 권한을 부여할 수 있습니다.

• 해당 사용자의 ID를 기반으로 특정 테이블에 대한 쓰기 액세스 권한을 허용하는 권한을 부여할 수 있습니다.

자세한 내용은 단원을 참조하십시오.자격 증명 기반 정책 예제.

클라이언트측 암호화 참조

Amazon Keyspaces 에 중요 데이터나 기밀 데이터를 저장하는 경우 해당 데이터가 수명 주기 내내 보호되도록 최대한 원본에 가깝게 암호화할 수 있습니다. 전송 중 및 유휴 상태의 중요 데이터를 암호화하면 일반 텍스트 데이터를 제3자가 사용할 수 없게 하는 데 도움이 됩니다.