Práticas preventivas de segurança recomendadas para o Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas preventivas de segurança recomendadas para o Amazon Keyspaces

As práticas recomendadas de segurança a seguir são consideradas preventivas porque podem ajudar você a antecipar e prevenir incidentes de segurança no Amazon Keyspaces.

Use criptografia em repouso

O Amazon Keyspaces criptografa em repouso todos os dados de usuário gravados em tabelas, usando chaves de criptografia armazenadas no AWS Key Management Service (AWS KMS). Isso oferece uma camada de proteção de dados adicional ao proteger seus dados contra acesso não autorizado ao armazenamento subjacente.

Por padrão, o Amazon Keyspaces usa uma Chave pertencente à AWS para criptografar todas as suas tabelas. Se essa chave não existir, ela é criada para você. As chaves padrão do serviço não podem ser desabilitadas.

Como alternativa, você pode usar uma chave gerenciada pelo cliente para criptografia em repouso. Para obter mais informações, consulte Criptografia em repouso do Amazon Keyspaces.

Usar perfis do IAM para autenticar o acesso ao Amazon Keyspaces

Para que usuários, aplicações e outros serviços da AWS possam acessar o Amazon Keyspaces, eles devem incluir credenciais da AWS válidas em suas solicitações à API da AWS. Você não deve armazenar credenciais da AWS diretamente na aplicação ou na instância do EC2. Essas são credenciais de longo prazo que não são automaticamente alternadas e, portanto, podem ter impacto comercial significativo se forem comprometidas. Um perfil do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessar os serviços e recursos da AWS.

Para obter mais informações, consulte Funções do IAM.

Usar políticas do IAM para autorizações de base do Amazon Keyspaces

Ao conceder permissões, você decide quem as recebe, a quais APIs do Amazon Keyspaces as permissões se referem e as ações específicas que deseja permitir nesses recursos. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.

Anexe políticas de permissões para identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, dê permissões para eles executarem operações nos recursos do Amazon Keyspaces.

Para isso, você pode usar o seguinte:

Uso de condições de política do IAM para controle de acesso refinado

Ao conceder permissões no Amazon Keyspaces, você pode especificar as condições que determinam como uma política de permissões entra em vigor. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.

É possível especificar as condições ao conceder permissões usando uma política do IAM. Por exemplo, você pode fazer o seguinte:

  • Conceda permissões para permitir que os usuários tenham acesso somente leitura a tabelas ou espaços de chaves específicos.

  • Conceda permissões para permitir que um usuário tenha acesso de gravação a uma determinada tabela, com base na identidade desse usuário.

Para obter mais informações, consulte Exemplos de políticas baseadas em identidade.

Considere utilizar a criptografia do lado do cliente

Se você armazena dados confidenciais e sensíveis no Amazon Keyspaces, talvez seja melhor criptografar os dados o mais próximo possível da origem, para que eles fiquem protegidos durante todo o ciclo de vida. A criptografia dos seus dados confidenciais em trânsito e em repouso ajuda você a garantir que os dados em texto simples não estejam disponíveis a terceiros.