Segurança da infraestrutura no Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança da infraestrutura no Amazon Keyspaces

Como um serviço gerenciado, o Amazon Keyspaces (para Apache Cassandra) é protegido pela segurança de rede global. AWS Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa API chamadas AWS publicadas para acessar o Amazon Keyspaces pela rede. Os clientes devem oferecer suporte para:

  • Segurança da camada de transporte (TLS). Exigimos TLS 1,2 e recomendamos TLS 1,3.

  • Suítes de criptografia com sigilo direto perfeito (), como (Ephemeral PFS Diffie-Hellman) ou DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando uma ID de chave de acesso e uma chave de acesso secreta associada a um IAM principal. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

O Amazon Keyspaces oferece suporte a dois métodos de autenticação de solicitações de clientes. O primeiro método usa credenciais específicas do serviço, que são credenciais baseadas em senha geradas para um usuário específico. IAM Você pode criar e gerenciar a senha usando o IAM console AWS CLI, o ou AWS API o. Para obter mais informações, consulte Como usar IAM com o Amazon Keyspaces.

O segundo método usa um plug-in de autenticação para o driver DataStax Java de código aberto para Cassandra. Esse plug-in permite que IAMusuários, funções e identidades federadas adicionem informações de autenticação às API solicitações do Amazon Keyspaces (para Apache Cassandra) usando o processo AWS Signature versão 4 (SigV4). Para obter mais informações, consulte Criar e configurar AWS credenciais para Amazon Keyspaces.

Você pode usar um VPC endpoint de interface para impedir que o tráfego entre a Amazon VPC e o Amazon Keyspaces saia da rede Amazon. Os VPC endpoints de interface são alimentados por AWS PrivateLink, uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com privacidade IPs em sua AmazonVPC. Para obter mais informações, consulte Como usar o Amazon Keyspaces com endpoint da VPC de interface.