Amazon Keyspaces 的检测性安全最佳实践

以下安全最佳实践属于检测性实践，因为它们可以帮助您检测潜在的安全漏洞和事件。

使用 AWS CloudTrail 监控 AWS Key Management Service (AWS KMS) AWS KMS 密钥的使用情况

如果您使用客户自主管理型AWS KMS密钥进行静态加密，AWS CloudTrail 将记录该密钥的使用情况。CloudTrail 按照帐户上执行的记录操作，显示用户活动。CloudTrail 记录有关每个操作的重要信息，包括谁发出请求、所使用的服务、执行的操作、操作的参数以及 AWS 服务返回的响应元素。这些信息有助于跟踪 AWS 资源更改，解决运营问题。利用 CloudTrail，可以更轻松确保符合内部策略和法规标准。

可以使用 CloudTrail 审计密钥使用情况。CloudTrail 创建日志文件，其中包含账户的 AWS API 调用和相关事件历史记录。这些日志文件包含通过控制台、AWS SDK 和命令行工具，以及通过集成的 AWS 服务发出的所有 AWS KMS API 请求。可以使用这些日志文件获取 AWS KMS 密钥使用时间、请求的操作、请求者的身份、发出请求的 IP 地址等信息。有关更多信息，请参见用 AWS CloudTrail 记录 AWS Key Management Service API 调用和 AWS CloudTrail 用户指南。

使用 CloudTrail 监控 Amazon Keyspaces 数据定义语言 (DDL) 操作

CloudTrail 按照帐户上执行的记录操作，显示用户活动。CloudTrail 记录有关每个操作的重要信息，包括谁发出请求、所使用的服务、执行的操作、操作的参数以及 AWS 服务返回的响应元素。这些信息有助于跟踪 AWS 资源更改和排查运营问题。利用 CloudTrail，可以更轻松确保符合内部策略和法规标准。

所有 Amazon Keyspaces DDL 操作都会自动记录在 CloudTrail 中。DDL 操作让您可以创建和管理 Amazon Keyspaces 键空间和表。

当 Amazon Keyspaces 中发生活动时，该活动将与事件历史记录中的其他 AWS 服务事件一起记录在 CloudTrail 事件中。有关更多信息，请参阅 Logging Amazon Keyspaces operations by using AWS CloudTrail。您可以在 AWS 账户 中查看、搜索和下载最新事件。有关更多信息，请参阅 AWS CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看事件。

要持续记录 AWS 账户中的事件（包括 Amazon Keyspaces 的事件），请创建跟踪。跟踪记录让 CloudTrail 可以将日志文件发送至 Amazon Simple Storage Service (Amazon S3) 存储桶。在控制台创建跟踪记录时，该跟踪记录默认应用于所有 AWS 区域。跟踪记录 AWS 分区所有区域的事件，将日志文件传送至指定的 S3 存储桶。此外，可以配置其他 AWS 服务，进一步分析和应对 CloudTrail 日志中收集的事件数据。

标记 Amazon Keyspaces 资源以进行标识和自动化

可以将自己的元数据以标签形式分配给 AWS 资源。每个标签都是一个简单标注，包含一个客户定义的键和一个可选值，方便管理、搜索和筛选资源。

标签可实现分组控制。尽管没有固有类型的标签，但利用标签，可以根据用途、所有者、环境或其他条件分类资源。下面是一些示例：

• 访问：用于基于标签控制对 Amazon Keyspaces 资源的访问。有关更多信息，请参阅 基于 Amazon Keyspaces 标签的授权。

• 安全性：用于确定数据保护设置等要求。

• 机密性：资源支持的特定数据机密等级的标识符。

• 环境 – 用于区分开发、测试和生产基础设施。

有关更多信息，请参阅 AWS tagging strategies 和 Adding tags and labels to resources。