Amazon Keyspaces 的预防性安全最佳实践

以下安全最佳实践属于预防性实践，因为它们可以帮助您预测和预防 Amazon Keyspaces 中的安全事件。

使用静态加密

Amazon Keyspaces 使用 AWS Key Management Service (AWS KMS) 中存储的加密密钥对存储在表中的所有用户数据进行静态加密。保护您的数据免受未经授权访问，为基础存储提供额外一层数据保护。

默认情况下，Amazon Keyspaces 使用 AWS 拥有的密钥来加密您的所有表。如果此密钥不存在，系统会为您创建一个。服务默认密钥无法禁用。

或者，您可以使用客户自主管理型密钥进行静态加密。有关更多信息，请参阅 Amazon Keyspaces Encryption at Rest。

使用 IAM 角色对 Amazon Keyspaces 的访问进行身份验证

对于访问 Amazon Keyspaces 的用户、应用程序和其他 AWS 服务，必须在 AWS API 请求中包含有效的 AWS 凭证。不应直接在应用程序或 EC2 实例中存储 AWS 凭证。这些长期凭证不会自动轮换，如果外泄，可能造成重大业务影响。利用 IAM 角色，可以获得临时访问密钥，用于访问 AWS 服务和资源。

有关更多信息，请参阅 IAM 角色。

使用 IAM 策略进行 Amazon Keyspaces 基本授权

在授予权限时，您要决定谁获得权限，获得哪些 Amazon Keyspaces API 的权限，以及您允许对这些资源执行的具体操作。实施最低权限对于减小安全风险以及错误或恶意意图造成的影响至关重要。

将权限策略附加到 IAM 身份（即用户、组和角色），从而授予对 Amazon Keyspaces 资源执行操作的权限。

可以通过以下方法实现：

• AWS 托管式（预定义）策略

• 客户管理型策略

使用 IAM 策略条件进行精细访问控制

在 Amazon Keyspaces 中授予权限时，可以指定确定权限策略如何生效的条件。实施最低权限对于减小安全风险以及错误或恶意意图造成的影响至关重要。

使用 IAM 策略授予权限时，可以指定条件。例如，您可以执行以下操作：

• 授予权限，允许用户对特定键空间或表进行只读访问。

• 根据用户的身份授予权限，允许用户对某个表进行写入访问。

有关更多信息，请参阅 Identity-Based Policy Examples。

考虑客户端加密

如果您将敏感或机密数据存储在 Amazon Keyspaces 中，您可能希望将该数据加密到尽可能靠近其源的位置，以便在该数据的整个生命周期内对其进行保护。加密传输中和静态敏感数据有助于确保明文数据不会提供给任何第三方。