Amazon Keyspaces 的 Detective 性安全最佳實務

以下安全最佳實務會被視為偵測性，因為這些實務能幫助您偵測潛在安全弱點與事件。

用AWS CloudTrail來監控AWS Key Management Service (AWS KMS)AWS KMS 金鑰使用情況

如果使用客戶受管AWS KMS金鑰進行靜態加密，那麼使用此金鑰會登入AWS CloudTrail。 CloudTrail 透過記錄對帳戶所採取的動作，來提供使用者活動的可見性。 CloudTrail 記錄每個動作的重要資訊，包括提出請求的人、使用過的服務、該動作的參數以及透過AWS服務傳回的回應元素。此資訊可協助您追蹤對AWS資源所做的改變，並診斷解作業問題。 CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。

您可以使用 CloudTrail 來稽核金鑰使用情形。 CloudTrail 會建立日誌檔，其中包含AWS API 呼叫及您帳戶相關活動歷史記錄的歷史記錄。這些日誌檔包含使用主控台、AWS軟體開發套件和命令列工具，以及透過整合AWS服務提出的所有AWS KMS API 請求。您可以使用這些日誌檔來取得使用AWS KMS金鑰的時間、所請求的操作、請求的身分、請求的來源 IP 地址等資訊。如需詳細資訊，請參閱《AWS CloudTrail 使用者指南》中的記錄 AWS Key Management Service API 呼叫 和 AWS CloudTrail。

用 CloudTrail 來監控 Amazon Keyspaces 資料定義語言 (DDL) 操作

CloudTrail 透過記錄對帳戶所採取的動作，來提供使用者活動的可見性。 CloudTrail 記錄每個動作的重要資訊，包括提出請求的人、使用過的服務、該動作的參數以及透過AWS服務傳回的回應元素。此資訊可協助您追蹤對AWS資源所做的改變，並診斷解作業問題。 CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。

所有亞馬遜 Keyspaces DDL 操作都 CloudTrail 會自動登錄。DDL 操作可讓您建立及管理 Amazon Keyspaces 間和資料表。

Amazon Keyspaces space 中發生活動時，該活動會與事件歷史記錄中的其他服務 CloudTrail 事件記錄至事件歷史記錄中的其他AWS服務事件。如需詳細資訊，請參閱使用記錄 Amazon Keyspaces 作業AWS CloudTrail。您可以檢視、搜尋和下載 AWS 帳戶 的最新事件。如需詳細資訊，請參閱AWS CloudTrail使用指南中的檢視具有 CloudTrail 事件歷程記錄的事件。

若要持續記錄您的事件AWS 帳戶，包括 Amazon Keyspaces 的事件，請建立線索。追蹤可讓日誌檔案交付 CloudTrail 至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。根據預設，當您在主控台建立追蹤記錄時，追蹤記錄會套用到所有追蹤記錄AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件，並將日誌檔案交付到您指定的 S3 儲存貯體。此外，您可以設定其他AWS服務，以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。

為您的 Amazon Keyspaces 資源加上標籤，以便進行識別

您可以用標籤的形式將中繼資料指派給 AWS 資源。每個標記都是由客戶定義金鑰和選用值組成的簡單標籤，能夠更輕鬆地管理、搜尋和篩選資源。

標記允許實現分組控制。雖然標籤不具固有類型，但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例：

• 存取：用於根據標籤控制 Amazon Keyspaces 資源的存取權。如需詳細資訊，請參閱基於 Amazon Keyspaces 標籤的授權。

• 安全性：用於確定資料保護設定等需求。

• 機密性：資源支援的特定資料機密等級識別符。

• 環境：用來區分開發、測試和生產基礎設施。

如需詳細資訊，請參閱AWS標記策略和將標籤和標籤新增至資源。