DynamoDB Bewährte Methoden für Sicherheitsmaßnahmen entdecken

Wenn Sie einen Von AWS verwalteter Schlüsselfür die Verschlüsselung im Ruhezustand verwenden, wird die Verwendung dieses Schlüssels angemeldet AWS CloudTrail. CloudTrail bietet Einblick in die Benutzeraktivitäten, indem es die auf Ihrem Konto ausgeführten Aktionen aufzeichnet. CloudTrail zeichnet wichtige Informationen zu jeder Aktion auf, einschließlich der Person, die die Anfrage gestellt hat, die verwendeten Dienste, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS Dienst zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen dabei, Änderungen an Ihren AWS Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail macht es einfacher, die Einhaltung interner Richtlinien und regulatorischer Standards sicherzustellen.

Sie können es verwenden CloudTrail , um die Verwendung von Schlüsseln zu überprüfen. CloudTrail erstellt Protokolldateien, die einen Verlauf der AWS API-Aufrufe und verwandter Ereignisse für Ihr Konto enthalten. Diese Protokolldateien enthalten alle AWS KMS API-Anfragen AWS Management Console, die mit den AWS SDKs und Befehlszeilentools gestellt wurden, sowie alle API-Anfragen, die über integrierte AWS Dienste gestellt wurden. Sie können diese Protokolldateien verwenden, um Informationen über den Zeitpunkt der Verwendung des KMS-Schlüssels zu erhalten, sowie Informationen über die angeforderte Operation, die Identität des Auftraggebers und die IP-Adresse, von der aus die Anforderung gesendet wurde. Weitere Informationen finden Sie unter Protokollierung von AWS KMS -API-Aufrufen mit AWS CloudTrail im AWS CloudTrail -Benutzerhandbuch.

CloudTrail kann sowohl Ereignisse auf der Steuerungsebene als auch Ereignisse auf der Datenebene überwachen. Mit Operationen auf Steuerebene können Sie DynamoDB-Tabellen erstellen und verwalten. Außerdem ermöglichen sie die Arbeit mit Indexen, Streams und anderen Objekten, die von Tabellen abhängen. Mit Operationen auf Datenebene können Sie Aktionen zum Erstellen, Lesen, Aktualisieren und Löschen (auch als CRUD bezeichnet) für Daten in einer Tabelle ausführen. Einige Operationen auf Datenebene ermöglichen außerdem das Lesen von Daten aus einem Sekundär-Index. Um die Protokollierung von Ereignissen auf der Datenebene zu aktivieren CloudTrail, müssen Sie die Protokollierung der API-Aktivitäten auf der Datenebene in aktivieren CloudTrail. Weitere Informationen finden Sie unter Protokollieren von Datenereignissen für Trails.

Wenn eine Aktivität in DynamoDB auftritt, wird diese Aktivität zusammen mit anderen AWS Dienstereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Weitere Informationen finden Sie unter Protokollieren von DynamoDB-Vorgängen mithilfe von AWS CloudTrail. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie im AWS CloudTrail Benutzerhandbuch unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für DynamoDB, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon Simple Storage Service (Amazon S3) -Bucket. Wenn Sie einen Trail auf der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS -Partition und stellt die Protokolldateien für den von Ihnen angegebenen S3 Bucket bereit. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren.

DynamoDB ist integriert, AWS Lambda sodass Sie Trigger erstellen können — Codeteile, die automatisch auf Ereignisse in DynamoDB Streams reagieren. Mit Auslösern können Sie Anwendungen erstellen, die auf Datenänderungen in DynamoDB-Tabellen reagieren.

Wenn Sie DynamoDB Streams in einer Tabelle aktivieren, können Sie den Amazon-Ressourcennamen (ARN) des Streams einer Lambda-Funktion zuordnen, die Sie schreiben. Unmittelbar nach der Änderung eines Elements in der Tabelle erscheint ein neuer Datensatz im Stream der Tabelle. AWS Lambda fragt den Stream ab und ruft Ihre Lambda-Funktion synchron auf, wenn sie neue Stream-Datensätze erkennt. Die Lambda-Funktion kann jede, von Ihnen festgelegte Aktion durchführen, z. B. Senden einer Benachrichtigung oder Initiieren eines Workflows.

Ein Beispiel finden Sie unter Tutorial: Verwenden AWS Lambda mit Amazon DynamoDB Streams. Dieses Beispiel empfängt eine DynamoDB-Ereigniseingabe, verarbeitet die darin enthaltenen Nachrichten und schreibt einige der eingehenden Ereignisdaten in Amazon CloudWatch Logs.

Mit AWS Config können Sie Konfigurationsänderungen Ihrer AWS -Ressourcen kontinuierlich überwachen und aufzeichnen. Sie können es auch verwenden, um Ihre AWS Config AWS Ressourcen zu inventarisieren. Wenn eine Änderung eines früheren Status erkannt wird, kann eine Amazon-Simple-Notification-Service (Amazon SNS)-Benachrichtigung gesendet werden, mit der Sie überprüfen und Maßnahmen ergreifen können. Folgen Sie den Anweisungen unter Einrichtung AWS Config mit der Konsole und stellen Sie sicher, dass DynamoDB-Ressourcentypen enthalten sind.

Sie können konfigurieren AWS Config , dass Konfigurationsänderungen und Benachrichtigungen zu einem Amazon SNS SNS-Thema gestreamt werden. Wenn zum Beispiel eine Ressource aktualisiert wird, können Sie eine Benachrichtigung an Ihre E-Mail-Adresse erhalten, damit Sie die Änderungen sehen können. Sie können auch benachrichtigt werden, wenn Ihre benutzerdefinierten oder verwalteten Regeln anhand Ihrer Ressourcen AWS Config bewertet werden.

Ein Beispiel finden Sie im Thema Benachrichtigungen, die AWS Config an Amazon SNS gesendet werden im AWS Config Entwicklerhandbuch.

AWS Config verfolgt kontinuierlich die Konfigurationsänderungen, die an Ihren Ressourcen vorgenommen werden. Es prüft, ob diese Änderungen gegen eine Bedingung Ihrer Regeln verstoßen. Wenn eine Ressource gegen eine Regel verstößt, werden die AWS Config Ressource und die Regel als nicht konform gekennzeichnet.

Anhand der AWS Config Auswertung Ihrer Ressourcenkonfigurationen können Sie beurteilen, wie gut Ihre Ressourcenkonfigurationen internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen. AWS Config stellt AWS verwaltete Regeln bereit. Dabei handelt es sich um vordefinierte, anpassbare Regeln, AWS Config anhand derer bewertet wird, ob Ihre AWS Ressourcen den gängigen bewährten Methoden entsprechen.

Sie können Ihren AWS Ressourcen Metadaten in Form von Tags zuweisen. Jedes Tag ist eine einfache Bezeichnung, die aus einem benutzerdefinierten Schlüssel und einem optionalen Wert besteht, der das Verwalten, Suchen und Filtern von Ressourcen erleichtern kann.

Tagging ermöglicht die Implementierung gruppierter Steuerelemente. Obwohl es keine inhärenten Typen von Tags gibt, können Sie Ressourcen nach Zweck, Besitzer, Umgebung oder anderen Kriterien kategorisieren. Im Folgenden sind einige Beispiele aufgeführt:

Weitere Informationen finden Sie unter AWS Markierungsstrategien und Markierung für DynamoDB.

Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen.

Weitere Informationen zur Verwendung von Security Hub zur Bewertung von DynamoDB-Ressourcen finden Sie unter Amazon-DynamoDB-Steuerelemente im AWS Security Hub -Benutzerhandbuch.