Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bewährte Sicherheitsmethoden für Amazon Keyspaces
Amazon Keyspaces (für Apache Cassandra) bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
**Topics**
+ [Bewährte Methoden zur präventiven Sicherheit für Amazon Keyspaces](best-practices-security-preventative.md)
+ [Bewährte Methoden zur Detektivsicherheit für Amazon Keyspaces](best-practices-security-detective.md)
# Bewährte Methoden zur präventiven Sicherheit für Amazon Keyspaces
Die folgenden bewährten Sicherheitsmethoden gelten als präventiv, da sie Ihnen helfen können, Sicherheitsvorfälle in Amazon Keyspaces zu antizipieren und zu verhindern.
**Verwenden Sie Verschlüsselung im Ruhezustand**
Amazon Keyspaces verschlüsselt im Ruhezustand alle Benutzerdaten, die in Tabellen gespeichert sind, mithilfe von Verschlüsselungsschlüsseln, die in [AWS Key Management Service ()AWS KMS](https://aws.amazon.com/kms/) gespeichert sind. Dies bietet eine zusätzliche Datenschutzebene, indem Ihre Daten vor unbefugtem Zugriff auf den zugrunde liegenden Speicher geschützt werden.
Standardmäßig verwendet Amazon Keyspaces eine, AWS-eigener Schlüssel um all Ihre Tabellen zu verschlüsseln. Wenn dieser Schlüssel nicht existiert, wird er für Sie erstellt. Die Standardschlüssel des Dienstes können nicht deaktiviert werden.
Alternativ können Sie einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung im Ruhezustand verwenden. Weitere Informationen finden Sie unter [Amazon Keyspaces Encryption at Rest](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).
**Verwenden Sie IAM-Rollen, um den Zugriff auf Amazon Keyspaces zu authentifizieren**
Damit Benutzer, Anwendungen und andere AWS Dienste auf Amazon Keyspaces zugreifen können, müssen sie gültige AWS Anmeldeinformationen in ihren AWS API-Anfragen angeben. Sie sollten AWS Anmeldeinformationen nicht direkt in der Anwendung oder EC2-Instance speichern. Dies sind langfristige Anmeldeinformationen, die nicht automatisch rotiert werden und daher erhebliche geschäftliche Auswirkungen haben können, wenn sie kompromittiert werden. Eine IAM-Rolle ermöglicht es Ihnen, temporäre Zugriffsschlüssel zu erhalten, mit denen Sie auf die AWS -Services und Ressourcen zugreifen können.
Weitere Informationen finden Sie unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Verwenden Sie IAM-Richtlinien für die Amazon Keyspaces-Basisautorisierung**
Bei der Erteilung von Berechtigungen entscheiden Sie, wer sie erhält, für welche Amazon Keyspaces APIs sie Berechtigungen erhalten und welche spezifischen Aktionen Sie für diese Ressourcen zulassen möchten. Die Implementierung der geringsten Rechte ist entscheidend für die Reduzierung von Sicherheitsrisiken und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.
Hängen Sie Berechtigungsrichtlinien an IAM-Identitäten (d. h. Benutzer, Gruppen und Rollen) an und gewähren Sie so Berechtigungen zur Ausführung von Vorgängen auf Amazon Keyspaces-Ressourcen.
Sie können dies wie folgt tun:
+ [AWS verwaltete (vordefinierte) Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Kundenverwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Verwenden von IAM-Richtlinienbedingungen für eine differenzierte Zugriffssteuerung**
Wenn Sie Berechtigungen in Amazon Keyspaces gewähren, können Sie Bedingungen angeben, die bestimmen, wie eine Berechtigungsrichtlinie wirksam wird. Die Implementierung der geringsten Rechte ist entscheidend für die Reduzierung von Sicherheitsrisiken und der Auswirkungen, die sich aus Fehlern oder böswilligen Absichten ergeben können.
Sie können Bedingungen angeben, wenn Sie Berechtigungen mithilfe einer IAM-Richtlinie erteilen. Sie können z. B. Folgendes tun:
+ Erteilen Sie Berechtigungen, um Benutzern nur Lesezugriff auf bestimmte Schlüsselbereiche oder Tabellen zu gewähren.
+ Gewähren Sie einem Benutzer je nach Identität des Benutzers Schreibzugriff auf eine bestimmte Tabelle.
Weitere Informationen finden Sie unter Beispiele für [identitätsbasierte Richtlinien](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Clientseitige Verschlüsselung in Betracht ziehen**
Wenn Sie sensible oder vertrauliche Daten in Amazon Keyspaces speichern, möchten Sie diese Daten möglicherweise so nah wie möglich an ihrem Ursprung verschlüsseln, damit Ihre Daten während ihres gesamten Lebenszyklus geschützt sind. Die Verschlüsselung Ihrer sensiblen Daten während der Übertragung und im Ruhezustand stellt sicher, dass Ihre Klartextdaten nicht für Dritte verfügbar sind.
# Bewährte Methoden zur Detektivsicherheit für Amazon Keyspaces
Die folgenden bewährten Sicherheitsmethoden gelten als detektiv, da sie Ihnen helfen können, potenzielle Sicherheitslücken und Sicherheitsvorfälle zu erkennen.
**Wird verwendet AWS CloudTrail , um die Verwendung von AWS Key Management Service (AWS KMS) AWS KMS Schlüsseln zu überwachen**
Wenn Sie einen vom [Kunden verwalteten AWS KMS Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung im Ruhezustand verwenden, wird die Verwendung dieses Schlüssels angemeldet AWS CloudTrail. CloudTrail bietet Einblick in die Benutzeraktivitäten, indem die auf Ihrem Konto durchgeführten Aktionen aufgezeichnet werden. CloudTrail zeichnet wichtige Informationen zu jeder Aktion auf, einschließlich der Person, die die Anfrage gestellt hat, die verwendeten Dienste, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS Dienst zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen dabei, Änderungen an Ihren AWS Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail macht es einfacher, die Einhaltung interner Richtlinien und regulatorischer Standards sicherzustellen.
Sie können es verwenden CloudTrail , um die Verwendung von Schlüsseln zu überprüfen. CloudTrail erstellt Protokolldateien, die einen Verlauf der AWS API-Aufrufe und verwandter Ereignisse für Ihr Konto enthalten. Diese Protokolldateien enthalten alle AWS KMS API-Anfragen, die über die Konsole und AWS SDKs Befehlszeilentools gestellt wurden, sowie alle API-Anfragen, die über integrierte AWS Dienste gestellt wurden. Sie können diese Protokolldateien verwenden, um Informationen darüber zu erhalten, wann der AWS KMS Schlüssel verwendet wurde, welcher Vorgang angefordert wurde, die Identität des Anfragenden, die IP-Adresse, von der die Anfrage kam, usw. Weitere Informationen finden Sie unter [Protokollierung von AWS Key Management Service -API-Aufrufen mit AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Wird CloudTrail zur Überwachung von DDL-Vorgängen (Data Definition Language) von Amazon Keyspaces verwendet**
CloudTrail bietet Einblick in die Benutzeraktivitäten, indem die auf Ihrem Konto durchgeführten Aktionen aufgezeichnet werden. CloudTrail zeichnet wichtige Informationen zu jeder Aktion auf, einschließlich der Person, die die Anfrage gestellt hat, die verwendeten Dienste, die durchgeführten Aktionen, die Parameter für die Aktionen und die vom AWS Dienst zurückgegebenen Antwortelemente. Diese Informationen helfen Ihnen dabei, Änderungen an Ihren AWS Ressourcen nachzuverfolgen und betriebliche Probleme zu beheben. CloudTrail erleichtert die Sicherstellung der Einhaltung interner Richtlinien und regulatorischer Standards.
Alle Amazon Keyspaces [DDL-Operationen](cql.ddl.md) werden automatisch angemeldet CloudTrail . Mit DDL-Operationen können Sie Amazon Keyspaces und -Tabellen erstellen und verwalten.
Wenn Aktivitäten in Amazon Keyspaces auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Weitere Informationen finden Sie unter [Protokollieren von Amazon Keyspaces-Vorgängen mithilfe AWS CloudTrail von](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich Veranstaltungen für Amazon Keyspaces, erstellen Sie einen [Trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon Simple Storage Service (Amazon S3) -Bucket. Wenn Sie einen Trail auf der Konsole erstellen, gilt der Trail standardmäßig für alle AWS-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS -Partition und stellt die Protokolldateien für den von Ihnen angegebenen S3 Bucket bereit. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren.
**Kennzeichnen Sie Ihre Amazon Keyspaces-Ressourcen zur Identifizierung und Automatisierung**
Sie können Ihren AWS Ressourcen Metadaten in Form von Tags zuweisen. Jedes Tag ist eine einfache Bezeichnung, die aus einem vom Kunden definierten Schlüssel und einem optionalen Wert besteht, der die Verwaltung, Suche und Filterung von Ressourcen erleichtern kann.
Tagging ermöglicht die Implementierung gruppierter Steuerelemente. Obwohl es keine inhärenten Typen von Tags gibt, können Sie Ressourcen nach Zweck, Besitzer, Umgebung oder anderen Kriterien kategorisieren. Im Folgenden sind einige Beispiele aufgeführt:
+ Zugriff — Wird verwendet, um den Zugriff auf Amazon Keyspaces-Ressourcen anhand von Tags zu steuern. Weitere Informationen finden Sie unter [Autorisierung basierend auf Amazon Keyspaces-Tags](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Sicherheit — Wird verwendet, um Anforderungen wie Datenschutzeinstellungen festzulegen.
+ Vertraulichkeit — Eine Kennung für die spezifische Datenvertraulichkeitsstufe, die eine Ressource unterstützt.
+ Umgebung – Wird verwendet, um zwischen Entwicklungs-, Test- und Produktionsinfrastruktur zu unterscheiden.
Weitere Informationen finden Sie unter [AWS Tagging-Strategien](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) und [Hinzufügen von Tags und Labels zu Ressourcen](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).