Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Prácticas recomendadas de seguridad para Amazon Keyspaces
<a name="best-practices-security"></a>

Amazon Keyspaces (para Apache Cassandra) proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas. 

**Topics**
+ [Prácticas recomendadas de seguridad preventivas para Amazon Keyspaces](best-practices-security-preventative.md)
+ [Prácticas recomendadas de detección de seguridad para Amazon Keyspaces](best-practices-security-detective.md)

# Prácticas recomendadas de seguridad preventivas para Amazon Keyspaces
<a name="best-practices-security-preventative"></a>

Las siguientes prácticas recomendadas de seguridad se consideran preventivas porque pueden ayudarle a anticipar y evitar incidentes de seguridad en Amazon Keyspaces.

**Uso del cifrado en reposo**  
Amazon Keyspaces cifra en reposo todos los datos de usuario que se almacenan en tablas mediante claves de cifrado almacenadas en [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Esto proporciona una capa adicional de protección de datos al proteger los datos del acceso no autorizado al almacenamiento subyacente.  
De forma predeterminada, Amazon Keyspaces utiliza un Clave propiedad de AWS para cifrar todas las tablas. Si esta clave no existe, se crea una para usted. Las claves predeterminadas de servicio no se pueden deshabilitar.   
Como alternativa, puede utilizar una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para el cifrado en reposo. Para obtener más información, consulte [Cifrado en reposo de Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).

**Uso de roles de IAM para autenticar el acceso a Amazon Keyspaces**  
Para que los usuarios, las aplicaciones y otros AWS servicios puedan acceder a Amazon Keyspaces, deben incluir AWS credenciales válidas en sus solicitudes de AWS API. No debe almacenar AWS las credenciales directamente en la aplicación o en la instancia de EC2. Estas son las credenciales a largo plazo que no rotan automáticamente, por lo tanto, podrían tener un impacto empresarial significativo si se comprometen. Un rol de IAM lo habilita a obtener claves de acceso temporal que se pueden utilizar para tener acceso a los servicios y recursos de AWS .  
Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

**Uso de políticas de IAM para autorización base de Amazon Keyspaces**  
Al conceder permisos, tú decides quién los va a obtener, para qué Amazon Keyspaces APIs van a obtener permisos y las acciones específicas que quieres permitir en esos recursos. La implementación del privilegio mínimo es clave para reducir los riesgos de seguridad y el impacto que podría resultar de errores o intenciones maliciosas.  
Vincule políticas de permisos a las identidades de IAM (es decir, usuarios, grupos y roles) y conceda así permisos para realizar operaciones en los recursos de Amazon Keyspaces.  
Para hacerlo, utilice lo siguiente:  
+ [AWS políticas gestionadas (predefinidas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)

**Uso de condiciones de políticas de IAM para control de acceso preciso**  
Al conceder permisos en Amazon Keyspaces, puede especificar condiciones que determinen cómo se aplica una política de permisos. La implementación del privilegio mínimo es clave para reducir los riesgos de seguridad y el impacto que podría resultar de errores o intenciones maliciosas.  
Puede especificar las condiciones al conceder permisos utilizando la política de IAM. Por ejemplo, puede hacer lo siguiente:  
+ Conceder permisos para permitir a los usuarios el acceso de solo lectura a determinados espacios de claves o tablas.
+ Conceder permisos para permitir a un usuario el acceso de escritura a una tabla determinada en función de la identidad de dicho usuario.
 Para obtener más información, consulte [Ejemplos de políticas basadas en identidades](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).

**Tenga en cuenta el cifrado del lado del cliente**  
Si almacena datos sensibles o confidenciales en Amazon Keyspaces, es posible que desee cifrar dichos datos lo más cerca posible de su origen para que estén protegidos durante todo su ciclo de vida. El cifrado de su información confidencial en tránsito y en reposo ayuda a garantizar que los datos de texto no cifrado no estén disponibles para ningún tercero.

# Prácticas recomendadas de detección de seguridad para Amazon Keyspaces
<a name="best-practices-security-detective"></a>

Las siguientes prácticas recomendadas de seguridad se consideran de detección porque pueden ayudarle a detectar posibles debilidades e incidentes de seguridad.

**Se usa AWS CloudTrail para monitorear AWS Key Management Service (AWS KMS) el uso de AWS KMS claves**  
Si utilizas una [AWS KMS clave gestionada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para el cifrado en reposo, se inicia sesión en el uso de esta clave AWS CloudTrail. CloudTrail proporciona visibilidad de la actividad de los usuarios al registrar las acciones realizadas en tu cuenta. CloudTrail registra información importante sobre cada acción, como quién realizó la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el AWS servicio. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus AWS recursos y a solucionar problemas operativos. CloudTrail facilita garantizar el cumplimiento de las políticas internas y las normas reglamentarias.  
Se puede utilizar CloudTrail para auditar el uso de las claves. CloudTrail crea archivos de registro que contienen un historial de llamadas a la AWS API y eventos relacionados para tu cuenta. Estos archivos de registro incluyen todas las solicitudes a la AWS KMS API que se realizaron mediante la consola y las herramientas de línea de comandos, además de las realizadas a través de los AWS servicios integrados. AWS SDKs Puede utilizar estos archivos de registro para obtener información sobre cuándo se utilizó la AWS KMS clave, la operación que se solicitó, la identidad del solicitante, la dirección IP de la que procedía la solicitud, etc. Para obtener más información, consulte [Registro de llamadas a la API de AWS Key Management Service con AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) en la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

**Úselo CloudTrail para supervisar las operaciones del lenguaje de definición de datos (DDL) de Amazon Keyspaces**  
CloudTrail proporciona visibilidad de la actividad de los usuarios al registrar las acciones realizadas en su cuenta. CloudTrail registra información importante sobre cada acción, como quién realizó la solicitud, los servicios utilizados, las acciones realizadas, los parámetros de las acciones y los elementos de respuesta devueltos por el AWS servicio. Esta información le ayuda a realizar un seguimiento de los cambios realizados en sus AWS recursos y a solucionar problemas operativos. CloudTrail facilita la garantía del cumplimiento de las políticas internas y las normas reglamentarias.  
Todas las [operaciones de DDL](cql.ddl.md) de Amazon Keyspaces se registran automáticamente. CloudTrail Las operaciones DDL le permiten crear y administrar espacios de claves y tablas de Amazon Keyspaces.  
Cuando se produce actividad en Amazon Keyspaces, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Para obtener más información, consulte [Registro de operaciones de Amazon Keyspaces mediante AWS CloudTrail](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). Puede ver, buscar y descargar los eventos recientes en su Cuenta de AWS. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del AWS CloudTrail usuario*.  
[Para tener un registro continuo de los eventos en su Cuenta de AWS entorno, incluidos los eventos de Amazon Keyspaces, cree una ruta.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Un registro permite CloudTrail entregar los archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3). De forma predeterminada, al crear un registro de seguimiento en la consola, este se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos.

**Etiquetado de recursos de Amazon Keyspaces para identificación y automatización**  
Puede asignar metadatos a sus AWS recursos en forma de etiquetas. Cada etiqueta es un simple rótulo que consta de una clave definida por el cliente y un valor opcional que puede facilitar la administración, búsqueda y filtrado de recursos.   
El etiquetado permite implementar controles agrupados. Aunque no hay tipos inherentes de etiquetas, lo habilitan a clasificar los recursos según su finalidad, propietario, entorno u otros criterios. A continuación se muestran algunos ejemplos:  
+ Acceso: se utiliza para controlar el acceso a los recursos de Amazon Keyspaces en función de las etiquetas. Para obtener más información, consulte [Autorización basada en etiquetas de Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Seguridad: se utiliza para determinar requisitos como la configuración de la protección de datos.
+ Confidencialidad: identificador del nivel específico de confidencialidad de datos que admite un recurso.
+ Entorno: utilizado para distinguir entre el desarrollo, la prueba y la infraestructura de producción. 
Para obtener más información, consulte [Estrategias de etiquetado de AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) y [Adición de etiquetas y rótulos a los recursos](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).