Bonnes pratiques de sécurité de détection pour DynamoDB

Si vous utilisez un Clé gérée par AWSpour le chiffrement au repos, l'utilisation de cette clé est connectée AWS CloudTrail. CloudTrail fournit une visibilité sur l'activité des utilisateurs en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, notamment l'auteur de la demande, les services utilisés, les actions effectuées, les paramètres des actions et les éléments de réponse renvoyés par le AWS service. Ces informations vous aident à suivre les modifications apportées à vos AWS ressources et à résoudre les problèmes opérationnels. CloudTrail permet de garantir plus facilement le respect des politiques internes et des normes réglementaires.

Vous pouvez l'utiliser CloudTrail pour auditer l'utilisation des clés. CloudTrail crée des fichiers journaux contenant l'historique des appels d' AWS API et des événements associés à votre compte. Ces fichiers journaux incluent toutes les demandes d' AWS KMS API effectuées à l' AWS Management Console aide AWS des SDK et des outils de ligne de commande, en plus de celles effectuées via AWS des services intégrés. Vous pouvez utiliser ces fichiers journaux pour obtenir des informations sur l'utilisation de la clé KMS, sur l'opération qui a été demandée, sur l'identité du demandeur, sur l'adresse IP à partir de laquelle la demande provenait, etc. Pour plus d'informations, consultez Journalisation des appels d'API AWS KMS avec AWS CloudTrail dans le Guide de l'utilisateur AWS CloudTrail.

CloudTrail peut surveiller à la fois les événements du plan de contrôle et les événements du plan de données. Les opérations de plan de contrôle vous permettent de créer et gérer des tables DynamoDB. Elles vous permettent également d'utiliser les index, les flux et autres objets qui dépendent des tables. Les opérations de plan de données vous permettent d'exécuter des opérations de création, de lecture, de mise à jour et de suppression (également appelées actions CRUD) sur les données d'une table. Certaines opérations de plan de données vous permettent également de lire les données d'un index secondaire. Pour activer la journalisation des événements du plan de données dans CloudTrail, vous devez activer la journalisation de l'activité de l'API du plan de données dans CloudTrail. Pour plus d'informations, consultez Consignation d'événements de données pour les journaux d'activité.

Lorsqu'une activité se produit dans DynamoDB, cette activité est enregistrée dans CloudTrail un événement avec d' AWS autres événements de service dans l'historique des événements. Pour plus d'informations, consultez Journalisation des opérations DynamoDB à l'aide d' AWS CloudTrail. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le guide de AWS CloudTrail l'utilisateur.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour DynamoDB, créez une trace. Un suivi permet CloudTrail de transférer des fichiers journaux vers un compartiment Amazon Simple Storage Service (Amazon S3). Par défaut, lorsque vous créez un parcours sur la console, celui-ci s'applique à toutes les AWS régions. Le journal d’activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment S3 de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence.

DynamoDB est intégré afin que vous puissiez créer AWS Lambda des déclencheurs, des éléments de code qui répondent automatiquement aux événements dans DynamoDB Streams. Avec des déclencheurs, vous pouvez créer des applications qui réagissent à des modifications de données dans des tables DynamoDB.

Si vous activez DynamoDB Streams sur une table, vous pouvez associer l'ARN (Amazon Resource Name) de flux avec une fonction Lambda que vous écrivez. Immédiatement après la modification d'un élément de la table, un nouvel enregistrement apparaît dans le flux de la table. AWS Lambda interroge le flux et appelle votre fonction Lambda de manière synchrone lorsqu'elle détecte de nouveaux enregistrements de flux. La fonction Lambda peut effectuer toute action que vous spécifiez, comme envoyer une notification ou initier un flux de travail.

Pour voir un exemple, consultez Didacticiel : Utilisation d' AWS Lambda avec Amazon DynamoDB Streams. Cet exemple reçoit une entrée d'événement DynamoDB, traite les messages qu'elle contient et écrit certaines des données d'événement entrantes dans Amazon Logs. CloudWatch

AWS Config vous permet de surveiller et d'enregistrer en permanence les changements de configuration de vos ressources AWS . Vous pouvez également l'utiliser AWS Config pour inventorier vos AWS ressources. Lors de la détection d'un changement par rapport à un état précédent, une notification Amazon Simple Notification Service (Amazon SNS) peut vous être envoyée pour vous permettre de vérifier et de réagir. Suivez les instructions de la section Configuration AWS Config avec la console, en vous assurant que les types de ressources DynamoDB sont inclus.

Vous pouvez configurer AWS Config pour diffuser les modifications de configuration et les notifications sur une rubrique Amazon SNS. Par exemple, lorsqu'une ressource est mise à jour, une notification peut être envoyée à votre adresse e-mail pour que vous puissiez consulter les modifications. Vous pouvez également être averti lors de l' AWS Config évaluation de vos règles personnalisées ou gérées par rapport à vos ressources.

Par exemple, consultez la rubrique Notifications AWS Config envoyées à un Amazon SNS dans le manuel du AWS Config développeur.

AWS Config suit en permanence les modifications de configuration qui se produisent parmi vos ressources. Il vérifie si ces changements ne vont pas à l'encontre de vos règles. Si une ressource enfreint une règle, AWS Config marque la ressource et la règle comme non conformes.

En utilisant AWS Config pour évaluer vos configurations de ressources, vous pouvez évaluer dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations. AWS Config fournit des règles AWS gérées, qui sont des règles prédéfinies et personnalisables AWS Config utilisées pour évaluer si vos AWS ressources sont conformes aux meilleures pratiques courantes.

Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque étiquette est un libellé composé d'une clé définie par le client et d'une valeur facultative qui peut faciliter la gestion, la recherche et le filtrage de ressources.

L'étiquetage permet l'implémentation de contrôles groupés. Bien qu'il n'existe pas de types intrinsèques d'étiquettes, celles-ci vous permettent de catégoriser des ressources par objectif, par propriétaire, par environnement ou selon d'autres critères. Voici quelques exemples :

Pour plus d'informations, consultez Politiques d'étiquetage AWS et Étiquetage pour DynamoDB.

Security Hub utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité.

Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les ressources DynamoDB, consultez Contrôles d'Amazon DynamoDB dans le Guide de l'utilisateur AWS Security Hub .