Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de sécurité de détection pour DynamoDB
Les bonnes pratiques suivantes pour Amazon DynamoDB peuvent vous aider à détecter des vulnérabilités de sécurité potentielles et autres incidents.
- AWS CloudTrail À utiliser pour surveiller l'utilisation KMS des clés AWS gérées
-
Si vous utilisez un Clé gérée par AWSpour le chiffrement au repos, l'utilisation de cette clé est connectée AWS CloudTrail. CloudTrail fournit une visibilité sur l'activité des utilisateurs en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, notamment l'auteur de la demande, les services utilisés, les actions effectuées, les paramètres des actions et les éléments de réponse renvoyés par le AWS service. Ces informations vous aident à suivre les modifications apportées à vos AWS ressources et à résoudre les problèmes opérationnels. CloudTrail permet de garantir plus facilement le respect des politiques internes et des normes réglementaires.
Vous pouvez l'utiliser CloudTrail pour auditer l'utilisation des clés. CloudTrail crée des fichiers journaux contenant l'historique des AWS API appels et des événements associés à votre compte. Ces fichiers journaux incluent toutes les AWS KMS API demandes effectuées à l'aide des outils AWS Management Console AWS SDKs,, et de ligne de commande, en plus de celles effectuées via les AWS services intégrés. Vous pouvez utiliser ces fichiers journaux pour obtenir des informations sur le moment où la KMS clé a été utilisée, l'opération demandée, l'identité du demandeur, l'adresse IP d'origine de la demande, etc. Pour plus d'informations, consultez la section Enregistrement AWS KMS API des appels avec AWS CloudTrail et le Guide de AWS CloudTrail l'utilisateur.
- Surveillez les opérations DynamoDB à l'aide de CloudTrail
-
CloudTrail peut surveiller à la fois les événements du plan de contrôle et les événements du plan de données. Les opérations de plan de contrôle vous permettent de créer et gérer des tables DynamoDB. Elles vous permettent également d'utiliser les index, les flux et autres objets qui dépendent des tables. Les opérations du plan de données vous permettent d'effectuer des actions de création, de lecture, de mise à jour et de suppression (également appelées CRUD) sur les données d'une table. Certaines opérations de plan de données vous permettent également de lire les données d'un index secondaire. Pour activer l'enregistrement des événements du plan de données dans CloudTrail, vous devez activer l'enregistrement de l'APIactivité du plan de données dans CloudTrail. Pour plus d'informations, consultez Consignation d'événements de données pour les journaux d'activité.
Lorsqu'une activité se produit dans DynamoDB, cette activité est enregistrée dans CloudTrail un événement avec d' AWS autres événements de service dans l'historique des événements. Pour plus d'informations, consultez Journalisation des opérations DynamoDB à l'aide d' AWS CloudTrail. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le guide de AWS CloudTrail l'utilisateur.
Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour DynamoDB, créez une trace. Un suivi permet CloudTrail de transférer des fichiers journaux vers un compartiment Amazon Simple Storage Service (Amazon S3). Par défaut, lorsque vous créez un parcours sur la console, celui-ci s'applique à toutes les AWS régions. Le journal d’activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment S3 de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence.
- Utiliser DynamoDB Streams pour surveiller des opérations de plan de données
-
DynamoDB est intégré afin que vous puissiez créer AWS Lambda des déclencheurs, des éléments de code qui répondent automatiquement aux événements dans DynamoDB Streams. Avec des déclencheurs, vous pouvez créer des applications qui réagissent à des modifications de données dans des tables DynamoDB.
Si vous activez DynamoDB Streams sur une table, vous pouvez associer le flux Amazon Resource Name () ARN à une fonction Lambda que vous écrivez. Immédiatement après la modification d'un élément de la table, un nouvel enregistrement apparaît dans le flux de la table. AWS Lambda interroge le flux et appelle votre fonction Lambda de manière synchrone lorsqu'elle détecte de nouveaux enregistrements de flux. La fonction Lambda peut effectuer toute action que vous spécifiez, comme envoyer une notification ou initier un flux de travail.
Pour voir un exemple, consultez Didacticiel : Utilisation d' AWS Lambda avec Amazon DynamoDB Streams. Cet exemple reçoit une entrée d'événement DynamoDB, traite les messages qu'elle contient et écrit certaines des données d'événement entrantes dans Amazon Logs. CloudWatch
- Surveillez la configuration DynamoDB avec AWS Config
-
AWS Config vous permet de surveiller et d'enregistrer en permanence les changements de configuration de vos ressources AWS . Vous pouvez également l'utiliser AWS Config pour inventorier vos AWS ressources. Lorsqu'une modification par rapport à un état précédent est détectée, une notification Amazon Simple Notification Service (AmazonSNS) peut être envoyée pour que vous puissiez la consulter et prendre les mesures nécessaires. Suivez les instructions de la section Configuration AWS Config avec la console, en vous assurant que les types de ressources DynamoDB sont inclus.
Vous pouvez configurer AWS Config pour diffuser les modifications de configuration et les notifications sur une SNS rubrique Amazon. Par exemple, lorsqu'une ressource est mise à jour, une notification peut être envoyée à votre adresse e-mail pour que vous puissiez consulter les modifications. Vous pouvez également être averti lors de l' AWS Config évaluation de vos règles personnalisées ou gérées par rapport à vos ressources.
Par exemple, consultez la rubrique Notifications AWS Config envoyées à Amazon SNS dans le manuel du AWS Config développeur.
- Surveiller la conformité de DynamoDB aux règles AWS Config
-
AWS Config suit en permanence les modifications de configuration qui se produisent parmi vos ressources. Il vérifie si ces changements ne vont pas à l'encontre de vos règles. Si une ressource enfreint une règle, AWS Config marque la ressource et la règle comme non conformes.
En utilisant AWS Config pour évaluer vos configurations de ressources, vous pouvez évaluer dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations. AWS Config fournit des règles AWS gérées, qui sont des règles prédéfinies et personnalisables AWS Config utilisées pour évaluer si vos AWS ressources sont conformes aux meilleures pratiques courantes.
- Etiqueter vos ressources DynamoDB pour l'identification et l'automatisation
-
Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque étiquette est un libellé composé d'une clé définie par le client et d'une valeur facultative qui peut faciliter la gestion, la recherche et le filtrage de ressources.
L'étiquetage permet l'implémentation de contrôles groupés. Bien qu'il n'existe pas de types intrinsèques d'étiquettes, celles-ci vous permettent de catégoriser des ressources par objectif, par propriétaire, par environnement ou selon d'autres critères. Voici quelques exemples :
-
Sécurité – Utilisée pour déterminer des exigences telles que le chiffrement.
-
Confidentialité – Identifiant pour le niveau spécifique de confidentialité des données qu'une ressource prend en charge.
-
Environnement – Utilisé pour différencier les infrastructures de développement, de test et de production.
Pour plus d'informations, consultez Politiques d'étiquetage AWS
et Étiquetage pour DynamoDB. -
- Surveillez votre utilisation d'Amazon DynamoDB en ce qui concerne les meilleures pratiques de sécurité en utilisant. AWS Security Hub
-
Security Hub utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité.
Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les ressources DynamoDB, consultez Contrôles d'Amazon DynamoDB dans le Guide de l'utilisateur AWS Security Hub .