Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Bonnes pratiques en matière de sécurité pour Amazon Keyspaces
Amazon Keyspaces (pour Apache Cassandra) fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
**Topics**
+ [Bonnes pratiques de sécurité préventive pour Amazon Keyspaces](best-practices-security-preventative.md)
+ [Les meilleures pratiques de Detective en matière de sécurité pour Amazon Keyspaces](best-practices-security-detective.md)
# Bonnes pratiques de sécurité préventive pour Amazon Keyspaces
Les bonnes pratiques de sécurité suivantes sont considérées comme préventives car elles peuvent vous aider à anticiper et à prévenir les incidents de sécurité dans Amazon Keyspaces.
**Utiliser le chiffrement au repos**
[Amazon Keyspaces chiffre au repos toutes les données utilisateur stockées dans des tables à l'aide des clés de chiffrement stockées dans AWS Key Management Service ().AWS KMS](https://aws.amazon.com/kms/) Cela fournit une couche supplémentaire de protection des données en sécurisant vos données contre tout accès non autorisé au stockage sous-jacent.
Par défaut, Amazon Keyspaces utilise un Clé détenue par AWS pour chiffrer toutes vos tables. Si cette clé n'existe pas, elle a été créée pour vous. Les clés par défaut du service ne peuvent pas être désactivées.
Vous pouvez également utiliser une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour le chiffrement au repos. Pour plus d'informations, consultez [Amazon Keyspaces Encryption at Rest](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).
**Utiliser les rôles IAM pour authentifier l'accès à Amazon Keyspaces**
Pour que les utilisateurs, les applications et les autres AWS services puissent accéder à Amazon Keyspaces, ils doivent inclure des AWS informations d'identification valides dans leurs demandes d' AWS API. Vous ne devez pas stocker les AWS informations d'identification directement dans l'application ou l'instance EC2. Il s’agit d’informations d’identification à long terme qui ne font pas l’objet d’une rotation automatique, et dont la compromission pourrait avoir un impact considérable sur l’activité. Un rôle IAM vous permet d’obtenir des clés d’accès temporaires qui peuvent être utilisées pour accéder aux ressources et services AWS .
Pour en savoir plus, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Utiliser les politiques IAM pour l'autorisation de base Amazon Keyspaces**
Lorsque vous accordez des autorisations, vous décidez qui les obtient, pour quels Amazon Keyspaces APIs ils obtiennent des autorisations et quelles actions spécifiques vous souhaitez autoriser sur ces ressources. La mise en œuvre du principe du moindre privilège est essentielle pour réduire les risques de sécurité et l'impact pouvant résulter d'erreurs ou d'intentions malveillantes.
Associez des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles) et accordez ainsi des autorisations pour effectuer des opérations sur les ressources Amazon Keyspaces.
Pour ce faire, utilisez les ressources suivantes :
+ [AWS politiques gérées (prédéfinies)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Utiliser des conditions de politique IAM pour un contrôle d’accès précis**
Lorsque vous accordez des autorisations dans Amazon Keyspaces, vous pouvez spécifier les conditions qui déterminent la manière dont une politique d'autorisation prend effet. La mise en œuvre du principe du moindre privilège est essentielle pour réduire les risques de sécurité et l'impact pouvant résulter d'erreurs ou d'intentions malveillantes.
Vous pouvez spécifier des conditions lors de l’octroi d’autorisations à l’aide d’une politique IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ Accordez des autorisations pour permettre aux utilisateurs d'accéder en lecture seule à des espaces clés ou à des tables spécifiques.
+ Accordez des autorisations permettant à un utilisateur d'accéder en écriture à une certaine table, en fonction de son identité.
Pour plus d'informations, consultez la section Exemples de [politiques basées sur l'identité](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Envisager un chiffrement côté client**
Si vous stockez des données sensibles ou confidentielles dans Amazon Keyspaces, vous souhaiterez peut-être chiffrer ces données le plus près possible de leur origine afin de les protéger tout au long de leur cycle de vie. Le chiffrement de vos données sensibles en transit et au repos contribue à garantir que vos données en texte brut ne sont pas accessibles à un tiers.
# Les meilleures pratiques de Detective en matière de sécurité pour Amazon Keyspaces
Les meilleures pratiques de sécurité suivantes sont considérées comme détectives car elles peuvent vous aider à détecter les faiblesses et les incidents de sécurité potentiels.
** AWS CloudTrail À utiliser pour surveiller l'utilisation des AWS KMS clés AWS Key Management Service (AWS KMS)**
Si vous utilisez une [AWS KMS clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour le chiffrement au repos, l'utilisation de cette clé est connectée AWS CloudTrail. CloudTrail fournit une visibilité sur l'activité des utilisateurs en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, notamment l'auteur de la demande, les services utilisés, les actions effectuées, les paramètres des actions et les éléments de réponse renvoyés par le AWS service. Ces informations vous aident à suivre les modifications apportées à vos AWS ressources et à résoudre les problèmes opérationnels. CloudTrail permet de garantir plus facilement le respect des politiques internes et des normes réglementaires.
Vous pouvez l'utiliser CloudTrail pour auditer l'utilisation des clés. CloudTrail crée des fichiers journaux contenant l'historique des appels d' AWS API et des événements associés à votre compte. Ces fichiers journaux incluent toutes les demandes d' AWS KMS API effectuées à l'aide de la console et des outils de ligne de commande, en plus de celles effectuées via les AWS services intégrés. AWS SDKs Vous pouvez utiliser ces fichiers journaux pour obtenir des informations sur le moment où la AWS KMS clé a été utilisée, l'opération demandée, l'identité du demandeur, l'adresse IP d'origine de la demande, etc. Pour plus d’informations, consultez [Journalisation des appels d’API AWS Key Management Service avec AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dans le [Guide de l’utilisateur AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
** CloudTrail À utiliser pour surveiller les opérations du langage de définition de données (DDL) Amazon Keyspaces**
CloudTrail fournit une visibilité sur l'activité des utilisateurs en enregistrant les actions effectuées sur votre compte. CloudTrail enregistre des informations importantes sur chaque action, notamment l'auteur de la demande, les services utilisés, les actions effectuées, les paramètres des actions et les éléments de réponse renvoyés par le AWS service. Ces informations vous aident à suivre les modifications apportées à vos AWS ressources et à résoudre les problèmes opérationnels. CloudTrail permet de garantir plus facilement le respect des politiques internes et des normes réglementaires.
Toutes les [opérations DDL d'Amazon Keyspaces sont automatiquement](cql.ddl.md) enregistrées. CloudTrail Les opérations DDL vous permettent de créer et de gérer les espaces de touches et les tables Amazon Keyspaces.
Lorsqu'une activité a lieu dans Amazon Keyspaces, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements liés au AWS service dans l'historique des événements. Pour plus d'informations, consultez la section [Enregistrement des opérations Amazon Keyspaces à l'aide de](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). AWS CloudTrail Vous pouvez consulter, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *Guide de AWS CloudTrail l'utilisateur*.
[Pour un enregistrement continu des événements survenus dans votre environnement Compte AWS, y compris des événements pour Amazon Keyspaces, créez un historique.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Un suivi permet CloudTrail de transférer des fichiers journaux vers un compartiment Amazon Simple Storage Service (Amazon S3). Par défaut, lorsque vous créez un parcours sur la console, celui-ci s'applique à tous Régions AWS. Le journal d’activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment S3 de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence.
**Étiquetez vos ressources Amazon Keyspaces à des fins d'identification et d'automatisation**
Vous pouvez attribuer des métadonnées à vos AWS ressources sous forme de balises. Chaque balise est une étiquette simple composée d'une clé définie par le client et d'une valeur facultative qui facilite la gestion, la recherche et le filtrage des ressources.
L’étiquetage permet l’implémentation de contrôles groupés. Bien qu’il n’existe pas de types intrinsèques d’étiquettes, celles-ci vous permettent de catégoriser des ressources par objectif, par propriétaire, par environnement ou selon d’autres critères. Voici quelques exemples :
+ Accès : utilisé pour contrôler l'accès aux ressources Amazon Keyspaces en fonction de balises. Pour de plus amples informations, veuillez consulter [Autorisation basée sur les tags Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Sécurité — Utilisé pour déterminer les exigences telles que les paramètres de protection des données.
+ Confidentialité — Identifiant du niveau spécifique de confidentialité des données pris en charge par une ressource.
+ Environnement : utilisé pour différencier les infrastructures de développement, de test et de production.
Pour plus d'informations, consultez les sections [Stratégies de AWS balisage](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) et [Ajout de balises et d'étiquettes aux ressources](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).