Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan detektif DynamoDB
Praktik terbaik berikut untuk Amazon DynamoDB dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.
- Gunakan AWS CloudTrail untuk memantau penggunaan KMS kunci AWS terkelola
-
Jika Anda menggunakan enkripsi Kunci yang dikelola AWSfor saat istirahat, penggunaan kunci ini masuk AWS CloudTrail. CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dibuat pada AWS sumber daya Anda dan memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.
Anda dapat menggunakan CloudTrail untuk mengaudit penggunaan kunci. CloudTrail membuat file log yang berisi riwayat AWS API panggilan dan peristiwa terkait untuk akun Anda. File log ini mencakup semua AWS KMS API permintaan yang dibuat menggunakan AWS Management Console AWS SDKs,, dan alat baris perintah, selain yang dibuat melalui AWS layanan terintegrasi. Anda dapat menggunakan file log ini untuk mendapatkan informasi tentang kapan KMS kunci digunakan, operasi yang diminta, identitas pemohon, alamat IP tempat permintaan itu berasal, dan sebagainya. Untuk informasi selengkapnya, lihat Mencatat AWS KMS API Panggilan dengan AWS CloudTrail dan Panduan AWS CloudTrail Pengguna.
- Memantau operasi DynamoDB menggunakan CloudTrail
-
CloudTrail dapat memantau peristiwa bidang kontrol dan peristiwa bidang data. Operasi bidang kontrol memungkinkan Anda membuat dan mengelola tabel DynamoDB. Operasi ini juga memungkinkan Anda bekerja dengan indeks, aliran, dan objek lain yang tergantung pada tabel. Operasi bidang data memungkinkan Anda melakukan tindakan membuat, membaca, memperbarui, dan menghapus (juga disebut CRUD) pada data dalam tabel. Beberapa operasi bidang data juga memungkinkan Anda membaca data dari indeks sekunder. Untuk mengaktifkan pencatatan peristiwa bidang data di CloudTrail, Anda harus mengaktifkan pencatatan API aktivitas bidang data masuk CloudTrail. Lihat Pencatatan log peristiwa data untuk jejak untuk informasi selengkapnya.
Ketika aktivitas terjadi di DynamoDB, aktivitas tersebut direkam dalam CloudTrail suatu peristiwa bersama dengan peristiwa layanan AWS lainnya dalam riwayat peristiwa. Untuk informasi selengkapnya, lihat Pencatatan Operasi DynamoDB Menggunakan AWS CloudTrail. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat CloudTrail Acara dengan Riwayat Acara di Panduan AWS CloudTrail Pengguna.
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk DynamoDB, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon Simple Storage Service (Amazon S3). Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log.
- Menggunakan DynamoDB Streams untuk memantau operasi bidang data
-
DynamoDB terintegrasi AWS Lambda dengan sehingga Anda dapat membuat pemicu—potongan kode yang secara otomatis merespons peristiwa di DynamoDB Streams. Dengan pemicu, Anda dapat membangun aplikasi yang bereaksi terhadap modifikasi data di tabel DynamoDB.
Jika Anda mengaktifkan DynamoDB Streams pada tabel, Anda dapat mengaitkan stream Amazon Resource Name (ARN) dengan fungsi Lambda yang Anda tulis. Segera setelah item dalam tabel diubah, catatan baru muncul di aliran tabel. AWS Lambda polling aliran dan memanggil fungsi Lambda Anda secara serempak saat mendeteksi catatan aliran baru. Fungsi Lambda dapat melakukan tindakan apa pun yang Anda tentukan, seperti mengirim notifikasi atau memulai alur kerja.
Sebagai contoh, lihat Tutorial: Menggunakan AWS Lambda Dengan Amazon DynamoDB Streams. Contoh ini menerima input peristiwa DynamoDB, memproses pesan yang dikandungnya, dan menulis beberapa data peristiwa yang masuk ke Amazon Logs. CloudWatch
- Memantau konfigurasi DynamoDB dengan AWS Config
-
Anda dapat terus memantau dan merekam perubahan konfigurasi pada sumber daya AWS Anda menggunakan AWS Config. Anda juga dapat menggunakan AWS Config inventaris AWS sumber daya Anda. Ketika perubahan dari status sebelumnya terdeteksi, pemberitahuan Amazon Simple Notification Service (AmazonSNS) dapat dikirimkan agar Anda dapat meninjau dan mengambil tindakan. Ikuti panduan dalam Menyiapkan AWS Config dengan Konsol, memastikan bahwa jenis sumber daya DynamoDB disertakan.
Anda dapat mengonfigurasi AWS Config untuk mengalirkan perubahan konfigurasi dan pemberitahuan ke SNS topik Amazon. Misalnya, ketika sumber daya diperbarui, Anda bisa mendapatkan pemberitahuan yang dikirim ke email Anda, sehingga Anda dapat melihat perubahan tersebut. Anda juga dapat diberi tahu saat AWS Config mengevaluasi aturan kustom atau terkelola terhadap sumber daya Anda.
Sebagai contoh, lihat Pemberitahuan yang AWS Config Mengirim ke SNS topik Amazon di Panduan AWS Config Pengembang.
- Pantau kepatuhan DynamoDB dengan aturan AWS Config
-
AWS Config terus melacak perubahan konfigurasi yang terjadi di antara sumber daya Anda. Hal itu memeriksa apakah perubahan ini melanggar salah satu syarat dalam aturan Anda. Jika sumber daya melanggar aturan, AWS Config tandai sumber daya dan aturan sebagai tidak sesuai.
Dengan menggunakan AWS Config untuk mengevaluasi konfigurasi sumber daya Anda, Anda dapat menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan. AWS Config menyediakan aturan AWS terkelola, yang merupakan aturan yang telah ditentukan sebelumnya dan dapat disesuaikan yang AWS Config digunakan untuk mengevaluasi apakah AWS sumber daya Anda mematuhi praktik terbaik umum.
- Tandai sumber daya DynamoDB Anda untuk identifikasi dan otomatisasi
-
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tanda adalah label sederhana yang terdiri dari kunci yang ditetapkan pelanggan dan nilai opsional yang memudahkan untuk mengelola, mencari, dan memfilter sumber daya.
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:
-
Keamanan – Digunakan untuk menentukan persyaratan seperti enkripsi.
-
Kerahasiaan – Sebuah pengidentifikasi untuk dukungan sumber daya tingkat kerahasiaan data tertentu.
-
Lingkungan – Digunakan untuk membedakan antara pengembangan, pengujian, dan infrastruktur produksi.
Untuk informasi selengkapnya, lihat Strategi Penandaan AWS
dan Penandaan untuk DynamoDB. -
- Pantau penggunaan Amazon DynamoDB karena berkaitan dengan praktik terbaik keamanan dengan menggunakan. AWS Security Hub
-
Hub Keamanan menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan.
Untuk informasi selengkapnya tentang menggunakan Hub Keamanan guna mengevaluasi sumber daya DynamoDB, lihat kontrol Amazon DynamoDB di Panduan Pengguna AWS Security Hub .