Praktik terbaik keamanan detektif DynamoDB

Jika Anda menggunakan enkripsi Kunci yang dikelola AWSfor saat istirahat, penggunaan kunci ini masuk AWS CloudTrail. CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dibuat pada AWS sumber daya Anda dan memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.

Anda dapat menggunakan CloudTrail untuk mengaudit penggunaan kunci. CloudTrail membuat file log yang berisi riwayat panggilan AWS API dan peristiwa terkait untuk akun Anda. File log ini mencakup semua permintaan AWS KMS API yang dibuat menggunakan AWS Management Console, AWS SDK, dan alat baris perintah, selain yang dibuat melalui AWS layanan terintegrasi. Anda dapat menggunakan file log ini untuk mendapatkan informasi tentang waktu penggunaan kunci KMS, operasi yang diminta, identitas pemohon, alamat IP asal permintaan, dan seterusnya. Untuk informasi selengkapnya, lihat Pencatatan Panggilan API AWS KMS dengan AWS CloudTrail dan Panduan Pengguna AWS CloudTrail.

CloudTrail dapat memantau peristiwa bidang kontrol dan peristiwa bidang data. Operasi bidang kontrol memungkinkan Anda membuat dan mengelola tabel DynamoDB. Operasi ini juga memungkinkan Anda bekerja dengan indeks, aliran, dan objek lain yang tergantung pada tabel. Operasi bidang data memungkinkan Anda membuat, membaca, memperbarui, dan menghapus tindakan (juga disebut CRUD) pada data dalam tabel. Beberapa operasi bidang data juga memungkinkan Anda membaca data dari indeks sekunder. Untuk mengaktifkan pencatatan peristiwa bidang data di CloudTrail, Anda harus mengaktifkan pencatatan aktivitas API bidang data CloudTrail. Lihat Pencatatan log peristiwa data untuk jejak untuk informasi selengkapnya.

Ketika aktivitas terjadi di DynamoDB, aktivitas tersebut direkam dalam CloudTrail suatu peristiwa bersama dengan peristiwa layanan AWS lainnya dalam riwayat peristiwa. Untuk informasi selengkapnya, lihat Pencatatan Operasi DynamoDB Menggunakan AWS CloudTrail. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat CloudTrail Acara dengan Riwayat Acara di Panduan AWS CloudTrail Pengguna.

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk DynamoDB, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon Simple Storage Service (Amazon S3). Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log.

DynamoDB terintegrasi AWS Lambda dengan sehingga Anda dapat membuat pemicu—potongan kode yang secara otomatis merespons peristiwa di DynamoDB Streams. Dengan pemicu, Anda dapat membangun aplikasi yang bereaksi terhadap modifikasi data di tabel DynamoDB.

Jika Anda mengaktifkan DynamoDB Streams pada tabel, Anda dapat mengaitkan aliran Amazon Resource Name (ARN) dengan fungsi Lambda yang Anda tulis. Segera setelah item dalam tabel diubah, catatan baru muncul di aliran tabel. AWS Lambda polling aliran dan memanggil fungsi Lambda Anda secara serempak saat mendeteksi catatan aliran baru. Fungsi Lambda dapat melakukan tindakan apa pun yang Anda tentukan, seperti mengirim notifikasi atau memulai alur kerja.

Sebagai contoh, lihat Tutorial: Menggunakan AWS Lambda Dengan Amazon DynamoDB Streams. Contoh ini menerima input peristiwa DynamoDB, memproses pesan yang dikandungnya, dan menulis beberapa data peristiwa yang masuk ke Amazon Logs. CloudWatch

Anda dapat terus memantau dan merekam perubahan konfigurasi pada sumber daya AWS Anda menggunakan AWS Config. Anda juga dapat menggunakan AWS Config inventaris AWS sumber daya Anda. Ketika terdeteksi perubahan dari keadaan sebelumnya, pemberitahuan Amazon Simple Notification Service (Amazon SNS) dapat dikirimkan untuk Anda guna meninjau dan mengambil tindakan. Ikuti panduan dalam Menyiapkan AWS Config dengan Konsol, memastikan bahwa jenis sumber daya DynamoDB disertakan.

Anda dapat mengonfigurasi AWS Config untuk mengalirkan perubahan konfigurasi dan pemberitahuan ke topik Amazon SNS. Misalnya, ketika sumber daya diperbarui, Anda bisa mendapatkan pemberitahuan yang dikirim ke email Anda, sehingga Anda dapat melihat perubahan tersebut. Anda juga dapat diberi tahu saat AWS Config mengevaluasi aturan kustom atau terkelola terhadap sumber daya Anda.

Sebagai contoh, lihat Pemberitahuan yang AWS Config Mengirim ke topik Amazon SNS di Panduan AWS Config Pengembang.

AWS Config terus melacak perubahan konfigurasi yang terjadi di antara sumber daya Anda. Hal itu memeriksa apakah perubahan ini melanggar salah satu syarat dalam aturan Anda. Jika sumber daya melanggar aturan, AWS Config tandai sumber daya dan aturan sebagai tidak patuh.

Dengan menggunakan AWS Config untuk mengevaluasi konfigurasi sumber daya Anda, Anda dapat menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan. AWS Config menyediakan aturan AWS terkelola, yang merupakan aturan yang telah ditentukan sebelumnya dan dapat disesuaikan yang AWS Config digunakan untuk mengevaluasi apakah AWS sumber daya Anda mematuhi praktik terbaik umum.

Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tanda adalah label sederhana yang terdiri dari kunci yang ditetapkan pelanggan dan nilai opsional yang memudahkan untuk mengelola, mencari, dan memfilter sumber daya.

Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:

Untuk informasi selengkapnya, lihat Strategi Penandaan AWS dan Penandaan untuk DynamoDB.

Hub Keamanan menggunakan kontrol keamanan untuk mengevaluasi konfigurasi sumber daya dan standar keamanan guna membantu Anda mematuhi berbagai kerangka kerja kepatuhan.

Untuk informasi selengkapnya tentang menggunakan Hub Keamanan guna mengevaluasi sumber daya DynamoDB, lihat kontrol Amazon DynamoDB di Panduan Pengguna AWS Security Hub .