Praktik terbaik keamanan Detektif untuk Amazon Keyspaces

Jika Anda menggunakan AWS KMS kunci yang dikelola pelanggan untuk enkripsi saat istirahat, penggunaan kunci ini masuk AWS CloudTrail. CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dibuat pada AWS sumber daya Anda dan memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.

Anda dapat menggunakan CloudTrail untuk mengaudit penggunaan kunci. CloudTrail membuat file log yang berisi riwayat panggilan AWS API dan peristiwa terkait untuk akun Anda. File log ini mencakup semua permintaan AWS KMS API yang dibuat menggunakan konsol, AWS SDKs, dan alat baris perintah, selain yang dibuat melalui AWS layanan terintegrasi. Anda dapat menggunakan file log ini untuk mendapatkan informasi tentang kapan AWS KMS kunci digunakan, operasi yang diminta, identitas pemohon, alamat IP tempat permintaan itu berasal, dan sebagainya. Untuk informasi selengkapnya, lihat Pencatatan Panggilan API AWS Key Management Service dengan AWS CloudTrail dan Panduan Pengguna AWS CloudTrail.

CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dilakukan pada AWS sumber daya Anda dan untuk memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.

Semua operasi Amazon Keyspaces DDL masuk secara otomatis. CloudTrail Operasi DDL memungkinkan Anda membuat dan mengelola ruang kunci dan tabel Amazon Keyspaces.

Saat aktivitas terjadi di Amazon Keyspaces, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat acara. Untuk informasi selengkapnya, lihat Mencatat operasi Amazon Keyspaces dengan menggunakan. AWS CloudTrail Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat Melihat CloudTrail peristiwa dengan riwayat peristiwa di Panduan AWS CloudTrail Pengguna.

Untuk catatan peristiwa yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk Amazon Keyspaces, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon Simple Storage Service (Amazon S3). Secara default, saat Anda membuat jejak di konsol, jejak berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log.

Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tag adalah label sederhana yang terdiri dari kunci yang ditentukan pelanggan dan nilai opsional yang dapat membuatnya lebih mudah untuk mengelola, mencari, dan memfilter sumber daya.

Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:

Untuk informasi selengkapnya, lihat strategi AWS penandaan dan Menambahkan tag dan label ke sumber daya.