Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Praktik terbaik keamanan untuk Amazon Keyspaces
<a name="best-practices-security"></a>

Amazon Keyspaces (untuk Apache Cassandra) menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep. 

**Topics**
+ [Praktik terbaik keamanan preventif untuk Amazon Keyspaces](best-practices-security-preventative.md)
+ [Praktik terbaik keamanan Detektif untuk Amazon Keyspaces](best-practices-security-detective.md)

# Praktik terbaik keamanan preventif untuk Amazon Keyspaces
<a name="best-practices-security-preventative"></a>

Praktik terbaik keamanan berikut dianggap preventif karena dapat membantu Anda mengantisipasi dan mencegah insiden keamanan di Amazon Keyspaces.

**Gunakan enkripsi saat istirahat**  
[Amazon Keyspaces mengenkripsi semua data pengguna yang disimpan dalam tabel dengan menggunakan kunci enkripsi yang disimpan di ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Hal ini memberi lapisan perlindungan data tambahan dengan mengamankan data Anda dari akses yang tidak sah ke penyimpanan dasar.  
Secara default, Amazon Keyspaces menggunakan file Kunci milik AWS untuk mengenkripsi semua tabel Anda. Jika kunci ini tidak ada, itu dibuat untuk Anda. Kunci default layanan tidak dapat dinonaktifkan.   
Atau, Anda dapat menggunakan [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi saat istirahat. Untuk informasi selengkapnya, lihat [Enkripsi Amazon Keyspaces saat](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html) Istirahat.

**Menggunakan peran IAM untuk mengautentikasi akses ke Amazon Keyspaces**  
Agar pengguna, aplikasi, dan AWS layanan lain dapat mengakses Amazon Keyspaces, mereka harus menyertakan AWS kredensi yang valid dalam permintaan API mereka. AWS Anda tidak boleh menyimpan AWS kredensil secara langsung di aplikasi atau instans EC2. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis, dan karenanya dapat menimbulkan dampak bisnis yang signifikan jika dibobol. Peran IAM memungkinkan Anda memperoleh kunci akses sementara yang dapat digunakan untuk mengakses layanan dan sumber daya AWS .  
Untuk informasi lebih lanjut, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

**Menggunakan kebijakan IAM untuk otorisasi dasar Amazon Keyspaces**  
Saat memberikan izin, Anda memutuskan siapa yang mendapatkannya, Amazon Keyspaces mana yang APIs mereka dapatkan izin, dan tindakan spesifik yang ingin Anda izinkan pada sumber daya tersebut. Menerapkan hak istimewa paling sedikit adalah kunci dalam mengurangi risiko keamanan dan dampak yang dapat dihasilkan dari kesalahan atau niat jahat.  
Lampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi di sumber daya Amazon Keyspaces.  
Anda dapat melakukan hal ini dengan cara berikut:  
+ [AWS kebijakan terkelola (standar)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)

**Menggunakan ketentuan kebijakan IAM untuk kontrol akses ketat**  
Bila Anda memberikan izin di Amazon Keyspaces, Anda dapat menentukan kondisi yang menentukan bagaimana kebijakan izin diterapkan. Menerapkan hak istimewa paling sedikit adalah kunci dalam mengurangi risiko keamanan dan dampak yang dapat dihasilkan dari kesalahan atau niat jahat.  
Anda dapat menetapkan syarat saat memberikan izin menggunakan kebijakan IAM. Misalnya, Anda dapat melakukan hal berikut:  
+ Berikan izin untuk memungkinkan pengguna akses hanya-baca ke ruang kunci atau tabel tertentu.
+ Berikan izin untuk mengizinkan pengguna menulis akses ke tabel tertentu, berdasarkan identitas pengguna tersebut.
 Untuk informasi selengkapnya, lihat Contoh Kebijakan [Berbasis Identitas](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).

**Pertimbangkan enkripsi di sisi klien**  
Jika Anda menyimpan data sensitif atau rahasia di Amazon Keyspaces, Anda mungkin ingin mengenkripsi data tersebut sedekat mungkin dengan asalnya sehingga data Anda terlindungi sepanjang siklus hidupnya. Mengenkripsi data bergerak dan data diam Anda yang sensitif membantu memastikan bahwa data plaintext Anda tidak tersedia untuk pihak ketiga mana pun.

# Praktik terbaik keamanan Detektif untuk Amazon Keyspaces
<a name="best-practices-security-detective"></a>

Praktik terbaik keamanan berikut dianggap detektif karena dapat membantu Anda mendeteksi potensi kelemahan dan insiden keamanan.

**Gunakan AWS CloudTrail untuk memantau AWS Key Management Service (AWS KMS) penggunaan AWS KMS kunci**  
Jika Anda menggunakan [AWS KMS kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi saat istirahat, penggunaan kunci ini masuk AWS CloudTrail. CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dibuat pada AWS sumber daya Anda dan memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.  
Anda dapat menggunakan CloudTrail untuk mengaudit penggunaan kunci. CloudTrail membuat file log yang berisi riwayat panggilan AWS API dan peristiwa terkait untuk akun Anda. File log ini mencakup semua permintaan AWS KMS API yang dibuat menggunakan konsol, AWS SDKs, dan alat baris perintah, selain yang dibuat melalui AWS layanan terintegrasi. Anda dapat menggunakan file log ini untuk mendapatkan informasi tentang kapan AWS KMS kunci digunakan, operasi yang diminta, identitas pemohon, alamat IP tempat permintaan itu berasal, dan sebagainya. Untuk informasi selengkapnya, lihat [Pencatatan Panggilan API AWS Key Management Service dengan AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dan [Panduan Pengguna AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

**Gunakan CloudTrail untuk memantau operasi bahasa definisi data (DDL) Amazon Keyspaces**  
CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dilakukan pada AWS sumber daya Anda dan untuk memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.  
Semua [operasi Amazon Keyspaces DDL](cql.ddl.md) masuk secara otomatis. CloudTrail Operasi DDL memungkinkan Anda membuat dan mengelola ruang kunci dan tabel Amazon Keyspaces.  
Saat aktivitas terjadi di Amazon Keyspaces, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat acara. Untuk informasi selengkapnya, lihat [Mencatat operasi Amazon Keyspaces dengan menggunakan](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). AWS CloudTrail Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Melihat CloudTrail peristiwa dengan riwayat peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*.  
[Untuk catatan peristiwa yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk Amazon Keyspaces, buat jejak.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon Simple Storage Service (Amazon S3). Secara default, saat Anda membuat jejak di konsol, jejak berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log.

**Tandai sumber daya Amazon Keyspaces Anda untuk identifikasi dan otomatisasi**  
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tag adalah label sederhana yang terdiri dari kunci yang ditentukan pelanggan dan nilai opsional yang dapat membuatnya lebih mudah untuk mengelola, mencari, dan memfilter sumber daya.   
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:  
+ Akses - Digunakan untuk mengontrol akses ke sumber daya Amazon Keyspaces berdasarkan tag. Untuk informasi selengkapnya, lihat [Otorisasi berdasarkan tag Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Keamanan — Digunakan untuk menentukan persyaratan seperti pengaturan perlindungan data.
+ Kerahasiaan — Pengidentifikasi untuk tingkat kerahasiaan data tertentu yang didukung sumber daya.
+ Lingkungan – Digunakan untuk membedakan antara pengembangan, pengujian, dan infrastruktur produksi. 
Untuk informasi selengkapnya, lihat [strategi AWS penandaan](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) dan [Menambahkan tag dan label ke sumber daya](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).