Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Keamanan di Amazon Keyspaces (untuk Apache Cassandra)
<a name="security"></a>

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk Amazon Keyspaces, lihat [AWS Layanan dalam cakupan berdasarkan program kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku. 

Dokumentasi ini akan membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Amazon Keyspaces. Topik berikut menunjukkan cara mengonfigurasi Amazon Keyspaces untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga akan mempelajari cara menggunakan AWS layanan lain yang dapat membantu Anda memantau dan mengamankan sumber daya Amazon Keyspaces Anda. 

**Topics**
+ [Perlindungan data di Amazon Keyspaces](data-protection.md)
+ [AWS Identity and Access Management untuk Amazon Keyspaces](security-iam.md)
+ [Validasi kepatuhan untuk Amazon Keyspaces (untuk Apache Cassandra)](Keyspaces-compliance.md)
+ [Ketahanan dan pemulihan bencana di Amazon Keyspaces](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di Amazon Keyspaces](infrastructure-security.md)
+ [Analisis konfigurasi dan kerentanan untuk Amazon Keyspaces](configuration-vulnerability.md)
+ [Praktik terbaik keamanan untuk Amazon Keyspaces](best-practices-security.md)

# Perlindungan data di Amazon Keyspaces
<a name="data-protection"></a>

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di Amazon Keyspaces (untuk Apache Cassandra). Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Amazon Keyspaces atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau. AWS SDKs Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

**Topics**
+ [Enkripsi saat istirahat di Amazon Keyspaces](EncryptionAtRest.md)
+ [Enkripsi dalam perjalanan di Amazon Keyspaces](encryption-in-transit.md)
+ [Privasi lalu lintas internetwork di Amazon Keyspaces](inter-network-traffic-privacy.md)

# Enkripsi saat istirahat di Amazon Keyspaces
<a name="EncryptionAtRest"></a>

[Enkripsi Amazon Keyspaces (untuk Apache Cassandra) *saat istirahat memberikan keamanan yang ditingkatkan dengan mengenkripsi* semua data Anda saat istirahat menggunakan kunci enkripsi yang disimpan di ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Fungsi ini membantu mengurangi beban operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Dengan enkripsi saat istirahat, Anda dapat membangun aplikasi yang sensitif terhadap keamanan yang memenuhi kepatuhan ketat dan persyaratan peraturan untuk perlindungan data. 

 Enkripsi Amazon Keyspaces saat istirahat mengenkripsi data Anda menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256). Ini membantu mengamankan data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. 

Amazon Keyspaces mengenkripsi dan mendekripsi data dalam tabel dan streaming secara transparan. Amazon Keyspaces menggunakan enkripsi amplop dan hierarki kunci untuk melindungi kunci enkripsi data. Ini terintegrasi dengan AWS KMS untuk menyimpan dan mengelola kunci enkripsi root. Untuk informasi selengkapnya tentang hierarki kunci enkripsi, lihat[Enkripsi saat istirahat: Cara kerjanya di Amazon Keyspaces](encryption.howitworks.md). Untuk informasi selengkapnya tentang AWS KMS konsep seperti enkripsi amplop, lihat [konsep layanan AWS KMS manajemen](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) di *Panduan AWS Key Management Service Pengembang*.

 Saat membuat tabel baru, Anda dapat memilih salah satu tombol berikut *(AWS KMS tombol KMS)*: 
+ Kunci milik AWS — Ini adalah jenis enkripsi default. Kuncinya dimiliki oleh Amazon Keyspaces (tanpa biaya tambahan). 
+ Kunci yang dikelola pelanggan — Kunci ini disimpan di akun Anda dan dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kendali penuh atas kunci yang dikelola pelanggan (AWS KMS dikenakan biaya).

Amazon Keyspaces secara otomatis mengenkripsi aliran change data capture (CDC) dengan kunci yang sama dengan tabel yang mendasarinya. Untuk informasi lebih lanjut tentang CDC, lihat[Bekerja dengan aliran change data capture (CDC) di Amazon Keyspaces](cdc.md).

 Anda dapat beralih antara kunci yang dikelola pelanggan Kunci milik AWS dan pada waktu tertentu. Anda dapat menentukan kunci terkelola pelanggan saat membuat tabel baru atau mengubah kunci KMS dari tabel yang ada dengan menggunakan konsol atau secara terprogram menggunakan pernyataan CQL. Untuk mempelajari caranya, lihat [Enkripsi saat diam: Cara menggunakan kunci yang dikelola pelanggan untuk mengenkripsi tabel di Amazon Keyspaces](encryption.customermanaged.md).

 Enkripsi saat istirahat menggunakan opsi default Kunci milik AWS ditawarkan tanpa biaya tambahan. Namun, AWS KMS biaya berlaku untuk kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS KMS](https://aws.amazon.com/kms/pricing).

Enkripsi Amazon Keyspaces saat istirahat tersedia di semua Wilayah AWS, termasuk Wilayah AWS Tiongkok (Beijing) dan China ( AWS Ningxia). Lihat informasi yang lebih lengkap di [Enkripsi saat istirahat: Cara kerjanya di Amazon Keyspaces](encryption.howitworks.md).

**Topics**
+ [Enkripsi saat istirahat: Cara kerjanya di Amazon Keyspaces](encryption.howitworks.md)
+ [Enkripsi saat diam: Cara menggunakan kunci yang dikelola pelanggan untuk mengenkripsi tabel di Amazon Keyspaces](encryption.customermanaged.md)

# Enkripsi saat istirahat: Cara kerjanya di Amazon Keyspaces
<a name="encryption.howitworks"></a>

Enkripsi Amazon Keyspaces (untuk Apache Cassandra) *saat istirahat mengenkripsi* data Anda menggunakan Standar Enkripsi Lanjutan 256-bit (AES-256). Ini membantu mengamankan data Anda dari akses tidak sah ke penyimpanan yang mendasarinya. Semua data pelanggan di tabel Amazon Keyspaces dienkripsi saat istirahat secara default, dan enkripsi sisi server transparan, yang berarti bahwa perubahan pada aplikasi tidak diperlukan.

Enkripsi saat istirahat terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi tabel Anda. Saat membuat tabel baru atau memperbarui tabel yang ada, Anda dapat memilih salah satu opsi *AWS KMS utama* berikut:
+ Kunci milik AWS — Ini adalah jenis enkripsi default. Kuncinya dimiliki oleh Amazon Keyspaces (tanpa biaya tambahan).
+ Kunci yang dikelola pelanggan — Kunci ini disimpan di akun Anda dan dibuat, dimiliki, dan dikelola oleh Anda. Anda memiliki kendali penuh atas kunci yang dikelola pelanggan (AWS KMS dikenakan biaya).

**AWS KMS kunci (kunci KMS)**  
Enkripsi saat istirahat melindungi semua data Amazon Keyspaces Anda dengan AWS KMS kunci. Secara default, Amazon Keyspaces menggunakan [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk), kunci enkripsi multi-penyewa yang dibuat dan dikelola di akun layanan Amazon Keyspaces.   
Namun, Anda dapat mengenkripsi tabel Amazon Keyspaces menggunakan kunci [yang dikelola pelanggan di situs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) Anda. Akun AWS Anda dapat memilih tombol KMS yang berbeda untuk setiap tabel di ruang kunci. Kunci KMS yang Anda pilih untuk tabel juga digunakan untuk mengenkripsi semua metadata dan cadangan yang dapat dipulihkan.   
Anda memilih kunci KMS untuk tabel saat membuat atau memperbarui tabel. Anda dapat mengubah kunci KMS untuk tabel kapan saja, baik di konsol Amazon Keyspaces atau dengan menggunakan pernyataan [ALTER](cql.ddl.keyspace.md#cql.ddl.keyspace.alter) TABLE. Proses peralihan kunci KMS mulus, dan tidak memerlukan waktu henti atau menyebabkan degradasi layanan.

**Hirarki kunci**  
Amazon Keyspaces menggunakan hierarki kunci untuk mengenkripsi data. Dalam hierarki kunci ini, kunci KMS adalah kunci root. Ini digunakan untuk mengenkripsi dan mendekripsi kunci enkripsi tabel Amazon Keyspaces. Kunci enkripsi tabel digunakan untuk mengenkripsi kunci enkripsi yang digunakan secara internal oleh Amazon Keyspaces untuk mengenkripsi dan mendekripsi data saat melakukan operasi baca dan tulis.   
Dengan hierarki kunci enkripsi, Anda dapat membuat perubahan pada kunci KMS tanpa harus mengenkripsi ulang data atau memengaruhi aplikasi dan operasi data yang sedang berlangsung.   

![\[Hirarki kunci yang menunjukkan kunci root, kunci enkripsi tabel, dan kunci enkripsi data yang digunakan untuk enkripsi saat istirahat.\]](http://docs.aws.amazon.com/id_id/keyspaces/latest/devguide/images/keyspaces_encryption.png)


**Kunci tabel**  
Tombol tabel Amazon Keyspaces digunakan sebagai kunci enkripsi kunci. Amazon Keyspaces menggunakan tombol tabel untuk melindungi kunci enkripsi data internal yang digunakan untuk mengenkripsi data yang disimpan dalam tabel, file log, dan cadangan yang dapat dipulihkan. Amazon Keyspaces menghasilkan kunci enkripsi data unik untuk setiap struktur dasar dalam tabel. Namun, beberapa baris tabel mungkin dilindungi oleh kunci enkripsi data yang sama.  
Saat pertama kali mengatur kunci KMS ke kunci yang dikelola pelanggan, AWS KMS buat *kunci data*. Kunci AWS KMS data mengacu pada kunci tabel di Amazon Keyspaces.  
Saat Anda mengakses tabel terenkripsi, Amazon Keyspaces mengirimkan permintaan untuk menggunakan kunci KMS AWS KMS untuk mendekripsi kunci tabel. Kemudian, ia menggunakan kunci tabel plaintext untuk mendekripsi kunci enkripsi data Amazon Keyspaces, dan menggunakan kunci enkripsi data plaintext untuk mendekripsi data tabel.  
Amazon Keyspaces menggunakan dan menyimpan kunci tabel dan kunci enkripsi data di luar. AWS KMS Layanan ini melindungi semua kunci dengan enkripsi [Advanced Encryption Standard](https://en.wikipedia.org/wiki/Advanced_Encryption_Standard) (AES) dan kunci enkripsi 256-bit. Kemudian, ia menyimpan kunci terenkripsi dengan data terenkripsi sehingga tersedia untuk mendekripsi data tabel sesuai permintaan.

**Melakukan cache pada kunci tabel**  
Untuk menghindari panggilan AWS KMS untuk setiap operasi Amazon Keyspaces, Amazon Keyspaces menyimpan tombol tabel plaintext untuk setiap koneksi dalam memori. Jika Amazon Keyspaces mendapatkan permintaan untuk kunci tabel cache setelah lima menit tidak aktif, ia akan mengirimkan permintaan baru AWS KMS untuk mendekripsi kunci tabel. Panggilan ini menangkap setiap perubahan yang dibuat pada kebijakan akses kunci KMS di AWS KMS atau AWS Identity and Access Management (IAM) sejak permintaan terakhir untuk mendekripsi kunci tabel.

**Enkripsi amplop**  
Jika Anda mengubah kunci terkelola pelanggan untuk tabel Anda, Amazon Keyspaces akan menghasilkan kunci tabel baru. Kemudian, ia menggunakan kunci tabel baru untuk mengenkripsi ulang kunci enkripsi data. Ini juga menggunakan kunci tabel baru untuk mengenkripsi kunci tabel sebelumnya yang digunakan untuk melindungi cadangan yang dapat dipulihkan. Proses ini disebut enkripsi amplop. Ini memastikan bahwa Anda dapat mengakses cadangan yang dapat dipulihkan bahkan jika Anda memutar kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang enkripsi amplop, lihat [Enkripsi Amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) di Panduan *AWS Key Management Service Pengembang*.

**Topics**
+ [AWS kunci yang dimiliki](#keyspaces-owned)
+ [Kunci yang dikelola pelanggan](#customer-managed)
+ [Enkripsi saat istirahat catatan penggunaan](#encryption.usagenotes)

## AWS kunci yang dimiliki
<a name="keyspaces-owned"></a>

Kunci milik AWS tidak disimpan dalam Anda Akun AWS. Mereka adalah bagian dari kumpulan kunci KMS yang AWS memiliki dan mengelola untuk digunakan dalam beberapa. Akun AWS AWS Layanan dapat digunakan Kunci milik AWS untuk melindungi data Anda.

Anda tidak dapat melihat, mengelola, atau menggunakan Kunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu melakukan pekerjaan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda.

Anda tidak dikenakan biaya bulanan atau biaya penggunaan untuk penggunaan Kunci milik AWS, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.

## Kunci yang dikelola pelanggan
<a name="customer-managed"></a>

Kunci yang dikelola pelanggan adalah kunci Akun AWS yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini. 

Gunakan kunci yang dikelola pelanggan untuk mendapatkan fitur berikut:
+ Anda membuat dan mengelola kunci yang dikelola pelanggan, termasuk menetapkan dan memelihara [kebijakan utama, kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) [IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html), dan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk mengontrol akses ke kunci yang dikelola pelanggan. Anda dapat [mengaktifkan dan menonaktifkan](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) kunci yang dikelola pelanggan, mengaktifkan dan menonaktifkan [rotasi kunci otomatis](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html), dan [menjadwalkan kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) untuk dihapus saat tidak lagi digunakan. Anda dapat membuat tag dan alias untuk kunci terkelola pelanggan yang Anda kelola.
+ Anda dapat menggunakan kunci yang dikelola pelanggan dengan [material kunci yang diimpor](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) atau kunci yang dikelola pelanggan di [penyimpanan kunci kustom](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) yang Anda miliki dan kelola. 
+ Anda dapat menggunakan AWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang dikirimkan Amazon Keyspaces AWS KMS atas nama Anda. Untuk informasi selengkapnya, lihat [Langkah 6: Konfigurasikan pemantauan dengan AWS CloudTrail](encryption.customermanaged.md#encryption-cmk-trail).

Kunci yang dikelola pelanggan [dikenakan biaya](https://aws.amazon.com/kms/pricing/) untuk setiap panggilan API, dan AWS KMS kuota berlaku untuk kunci KMS ini. Untuk informasi selengkapnya, lihat [AWS KMS sumber daya atau permintaan kuota](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html).

Saat Anda menentukan kunci yang dikelola pelanggan sebagai kunci enkripsi root untuk tabel, cadangan yang dapat dipulihkan dienkripsi dengan kunci enkripsi yang sama yang ditentukan untuk tabel pada saat cadangan dibuat. Jika kunci KMS untuk tabel diputar, pembungkus kunci memastikan bahwa kunci KMS terbaru memiliki akses ke semua cadangan yang dapat dipulihkan.

Amazon Keyspaces harus memiliki akses ke kunci yang dikelola pelanggan untuk memberi Anda akses ke data tabel Anda. Jika status kunci enkripsi disetel ke dinonaktifkan atau dijadwalkan untuk dihapus, Amazon Keyspaces tidak dapat mengenkripsi atau mendekripsi data. Akibatnya, Anda tidak dapat melakukan operasi baca dan tulis di atas meja. Segera setelah layanan mendeteksi bahwa kunci enkripsi Anda tidak dapat diakses, Amazon Keyspaces mengirimkan pemberitahuan email untuk mengingatkan Anda. 

Anda harus memulihkan akses ke kunci enkripsi Anda dalam waktu tujuh hari atau Amazon Keyspaces menghapus tabel Anda secara otomatis. Sebagai tindakan pencegahan, Amazon Keyspaces membuat cadangan data tabel yang dapat dipulihkan sebelum menghapus tabel. Amazon Keyspaces mempertahankan cadangan yang dapat dipulihkan selama 35 hari. Setelah 35 hari, Anda tidak dapat lagi memulihkan data tabel Anda. Anda tidak ditagih untuk cadangan yang dapat dipulihkan, tetapi biaya [pemulihan](https://aws.amazon.com/keyspaces/pricing) standar berlaku. 

Anda dapat menggunakan cadangan yang dapat dipulihkan ini untuk memulihkan data Anda ke tabel baru. Untuk memulai pemulihan, kunci terkelola pelanggan terakhir yang digunakan untuk tabel harus diaktifkan, dan Amazon Keyspaces harus memiliki akses ke sana.

**catatan**  
Saat Anda membuat tabel yang dienkripsi menggunakan kunci terkelola pelanggan yang tidak dapat diakses atau dijadwalkan untuk dihapus sebelum proses pembuatan selesai, terjadi kesalahan. Operasi buat tabel gagal, dan Anda akan dikirimi pemberitahuan email.

## Enkripsi saat istirahat catatan penggunaan
<a name="encryption.usagenotes"></a>

Pertimbangkan hal berikut saat Anda menggunakan enkripsi saat istirahat di Amazon Keyspaces.
+ Enkripsi sisi server saat istirahat diaktifkan di semua tabel Amazon Keyspaces dan tidak dapat dinonaktifkan. Seluruh tabel dienkripsi saat istirahat, Anda tidak dapat memilih kolom atau baris tertentu untuk enkripsi.
+ Secara default, Amazon Keyspaces menggunakan kunci default layanan tunggal (Kunci milik AWS) untuk mengenkripsi semua tabel Anda. Jika kunci ini tidak ada, itu dibuat untuk Anda. Kunci default layanan tidak dapat dinonaktifkan. 
+ Enkripsi saat istirahat hanya mengenkripsi data saat statis (saat istirahat) pada media penyimpanan persisten. Jika keamanan data menjadi perhatian data dalam perjalanan atau data yang digunakan, Anda harus mengambil langkah-langkah tambahan:
  + Data dalam perjalanan: Semua data Anda di Amazon Keyspaces dienkripsi saat transit. Secara default, komunikasi ke dan dari Amazon Keyspaces dilindungi dengan menggunakan enkripsi Secure Sockets Layer (SSL) /Transport Layer Security (TLS).
  + Data yang digunakan: Lindungi data Anda sebelum mengirimnya ke Amazon Keyspaces dengan menggunakan enkripsi sisi klien. 
  + Kunci terkelola pelanggan: Data saat istirahat di tabel Anda selalu dienkripsi menggunakan kunci yang dikelola pelanggan Anda. Namun operasi yang melakukan pembaruan atom dari beberapa baris mengenkripsi data sementara digunakan Kunci milik AWS selama pemrosesan. Ini termasuk operasi penghapusan jangkauan dan operasi yang secara bersamaan mengakses data statis dan non-statis.
+ Satu kunci yang dikelola pelanggan dapat memiliki hingga 50.000 [hibah.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) Setiap tabel Amazon Keyspaces yang terkait dengan kunci terkelola pelanggan menggunakan 2 hibah. Satu hibah dirilis saat tabel dihapus. Hibah kedua digunakan untuk membuat snapshot otomatis tabel untuk melindungi dari kehilangan data jika Amazon Keyspaces kehilangan akses ke kunci yang dikelola pelanggan secara tidak sengaja. Hibah ini dirilis 42 hari setelah penghapusan tabel.

# Enkripsi saat diam: Cara menggunakan kunci yang dikelola pelanggan untuk mengenkripsi tabel di Amazon Keyspaces
<a name="encryption.customermanaged"></a>

Anda dapat menggunakan pernyataan konsol atau CQL untuk menentukan tabel baru dan memperbarui kunci enkripsi tabel yang ada di Amazon Keyspaces. AWS KMS key Topik berikut menguraikan cara menerapkan kunci terkelola pelanggan untuk tabel baru dan yang sudah ada. 

**Topics**
+ [Prasyarat: Buat kunci terkelola pelanggan menggunakan AWS KMS dan berikan izin ke Amazon Keyspaces](#encryption.createCMKMS)
+ [Langkah 3: Tentukan kunci yang dikelola pelanggan untuk tabel baru](#encryption.tutorial-creating)
+ [Langkah 4: Perbarui kunci enkripsi tabel yang ada](#encryption.tutorial-update)
+ [Langkah 5: Gunakan konteks enkripsi Amazon Keyspaces di log](#encryption-context)
+ [Langkah 6: Konfigurasikan pemantauan dengan AWS CloudTrail](#encryption-cmk-trail)

## Prasyarat: Buat kunci terkelola pelanggan menggunakan AWS KMS dan berikan izin ke Amazon Keyspaces
<a name="encryption.createCMKMS"></a>

Sebelum Anda dapat melindungi tabel Amazon Keyspaces dengan kunci yang [dikelola pelanggan, Anda harus terlebih dahulu membuat kunci](encryption.howitworks.md#customer-managed) di AWS Key Management Service (AWS KMS) dan kemudian mengotorisasi Amazon Keyspaces untuk menggunakan kunci tersebut.

### Langkah 1: Buat kunci yang dikelola pelanggan menggunakan AWS KMS
<a name="encryption-create-key"></a>

Untuk membuat kunci terkelola pelanggan yang akan digunakan untuk melindungi tabel Amazon Keyspaces, Anda dapat mengikuti langkah-langkah dalam [Membuat kunci KMS enkripsi simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) menggunakan konsol atau API. AWS 

### Langkah 2: Otorisasi penggunaan kunci yang dikelola pelanggan Anda
<a name="encryption-authz"></a>

Sebelum Anda dapat memilih [kunci yang dikelola pelanggan](encryption.howitworks.md#customer-managed) untuk melindungi tabel Amazon Keyspaces, kebijakan pada kunci yang dikelola pelanggan tersebut harus memberikan izin kepada Amazon Keyspaces untuk menggunakannya atas nama Anda. Anda memiliki kendali penuh atas kebijakan dan hibah pada kunci yang dikelola pelanggan. Anda dapat memberikan izin ini dalam [kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), [kebijakan IAM](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html), atau [pemberian izin](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html).

Amazon Keyspaces tidak memerlukan otorisasi tambahan untuk menggunakan default [Kunci milik AWS](encryption.howitworks.md#keyspaces-owned)untuk melindungi tabel Amazon Keyspaces di akun Anda. AWS 

Topik berikut menunjukkan cara mengonfigurasi izin yang diperlukan menggunakan kebijakan dan hibah IAM yang memungkinkan tabel Amazon Keyspaces menggunakan kunci yang dikelola pelanggan.

**Topics**
+ [Kebijakan utama untuk kunci yang dikelola pelanggan](#encryption-customer-managed-policy)
+ [Contoh kebijakan kunci](#encryption-customer-managed-policy-sample)
+ [Menggunakan hibah untuk mengotorisasi Amazon Keyspaces](#encryption-grants)

#### Kebijakan utama untuk kunci yang dikelola pelanggan
<a name="encryption-customer-managed-policy"></a>

Saat Anda memilih [kunci yang dikelola pelanggan](encryption.howitworks.md#customer-managed) untuk melindungi tabel Amazon Keyspaces, Amazon Keyspaces mendapatkan izin untuk menggunakan kunci terkelola pelanggan atas nama prinsipal yang membuat pilihan. Prinsipal tersebut, pengguna atau peran, harus memiliki izin pada kunci terkelola pelanggan yang diperlukan Amazon Keyspaces. 

Minimal, Amazon Keyspaces memerlukan izin berikut pada kunci yang dikelola pelanggan:
+ [kms:Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)
+ [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
+ [kms: ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) \$1 (untuk kms: ReEncryptFrom dan kms:ReEncryptTo)
+ kms: GenerateDataKey \$1 (untuk [kms: GenerateDataKey dan [kms](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html):](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)) GenerateDataKeyWithoutPlaintext
+ [km: DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
+ [km: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)

#### Contoh kebijakan kunci
<a name="encryption-customer-managed-policy-sample"></a>

Sebagai contoh, kebijakan kunci berikut hanya menyediakan izin yang diperlukan. Kebijakan ini memiliki efek sebagai berikut:
+ Memungkinkan Amazon Keyspaces menggunakan kunci terkelola pelanggan dalam operasi kriptografi dan membuat hibah—tetapi hanya jika itu bertindak atas nama kepala sekolah di akun yang memiliki izin untuk menggunakan Amazon Keyspaces. Jika prinsipal yang ditentukan dalam pernyataan kebijakan tidak memiliki izin untuk menggunakan Amazon Keyspaces, panggilan gagal, meskipun berasal dari layanan Amazon Keyspaces. 
+ Kunci ViaService kondisi [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) mengizinkan izin hanya jika permintaan berasal dari Amazon Keyspaces atas nama prinsipal yang tercantum dalam pernyataan kebijakan. Pengguna utama ini tidak dapat memanggil operasi ini secara langsung. Perhatikan bahwa nilai `kms:ViaService`, `cassandra.*.amazonaws.com`, memiliki tanda bintang (\$1) di posisi Wilayah. Amazon Keyspaces memerlukan izin untuk independen dari yang tertentu. Wilayah AWS
+ Memberikan administrator kunci terkelola pelanggan (pengguna yang dapat mengambil `db-team` peran) akses hanya-baca ke kunci terkelola pelanggan dan izin untuk mencabut hibah, termasuk hibah yang diperlukan [Amazon Keyspaces](#encryption-grants) untuk melindungi tabel.
+ Memberikan akses hanya-baca Amazon Keyspaces ke kunci yang dikelola pelanggan. Dalam hal ini, Amazon Keyspaces dapat memanggil operasi ini secara langsung. Itu tidak harus bertindak atas nama prinsipal akun.

Sebelum menggunakan kebijakan kunci contoh, ganti prinsip contoh dengan prinsip aktual dari Anda. Akun AWS

```
{
  "Id": "key-policy-cassandra",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid" : "Allow access through Amazon Keyspaces for all principals in the account that are authorized to use Amazon Keyspaces",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:user/db-lead"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey",
        "kms:CreateGrant"
      ],
      "Resource": "*",      
      "Condition": { 
         "StringLike": {
           "kms:ViaService" : "cassandra.*.amazonaws.com"
         }
      }
    },
    {
      "Sid":  "Allow administrators to view the customer managed key and revoke grants",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/db-team"
       },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource": "*"
    }
  ]
}
```

#### Menggunakan hibah untuk mengotorisasi Amazon Keyspaces
<a name="encryption-grants"></a>

Selain kebijakan utama, Amazon Keyspaces menggunakan hibah untuk menetapkan izin pada kunci yang dikelola pelanggan. Untuk melihat hibah pada kunci yang dikelola pelanggan di akun Anda, gunakan [ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)operasi. Amazon Keyspaces tidak memerlukan hibah, atau izin tambahan apa pun, untuk menggunakan file untuk melindungi tabel [Kunci milik AWS](encryption.howitworks.md#keyspaces-owned)Anda.

Amazon Keyspaces menggunakan izin hibah saat melakukan pemeliharaan sistem latar belakang dan tugas perlindungan data berkelanjutan. Layanan ini juga menggunakan pemberian izin untuk menghasilkan kunci tabel.

Setiap pemberian izin berlaku spesifik pada sebuah tabel. Jika akun menyertakan beberapa tabel yang dienkripsi di bawah kunci terkelola pelanggan yang sama, ada hibah untuk setiap jenis untuk setiap tabel. Hibah dibatasi oleh [konteks enkripsi Amazon Keyspaces](https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html), yang mencakup nama tabel dan ID. Akun AWS Hibah termasuk izin untuk [pensiun hibah](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) jika tidak lagi diperlukan. 

Untuk membuat hibah, Amazon Keyspaces harus memiliki izin untuk `CreateGrant` memanggil atas nama pengguna yang membuat tabel terenkripsi.

Kebijakan utama juga dapat memungkinkan akun untuk [mencabut hibah pada](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html) kunci yang dikelola pelanggan. Namun, jika Anda mencabut hibah pada tabel terenkripsi aktif, Amazon Keyspaces tidak akan dapat melindungi dan memelihara tabel.

## Langkah 3: Tentukan kunci yang dikelola pelanggan untuk tabel baru
<a name="encryption.tutorial-creating"></a>

Ikuti langkah-langkah berikut untuk menentukan kunci yang dikelola pelanggan pada tabel baru menggunakan konsol Amazon Keyspaces atau CQL.

### Membuat tabel terenkripsi menggunakan kunci yang dikelola pelanggan (konsol)
<a name="encryption.tutorial-console"></a>

1. [Masuk ke Konsol Manajemen AWS, dan buka konsol Amazon Keyspaces di https://console.aws.amazon.com/keyspaces/ rumah.](https://console.aws.amazon.com/keyspaces/home)

1. Di panel navigasi, pilih **Tabel**, lalu pilih **Buat tabel**.

1. Pada halaman **Buat tabel** di bagian **Rincian tabel**, pilih ruang kunci dan berikan nama untuk tabel baru.

1. Di bagian **Skema**, buat skema untuk tabel Anda.

1. Di bagian **Pengaturan tabel**, pilih **Sesuaikan pengaturan**.

1. Lanjutkan ke **Pengaturan enkripsi**.

   Pada langkah ini, Anda memilih pengaturan enkripsi untuk tabel. 

   Di bagian **Enkripsi saat istirahat** di bawah **Pilih AWS KMS key**, pilih opsi **Pilih kunci KMS yang berbeda (lanjutan)**, dan di bidang pencarian, pilih AWS KMS key atau masukkan Nama Sumber Daya Amazon (ARN).
**catatan**  
Jika kunci yang Anda pilih tidak dapat diakses atau tidak memiliki izin yang diperlukan, lihat [Memecahkan masalah akses kunci](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) di Panduan Pengembang AWS Key Management Service .

1. Pilih **Buat** untuk membuat tabel yang dienkripsi. 

### Buat tabel baru menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat (CQL)
<a name="encryption.tutorial-cql"></a>

Untuk membuat tabel baru yang menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat, Anda dapat menggunakan `CREATE TABLE` pernyataan seperti yang ditunjukkan pada contoh berikut. Pastikan untuk mengganti kunci ARN dengan ARN untuk kunci yang valid dengan izin yang diberikan ke Amazon Keyspaces.

```
CREATE TABLE my_keyspace.my_table(id bigint, name text, place text STATIC, PRIMARY KEY(id, name)) WITH CUSTOM_PROPERTIES = {
        'encryption_specification':{
                'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY', 
                'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'
            }
    };
```

Jika Anda menerima`Invalid Request Exception`, Anda perlu mengonfirmasi bahwa kunci yang dikelola pelanggan valid dan Amazon Keyspaces memiliki izin yang diperlukan. Untuk mengonfirmasi bahwa kunci telah dikonfigurasi dengan benar, lihat [Akses kunci pemecahan masalah di Panduan](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) AWS Key Management Service Pengembang. 

## Langkah 4: Perbarui kunci enkripsi tabel yang ada
<a name="encryption.tutorial-update"></a>

Anda juga dapat menggunakan konsol Amazon Keyspaces atau CQL untuk mengubah kunci enkripsi tabel yang ada antara kunci KMS yang dikelola pelanggan Kunci milik AWS dan kapan saja.

### Perbarui tabel yang ada dengan kunci terkelola pelanggan baru (konsol)
<a name="encryption.tutorial-update-console"></a>

1. [Masuk ke Konsol Manajemen AWS, dan buka konsol Amazon Keyspaces di https://console.aws.amazon.com/keyspaces/ rumah.](https://console.aws.amazon.com/keyspaces/home)

1.  Di panel navigasi, pilih **Tabel**.

1. Pilih tabel yang ingin Anda perbarui, lalu pilih tab **Pengaturan tambahan**.

1. Di bagian **Enkripsi saat istirahat**, pilih **Kelola Enkripsi** untuk mengedit pengaturan enkripsi untuk tabel.

   Di bawah **Pilih AWS KMS key**, pilih opsi **Pilih tombol KMS yang berbeda (lanjutan)**, dan di bidang pencarian, pilih AWS KMS key atau masukkan Nama Sumber Daya Amazon (ARN).
**catatan**  
Jika kunci yang Anda pilih tidak valid, lihat [Akses kunci pemecahan masalah di Panduan](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) AWS Key Management Service Pengembang.

   Atau, Anda dapat memilih Kunci milik AWS untuk tabel yang dienkripsi dengan kunci yang dikelola pelanggan.

1. Pilih **Simpan perubahan** untuk menyimpan perubahan Anda ke tabel. 

### Memperbarui kunci enkripsi yang digunakan untuk tabel yang ada
<a name="encryption.tutorial-update-cql"></a>

Untuk mengubah kunci enkripsi tabel yang ada, Anda menggunakan `ALTER TABLE` pernyataan untuk menentukan kunci terkelola pelanggan untuk enkripsi saat istirahat. Pastikan untuk mengganti kunci ARN dengan ARN untuk kunci yang valid dengan izin yang diberikan ke Amazon Keyspaces.

```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {     
              'encryption_specification':{ 
                      'encryption_type': 'CUSTOMER_MANAGED_KMS_KEY', 
                      'kms_key_identifier':'arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111'     
                  } 
         };
```

Jika Anda menerima`Invalid Request Exception`, Anda perlu mengonfirmasi bahwa kunci yang dikelola pelanggan valid dan Amazon Keyspaces memiliki izin yang diperlukan. Untuk mengonfirmasi bahwa kunci telah dikonfigurasi dengan benar, lihat [Akses kunci pemecahan masalah di Panduan](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html) AWS Key Management Service Pengembang. 

Untuk mengubah kunci enkripsi kembali ke opsi enkripsi default saat istirahat dengan Kunci milik AWS, Anda dapat menggunakan `ALTER TABLE` pernyataan seperti yang ditunjukkan pada contoh berikut.

```
ALTER TABLE my_keyspace.my_table WITH CUSTOM_PROPERTIES = {
                'encryption_specification':{
                      'encryption_type' : 'AWS_OWNED_KMS_KEY' 
                    } 
         };
```

## Langkah 5: Gunakan konteks enkripsi Amazon Keyspaces di log
<a name="encryption-context"></a>

[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama. 

Amazon Keyspaces menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi. Jika Anda menggunakan [kunci terkelola pelanggan](encryption.howitworks.md#customer-managed) untuk melindungi tabel Amazon Keyspaces, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan kunci terkelola pelanggan dalam catatan audit dan log. Itu juga muncul dalam teks biasa di log, seperti di log untuk dan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)[Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) Logs. 

Dalam permintaannya AWS KMS, Amazon Keyspaces menggunakan konteks enkripsi dengan tiga pasangan kunci-nilai.

```
"encryptionContextSubset": {
    "aws:cassandra:keyspaceName": "my_keyspace",
    "aws:cassandra:tableName": "mytable"
    "aws:cassandra:subscriberId": "111122223333"
}
```
+ **Keyspace** - Pasangan kunci-nilai pertama mengidentifikasi ruang kunci yang menyertakan tabel yang dienkripsi Amazon Keyspaces. Kuncinya adalah `aws:cassandra:keyspaceName`. Nilai adalah nama keyspace.

  ```
  "aws:cassandra:keyspaceName": "<keyspace-name>"
  ```

  Contoh:

  ```
  "aws:cassandra:keyspaceName": "my_keyspace"
  ```
+ **Tabel** — Pasangan kunci-nilai kedua mengidentifikasi tabel yang dienkripsi Amazon Keyspaces. Kuncinya adalah `aws:cassandra:tableName`. Nilainya adalah nama tabel.

  ```
  "aws:cassandra:tableName": "<table-name>"
  ```

  Contoh:

  ```
  "aws:cassandra:tableName": "my_table"
  ```
+ **Akun** — Pasangan kunci-nilai ketiga mengidentifikasi pasangan. Akun AWS Kuncinya adalah `aws:cassandra:subscriberId`. Nilainya adalah ID akun.

  ```
  "aws:cassandra:subscriberId": "<account-id>"
  ```

  Contoh:

  ```
  "aws:cassandra:subscriberId": "111122223333"
  ```

## Langkah 6: Konfigurasikan pemantauan dengan AWS CloudTrail
<a name="encryption-cmk-trail"></a>

Jika Anda menggunakan [kunci yang dikelola pelanggan](encryption.howitworks.md#customer-managed) untuk melindungi tabel Amazon Keyspaces, Anda dapat menggunakan AWS CloudTrail log untuk melacak permintaan yang dikirimkan Amazon Keyspaces atas nama Anda. AWS KMS 

Permintaan `GenerateDataKey` `DescribeKey``Decrypt`,, dan `CreateGrant` permintaan dibahas di bagian ini. Selain itu, Amazon Keyspaces menggunakan [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operasi untuk menghapus hibah saat Anda menghapus tabel. 

**catatan**  
Saat Anda bekerja dengan Amazon Keyspaces, beberapa operasi dapat menghasilkan CloudTrail peristiwa dengan `invokedBy` bidang. `dynamodb.amazonaws.com` Ini diharapkan dan terjadi karena Amazon Keyspaces terintegrasi dengan Amazon DynamoDB untuk menyediakan layanannya.

**GenerateDataKey**  
Amazon Keyspaces membuat kunci tabel unik untuk mengenkripsi data saat istirahat. Ini mengirimkan *[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)*permintaan untuk AWS KMS yang menentukan kunci KMS untuk tabel.   
Peristiwa yang mencatat operasi `GenerateDataKey` serupa dengan peristiwa contoh berikut. Pengguna adalah akun layanan Amazon Keyspaces. Parameter tersebut mencakup Nama Sumber Daya Amazon (ARN) dari kunci yang dikelola pelanggan, penentu kunci yang memerlukan kunci 256-bit, dan [konteks enkripsi](#encryption-context) yang mengidentifikasi ruang kunci, tabel, dan file. Akun AWS  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T04:56:05Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:cassandra:keyspaceName": "my_keyspace",
            "aws:cassandra:tableName": "my_table",
            "aws:cassandra:subscriberId": "123SAMPLE012"
        },
        "keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
    },
    "responseElements": null,
    "requestID": "5e8e9cb5-9194-4334-aacc-9dd7d50fe246",
    "eventID": "49fccab9-2448-4b97-a89d-7d5c39318d6f",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012",
    "sharedEventID": "84fbaaf0-9641-4e32-9147-57d2cb08792e"
}
```

**DescribeKey**  
Amazon Keyspaces menggunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi untuk menentukan apakah kunci KMS yang Anda pilih ada di akun dan Wilayah.   
Peristiwa yang mencatat operasi `DescribeKey` serupa dengan peristiwa contoh berikut. Pengguna adalah akun layanan Amazon Keyspaces. Parameter termasuk ARN dari kunci yang dikelola pelanggan dan penentu kunci yang memerlukan kunci 256-bit.  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
        "arn": "arn:aws:iam::123SAMPLE012:user/admin",
        "accountId": "123SAMPLE012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "admin",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-16T04:55:42Z"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T04:55:58Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
    },
    "responseElements": null,
    "requestID": "c25a8105-050b-4f52-8358-6e872fb03a6c",
    "eventID": "0d96420e-707e-41b9-9118-56585a669658",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012"
}
```

**Dekripsi**  
Saat Anda mengakses tabel Amazon Keyspaces, Amazon Keyspaces perlu mendekripsi kunci tabel sehingga dapat mendekripsi kunci di bawahnya dalam hierarki. Layanan ini kemudian mendekripsi data dalam tabel. Untuk mendekripsi kunci tabel, Amazon Keyspaces mengirimkan permintaan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ke AWS KMS yang menentukan kunci KMS untuk tabel.  
Peristiwa yang mencatat operasi `Decrypt` serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah Anda Akun AWS yang mengakses tabel. Parameter termasuk kunci tabel terenkripsi (sebagai gumpalan ciphertext) dan [konteks enkripsi](#encryption-context) yang mengidentifikasi tabel dan file. Akun AWS AWS KMS memperoleh ID kunci yang dikelola pelanggan dari ciphertext.   

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T05:29:44Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:cassandra:keyspaceName": "my_keyspace",
            "aws:cassandra:tableName": "my_table",
            "aws:cassandra:subscriberId": "123SAMPLE012"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "50e80373-83c9-4034-8226-5439e1c9b259",
    "eventID": "8db9788f-04a5-4ae2-90c9-15c79c411b6b",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012",
    "sharedEventID": "7ed99e2d-910a-4708-a4e3-0180d8dbb68e"
}
```

**CreateGrant**  
Saat Anda menggunakan [kunci yang dikelola pelanggan](encryption.howitworks.md#customer-managed) untuk melindungi tabel Amazon Keyspaces Anda, Amazon Keyspaces menggunakan [hibah](#encryption-grants) untuk memungkinkan layanan melakukan tugas perlindungan dan pemeliharaan serta daya tahan data secara berkelanjutan. Hibah ini tidak diperlukan. [Kunci milik AWS](encryption.howitworks.md#keyspaces-owned)  
Hibah yang dibuat Amazon Keyspaces khusus untuk tabel. Prinsip dalam [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan adalah pengguna yang membuat tabel.   
Peristiwa yang mencatat operasi `CreateGrant` serupa dengan peristiwa contoh berikut. Parameter termasuk ARN kunci yang dikelola pelanggan untuk tabel, pokok penerima hibah dan kepala pensiun (layanan Amazon Keyspaces), dan operasi yang dicakup oleh hibah. [Ini juga mencakup kendala yang mengharuskan semua operasi enkripsi menggunakan konteks enkripsi yang ditentukan.](#encryption-context)  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZ3FNIIVIZZ6H7CFQG",
        "arn": "arn:aws:iam::arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111:user/admin",
        "accountId": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "admin",
        "sessionContext": {
            "sessionIssuer": {},
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-16T04:55:42Z"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-04-16T05:11:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "a7d328af-215e-4661-9a69-88c858909f20",
        "operations": [
            "DescribeKey",
            "GenerateDataKey",
            "Decrypt",
            "Encrypt",
            "ReEncryptFrom",
            "ReEncryptTo",
            "RetireGrant"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:cassandra:keyspaceName": "my_keyspace",
                "aws:cassandra:tableName": "my_table",
                "aws:cassandra:subscriberId": "123SAMPLE012"
            }
        },
        "retiringPrincipal": "cassandratest.us-east-1.amazonaws.com",
        "granteePrincipal": "cassandratest.us-east-1.amazonaws.com"
    },
    "responseElements": {
        "grantId": "18e4235f1b07f289762a31a1886cb5efd225f069280d4f76cd83b9b9b5501013"
    },
    "requestID": "b379a767-1f9b-48c3-b731-fb23e865e7f7",
    "eventID": "29ee1fd4-28f2-416f-a419-551910d20291",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123SAMPLE012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:5555555555555:key/11111111-1111-111-1111-111111111111"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123SAMPLE012"
}
```

# Enkripsi dalam perjalanan di Amazon Keyspaces
<a name="encryption-in-transit"></a>

Amazon Keyspaces hanya menerima koneksi aman menggunakan Transport Layer Security (TLS). Enkripsi dalam perjalanan menyediakan lapisan perlindungan data tambahan dengan mengenkripsi data Anda saat melakukan perjalanan ke dan dari Amazon Keyspaces. Kebijakan organisasi, peraturan industri atau pemerintah, dan persyaratan kepatuhan sering kali memerlukan penggunaan enkripsi dalam perjalanan untuk meningkatkan keamanan data aplikasi Anda ketika mereka mengirimkan data melalui jaringan.

Untuk mempelajari cara mengenkripsi `cqlsh` koneksi ke Amazon Keyspaces menggunakan TLS, lihat. [Cara mengkonfigurasi `cqlsh` koneksi secara manual untuk TLS](programmatic.cqlsh.md#encrypt_using_tls) Untuk mempelajari cara menggunakan enkripsi TLS dengan driver klien, lihat[Menggunakan driver klien Cassandra untuk mengakses Amazon Keyspaces secara terprogram](programmatic.drivers.md).

# Privasi lalu lintas internetwork di Amazon Keyspaces
<a name="inter-network-traffic-privacy"></a>

Topik ini menjelaskan cara Amazon Keyspaces (untuk Apache Cassandra) mengamankan koneksi dari aplikasi lokal ke Amazon Keyspaces dan antara Amazon Keyspaces dan sumber daya lain dalam hal yang sama. AWS Wilayah AWS

## Lalu lintas antara layanan dan aplikasi serta klien on-premise
<a name="inter-network-traffic-privacy-on-prem"></a>

Anda memiliki dua opsi konektivitas antara jaringan pribadi Anda dan AWS: 
+  AWS Site-to-Site VPN Koneksi. Untuk informasi selengkapnya, lihat [Apa itu AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) dalam *Panduan Pengguna AWS Site-to-Site VPN *.
+  Direct Connect Koneksi. Untuk informasi selengkapnya, lihat [Apa itu Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) dalam *Panduan Pengguna Direct Connect *.

Sebagai layanan terkelola, Amazon Keyspaces (untuk Apache Cassandra) dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Keyspaces melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Amazon Keyspaces mendukung dua metode otentikasi permintaan klien. Metode pertama menggunakan kredensi khusus layanan, yang merupakan kredenal berbasis kata sandi yang dihasilkan untuk pengguna IAM tertentu. Anda dapat membuat dan mengelola kata sandi menggunakan konsol IAM, the AWS CLI, atau AWS API. Untuk informasi selengkapnya, lihat [Menggunakan IAM dengan Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).

Metode kedua menggunakan plugin otentikasi untuk Driver DataStax Java open-source untuk Cassandra. [Plugin ini memungkinkan [pengguna IAM, peran, dan identitas federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) untuk menambahkan informasi otentikasi ke permintaan API Amazon Keyspaces (untuk Apache Cassandra) menggunakan proses Signature Version 4 (SiGv4).AWS](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) Untuk informasi selengkapnya, lihat [Membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces](access.credentials.md). 

## Lalu lintas antar AWS sumber daya di Wilayah yang sama
<a name="inter-network-traffic-privacy-within-region"></a>

Endpoint VPC antarmuka memungkinkan komunikasi pribadi antara virtual private cloud (VPC) Anda yang berjalan di Amazon VPC dan Amazon Keyspaces. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, yang merupakan AWS layanan yang memungkinkan komunikasi pribadi antara VPCs dan layanan. AWS AWS PrivateLink memungkinkan ini dengan menggunakan elastic network interface dengan pribadi IPs di VPC Anda sehingga lalu lintas jaringan tidak meninggalkan jaringan Amazon. Endpoint VPC antarmuka tidak memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Untuk informasi selengkapnya, lihat [titik akhir [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) dan Interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink Untuk kebijakan-kebijakan contoh, lihat [Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces](vpc-endpoints.md#using-interface-vpc-endpoints).

# AWS Identity and Access Management untuk Amazon Keyspaces
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon Keyspaces. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Cara Amazon Keyspaces bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas Amazon Keyspaces](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk Amazon Keyspaces](security-iam-awsmanpol.md)
+ [Memecahkan masalah identitas dan akses Amazon Keyspaces](security_iam_troubleshoot.md)
+ [Menggunakan peran terkait layanan untuk Amazon Keyspaces](using-service-linked-roles.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon Keyspaces](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Cara Amazon Keyspaces bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas Amazon Keyspaces](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Daftar kontrol akses (ACLs)
<a name="security_iam_access-manage-acl"></a>

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Cara Amazon Keyspaces bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon Keyspaces, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Amazon Keyspaces. *Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon Keyspaces dan layanan AWS lainnya bekerja dengan IAM, [AWS lihat layanan yang bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM.*

**Topics**
+ [Kebijakan berbasis identitas Amazon Keyspaces](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya Amazon Keyspaces](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag Amazon Keyspaces](#security_iam_service-with-iam-tags)
+ [Peran IAM Amazon Keyspaces](#security_iam_service-with-iam-roles)

## Kebijakan berbasis identitas Amazon Keyspaces
<a name="security_iam_service-with-iam-id-based-policies"></a>

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Amazon Keyspaces mendukung tindakan dan sumber daya tertentu, serta kunci kondisi. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

*Untuk melihat sumber daya dan tindakan khusus layanan Amazon Keyspaces, serta kunci konteks kondisi yang dapat digunakan untuk kebijakan izin IAM, lihat kunci [Tindakan, sumber daya, dan kondisi untuk Amazon Keyspaces (untuk Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html)) di Referensi Otorisasi Layanan.*

### Tindakan
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Amazon Keyspaces menggunakan awalan berikut sebelum tindakan:. `cassandra:` Misalnya, untuk memberikan izin kepada seseorang untuk membuat ruang kunci Amazon Keyspaces dengan pernyataan `CREATE` CQL Amazon Keyspaces, Anda menyertakan tindakan tersebut dalam kebijakan mereka. `cassandra:Create` Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Amazon Keyspaces mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan tindakan-tindakan tersebut menggunakan koma seperti berikut:

```
"Action": [
      "cassandra:CREATE",
      "cassandra:MODIFY"
          ]
```

*Untuk melihat daftar tindakan Amazon Keyspaces, lihat [Tindakan yang Ditentukan oleh Amazon Keyspaces (untuk Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions)) di Referensi Otorisasi Layanan.*

### Sumber daya
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Di Amazon Keyspaces, keyspaces, tabel, dan stream dapat digunakan dalam `Resource` elemen izin IAM.

**catatan**  
Untuk mengakses ruang kunci dan tabel pengguna di Amazon Keyspaces, kebijakan IAM Anda harus `cassandra:Select` menyertakan izin pada tabel sistem:  

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Ini berlaku untuk skenario berikut:  
AWS Akses Konsol Manajemen
Operasi sumber daya SDK, misalnya`GetKeyspace`,, `GetTable``ListKeyspaces`, dan `ListTables`
Koneksi driver klien Apache Cassandra standar, karena driver secara otomatis membaca tabel sistem selama inisialisasi koneksi
Tabel sistem hanya-baca dan tidak dapat dimodifikasi.

Sumber daya keyspace Amazon Keyspaces memiliki ARN berikut:

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/
```

Sumber daya tabel Amazon Keyspaces memiliki ARN berikut:

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}
```

Sumber daya aliran Amazon Keyspaces memiliki ARN berikut:

```
arn:${Partition}:cassandra:{Region}:${Account}:/keyspace/${keyspaceName}/table/${tableName}/stream/${streamLabel}
```

Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan ruang nama AWS layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Misalnya, untuk menentukan `mykeyspace` ruang kunci dalam pernyataan Anda, gunakan ARN berikut:

```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/"
```

Untuk menentukan semua ruang kunci milik akun tertentu, gunakan wildcard (\$1):

```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/*"
```

Beberapa tindakan Amazon Keyspaces, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).

```
"Resource": "*"
```

 Misalnya, untuk memberikan `SELECT` izin kepada prinsipal IAM untuk `mytable` in`mykeyspace`, kepala sekolah harus memiliki izin untuk membaca keduanya, dan. `mytable` `keyspace/system*` Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma. 

```
"Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
```

*Untuk melihat daftar jenis sumber daya Amazon Keyspaces beserta jenisnya ARNs, lihat Sumber Daya yang [Ditentukan oleh Amazon Keyspaces (untuk Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-resources-for-iam-policies)) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang Ditentukan oleh Amazon Keyspaces (untuk](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) Apache Cassandra).

### Kunci syarat
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Amazon Keyspaces mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.



 Semua tindakan Amazon Keyspaces mendukung`aws:RequestTag/${TagKey}`, tombol`aws:ResourceTag/${TagKey}`, dan `aws:TagKeys` kondisi. Untuk informasi selengkapnya, lihat [Akses sumber daya Amazon Keyspaces berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags). 

*Untuk melihat daftar kunci kondisi Amazon Keyspaces, lihat Kunci Kondisi untuk [Amazon Keyspaces (untuk Apache Cassandra](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-policy-keys)) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang Ditentukan oleh Amazon Keyspaces (untuk Apache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonkeyspacesforapachecassandra.html#amazonkeyspacesforapachecassandra-actions-as-permissions) Cassandra).

### Contoh
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

Untuk melihat contoh kebijakan berbasis identitas Amazon Keyspaces, lihat. [Contoh kebijakan berbasis identitas Amazon Keyspaces](security_iam_id-based-policy-examples.md)

## Kebijakan berbasis sumber daya Amazon Keyspaces
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Amazon Keyspaces tidak mendukung kebijakan berbasis sumber daya. Untuk melihat contoh halaman detail kebijakan berbasis sumber daya, lihat [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html).

## Otorisasi berdasarkan tag Amazon Keyspaces
<a name="security_iam_service-with-iam-tags"></a>

Anda dapat mengelola akses ke sumber daya Amazon Keyspaces dengan menggunakan tag. Untuk mengelola akses sumber daya berdasarkan tag, Anda memberikan informasi tag dalam [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) kebijakan menggunakan kunci`cassandra:ResourceTag/key-name`,`aws:RequestTag/key-name`, atau `aws:TagKeys` kondisi. Untuk informasi selengkapnya tentang menandai resource Amazon Keyspaces, lihat. [Bekerja dengan tag dan label untuk sumber daya Amazon Keyspaces](tagging-keyspaces.md)

Untuk melihat contoh kebijakan-kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tanda pada sumber daya tersebut, lihat [Akses sumber daya Amazon Keyspaces berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-tags).

## Peran IAM Amazon Keyspaces
<a name="security_iam_service-with-iam-roles"></a>

[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.

### Menggunakan kredensi sementara dengan Amazon Keyspaces
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Anda dapat menggunakan kredensial sementara untuk masuk dengan federasi, untuk memainkan peran IAM, atau untuk mengambil peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 

Amazon Keyspaces mendukung penggunaan kredensil sementara dengan plugin otentikasi AWS Signature Version 4 (SigV4) yang tersedia dari repo Github untuk bahasa berikut:
+ Jawa:[https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-java-driver-plugin).
+ Node.js:[https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-nodejs-driver-plugin).
+ Python: [https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-python-driver-plugin).
+ Pergi:[https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin](https://github.com/aws/aws-sigv4-auth-cassandra-gocql-driver-plugin).

Untuk contoh dan tutorial yang menerapkan plugin otentikasi untuk mengakses Amazon Keyspaces secara terprogram, lihat. [Menggunakan driver klien Cassandra untuk mengakses Amazon Keyspaces secara terprogram](programmatic.drivers.md) 

### Peran terkait layanan
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Untuk detail tentang membuat atau mengelola peran terkait layanan Amazon Keyspaces, lihat. **[Menggunakan peran terkait layanan untuk Amazon Keyspaces](using-service-linked-roles.md)**

### Peran layanan
<a name="security_iam_service-with-iam-roles-service"></a>

Amazon Keyspaces tidak mendukung peran layanan.

# Contoh kebijakan berbasis identitas Amazon Keyspaces
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon Keyspaces. Mereka juga tidak dapat melakukan tugas menggunakan konsol, CQLSH AWS CLI, atau API. AWS Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.

Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan di tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Amazon Keyspaces](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Mengakses tabel Amazon Keyspaces](#security_iam_id-based-policy-examples-access-one-table)
+ [Akses sumber daya Amazon Keyspaces berdasarkan tag](#security_iam_id-based-policy-examples-tags)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon Keyspaces di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol Amazon Keyspaces
<a name="security_iam_id-based-policy-examples-console"></a>

Amazon Keyspaces tidak memerlukan izin khusus untuk mengakses konsol Amazon Keyspaces. Anda memerlukan setidaknya izin hanya-baca untuk membuat daftar dan melihat detail tentang sumber daya Amazon Keyspaces di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna IAM atau peran) dengan kebijakan tersebut.

Dua kebijakan AWS terkelola tersedia untuk entitas untuk akses konsol Amazon Keyspaces.
+ [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html) — Kebijakan ini memberikan akses hanya-baca ke Amazon Keyspaces.
+ [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html)— Kebijakan ini memberikan izin untuk menggunakan Amazon Keyspaces dengan akses penuh ke semua fitur.

Untuk informasi selengkapnya tentang kebijakan terkelola Amazon Keyspaces, lihat. [AWS kebijakan terkelola untuk Amazon Keyspaces](security-iam-awsmanpol.md)

## Mengizinkan pengguna melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Mengakses tabel Amazon Keyspaces
<a name="security_iam_id-based-policy-examples-access-one-table"></a>

**catatan**  
Untuk mengakses ruang kunci dan tabel pengguna di Amazon Keyspaces, kebijakan IAM Anda harus `cassandra:Select` menyertakan izin pada tabel sistem:  

```
arn:${Partition}:cassandra:${Region}:${Account}:/keyspace/system*
```
Ini berlaku untuk skenario berikut:  
AWS Akses Konsol Manajemen
Operasi sumber daya SDK, misalnya`GetKeyspace`,, `GetTable``ListKeyspaces`, dan `ListTables`
Koneksi driver klien Apache Cassandra standar, karena driver secara otomatis membaca tabel sistem selama inisialisasi koneksi
Tabel sistem hanya-baca dan tidak dapat dimodifikasi.

Berikut ini adalah contoh kebijakan yang memberikan akses read-only (`SELECT`) ke tabel sistem Amazon Keyspaces. Untuk semua sampel, ganti Region dan ID akun di Amazon Resource Name (ARN) dengan milik Anda.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

Kebijakan contoh berikut menambahkan akses hanya-baca ke tabel pengguna `mytable` di ruang kunci. `mykeyspace`

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

Kebijakan contoh berikut menetapkan read/write akses ke tabel pengguna dan akses baca ke tabel sistem.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Select",
            "cassandra:Modify"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

Kebijakan contoh berikut memungkinkan pengguna untuk membuat tabel di keyspace`mykeyspace`.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Create",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

Kebijakan contoh berikut menetapkan akses baca ke tabel sistem, tetapi membatasi akses `SELECT` (baca) dan `MODIFY` (tulis) ke tabel pengguna. `mytable` 

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cassandra:Select"
      ],
      "Resource": [
        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "cassandra:Select",
        "cassandra:Modify"
      ],
      "Resource": [
        "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable"
      ]
    }
  ]
}
```

## Akses sumber daya Amazon Keyspaces berdasarkan tag
<a name="security_iam_id-based-policy-examples-tags"></a>

Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya Amazon Keyspaces berdasarkan tag. Kebijakan ini mengontrol visibilitas ruang kunci dan tabel di akun. Perhatikan bahwa izin berbasis tag untuk tabel sistem berperilaku berbeda saat permintaan dibuat menggunakan AWS SDK dibandingkan dengan panggilan API Cassandra Query Language (CQL) melalui driver Cassandra dan alat pengembang.
+ Untuk membuat `List` dan meminta `Get` sumber daya dengan AWS SDK saat menggunakan akses berbasis tag, pemanggil harus memiliki akses baca ke tabel sistem. Misalnya, izin `Select` tindakan diperlukan untuk membaca data dari tabel sistem melalui `GetTable` operasi. Jika penelepon hanya memiliki akses berbasis tag ke tabel tertentu, operasi yang memerlukan akses tambahan ke tabel sistem akan gagal.
+ Untuk kompatibilitas dengan perilaku driver Cassandra yang mapan, kebijakan otorisasi berbasis tag tidak diberlakukan saat melakukan operasi pada tabel sistem menggunakan panggilan API Cassandra Query Language (CQL) melalui driver Cassandra dan alat pengembang.

Contoh berikut menunjukkan cara membuat kebijakan yang memberikan izin kepada pengguna untuk melihat tabel jika tabel `Owner` berisi nilai nama pengguna tersebut. Dalam contoh ini Anda juga memberikan akses baca ke tabel sistem.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"ReadOnlyAccessTaggedTables",
         "Effect":"Allow",
         "Action":"cassandra:Select",
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ],
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Owner":"${aws:username}"
            }
         }
      }
   ]
}
```

Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Jika pengguna bernama `richard-roe` mencoba melihat tabel Amazon Keyspaces, tabel harus diberi tag `Owner=richard-roe` atau. `owner=richard-roe` Jika tidak, aksesnya akan ditolak. Kunci tanda syarat `Owner` sama dengan kedua `Owner` dan `owner` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.

Kebijakan berikut memberikan izin kepada pengguna untuk membuat tabel dengan tag jika tabel `Owner` berisi nilai nama pengguna tersebut.

```
{ 
    "Version": "2012-10-17",		 	 	  
    "Statement": [ 
       { 
          "Sid": "CreateTagTableUser", 
          "Effect": "Allow", 
          "Action": [
              "cassandra:Create", 
              "cassandra:TagResource"
          ], 
          "Resource": "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/*", 
          "Condition":{
             "StringEquals":{
                "aws:RequestTag/Owner":"${aws:username}"
            }
         }
      }
   ]
}
```

# AWS kebijakan terkelola untuk Amazon Keyspaces
<a name="security-iam-awsmanpol"></a>





Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.









## AWS kebijakan terkelola: AmazonKeyspacesReadOnlyAccess \$1v2
<a name="security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2"></a>





Anda dapat melampirkan kebijakan `AmazonKeyspacesReadOnlyAccess_v2` ke identitas IAM Anda.



Kebijakan ini memberikan akses hanya-baca ke Amazon Keyspaces dan menyertakan izin yang diperlukan saat menghubungkan melalui titik akhir VPC pribadi.



**Detail izin**

Kebijakan ini mencakup izin berikut.




+ `Amazon Keyspaces`— Menyediakan akses hanya-baca ke Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Memungkinkan kepala sekolah untuk melihat aliran CDC Amazon Keyspaces.
+ `Application Auto Scaling`— Memungkinkan prinsipal untuk melihat konfigurasi dari Application Auto Scaling. Ini diperlukan agar pengguna dapat melihat kebijakan penskalaan otomatis yang dilampirkan ke tabel.
+ `CloudWatch`— Memungkinkan kepala sekolah untuk melihat data metrik dan alarm yang dikonfigurasi. CloudWatch Ini diperlukan agar pengguna dapat melihat ukuran tabel yang dapat ditagih dan CloudWatch alarm yang telah dikonfigurasi untuk tabel.
+ `AWS KMS`— Memungkinkan kepala sekolah untuk melihat kunci yang dikonfigurasi di. AWS KMS Ini diperlukan agar pengguna dapat melihat AWS KMS kunci yang mereka buat dan kelola di akun mereka untuk mengonfirmasi bahwa kunci yang ditetapkan ke Amazon Keyspaces adalah kunci enkripsi simetris yang diaktifkan.
+ `Amazon EC2`— Memungkinkan prinsipal yang terhubung ke Amazon Keyspaces melalui titik akhir VPC untuk menanyakan VPC di instans Amazon EC2 Anda untuk informasi titik akhir dan antarmuka jaringan. Akses hanya-baca ke instans Amazon EC2 ini diperlukan agar Amazon Keyspaces dapat mencari dan menyimpan titik akhir VPC antarmuka yang tersedia dalam tabel yang digunakan untuk penyeimbangan beban koneksi. `system.peers`



Untuk meninjau kebijakan dalam `JSON` format, lihat [AmazonKeyspacesReadOnlyAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess_v2.html).

## AWS kebijakan terkelola: AmazonKeyspacesReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess"></a>





Anda dapat melampirkan kebijakan `AmazonKeyspacesReadOnlyAccess` ke identitas IAM Anda.



Kebijakan ini memberikan akses hanya-baca ke Amazon Keyspaces.



**Detail izin**

Kebijakan ini mencakup izin berikut.




+ `Amazon Keyspaces`— Menyediakan akses hanya-baca ke Amazon Keyspaces.
+ `Amazon Keyspaces CDC streams`— Memungkinkan kepala sekolah untuk melihat aliran CDC Amazon Keyspaces.
+ `Application Auto Scaling`— Memungkinkan prinsipal untuk melihat konfigurasi dari Application Auto Scaling. Ini diperlukan agar pengguna dapat melihat kebijakan penskalaan otomatis yang dilampirkan ke tabel.
+ `CloudWatch`— Memungkinkan kepala sekolah untuk melihat data metrik dan alarm yang dikonfigurasi. CloudWatch Ini diperlukan agar pengguna dapat melihat ukuran tabel yang dapat ditagih dan CloudWatch alarm yang telah dikonfigurasi untuk tabel.
+ `AWS KMS`— Memungkinkan kepala sekolah untuk melihat kunci yang dikonfigurasi di. AWS KMS Ini diperlukan agar pengguna dapat melihat AWS KMS kunci yang mereka buat dan kelola di akun mereka untuk mengonfirmasi bahwa kunci yang ditetapkan ke Amazon Keyspaces adalah kunci enkripsi simetris yang diaktifkan.



Untuk meninjau kebijakan dalam `JSON` format, lihat [AmazonKeyspacesReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesReadOnlyAccess.html).

## AWS kebijakan terkelola: AmazonKeyspacesFullAccess
<a name="security-iam-awsmanpol-AmazonKeyspacesFullAccess"></a>





Anda dapat melampirkan kebijakan `AmazonKeyspacesFullAccess` ke identitas IAM Anda.



Kebijakan ini memberikan izin administratif yang memungkinkan administrator Anda mengakses tanpa batas ke Amazon Keyspaces.



**Detail izin**

Kebijakan ini mencakup izin berikut.




+ `Amazon Keyspaces`— Memungkinkan prinsipal mengakses sumber daya Amazon Keyspaces apa pun dan melakukan semua tindakan.
+ `Application Auto Scaling`— Memungkinkan prinsipal untuk membuat, melihat, dan menghapus kebijakan penskalaan otomatis untuk tabel Amazon Keyspaces. Ini diperlukan agar administrator dapat mengelola kebijakan penskalaan otomatis untuk tabel Amazon Keyspaces.
+ `CloudWatch`— Memungkinkan kepala sekolah melihat ukuran tabel yang dapat ditagih serta membuat, melihat, dan menghapus alarm CloudWatch untuk kebijakan penskalaan otomatis Amazon Keyspaces. Ini diperlukan agar administrator dapat melihat ukuran tabel yang dapat ditagih dan membuat dasbor. CloudWatch 
+ `IAM`— Memungkinkan Amazon Keyspaces untuk membuat peran terkait layanan dengan IAM secara otomatis ketika fitur berikut diaktifkan:
  + `Amazon Keyspaces CDC streams`— Saat administrator mengaktifkan aliran untuk tabel, Amazon Keyspaces membuat [AWSServiceRoleForAmazonKeyspacesCDC peran terkait layanan untuk mempublikasikan CloudWatch metrik ke akun](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) Anda atas nama Anda.
  + `Application Auto Scaling`— Saat administrator mengaktifkan Application Auto Scaling untuk sebuah tabel, Amazon Keyspaces membuat peran terkait layanan [AWSServiceRoleForApplicationAutoScaling\$1CassandraTable](using-service-linked-roles-app-auto-scaling.md#service-linked-role-permissions-app-auto-scaling)untuk melakukan tindakan penskalaan otomatis atas nama Anda.
  + `Amazon Keyspaces multi-Region replication`— Saat administrator membuat ruang kunci Multi-wilayah baru, atau menambahkan yang baru Wilayah AWS ke ruang kunci Wilayah Tunggal yang ada, Amazon Keyspaces membuat [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)peran terkait layanan untuk melakukan replikasi tabel, data, dan metadata ke Wilayah yang dipilih atas nama Anda.
+ `AWS KMS`— Memungkinkan kepala sekolah untuk melihat kunci yang dikonfigurasi di. AWS KMS Ini diperlukan agar pengguna dapat melihat AWS KMS kunci yang mereka buat dan kelola di akun mereka untuk mengonfirmasi bahwa kunci yang ditetapkan ke Amazon Keyspaces adalah kunci enkripsi simetris yang diaktifkan.
+ `Amazon EC2`— Memungkinkan prinsipal yang terhubung ke Amazon Keyspaces melalui titik akhir VPC untuk menanyakan VPC di instans Amazon EC2 Anda untuk informasi titik akhir dan antarmuka jaringan. Akses hanya-baca ke instans Amazon EC2 ini diperlukan agar Amazon Keyspaces dapat mencari dan menyimpan titik akhir VPC antarmuka yang tersedia dalam tabel yang digunakan untuk penyeimbangan beban koneksi. `system.peers`



Untuk meninjau kebijakan dalam `JSON` format, lihat [AmazonKeyspacesFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonKeyspacesFullAccess.html).

## AWS kebijakan terkelola: Keyspaces CDCService RolePolicy
<a name="security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy"></a>





Anda tidak dapat melampirkan `KeyspacesCDCServiceRolePolicy` ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Amazon Keyspaces melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk aliran CDC Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).



Kebijakan ini memberikan izin yang diperlukan ke peran terkait layanan untuk memublikasikan data metrik aliran CDC `AWSServiceRoleForAmazonKeyspacesCDC` Amazon Keyspaces atas nama Anda. CloudWatch 



**Detail izin**

Kebijakan ini mencakup izin berikut.




+ `CloudWatch`— Memungkinkan service-linked-role [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) mempublikasikan data metrik dari Amazon Keyspaces CDC stream ke dalam akun Anda `"cloudwatch:namespace": "AWS/Cassandra"` atas nama CloudWatch Anda.



Untuk meninjau kebijakan dalam `JSON` format, lihat [Keyspaces CDCService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html).





## Amazon Keyspaces memperbarui kebijakan terkelola AWS
<a name="security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon Keyspaces sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat dokumen untuk Amazon Keyspaces (untuk Apache Cassandra)](doc-history.md).




| Perubahan | Deskripsi | Date | 
| --- | --- | --- | 
|  [Keyspaces CDCService RolePolicy - Kebijakan](#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy) baru  |  Amazon Keyspaces menambahkan kebijakan terkelola baru yang memberikan izin `KeyspacesCDCServiceRolePolicy` yang diperlukan ke peran terkait layanan untuk `AWSServiceRoleForAmazonKeyspacesCDC` mempublikasikan data metrik aliran CDC Amazon Keyspaces atas nama Anda. CloudWatch Untuk informasi selengkapnya, lihat [Menggunakan peran untuk aliran CDC Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).  | 02 Juli 2025 | 
|  [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess_v2) - Perbarui ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan prinsipal IAM melihat aliran CDC Amazon Keyspaces. Untuk informasi selengkapnya, lihat [Lihat aliran CDC di Amazon Keyspaces](keyspaces-view-cdc.md).  | 02 Juli 2025 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan prinsipal IAM melihat aliran CDC Amazon Keyspaces. Untuk informasi selengkapnya, lihat [Lihat aliran CDC di Amazon Keyspaces](keyspaces-view-cdc.md).  | 02 Juli 2025 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces membuat kebijakan `KeyspacesCDCServiceRolePolicy` terkelola untuk peran terkait layanan [AWSServiceRoleForAmazonKeyspacesCDC](using-service-linked-roles-CDC-streams.md#service-linked-role-permissions-CDC-streams) untuk menambahkan izin yang diperlukan saat administrator mengaktifkan aliran untuk tabel. Amazon Keyspaces menggunakan peran terkait layanan `AWSServiceRoleForAmazonKeyspacesCDC` untuk mempublikasikan CloudWatch metrik ke akun Anda atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk aliran CDC Amazon Keyspaces](using-service-linked-roles-CDC-streams.md).  | 02 Juli 2025 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces memperbarui peran yang `KeyspacesReplicationServiceRolePolicy` ditautkan layanan [AWSServiceRoleForAmazonKeyspacesReplication](using-service-linked-roles-multi-region-replication.md#service-linked-role-permissions-multi-region-replication)untuk menambahkan izin yang diperlukan saat administrator menambahkan yang baru Wilayah AWS ke ruang kunci tunggal atau Multi-wilayah. Amazon Keyspaces menggunakan peran terkait layanan `AWSServiceRoleForAmazonKeyspacesReplication` untuk mereplikasi tabel, pengaturannya, dan data atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk Replikasi Multi-Region Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md).  | November 19, 2024 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan Amazon Keyspaces membuat peran terkait layanan saat administrator menambahkan Wilayah baru ke ruang kunci tunggal atau Multi-wilayah. Amazon Keyspaces menggunakan peran terkait layanan untuk melakukan tugas replikasi data atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk Replikasi Multi-Region Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md).  | 3 Oktober 2023 | 
|  [AmazonKeyspacesReadOnlyAccess\$1v2](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) - Kebijakan baru  |  Amazon Keyspaces membuat kebijakan baru untuk menambahkan izin hanya-baca bagi klien yang terhubung ke Amazon Keyspaces melalui titik akhir VPC antarmuka untuk mengakses instans Amazon EC2 guna mencari informasi jaringan. Amazon Keyspaces menyimpan titik akhir VPC antarmuka yang tersedia dalam `system.peers` tabel untuk penyeimbangan beban koneksi. Untuk informasi selengkapnya, lihat [Menggunakan Amazon Keyspaces dengan titik akhir VPC antarmuka](vpc-endpoints.md).  | 12 September 2023 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan Amazon Keyspaces membuat peran terkait layanan saat administrator membuat ruang kunci Multi-wilayah. Amazon Keyspaces menggunakan peran terkait layanan `AWSServiceRoleForAmazonKeyspacesReplication` untuk melakukan tugas replikasi data atas nama Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran untuk Replikasi Multi-Region Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md).  | Juni 5, 2023 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan pengguna melihat ukuran tabel yang dapat ditagih menggunakan. CloudWatch Amazon Keyspaces terintegrasi dengan Amazon CloudWatch untuk memungkinkan Anda memantau ukuran tabel yang dapat ditagih. Untuk informasi selengkapnya, lihat [Metrik Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions).  | Juli 7, 2022 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan pengguna melihat ukuran tabel yang dapat ditagih menggunakan. CloudWatch Amazon Keyspaces terintegrasi dengan Amazon CloudWatch untuk memungkinkan Anda memantau ukuran tabel yang dapat ditagih. Untuk informasi selengkapnya, lihat [Metrik Amazon Keyspaces](metrics-dimensions.md#keyspaces-metrics-dimensions).  | Juli 7, 2022 | 
|  [AmazonKeyspacesReadOnlyAccess](#security-iam-awsmanpol-AmazonKeyspacesReadOnlyAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan pengguna melihat AWS KMS kunci yang telah dikonfigurasi untuk enkripsi Amazon Keyspaces saat istirahat. Enkripsi Amazon Keyspaces saat istirahat terintegrasi dengan AWS KMS untuk melindungi dan mengelola kunci enkripsi yang digunakan untuk mengenkripsi data saat istirahat. Untuk melihat AWS KMS kunci yang dikonfigurasi untuk Amazon Keyspaces, izin hanya-baca telah ditambahkan.  | 1 Juni 2021 | 
|  [AmazonKeyspacesFullAccess](#security-iam-awsmanpol-AmazonKeyspacesFullAccess) – Pembaruan ke kebijakan yang ada  |  Amazon Keyspaces menambahkan izin baru untuk memungkinkan pengguna melihat AWS KMS kunci yang telah dikonfigurasi untuk enkripsi Amazon Keyspaces saat istirahat. Enkripsi Amazon Keyspaces saat istirahat terintegrasi dengan AWS KMS untuk melindungi dan mengelola kunci enkripsi yang digunakan untuk mengenkripsi data saat istirahat. Untuk melihat AWS KMS kunci yang dikonfigurasi untuk Amazon Keyspaces, izin hanya-baca telah ditambahkan.  | 1 Juni 2021 | 
|  Amazon Keyspaces mulai melacak perubahan  |  Amazon Keyspaces mulai melacak perubahan untuk kebijakan AWS terkelolanya.  | 1 Juni 2021 | 

# Memecahkan masalah identitas dan akses Amazon Keyspaces
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon Keyspaces dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Amazon Keyspaces](#security_iam_troubleshoot-no-permissions)
+ [Saya memodifikasi pengguna atau peran IAM dan perubahan tidak segera berlaku](#security_iam_troubleshoot-effect)
+ [Saya tidak dapat memulihkan tabel menggunakan point-in-time pemulihan Amazon Keyspaces (PITR)](#security_iam_troubleshoot-pitr)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya seorang administrator dan ingin mengizinkan orang lain mengakses Amazon Keyspaces](#security_iam_troubleshoot-admin-delegate)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS mengakses sumber daya Amazon Keyspaces saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di Amazon Keyspaces
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberikan nama pengguna dan kata sandi Anda.

Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk melihat detail tentang *table* tetapi tidak memiliki `cassandra:Select` izin untuk tabel.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cassandra:Select on resource: mytable
```

Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `mytable` menggunakan tindakan `cassandra:Select`.

## Saya memodifikasi pengguna atau peran IAM dan perubahan tidak segera berlaku
<a name="security_iam_troubleshoot-effect"></a>

Perubahan kebijakan IAM dapat memakan waktu hingga 10 menit untuk diterapkan pada aplikasi dengan koneksi yang sudah ada dan telah ditetapkan ke Amazon Keyspaces. Perubahan kebijakan IAM segera berlaku ketika aplikasi membuat koneksi baru. Jika Anda telah membuat modifikasi pada pengguna atau peran IAM yang ada, dan itu belum segera berlaku, tunggu selama 10 menit atau putuskan sambungan dan sambungkan kembali ke Amazon Keyspaces.

## Saya tidak dapat memulihkan tabel menggunakan point-in-time pemulihan Amazon Keyspaces (PITR)
<a name="security_iam_troubleshoot-pitr"></a>

Jika Anda mencoba memulihkan tabel Amazon Keyspaces dengan point-in-time pemulihan (PITR), dan Anda melihat proses pemulihan dimulai, tetapi tidak berhasil diselesaikan, Anda mungkin belum mengonfigurasi semua izin yang diperlukan yang diperlukan oleh proses pemulihan. Anda harus menghubungi administrator untuk mendapatkan bantuan dan meminta orang tersebut memperbarui kebijakan Anda agar Anda dapat memulihkan tabel di Amazon Keyspaces. 

Selain izin pengguna, Amazon Keyspaces mungkin memerlukan izin untuk melakukan tindakan selama proses pemulihan atas nama kepala sekolah Anda. Ini adalah kasus jika tabel dienkripsi dengan kunci yang dikelola pelanggan, atau jika Anda menggunakan kebijakan IAM yang membatasi lalu lintas masuk. Misalnya, jika Anda menggunakan kunci kondisi dalam kebijakan IAM Anda untuk membatasi lalu lintas sumber ke titik akhir atau rentang IP tertentu, operasi pemulihan gagal. Untuk mengizinkan Amazon Keyspaces menjalankan operasi pemulihan tabel atas nama kepala sekolah, Anda harus menambahkan kunci kondisi `aws:ViaAWSService` global dalam kebijakan IAM.

Untuk informasi selengkapnya tentang izin untuk memulihkan tabel, lihat[Konfigurasikan izin IAM tabel pemulihan untuk Amazon Keyspaces PITR](howitworks_restore_permissions.md).

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon Keyspaces.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Amazon Keyspaces. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya seorang administrator dan ingin mengizinkan orang lain mengakses Amazon Keyspaces
<a name="security_iam_troubleshoot-admin-delegate"></a>

Untuk mengizinkan orang lain mengakses Amazon Keyspaces, Anda harus memberikan izin kepada orang atau aplikasi yang memerlukan akses. Jika Anda menggunakan AWS IAM Identity Center untuk mengelola orang dan aplikasi, Anda menetapkan set izin kepada pengguna atau grup untuk menentukan tingkat akses mereka. Set izin secara otomatis membuat dan menetapkan kebijakan IAM ke peran IAM yang terkait dengan orang atau aplikasi. Untuk informasi selengkapnya, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di *Panduan AWS IAM Identity Center Pengguna*.

Jika Anda tidak menggunakan IAM Identity Center, Anda harus membuat entitas IAM (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Anda kemudian harus melampirkan kebijakan ke entitas yang memberi mereka izin yang benar di Amazon Keyspaces. Setelah izin diberikan, berikan kredensialnya kepada pengguna atau pengembang aplikasi. Mereka akan menggunakan kredensi tersebut untuk mengakses. AWS*Untuk mempelajari selengkapnya tentang membuat pengguna, grup, kebijakan, dan izin IAM, lihat [Identitas dan Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [dan izin di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*

## Saya ingin mengizinkan orang di luar saya Akun AWS mengakses sumber daya Amazon Keyspaces saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Amazon Keyspaces mendukung fitur ini, lihat. [Cara Amazon Keyspaces bekerja dengan IAM](security_iam_service-with-iam.md)
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# Menggunakan peran terkait layanan untuk Amazon Keyspaces
<a name="using-service-linked-roles"></a>

[Amazon Keyspaces (untuk Apache Cassandra) menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon Keyspaces. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon Keyspaces dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS 

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

**Topics**
+ [Menggunakan peran untuk penskalaan otomatis aplikasi Amazon Keyspaces](using-service-linked-roles-app-auto-scaling.md)
+ [Menggunakan peran untuk Replikasi Multi-Region Amazon Keyspaces](using-service-linked-roles-multi-region-replication.md)
+ [Menggunakan peran untuk aliran CDC Amazon Keyspaces](using-service-linked-roles-CDC-streams.md)

# Menggunakan peran untuk penskalaan otomatis aplikasi Amazon Keyspaces
<a name="using-service-linked-roles-app-auto-scaling"></a>

[Amazon Keyspaces (untuk Apache Cassandra) menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon Keyspaces. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon Keyspaces dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS 

Peran terkait layanan membuat pengaturan Amazon Keyspaces lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon Keyspaces mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Amazon Keyspaces yang dapat mengambil perannya. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah terlebih dahulu menghapus sumber dayanya yang terkait. Ini melindungi sumber daya Amazon Keyspaces karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

## Izin peran terkait layanan untuk Amazon Keyspaces
<a name="service-linked-role-permissions-app-auto-scaling"></a>

Amazon Keyspaces menggunakan peran terkait layanan bernama **AWSServiceRoleForApplicationAutoScaling\$1CassandraTable**untuk memungkinkan Application Auto Scaling memanggil Amazon Keyspaces dan Amazon atas nama Anda. CloudWatch 

Peran AWSServiceRoleForApplicationAutoScaling\$1CassandraTable terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `cassandra.application-autoscaling.amazonaws.com`

Kebijakan izin peran memungkinkan Application Auto Scaling untuk menyelesaikan tindakan berikut pada resource Amazon Keyspaces yang ditentukan:
+ Tindakan: `cassandra:Select` pada `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ Tindakan: `cassandra:Select` pada sumber daya `arn:*:cassandra:*:*:/keyspace/system_schema/table/*`
+ Tindakan: `cassandra:Select` pada sumber daya `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*`
+ Tindakan: `cassandra:Alter` pada sumber daya `arn:*:cassandra:*:*:"*"`

## Membuat peran terkait layanan untuk Amazon Keyspaces
<a name="create-service-linked-role-app-auto-scaling"></a>

Anda tidak perlu membuat peran terkait layanan secara manual untuk penskalaan otomatis Amazon Keyspaces. Saat Anda mengaktifkan penskalaan otomatis Amazon Keyspaces pada tabel dengan Konsol Manajemen AWS, CQL, atau API, Application AWS Auto Scaling akan membuat peran terkait layanan untuk Anda. AWS CLI

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan penskalaan otomatis Amazon Keyspaces untuk sebuah tabel, Application Auto Scaling akan membuat peran terkait layanan untuk Anda lagi.

**penting**  
 Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

## Mengedit peran terkait layanan untuk Amazon Keyspaces
<a name="edit-service-linked-role-app-auto-scaling"></a>

Amazon Keyspaces tidak memungkinkan Anda mengedit peran terkait AWSServiceRoleForApplicationAutoScaling\$1CassandraTable layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk Amazon Keyspaces
<a name="delete-service-linked-role-app-auto-scaling"></a>

Jika Anda tidak lagi memerlukan penggunaan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda untuk menghapus peran tersebut. Dengan begitu Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus terlebih dahulu menonaktifkan penskalaan otomatis pada semua tabel di akun Wilayah AWS sebelum Anda dapat menghapus peran terkait layanan secara manual. Untuk menonaktifkan penskalaan otomatis pada tabel Amazon Keyspaces, lihat. [Matikan penskalaan otomatis Amazon Keyspaces untuk tabel](autoscaling.turnoff.md)

**catatan**  
Jika penskalaan otomatis Amazon Keyspaces menggunakan peran saat Anda mencoba memodifikasi sumber daya, maka deregistrasi mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForApplicationAutoScaling\$1CassandraTable terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.

**catatan**  
Untuk menghapus peran terkait layanan yang digunakan oleh penskalaan otomatis Amazon Keyspaces, Anda harus terlebih dahulu menonaktifkan penskalaan otomatis pada semua tabel di akun.

## Wilayah yang Didukung untuk peran terkait layanan Amazon Keyspaces
<a name="slr-regions-app-auto-scaling"></a>

Amazon Keyspaces mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [Titik akhir layanan untuk Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html).

# Menggunakan peran untuk Replikasi Multi-Region Amazon Keyspaces
<a name="using-service-linked-roles-multi-region-replication"></a>

[Amazon Keyspaces (untuk Apache Cassandra) menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon Keyspaces. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon Keyspaces dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS 

Peran terkait layanan membuat pengaturan Amazon Keyspaces lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon Keyspaces mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Amazon Keyspaces yang dapat mengambil perannya. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah terlebih dahulu menghapus sumber dayanya yang terkait. Ini melindungi sumber daya Amazon Keyspaces karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

## Izin peran terkait layanan untuk Amazon Keyspaces
<a name="service-linked-role-permissions-multi-region-replication"></a>

Amazon Keyspaces menggunakan peran terkait layanan bernama untuk memungkinkan **AWSServiceRoleForAmazonKeyspacesReplication**Amazon Keyspaces menambahkan baru Wilayah AWS ke ruang kunci atas nama Anda, dan mereplikasi tabel serta semua data serta pengaturannya ke Wilayah baru. Peran ini juga memungkinkan Amazon Keyspaces untuk mereplikasi penulisan ke tabel di semua Wilayah atas nama Anda.

Peran AWSService RoleForAmazonKeyspacesReplication terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `replication.cassandra.amazonaws.com`

Kebijakan izin peran bernama KeyspacesReplicationServiceRolePolicy memungkinkan Amazon Keyspaces menyelesaikan tindakan berikut:
+ Tindakan: `cassandra:Select` 
+ Tindakan: `cassandra:SelectMultiRegionResource` 
+ Tindakan: `cassandra:Modify` 
+ Tindakan: `cassandra:ModifyMultiRegionResource` 
+ Tindakan: `cassandra:AlterMultiRegionResource`
+ Tindakan: `application-autoscaling:RegisterScalableTarget` — Amazon Keyspaces menggunakan izin penskalaan otomatis aplikasi saat Anda menambahkan replika ke satu tabel Wilayah dalam mode yang disediakan dengan penskalaan otomatis diaktifkan. 
+ Tindakan: `application-autoscaling:DeregisterScalableTarget` 
+ Tindakan: `application-autoscaling:DescribeScalableTargets` 
+ Tindakan: `application-autoscaling:PutScalingPolicy` 
+ Tindakan: `application-autoscaling:DescribeScalingPolicies` 
+ Tindakan: `cassandra:Alter`
+ Tindakan: `cloudwatch:DeleteAlarms`
+ Tindakan: `cloudwatch:DescribeAlarms`
+ Tindakan: `cloudwatch:PutMetricAlarm`

Meskipun peran terkait layanan Amazon Keyspaces AWSService RoleForAmazonKeyspacesReplication memberikan izin: “Tindakan:” untuk Nama Sumber Daya Amazon (ARN) yang ditentukan “arn: \$1” dalam kebijakan, Amazon Keyspaces menyediakan ARN akun Anda.

Izin untuk membuat peran terkait layanan disertakan dalam AWSService RoleForAmazonKeyspacesReplication kebijakan terkelola. `AmazonKeyspacesFullAccess` Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).

Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.

## Membuat peran terkait layanan untuk Amazon Keyspaces
<a name="create-service-linked-role-multi-region-replication"></a>

Anda tidak dapat membuat peran terkait layanan secara manual. Saat Anda membuat ruang kunci Multi-wilayah di, API Konsol Manajemen AWS, atau AWS API AWS CLI, Amazon Keyspaces akan membuat peran terkait layanan untuk Anda. 

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat ruang kunci Multi-wilayah, Amazon Keyspaces akan membuat peran terkait layanan untuk Anda lagi. 

## Mengedit peran terkait layanan untuk Amazon Keyspaces
<a name="edit-service-linked-role-multi-region-replication"></a>

Amazon Keyspaces tidak memungkinkan Anda mengedit peran terkait AWSService RoleForAmazonKeyspacesReplication layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus peran terkait layanan untuk Amazon Keyspaces
<a name="delete-service-linked-role-multi-region-replication"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun, Anda harus terlebih dahulu menghapus semua ruang kunci Multi-wilayah di seluruh akun Wilayah AWS sebelum Anda dapat menghapus peran terkait layanan secara manual. 

### Membersihkan peran terkait layanan
<a name="service-linked-role-review-before-delete-multi-region-replication"></a>

Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu menghapus ruang kunci Multi-wilayah dan tabel yang digunakan oleh peran tersebut.

**catatan**  
Jika layanan Amazon Keyspaces menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus sumber daya Amazon Keyspaces yang digunakan oleh AWSService RoleForAmazonKeyspacesReplication (konsol)**

1. [Masuk ke Konsol Manajemen AWS, dan buka konsol Amazon Keyspaces di https://console.aws.amazon.com/keyspaces/ rumah.](https://console.aws.amazon.com/keyspaces/home)

1. Pilih **Keyspaces dari panel** sisi kiri.

1. Pilih semua ruang kunci Multi-wilayah dari daftar.

1. Pilih **Hapus** konfirmasi penghapusan dan pilih **Hapus** ruang kunci.

Anda juga dapat menghapus ruang kunci Multi-region secara terprogram menggunakan salah satu metode berikut.
+ Pernyataan Cassandra Query Language (CQL). [JATUHKAN RUANG KUNCI](cql.ddl.keyspace.md#cql.ddl.keyspace.drop)
+ Operasi [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) dari CLI. AWS 
+ [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html)Pengoperasian Amazon Keyspaces API.

### Menghapus peran tertaut layanan secara manual
<a name="slr-manual-delete-multi-region-replication"></a>

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForAmazonKeyspacesReplication terkait layanan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran terkait layanan Amazon Keyspaces
<a name="slr-regions-multi-region-replication"></a>

Amazon Keyspaces tidak mendukung penggunaan peran terkait layanan di setiap Wilayah tempat layanan tersedia. Anda dapat menggunakan AWSService RoleForAmazonKeyspacesReplication peran di Wilayah berikut.


****  

| Nama wilayah | Identitas wilayah | Support di Amazon Keyspaces | 
| --- | --- | --- | 
| US East (Northern Virginia) | us-east-1 | Ya | 
| US East (Ohio) | us-east-2 | Ya | 
| US West (N. California) | us-west-1 | Ya | 
| US West (Oregon) | us-west-2 | Ya | 
| Asia Pacific (Mumbai) | ap-south-1 | Ya | 
| Asia Pacific (Osaka) | ap-northeast-3 | Ya | 
| Asia Pacific (Seoul) | ap-northeast-2 | Ya | 
| Asia Pacific (Singapore) | ap-southeast-1 | Ya | 
| Asia Pacific (Sydney) | ap-southeast-2 | Ya | 
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya | 
| Canada (Central) | ca-sentral-1 | Ya | 
| Eropa (Frankfurt) | eu-central-1 | Ya | 
| Eropa (Irlandia) | eu-west-1 | Ya | 
| Eropa (London) | eu-west-2 | Ya | 
| Europe (Paris) | eu-west-3 | Ya | 
| Africa (Cape Town) | af-south-1 | Ya | 
| South America (São Paulo) | sa-east-1 | Ya | 
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Tidak | 
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Tidak | 

# Menggunakan peran untuk aliran CDC Amazon Keyspaces
<a name="using-service-linked-roles-CDC-streams"></a>

[Amazon Keyspaces (untuk Apache Cassandra) menggunakan peran terkait layanan AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon Keyspaces. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon Keyspaces dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS 

Peran terkait layanan membuat pengaturan Amazon Keyspaces lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon Keyspaces mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Amazon Keyspaces yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda tidak dapat menghapus peran terkait layanan.

## Izin peran terkait layanan untuk Amazon Keyspaces
<a name="service-linked-role-permissions-CDC-streams"></a>

Amazon Keyspaces menggunakan peran terkait layanan bernama CDC untuk memungkinkan aliran **AWSServiceRoleForAmazonKeyspacesCDC** Amazon Keyspaces mempublikasikan metrik ke CloudWatch akun Anda atas nama Anda. 

Peran terkait layanan AWSService RoleForAmazonKeyspaces CDC mempercayai layanan berikut untuk mengambil peran:
+ `cassandra-streams.amazonaws.com`

Kebijakan izin peran bernama [CDCServiceRolePolicyKeyspaces](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) memungkinkan Amazon Keyspaces untuk menyelesaikan tindakan berikut pada resource di namespace: CloudWatch `AWS/Cassandra`
+ Tindakan: `cloudwatch:PutMetricData` pada `*`

   AWSServiceRoleForAmazonKeyspacesCDC menyediakan izin: Tindakan: cloudwatch: PutMetricData pada semua sumber daya yang cocok dengan kondisi berikut:. `"cloudwatch:namespace": "AWS/Cassandra"` 

Untuk informasi selengkapnya tentang Keyspaces CDCServiceRolePolicy, lihat. [AWS kebijakan terkelola: Keyspaces CDCService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)

Untuk mengaktifkan aliran CDC untuk tabel, yang secara otomatis membuat AWSService RoleForAmazonKeyspaces CDC peran terkait layanan, prinsipal IAM memerlukan izin berikut.

```
{
    "Sid": "KeyspacesCDCServiceLinkedRole",
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
    "Condition": {
    "StringLike": {
        "iam:AWSServiceName": "cassandra-streams.amazonaws.com"
    }
}
```

Izin untuk membuat AWSService RoleForAmazonKeyspaces CDC peran terkait layanan disertakan dalam kebijakan terkelola. `AmazonKeyspacesFullAccess` Untuk informasi selengkapnya, lihat [AWS kebijakan terkelola: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess).

## Membuat peran terkait layanan untuk Amazon Keyspaces
<a name="create-service-linked-role-CDC-streams"></a>

Anda tidak perlu membuat peran terkait layanan secara manual untuk aliran CDC Amazon Keyspaces. Saat Anda mengaktifkan aliran CDC Amazon Keyspaces pada tabel dengan Konsol Manajemen AWS, CQL, API, AWS CLI atau API, AWS Amazon Keyspaces akan membuat peran terkait layanan untuk Anda. 

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan aliran CDC Amazon Keyspaces untuk tabel, Amazon Keyspaces akan membuat peran terkait layanan untuk Anda lagi.

## Mengedit peran terkait layanan untuk Amazon Keyspaces
<a name="edit-service-linked-role-CDC-streams"></a>

Amazon Keyspaces tidak memungkinkan Anda mengedit peran terkait layanan AWSService RoleForAmazonKeyspaces CDC. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk peran terkait layanan Amazon Keyspaces
<a name="slr-regions-CDC-streams"></a>

Amazon Keyspaces mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).

# Validasi kepatuhan untuk Amazon Keyspaces (untuk Apache Cassandra)
<a name="Keyspaces-compliance"></a>

Auditor pihak ketiga menilai keamanan dan kepatuhan Amazon Keyspaces (untuk Apache Cassandra) sebagai bagian dari beberapa program kepatuhan. AWS Ini termasuk:
+ ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC9001:2015. Untuk informasi selengkapnya, lihat [sertifikasi dan layanan AWS ISO dan CSA STAR](https://aws.amazon.com/compliance/iso-certified/).
+ Kontrol Sistem dan Organisasi (System and Organization Controls/SOC)
+ Industri Kartu Pembayaran (Payment Card Industry/PCI)
+ Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) Tinggi
+ Undang-Undang Akuntabilitas dan Portabilitas Asuransi Kesehatan (HIPAA)

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

# Ketahanan dan pemulihan bencana di Amazon Keyspaces
<a name="disaster-recovery-resiliency"></a>

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data. 

Amazon Keyspaces mereplikasi data secara otomatis tiga kali di beberapa AWS Availability Zone dalam hal yang sama Wilayah AWS untuk daya tahan dan ketersediaan tinggi.

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [infrastruktur AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).

Selain infrastruktur AWS global, Amazon Keyspaces menawarkan beberapa fitur untuk membantu mendukung ketahanan data dan kebutuhan pencadangan Anda.

**Replikasi multi-wilayah**  
Amazon Keyspaces menyediakan replikasi Multi-wilayah jika Anda perlu mereplikasi data atau aplikasi Anda pada jarak geografis yang lebih jauh. Anda dapat mereplikasi tabel Amazon Keyspaces Anda di Wilayah AWS berbagai pilihan Anda. Untuk informasi selengkapnya, lihat [Replikasi Multi-Wilayah untuk Amazon Keyspaces (untuk Apache Cassandra)](multiRegion-replication.md).

**Point-in-time pemulihan (PITR)**  
PITR membantu melindungi tabel Amazon Keyspaces Anda dari operasi penulisan atau penghapusan yang tidak disengaja dengan menyediakan pencadangan data tabel Anda secara terus menerus. Untuk informasi selengkapnya, lihat [oint-in-timePemulihan P untuk Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/PointInTimeRecovery.html).

# Keamanan infrastruktur di Amazon Keyspaces
<a name="infrastructure-security"></a>

Sebagai layanan terkelola, Amazon Keyspaces (untuk Apache Cassandra) dilindungi oleh keamanan jaringan global. AWS Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Amazon Keyspaces melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Amazon Keyspaces mendukung dua metode otentikasi permintaan klien. Metode pertama menggunakan kredensi khusus layanan, yang merupakan kredenal berbasis kata sandi yang dihasilkan untuk pengguna IAM tertentu. Anda dapat membuat dan mengelola kata sandi menggunakan konsol IAM, the AWS CLI, atau AWS API. Untuk informasi selengkapnya, lihat [Menggunakan IAM dengan Amazon Keyspaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mcs.html).

Metode kedua menggunakan plugin otentikasi untuk Driver DataStax Java open-source untuk Cassandra. [Plugin ini memungkinkan [pengguna IAM, peran, dan identitas federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) untuk menambahkan informasi otentikasi ke permintaan API Amazon Keyspaces (untuk Apache Cassandra) menggunakan proses Signature Version 4 (SiGv4).AWS](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) Untuk informasi selengkapnya, lihat [Membuat dan mengonfigurasi AWS kredensional untuk Amazon Keyspaces](access.credentials.md). 

Anda dapat memanggil operasi API ini dari lokasi jaringan mana pun, tetapi Amazon Keyspaces mendukung kebijakan akses berbasis sumber daya, yang dapat mencakup pembatasan berdasarkan alamat IP sumber. Anda juga dapat menggunakan kebijakan Amazon Keyspaces untuk mengontrol akses dari titik akhir Amazon Virtual Private Cloud (Amazon VPC) tertentu atau spesifik. VPCs Secara efektif, ini mengisolasi akses jaringan ke sumber daya Amazon Keyspaces tertentu hanya dari VPC tertentu dalam jaringan. AWS 

Anda dapat menggunakan titik akhir VPC antarmuka untuk menjaga lalu lintas antara Amazon VPC dan Amazon Keyspaces agar tidak meninggalkan jaringan Amazon. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang memungkinkan komunikasi pribadi antar AWS layanan menggunakan antarmuka elastic network dengan private di Amazon VPC IPs Anda. Lihat informasi yang lebih lengkap di [Menggunakan Amazon Keyspaces dengan titik akhir VPC antarmuka](vpc-endpoints.md). 

# Menggunakan Amazon Keyspaces dengan titik akhir VPC antarmuka
<a name="vpc-endpoints"></a>

Endpoint VPC antarmuka memungkinkan komunikasi pribadi antara virtual private cloud (VPC) Anda yang berjalan di Amazon VPC dan Amazon Keyspaces. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, yang merupakan AWS layanan yang memungkinkan komunikasi pribadi antara VPCs dan layanan. AWS 

AWS PrivateLink memungkinkan ini dengan menggunakan elastic network interface dengan alamat IP pribadi di VPC Anda sehingga lalu lintas jaringan tidak meninggalkan jaringan Amazon. VPC endpoint antarmuka tidak memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct Connect . Untuk informasi selengkapnya, lihat [titik akhir [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) dan Interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink

**Topics**
+ [Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces](#using-interface-vpc-endpoints)
+ [Mengisi entri `system.peers` tabel dengan informasi titik akhir VPC antarmuka](#system_peers)
+ [Mengontrol akses ke titik akhir VPC antarmuka untuk Amazon Keyspaces](#interface-vpc-endpoints-policies)
+ [Ketersediaan](#availability)
+ [Kebijakan titik akhir VPC dan pemulihan Amazon point-in-time Keyspaces (PITR)](#VPC_PITR_restore)
+ [Kesalahan dan peringatan umum](#vpc_troubleshooting)

## Menggunakan titik akhir VPC antarmuka untuk Amazon Keyspaces
<a name="using-interface-vpc-endpoints"></a>

Anda dapat membuat titik akhir VPC antarmuka sehingga lalu lintas antara Amazon Keyspaces dan sumber daya Amazon VPC Anda mulai mengalir melalui titik akhir VPC antarmuka. Untuk memulai, ikuti langkah-langkah untuk [membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint). Selanjutnya, edit grup keamanan yang terkait dengan titik akhir yang Anda buat pada langkah sebelumnya, dan konfigurasikan aturan masuk untuk port 9142. Untuk informasi selengkapnya, lihat [Menambahkan, menghapus, dan memperbarui aturan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules).

Untuk step-by-step tutorial mengonfigurasi koneksi ke Amazon Keyspaces melalui titik akhir VPC, lihat. [Tutorial: Connect ke Amazon Keyspaces menggunakan antarmuka VPC endpoint](vpc-endpoints-tutorial.md) Untuk mempelajari cara mengonfigurasi akses lintas akun untuk sumber daya Amazon Keyspaces yang terpisah dari aplikasi yang Akun AWS berbeda di VPC, lihat. [Konfigurasikan akses lintas akun ke Amazon Keyspaces dengan titik akhir VPC](access.cross-account.md)

## Mengisi entri `system.peers` tabel dengan informasi titik akhir VPC antarmuka
<a name="system_peers"></a>

Driver Apache Cassandra menggunakan `system.peers` tabel untuk meminta informasi node tentang cluster. Driver Cassandra menggunakan informasi node untuk memuat koneksi keseimbangan dan mencoba lagi operasi. Amazon Keyspaces mengisi sembilan entri dalam `system.peers` tabel secara otomatis untuk klien yang terhubung melalui titik akhir publik. 

Untuk menyediakan klien yang terhubung melalui titik akhir VPC antarmuka dengan fungsionalitas serupa, Amazon Keyspaces mengisi `system.peers` tabel di akun Anda dengan entri untuk setiap Availability Zone tempat titik akhir VPC tersedia. Untuk mencari dan menyimpan titik akhir VPC antarmuka yang tersedia dalam tabel`system.peers`, Amazon Keyspaces mengharuskan Anda memberikan entitas IAM yang digunakan untuk menyambung ke izin akses Amazon Keyspaces untuk menanyakan VPC Anda untuk informasi titik akhir dan antarmuka jaringan.

**penting**  
Mengisi `system.peers` tabel dengan titik akhir VPC antarmuka yang tersedia meningkatkan penyeimbangan beban dan meningkatkan throughput. read/write Disarankan untuk semua klien yang mengakses Amazon Keyspaces menggunakan titik akhir VPC antarmuka dan diperlukan untuk Apache Spark.

Untuk memberikan entitas IAM yang digunakan untuk menyambung ke izin Amazon Keyspaces untuk mencari informasi titik akhir VPC antarmuka yang diperlukan, Anda dapat memperbarui peran IAM atau kebijakan pengguna yang ada, atau membuat kebijakan IAM baru seperti yang ditunjukkan pada contoh berikut.

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"ListVPCEndpoints",
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeVpcEndpoints"
         ],
         "Resource":"*"
      }
   ]
}
```

**catatan**  
Kebijakan terkelola `AmazonKeyspacesReadOnlyAccess_v2` dan `AmazonKeyspacesFullAccess` menyertakan izin yang diperlukan agar Amazon Keyspaces mengakses instans Amazon EC2 untuk membaca informasi tentang titik akhir VPC antarmuka yang tersedia.

Untuk mengonfirmasi bahwa kebijakan telah disiapkan dengan benar, kueri `system.peers` tabel untuk melihat informasi jaringan. Jika `system.peers` tabel kosong, ini dapat menunjukkan bahwa kebijakan belum berhasil dikonfigurasi atau bahwa Anda telah melampaui kuota tingkat permintaan untuk `DescribeNetworkInterfaces` dan tindakan `DescribeVPCEndpoints` API. `DescribeVPCEndpoints`termasuk dalam `Describe*` kategori dan dianggap sebagai tindakan *non-mutasi.* `DescribeNetworkInterfaces`jatuh ke dalam subset *tindakan non-mutasi tanpa filter dan tanpa paginasi, dan kuota yang* berbeda berlaku. Untuk informasi selengkapnya, lihat [Meminta ukuran bucket token dan tarif isi ulang di Referensi](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/throttling.html#throttling-limits-rate-based) API Amazon EC2.

Jika Anda melihat tabel kosong, coba lagi beberapa menit kemudian untuk mengesampingkan masalah kuota tingkat permintaan. Untuk memverifikasi bahwa Anda telah mengonfigurasi titik akhir VPC dengan benar, lihat. [Koneksi titik akhir VPC saya tidak berfungsi dengan baik](troubleshooting.connecting.md#troubleshooting.connection.vpce) Jika kueri Anda menampilkan hasil dari tabel, kebijakan Anda telah dikonfigurasi dengan benar.



## Mengontrol akses ke titik akhir VPC antarmuka untuk Amazon Keyspaces
<a name="interface-vpc-endpoints-policies"></a>

Dengan kebijakan titik akhir VPC, Anda dapat mengontrol akses ke sumber daya dengan dua cara:
+ **Kebijakan IAM** — Anda dapat mengontrol permintaan, pengguna, atau grup yang diizinkan mengakses Amazon Keyspaces melalui titik akhir VPC tertentu. Anda dapat melakukannya dengan menggunakan [kunci kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam kebijakan yang dilampirkan ke pengguna, grup, atau peran IAM.
+ **Kebijakan VPC** — Anda dapat mengontrol titik akhir VPC mana yang memiliki akses ke sumber daya Amazon Keyspaces Anda dengan melampirkan kebijakan padanya. Untuk membatasi akses ke ruang kunci atau tabel tertentu agar hanya mengizinkan lalu lintas masuk melalui titik akhir VPC tertentu, edit kebijakan IAM yang ada yang membatasi akses sumber daya dan menambahkan titik akhir VPC tersebut. 



Berikut ini adalah contoh kebijakan endpoint untuk mengakses resource Amazon Keyspaces.
+ **Contoh kebijakan IAM: Batasi semua akses ke tabel Amazon Keyspaces tertentu kecuali lalu lintas berasal dari titik akhir VPC yang ditentukan** — Kebijakan sampel ini dapat dilampirkan ke pengguna, peran, atau grup IAM. Ini membatasi akses ke tabel Amazon Keyspaces tertentu kecuali lalu lintas masuk berasal dari titik akhir VPC tertentu.

  ```
  {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
        {
           "Sid": "UserOrRolePolicyToDenyAccess",
           "Action": "cassandra:*",
           "Effect": "Deny",
           "Resource": [
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
             ],
           "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-abc123" } }
        }
     ]
  }
  ```
**catatan**  
Untuk membatasi akses ke tabel tertentu, Anda juga harus menyertakan akses ke tabel sistem. Tabel sistem hanya-baca. 
+ **Contoh kebijakan VPC: Akses hanya-baca** — Kebijakan sampel ini dapat dilampirkan ke titik akhir VPC. (Untuk informasi selengkapnya, lihat [Mengontrol akses ke sumber daya Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies)). Ini membatasi tindakan untuk akses hanya-baca ke sumber daya Amazon Keyspaces melalui titik akhir VPC yang dilampirkan.

  ```
  {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
      {
        "Sid": "ReadOnly",
        "Principal": "*",
        "Action": [
          "cassandra:Select"
        ],
        "Effect": "Allow",
        "Resource": "*"
      }
    ]
  }
  ```
+ **Contoh kebijakan VPC: Batasi akses ke tabel Amazon Keyspaces tertentu** — Kebijakan contoh ini dapat dilampirkan ke titik akhir VPC. Ini membatasi akses ke tabel tertentu melalui titik akhir VPC yang dilampirkan.

  ```
  {
     "Version": "2012-10-17",		 	 	 
     "Statement": [
          {
              "Sid": "RestrictAccessToTable",
              "Principal": "*",
              "Action": "cassandra:*",
              "Effect": "Allow",
              "Resource": [
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable",
                          "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
             ]
          }
     ]
  }
  ```
**catatan**  
Untuk membatasi akses ke tabel tertentu, Anda juga harus menyertakan akses ke tabel sistem. Tabel sistem hanya-baca. 

## Ketersediaan
<a name="availability"></a>

Amazon Keyspaces mendukung penggunaan titik akhir VPC antarmuka di semua Wilayah AWS tempat layanan tersedia. Untuk informasi selengkapnya, lihat [Titik akhir layanan untuk Amazon Keyspaces](programmatic.endpoints.md).

## Kebijakan titik akhir VPC dan pemulihan Amazon point-in-time Keyspaces (PITR)
<a name="VPC_PITR_restore"></a>

Jika Anda menggunakan kebijakan IAM dengan [kunci kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) untuk membatasi lalu lintas masuk, operasi pemulihan tabel mungkin gagal. Misalnya, jika Anda membatasi lalu lintas sumber ke titik akhir VPC tertentu `aws:SourceVpce` menggunakan tombol kondisi, operasi pemulihan tabel gagal. Untuk mengizinkan Amazon Keyspaces melakukan operasi pemulihan atas nama kepala sekolah, Anda harus menambahkan kunci `aws:ViaAWSService` kondisi ke kebijakan IAM Anda. Kunci `aws:ViaAWSService` kondisi memungkinkan akses ketika AWS layanan apa pun membuat permintaan menggunakan kredensi kepala sekolah. Untuk informasi selengkapnya, lihat [elemen kebijakan IAM JSON: Kunci kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di Panduan Pengguna *IAM*. Kebijakan berikut adalah contohnya. 

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"CassandraAccessForVPCE",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "StringEquals":{
               "aws:SourceVpce":[
                  "vpce-12345678901234567"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}
```

## Kesalahan dan peringatan umum
<a name="vpc_troubleshooting"></a>

**Jika Anda menggunakan Amazon Virtual Private Cloud dan terhubung ke Amazon Keyspaces, Anda mungkin melihat peringatan berikut.**

```
Control node cassandra.us-east-1.amazonaws.com/1.111.111.111:9142 has an entry for itself in system.peers: this entry will be ignored. This is likely due to a misconfiguration; 
please verify your rpc_address configuration in cassandra.yaml on all nodes in your cluster.
```

Peringatan ini terjadi karena `system.peers` tabel berisi entri untuk semua titik akhir VPC Amazon yang memiliki izin untuk dilihat oleh Amazon Keyspaces, termasuk titik akhir Amazon VPC yang Anda sambungkan. Anda dapat dengan aman mengabaikan peringatan ini.

Untuk kesalahan lainnya, lihat[Koneksi titik akhir VPC saya tidak berfungsi dengan baik](troubleshooting.connecting.md#troubleshooting.connection.vpce).

# Menggunakan Amazon Keyspaces CDC stream dengan antarmuka VPC endpoint
<a name="vpc-endpoints-streams"></a>

Endpoint VPC antarmuka memungkinkan komunikasi pribadi antara virtual private cloud (VPC) Anda yang berjalan di Amazon VPC dan Amazon Keyspaces. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, yang merupakan AWS layanan yang memungkinkan komunikasi pribadi antara VPCs dan layanan. AWS 

AWS PrivateLink memungkinkan ini dengan menggunakan elastic network interface dengan alamat IP pribadi di VPC Anda sehingga lalu lintas jaringan tidak meninggalkan jaringan Amazon. VPC endpoint antarmuka tidak memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct Connect . Untuk informasi selengkapnya, lihat [titik akhir [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) dan Interface VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) ().AWS PrivateLink

**Topics**
+ [Menggunakan titik akhir VPC antarmuka untuk aliran CDC Amazon Keyspaces](#using-interface-vpc-endpoints-streams)
+ [Amazon Keyspaces CDC mengalirkan antarmuka titik akhir VPC](#interface-vpc-endpoints-streams-types)
+ [Buat Amazon Keyspaces CDC stream antarmuka titik akhir VPC](#create-interface-vpc-endpoints-streams)
+ [Memperbarui titik akhir VPC antarmuka streaming Amazon Keyspaces CDC](#update-interface-vpc-endpoints-streams)
+ [Daftar aliran menggunakan antarmuka aliran Amazon Keyspaces CDC titik akhir VPC](#list-interface-vpc-endpoints-streams)
+ [Membuat kebijakan untuk titik akhir VPC antarmuka streaming Amazon Keyspaces CDC](#interface-vpc-endpoints-streams-policy)

## Menggunakan titik akhir VPC antarmuka untuk aliran CDC Amazon Keyspaces
<a name="using-interface-vpc-endpoints-streams"></a>

Anda dapat menggunakan titik akhir VPC antarmuka sehingga lalu lintas antara aliran CDC Amazon Keyspaces dan sumber daya Amazon VPC Anda mulai mengalir melalui titik akhir VPC antarmuka. Anda dapat menggunakan kebijakan titik akhir VPC untuk membatasi akses ke aliran CDC Anda.

Untuk informasi selengkapnya tentang aliran CDC Amazon Keyspaces, lihat. [Bekerja dengan aliran change data capture (CDC) di Amazon Keyspaces](cdc.md)

## Amazon Keyspaces CDC mengalirkan antarmuka titik akhir VPC
<a name="interface-vpc-endpoints-streams-types"></a>

**Saat Anda membuat titik akhir antarmuka, Amazon Keyspaces CDC stream menghasilkan dua jenis nama DNS khusus titik akhir untuk aliran: Regional dan Zonal.**

**Regional**  
Nama DNS Regional mencakup informasi berikut:  
+ ID titik akhir VPC Amazon yang unik
+ pengenal layanan
+ yang Wilayah AWS
+ `vpce.amazonaws.com`sufiks
Untuk titik akhir VPC Amazon dengan ID`vpce-1a2b3c4d`, nama DNS yang dihasilkan mungkin terlihat mirip dengan contoh berikut:. `vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com`

**Zona**  
Nama DNS Zonal mencakup [Availability Zone](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/) selain informasi dalam nama DNS Regional. Nama DNS yang dihasilkan untuk titik akhir VPC Amazon dengan `vpce-1a2b3c4d` ID akan terlihat seperti pada contoh berikut, perhatikan bahwa sekarang menyertakan Availability Wilayah AWS Zone: `vpce-1a2b3c4d-5e6f-us-east-1a.cassandra-streams.us-east-1.vpce.amazonaws.com`  
Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Availability Zones. Contoh, Anda bisa menggunakannya untuk kontainer kesalahan atau untuk mengurangi biaya transfer data Regional.  
Untuk mencapai keandalan yang optimal, sebaiknya gunakan layanan Anda di minimal tiga Availability Zone.

## Buat Amazon Keyspaces CDC stream antarmuka titik akhir VPC
<a name="create-interface-vpc-endpoints-streams"></a>

Anda dapat menggunakan AWS CLI atau AWS SDK untuk mengakses operasi Amazon Keyspaces CDC Streams API melalui titik akhir antarmuka Amazon Keyspaces CDC Streams. Untuk daftar lengkap semua operasi API yang tersedia, lihat Referensi API [https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html](https://docs.aws.amazon.com/keyspaces/latest/StreamsAPIReference/Welcome.html).

Untuk informasi selengkapnya tentang cara membuat titik akhir VPC, lihat [membuat titik akhir antarmuka di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) Amazon VPC. 

Untuk membuat titik akhir VPC, Anda dapat menggunakan sintaks dalam contoh berikut.

```
aws ec2 create-vpc-endpoint \
  --region us-east-1 \
  --service-name api.aws.us-east-1.cassandra-streams \
  --vpc-id client-vpc-id \
  --subnet-ids client-subnet-id \
  --vpc-endpoint-type Interface \
  --security-group-ids client-sg-id
```

## Memperbarui titik akhir VPC antarmuka streaming Amazon Keyspaces CDC
<a name="update-interface-vpc-endpoints-streams"></a>

Untuk memperbarui titik akhir VPC, Anda dapat menggunakan sintaks dalam contoh berikut.

```
aws ec2 modify-vpc-endpoint \
  --region us-east-1 \
  --vpc-endpoint-id client-vpc-id \
  --policy-document policy-document \ #example optional parameter
  --add-security-group-ids security-group-ids \ #example optional parameter
```

## Daftar aliran menggunakan antarmuka aliran Amazon Keyspaces CDC titik akhir VPC
<a name="list-interface-vpc-endpoints-streams"></a>

Untuk membuat daftar aliran yang menggunakan titik akhir VPC, Anda dapat menggunakan sintaks dalam contoh berikut. Pastikan untuk mengganti Region dan nama DNS dari ID endpoint VPC dengan informasi Anda sendiri.

```
aws keyspacesstreams \
  --endpoint https://vpce-1a2b3c4d-5e6f.cassandra-streams.us-east-1.vpce.amazonaws.com \
  --region us-east-1 \
  list-streams
```

## Membuat kebijakan untuk titik akhir VPC antarmuka streaming Amazon Keyspaces CDC
<a name="interface-vpc-endpoints-streams-policy"></a>

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC Amazon yang mengontrol akses ke aliran CDC Amazon Keyspaces. Kebijakan titik akhir menentukan informasi berikut:
+ Prinsip AWS Identity and Access Management (IAM) yang dapat melakukan tindakan
+ Tindakan-tindakan yang dapat dilakukan
+ Sumber daya yang padanya tindakan dapat dilakukan

Untuk membatasi akses ke aliran CDC Amazon Keyspaces tertentu agar hanya mengizinkan AWS layanan tertentu di akses VPC Amazon Anda, Anda dapat menggunakan contoh berikut. 

Kebijakan aliran berikut memberikan akses ke setiap prinsipal IAM untuk tindakan `cassandra:GetStream` dan `cassandra:GetRecords` untuk aliran tertentu yang `2025-02-20T11:22:33.444` dilampirkan ke sumber daya `/keyspace/mykeyspace/table/mytable/` milik akun. `123456788901` Untuk menggunakan kebijakan titik akhir ini, pastikan untuk mengganti Region, ID akun, dan sumber daya dengan label stream.

```
{
"Version": "2012-10-17",		 	 	 
  "Id": "Policy1216114807515",
  "Statement": [
    { "Sid": "Access-to-specific-stream-only",
      "Principal": "*",
      "Action": [
        "cassandra:GetStream",
        "cassandra:GetRecords"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/table/mytable/stream/2025-02-20T11:22:33.444"]
    }
  ]
}
```

**catatan**  
Amazon Keyspaces tidak mendukung titik akhir Gateway untuk aliran CDC.

# Analisis konfigurasi dan kerentanan untuk Amazon Keyspaces
<a name="configuration-vulnerability"></a>

AWS menangani tugas-tugas keamanan dasar seperti sistem operasi tamu (OS) dan patch database, konfigurasi firewall, dan pemulihan bencana. Prosedur ini telah ditinjau dan disertifikasi oleh pihak ketiga yang sesuai. Untuk detail selengkapnya, lihat sumber daya berikut: 
+ [Model tanggung jawab bersama Model](https://aws.amazon.com/compliance/shared-responsibility-model/) 
+ [Amazon Web Services: Gambaran umum proses keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)(laporan resmi) 

# Praktik terbaik keamanan untuk Amazon Keyspaces
<a name="best-practices-security"></a>

Amazon Keyspaces (untuk Apache Cassandra) menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep. 

**Topics**
+ [Praktik terbaik keamanan preventif untuk Amazon Keyspaces](best-practices-security-preventative.md)
+ [Praktik terbaik keamanan Detektif untuk Amazon Keyspaces](best-practices-security-detective.md)

# Praktik terbaik keamanan preventif untuk Amazon Keyspaces
<a name="best-practices-security-preventative"></a>

Praktik terbaik keamanan berikut dianggap preventif karena dapat membantu Anda mengantisipasi dan mencegah insiden keamanan di Amazon Keyspaces.

**Gunakan enkripsi saat istirahat**  
[Amazon Keyspaces mengenkripsi semua data pengguna yang disimpan dalam tabel dengan menggunakan kunci enkripsi yang disimpan di ().AWS Key Management ServiceAWS KMS](https://aws.amazon.com/kms/) Hal ini memberi lapisan perlindungan data tambahan dengan mengamankan data Anda dari akses yang tidak sah ke penyimpanan dasar.  
Secara default, Amazon Keyspaces menggunakan file Kunci milik AWS untuk mengenkripsi semua tabel Anda. Jika kunci ini tidak ada, itu dibuat untuk Anda. Kunci default layanan tidak dapat dinonaktifkan.   
Atau, Anda dapat menggunakan [kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi saat istirahat. Untuk informasi selengkapnya, lihat [Enkripsi Amazon Keyspaces saat](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html) Istirahat.

**Menggunakan peran IAM untuk mengautentikasi akses ke Amazon Keyspaces**  
Agar pengguna, aplikasi, dan AWS layanan lain dapat mengakses Amazon Keyspaces, mereka harus menyertakan AWS kredensi yang valid dalam permintaan API mereka. AWS Anda tidak boleh menyimpan AWS kredensil secara langsung di aplikasi atau instans EC2. Ini adalah kredensial jangka panjang yang tidak dirotasi secara otomatis, dan karenanya dapat menimbulkan dampak bisnis yang signifikan jika dibobol. Peran IAM memungkinkan Anda memperoleh kunci akses sementara yang dapat digunakan untuk mengakses layanan dan sumber daya AWS .  
Untuk informasi lebih lanjut, lihat [Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

**Menggunakan kebijakan IAM untuk otorisasi dasar Amazon Keyspaces**  
Saat memberikan izin, Anda memutuskan siapa yang mendapatkannya, Amazon Keyspaces mana yang APIs mereka dapatkan izin, dan tindakan spesifik yang ingin Anda izinkan pada sumber daya tersebut. Menerapkan hak istimewa paling sedikit adalah kunci dalam mengurangi risiko keamanan dan dampak yang dapat dihasilkan dari kesalahan atau niat jahat.  
Lampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi di sumber daya Amazon Keyspaces.  
Anda dapat melakukan hal ini dengan cara berikut:  
+ [AWS kebijakan terkelola (standar)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)

**Menggunakan ketentuan kebijakan IAM untuk kontrol akses ketat**  
Bila Anda memberikan izin di Amazon Keyspaces, Anda dapat menentukan kondisi yang menentukan bagaimana kebijakan izin diterapkan. Menerapkan hak istimewa paling sedikit adalah kunci dalam mengurangi risiko keamanan dan dampak yang dapat dihasilkan dari kesalahan atau niat jahat.  
Anda dapat menetapkan syarat saat memberikan izin menggunakan kebijakan IAM. Misalnya, Anda dapat melakukan hal berikut:  
+ Berikan izin untuk memungkinkan pengguna akses hanya-baca ke ruang kunci atau tabel tertentu.
+ Berikan izin untuk mengizinkan pengguna menulis akses ke tabel tertentu, berdasarkan identitas pengguna tersebut.
 Untuk informasi selengkapnya, lihat Contoh Kebijakan [Berbasis Identitas](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).

**Pertimbangkan enkripsi di sisi klien**  
Jika Anda menyimpan data sensitif atau rahasia di Amazon Keyspaces, Anda mungkin ingin mengenkripsi data tersebut sedekat mungkin dengan asalnya sehingga data Anda terlindungi sepanjang siklus hidupnya. Mengenkripsi data bergerak dan data diam Anda yang sensitif membantu memastikan bahwa data plaintext Anda tidak tersedia untuk pihak ketiga mana pun.

# Praktik terbaik keamanan Detektif untuk Amazon Keyspaces
<a name="best-practices-security-detective"></a>

Praktik terbaik keamanan berikut dianggap detektif karena dapat membantu Anda mendeteksi potensi kelemahan dan insiden keamanan.

**Gunakan AWS CloudTrail untuk memantau AWS Key Management Service (AWS KMS) penggunaan AWS KMS kunci**  
Jika Anda menggunakan [AWS KMS kunci yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi saat istirahat, penggunaan kunci ini masuk AWS CloudTrail. CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dibuat pada AWS sumber daya Anda dan memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.  
Anda dapat menggunakan CloudTrail untuk mengaudit penggunaan kunci. CloudTrail membuat file log yang berisi riwayat panggilan AWS API dan peristiwa terkait untuk akun Anda. File log ini mencakup semua permintaan AWS KMS API yang dibuat menggunakan konsol, AWS SDKs, dan alat baris perintah, selain yang dibuat melalui AWS layanan terintegrasi. Anda dapat menggunakan file log ini untuk mendapatkan informasi tentang kapan AWS KMS kunci digunakan, operasi yang diminta, identitas pemohon, alamat IP tempat permintaan itu berasal, dan sebagainya. Untuk informasi selengkapnya, lihat [Pencatatan Panggilan API AWS Key Management Service dengan AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) dan [Panduan Pengguna AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

**Gunakan CloudTrail untuk memantau operasi bahasa definisi data (DDL) Amazon Keyspaces**  
CloudTrail memberikan visibilitas ke aktivitas pengguna dengan merekam tindakan yang diambil pada akun Anda. CloudTrail mencatat informasi penting tentang setiap tindakan, termasuk siapa yang membuat permintaan, layanan yang digunakan, tindakan yang dilakukan, parameter untuk tindakan, dan elemen respons yang dikembalikan oleh AWS layanan. Informasi ini membantu Anda melacak perubahan yang dilakukan pada AWS sumber daya Anda dan untuk memecahkan masalah operasional. CloudTrail membuatnya lebih mudah untuk memastikan kepatuhan terhadap kebijakan internal dan standar peraturan.  
Semua [operasi Amazon Keyspaces DDL](cql.ddl.md) masuk secara otomatis. CloudTrail Operasi DDL memungkinkan Anda membuat dan mengelola ruang kunci dan tabel Amazon Keyspaces.  
Saat aktivitas terjadi di Amazon Keyspaces, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat acara. Untuk informasi selengkapnya, lihat [Mencatat operasi Amazon Keyspaces dengan menggunakan](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). AWS CloudTrail Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Melihat CloudTrail peristiwa dengan riwayat peristiwa](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*.  
[Untuk catatan peristiwa yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk Amazon Keyspaces, buat jejak.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon Simple Storage Service (Amazon S3). Secara default, saat Anda membuat jejak di konsol, jejak berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log.

**Tandai sumber daya Amazon Keyspaces Anda untuk identifikasi dan otomatisasi**  
Anda dapat menetapkan metadata ke AWS sumber daya Anda dalam bentuk tag. Setiap tag adalah label sederhana yang terdiri dari kunci yang ditentukan pelanggan dan nilai opsional yang dapat membuatnya lebih mudah untuk mengelola, mencari, dan memfilter sumber daya.   
Penandaan memungkinkan implementasi kontrol berkelompok. Meskipun tidak ada jenis tanda yang melekat, tanda memungkinkan Anda untuk mengelompokkan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Berikut ini beberapa contohnya:  
+ Akses - Digunakan untuk mengontrol akses ke sumber daya Amazon Keyspaces berdasarkan tag. Untuk informasi selengkapnya, lihat [Otorisasi berdasarkan tag Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Keamanan — Digunakan untuk menentukan persyaratan seperti pengaturan perlindungan data.
+ Kerahasiaan — Pengidentifikasi untuk tingkat kerahasiaan data tertentu yang didukung sumber daya.
+ Lingkungan – Digunakan untuk membedakan antara pengembangan, pengujian, dan infrastruktur produksi. 
Untuk informasi selengkapnya, lihat [strategi AWS penandaan](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) dan [Menambahkan tag dan label ke sumber daya](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).