Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Best practice di sicurezza per Amazon Keyspaces
Amazon Keyspaces (per Apache Cassandra) offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
**Topics**
+ [Best practice di sicurezza preventiva per Amazon Keyspaces](best-practices-security-preventative.md)
+ [Best practice di sicurezza per i Detective per Amazon Keyspaces](best-practices-security-detective.md)
# Best practice di sicurezza preventiva per Amazon Keyspaces
Le seguenti best practice di sicurezza sono considerate preventive perché possono aiutarti ad anticipare e prevenire gli incidenti di sicurezza in Amazon Keyspaces.
**Usa la crittografia a riposo**
[Amazon Keyspaces crittografa a riposo tutti i dati utente archiviati nelle tabelle utilizzando chiavi di crittografia archiviate in AWS Key Management Service ().AWS KMS](https://aws.amazon.com/kms/) Questo fornisce un livello aggiuntivo di protezione dei dati dagli accessi non autorizzati allo storage sottostante.
Per impostazione predefinita, Amazon Keyspaces utilizza un Chiave di proprietà di AWS per crittografare tutte le tabelle. Se questa chiave non esiste, viene creata per te. Le chiavi predefinite del servizio non possono essere disabilitate.
In alternativa, puoi utilizzare una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia di Rest. Per ulteriori informazioni, consulta [Amazon Keyspaces Encryption at](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html) Rest.
**Usa i ruoli IAM per autenticare l'accesso ad Amazon Keyspaces**
Affinché utenti, applicazioni e altri AWS servizi possano accedere ad Amazon Keyspaces, devono includere AWS credenziali valide nelle loro AWS richieste API. Non è necessario archiviare AWS le credenziali direttamente nell'applicazione o nell'istanza EC2. Si tratta di credenziali a lungo termine che non vengono automaticamente ruotate e, pertanto, potrebbero avere un impatto aziendale significativo se compromesse. Un ruolo IAM consente di ottenere le chiavi di accesso temporanee che possono essere utilizzate per accedere ai servizi e alle risorse AWS .
Per ulteriori informazioni, consulta [IAM Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) (Ruoli IAM).
**Usa le policy IAM per l'autorizzazione di base di Amazon Keyspaces**
Quando concedi le autorizzazioni, decidi chi le ottiene, per quali Amazon Keyspaces APIs ottengono le autorizzazioni e le azioni specifiche che desideri consentire su tali risorse. L'implementazione del privilegio minimo è fondamentale per ridurre i rischi per la sicurezza e l'impatto che possono derivare da errori o intenzioni malevole.
Associa le policy di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedi le autorizzazioni per eseguire operazioni sulle risorse Amazon Keyspaces.
Puoi farlo usando quanto segue:
+ [AWS politiche gestite (predefinite)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**Utilizzo di condizioni di policy IAM per il controllo granulare degli accessi**
Quando concedi le autorizzazioni in Amazon Keyspaces, puoi specificare le condizioni che determinano l'effetto di una politica di autorizzazioni. L'implementazione del privilegio minimo è fondamentale per ridurre i rischi per la sicurezza e l'impatto che può derivare da errori o intenzioni malevole.
Puoi specificare le condizioni durante la concessione delle autorizzazioni utilizzando una policy IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ Concedi le autorizzazioni per consentire agli utenti l'accesso in sola lettura a spazi chiave o tabelle specifici.
+ Concedi le autorizzazioni per consentire a un utente l'accesso in scrittura a una determinata tabella, in base all'identità di quell'utente.
Per ulteriori informazioni, consulta Esempi di policy [basate sull'identità](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).
**Valutazione della crittografia lato client**
Se memorizzi dati sensibili o riservati in Amazon Keyspaces, potresti voler crittografare tali dati il più vicino possibile alla loro origine in modo che siano protetti per tutto il loro ciclo di vita. Grazie alla crittografia dei dati sensibili in transito e inattivi, puoi accertarti che i dati di testo non crittografato non siano disponibili per terze parti.
# Best practice di sicurezza per i Detective per Amazon Keyspaces
Le seguenti best practice di sicurezza sono considerate investigative perché possono aiutarti a rilevare potenziali punti deboli e incidenti di sicurezza.
**Usa AWS CloudTrail per monitorare l'utilizzo delle AWS Key Management Service chiavi (AWS KMS) AWS KMS **
Se utilizzi una [AWS KMS chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia a riposo, l'utilizzo di questa chiave viene AWS CloudTrail registrato. CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni intraprese sul tuo account. CloudTrail registra informazioni importanti su ogni azione, tra cui chi ha effettuato la richiesta, i servizi utilizzati, le azioni eseguite, i parametri delle azioni e gli elementi di risposta restituiti dal AWS servizio. Queste informazioni aiutano a tenere traccia delle modifiche apportate alle AWS risorse e a risolvere i problemi operativi. CloudTrail semplifica la garanzia della conformità alle politiche interne e agli standard normativi.
È possibile utilizzare CloudTrail per controllare l'utilizzo delle chiavi. CloudTrail crea file di registro che contengono una cronologia delle chiamate AWS API e degli eventi correlati per il tuo account. Questi file di registro includono tutte le richieste AWS KMS API effettuate utilizzando la console e gli strumenti della riga di comando, oltre a quelle effettuate tramite AWS servizi integrati. AWS SDKs È possibile utilizzare questi file di registro per ottenere informazioni su quando è stata utilizzata la AWS KMS chiave, l'operazione richiesta, l'identità del richiedente, l'indirizzo IP da cui proviene la richiesta e così via. Per ulteriori informazioni, consulta [Registrazione di chiamate API di AWS Key Management Service con AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) nella [Guida per l'utente di AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Utilizzato CloudTrail per monitorare le operazioni DDL (Data Definition Language) di Amazon Keyspaces**
CloudTrail fornisce visibilità sull'attività degli utenti registrando le azioni intraprese sul tuo account. CloudTrail registra informazioni importanti su ogni azione, tra cui chi ha effettuato la richiesta, i servizi utilizzati, le azioni eseguite, i parametri delle azioni e gli elementi di risposta restituiti dal AWS servizio. Queste informazioni consentono di tenere traccia delle modifiche apportate alle AWS risorse e di risolvere i problemi operativi. CloudTrail semplifica la garanzia della conformità alle politiche interne e agli standard normativi.
Tutte le [operazioni DDL](cql.ddl.md) di Amazon Keyspaces vengono registrate automaticamente. CloudTrail Le operazioni DDL consentono di creare e gestire gli spazi chiave e le tabelle di Amazon Keyspaces.
Quando si verifica un'attività in Amazon Keyspaces, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi. Per ulteriori informazioni, consulta [Registrazione delle operazioni di Amazon Keyspaces utilizzando](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). AWS CloudTrail Puoi visualizzare, cercare e scaricare eventi recenti in. Account AWS Per ulteriori informazioni, consulta [Visualizzazione degli eventi con cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
[Per una registrazione continua degli eventi nel tuo Account AWS, compresi gli eventi per Amazon Keyspaces, crea un percorso.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Un trail consente di CloudTrail inviare file di log a un bucket Amazon Simple Storage Service (Amazon S3). Per impostazione predefinita, quando crei un percorso sulla console, il percorso si applica a tutti. Regioni AWS Il percorso registra gli eventi di tutte le regioni nella partizione AWS e distribuisce i file di log nel bucket S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log.
**Etichetta le tue risorse Amazon Keyspaces per l'identificazione e l'automazione**
Puoi assegnare metadati alle tue AWS risorse sotto forma di tag. Ogni tag è una semplice etichetta composta da una chiave definita dal cliente e da un valore opzionale che può semplificare la gestione, la ricerca e il filtraggio delle risorse.
Il tagging consente l’implementazione di gruppi controllati. Anche se non ci sono tipi di tag inerenti, è possibile suddividere le risorse in base a scopo, proprietario, ambiente o altri criteri. Di seguito vengono mostrati alcuni esempi:
+ Accesso: utilizzato per controllare l'accesso alle risorse di Amazon Keyspaces in base ai tag. Per ulteriori informazioni, consulta [Autorizzazione basata sui tag Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Sicurezza: utilizzato per determinare requisiti come le impostazioni di protezione dei dati.
+ Riservatezza: un identificatore per lo specifico livello di riservatezza dei dati supportato da una risorsa.
+ Ambiente - Utilizzato per differenziare tra infrastruttura di sviluppo, test e produzione.
Per ulteriori informazioni, consulta [Strategie di AWS etichettatura](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) e [Aggiungere tag ed etichette](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html) alle risorse.