翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon Keyspaces の発見的セキュリティベストプラクティス セキュリティに関する以下のベストプラクティスは、潜在的なセキュリティ上の弱点とインシデントの検出に役立つため、発見的とみなされています。 **を使用して AWS Key Management Service (AWS KMS) AWS KMS キーの使用状況をモニタリング AWS CloudTrail する** 保管時の暗号化に[カスタマーマネージド AWS KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を使用している場合、このキーの使用は にログインされます AWS CloudTrail。CloudTrail は、アカウントで実行されたアクションをレコードすることで、ユーザーのアクティビティを可視化します。CloudTrail は、リクエストの実行者、使用されたサービス、実行されたアクション、アクションのパラメータ、 AWS サービスによって返されたレスポンス要素など、各アクションに関する重要な情報を記録します。この情報は、 AWS リソースに加えられた変更を追跡し、運用上の問題をトラブルシューティングするのに役立ちます。CloudTrail を使用すると、社内ポリシーや規制スタンダードへのコンプライアンスが容易になります。 CloudTrail を使用して、キーの使用状況を監査できます。CloudTrail は、アカウントの AWS API コールおよび関連イベントの履歴を含むログファイルを作成します。これらのログファイルには、統合 AWS サービスを通じて行われたものに加えて、コンソール、 AWS SDKs、コマンドラインツールを使用して行われたすべての AWS KMS API リクエストが含まれます。これらのログファイルを使用して、 AWS KMS キーが使用された日時、リクエストされたオペレーション、リクエスタの ID、リクエスト元の IP アドレスなどに関する情報を取得できます。詳細については、「[AWS CloudTrailを使用した AWS Key Management Service API 呼び出しのログ記録](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)」と「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)」を参照してください。 **CloudTrail を使用して、Amazon Keyspaces データ定義言語 (DDL) オペレーションをモニタリングする** CloudTrail は、アカウントで実行されたアクションをレコードすることで、ユーザーのアクティビティを可視化します。CloudTrail は、リクエストを行ったユーザー、使用されたサービス、実行されたアクション、アクションのパラメータ、 AWS のサービスから返されたレスポンス要素など、各アクションに関する重要な情報をレコードします。この情報は、 AWS リソースに加えられた変更の追跡、およびオペレーション問題のトラブルシューティングに役立ちます。CloudTrail を使用すると、社内ポリシーや規制スタンダードへのコンプライアンスが容易になります。 Amazon Keyspaces [DDL オペレーション](cql.ddl.md)はすべて CloudTrail のログに自動的に記録されます。DDL オペレーションでは、Amazon Keyspaces のキースペースとテーブルの作成と管理を行います。 Amazon Keyspaces でアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。詳細については、[「Logging Amazon Keyspaces operations by using AWS CloudTrail」](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html) ( を使用した Amazon Keyspaces オペレーションのログ記録) を参照してください。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、*「AWS CloudTrail ユーザーガイド」*の[「Viewing events with CloudTrail event history」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)(CloudTrail イベント履歴でのイベントの表示) を参照してください。 Amazon Keyspaces のイベントなど AWS アカウント、 のイベントの継続的な記録については、[証跡](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)を作成します。証跡により、CloudTrail はログファイルを Amazon Simple Storage Service (Amazon S3) バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡がすべての AWS リージョンに適用されます。証跡では、 AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した S3 バケットにログファイルが配信されます。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。 **識別とオートメーションのために Amazon Keyspaces リソースにタグを付ける** タグの AWS 形式でリソースにメタデータを割り当てることができます。各タグは、カスタマー定義のキーと値 (オプション) で構成されるシンプルなラベルです。タグを使用すると、リソースの管理、検索、フィルターが容易になります。 タグ付けを行うと、グループ化されたコントロールを実装できます。タグには固有のタイプはありませんが、 用途、所有者、環境などの基準でリソースを分類できます。次に例をいくつか示します。 + アクセス — タグに基づいて Amazon Keyspaces リソースへのアクセスを制御するために使用されます。詳細については、「[Amazon Keyspaces タグに基づいた認可](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)」を参照してください。 + セキュリティ — データ保護設定などの要件を決定するために使用されます。 + 機密性 — リソースでサポートされるデータ機密性レベルの識別子。 + 環境 — 開発、テスト、本番稼働用インフラストラクチャを区別するために使用されます。 詳細については、「[AWS tagging strategies ( タグ付け戦略)](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)」と「[Adding tags and labels to resources (リソースへのタグとラベルの追加)](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html)」を参照してください。