기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Keyspaces의 보안 모범 사례
Amazon Keyspaces(Apache Cassandra용)는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 사용자의 환경에 적절하지 않거나 충분하지 않을 수 있으므로 규정이 아닌 참고용으로만 사용하세요.
**Topics**
+ [Amazon Keyspaces의 예방적 보안 모범 사례](best-practices-security-preventative.md)
+ [Amazon Keyspaces의 탐지 보안 모범 사례](best-practices-security-detective.md)
# Amazon Keyspaces의 예방적 보안 모범 사례
다음 보안 모범 사례는 Amazon Keyspaces의 보안 사고를 예측하고 방지하는 데 도움이 되기 때문에 예방적인 것으로 간주됩니다.
**저장 시 암호화 사용**
Amazon Keyspaces는 [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/)에 저장된 암호화 키를 사용하여 테이블에 저장된 모든 사용자 데이터를 저장 시 암호화합니다. 이를 통해 기본 스토리지에 대한 무단 액세스로부터 데이터를 보호하여 데이터 보호 계층을 추가로 제공합니다.
기본적으로 Amazon Keyspaces는 모든 테이블을 암호화하기 AWS 소유 키 위해를 사용합니다. 이 키가 없는 경우 자동으로 생성됩니다. 서비스 기본 키는 비활성화할 수 없습니다.
또는 저장 시 암호화에 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 사용할 수 있습니다. 자세한 내용은 [Amazon Keyspaces 저장 시 암호화](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html)를 참조하세요.
**IAM 역할을 사용하여 Amazon Keyspaces에 대한 액세스 인증**
사용자, 애플리케이션 및 기타 AWS 서비스가 Amazon Keyspaces에 액세스하려면 AWS API 요청에 유효한 AWS 자격 증명을 포함해야 합니다. 애플리케이션 또는 EC2 인스턴스에 자격 AWS 증명을 직접 저장해서는 안 됩니다. 이러한 보안 인증은 자동으로 교체되지 않기 때문에 손상된 경우 비즈니스에 큰 영향을 줄 수 있는 장기 보안 인증입니다. IAM 역할을 사용하면 AWS 서비스 및 리소스에 액세스하는 데 사용할 수 있는 임시 액세스 키를 얻을 수 있습니다.
자세한 내용은 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)을 참조하세요.
**IAM 정책을 사용한 Amazon Keyspaces 기본 인증**
권한을 부여하려면 권한을 부여 받을 사용자, 권한을 행사할 수 있는 대상이 되는 Amazon Keyspaces API, 해당 리소스에 허용하고자 하는 특정 작업을 결정합니다. 최소 권한을 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 줄일 수 있는 비결입니다.
IAM 자격 증명(즉 사용자, 그룹 및 역할)에 권한 정책을 연결함으로써 Amazon Keyspaces 리소스에서 작업을 수행할 수 있는 권한을 부여합니다.
이를 위해 다음 정책을 사용할 수 있습니다.
+ [AWS 관리형(미리 정의된) 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)
**IAM 정책 조건을 사용하여 세분화된 액세스 제어 구현**
Amazon Keyspaces에서 권한을 부여할 때 권한 정책이 적용되는 방식을 결정하는 조건을 지정할 수 있습니다. 최소 권한을 구현하는 것이 오류 또는 악의적인 의도로 인해 발생할 수 있는 보안 위험과 영향을 줄일 수 있는 비결입니다.
IAM 정책을 사용해 권한을 부여할 때 조건을 지정할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.
+ 사용자에게 특정 키스페이스 또는 테이블에 대한 읽기 전용 액세스를 허용하는 권한을 부여합니다.
+ 사용자에게 해당 사용자의 ID를 기반으로 특정 테이블에 대한 쓰기 액세스를 허용하는 권한을 부여합니다.
자세한 내용은 [ID 기반 정책 예제](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html)를 참조하세요.
**클라이언트 측 암호화 참조**
Amazon Keyspaces에 중요 데이터나 기밀 데이터를 저장하는 경우 해당 데이터가 수명 주기 내내 보호되도록 최대한 원본에 가깝게 암호화할 수 있습니다. 전송 중 및 유휴 상태의 중요 데이터를 암호화하면 일반 텍스트 데이터를 제3자가 사용할 수 없게 하는 데 도움이 됩니다.
# Amazon Keyspaces의 탐지 보안 모범 사례
다음 보안 모범 사례는 잠재적인 보안 약점과 사고를 탐지하는 데 도움이 되기 때문에 탐지적인 것으로 간주됩니다.
** AWS CloudTrail 를 사용하여 AWS Key Management Service (AWS KMS) AWS KMS 키 사용량 모니터링**
유휴 시 암호화에 [고객 관리형 AWS KMS 키를](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 사용하는 경우이 키의 사용이에 로그인됩니다 AWS CloudTrail. CloudTrail은 계정에서 수행한 작업을 기록함으로써 사용자 활동에 대한 가시성을 제공합니다. CloudTrail은 요청을 한 사람, 사용된 서비스, 수행된 작업, 작업에 대한 파라미터, AWS 서비스에서 반환한 응답 요소를 포함하여 각 작업에 대한 중요한 정보를 기록합니다. 이 정보는 AWS 리소스에 대한 변경 사항을 추적하고 운영 문제를 해결하는 데 도움이 됩니다. CloudTrail을 이용하면 내부 정책 및 규제 표준 준수를 더 쉽게 보장할 수 있습니다.
CloudTrail을 사용해 키 사용을 감사할 수 있습니다. CloudTrail은 계정의 AWS API 호출 및 관련 이벤트 기록이 포함된 로그 파일을 생성합니다. 이러한 로그 파일에는 통합 AWS 서비스를 통해 이루어진 요청 외에도 콘솔, AWS SDKs 및 명령줄 도구를 사용하여 수행된 모든 AWS KMS API 요청이 포함됩니다. 이러한 로그 파일을 사용하여 AWS KMS 키가 사용된 시간, 요청된 작업, 요청자의 자격 증명, 요청이 시작된 IP 주소 등에 대한 정보를 가져올 수 있습니다. 자세한 내용은 [AWS CloudTrail을 사용하여 AWS Key Management Service API 호출 로깅](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) 및 [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)를 참조하세요.
**CloudTrail을 사용하여 Amazon Keyspaces의 데이터 정의 언어(DDL) 작업을 모니터링합니다.**
CloudTrail은 계정에서 수행한 작업을 기록함으로써 사용자 활동에 대한 가시성을 제공합니다. CloudTrail은 요청한 사용자, 사용한 서비스, 수행한 작업, 작업에 대한 파라미터, AWS 서비스가 반환하는 응답 요소 등 각 작업에 대한 중요 정보를 기록합니다. 이러한 정보는 AWS 리소스의 변경 사항을 추적하고 운영 관련 문제를 해결하는 데 도움이 됩니다. CloudTrail을 이용하면 내부 정책 및 규제 표준 준수를 더 쉽게 보장할 수 있습니다.
모든 Amazon Keyspaces [DDL 작업](cql.ddl.md)은 CloudTrail에 자동으로 로깅됩니다. DDL 작업은 Amazon Keyspaces 키스페이스와 테이블을 생성하고 관리하도록 해 줍니다.
Amazon Keyspaces에서 활동이 발생하면 해당 활동이 이벤트 기록의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. 자세한 내용은 [AWS CloudTrail을 사용하여 Amazon Keyspaces 작업 로깅](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html)을 참조하세요. 에서 최근 이벤트를 보고 검색하고 다운로드할 수 있습니다 AWS 계정. 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [CloudTrail 이벤트 기록으로 이벤트 보기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)를 참조하세요.
Amazon Keyspaces에 대한 이벤트를 AWS 계정포함하여에 이벤트를 지속적으로 기록하려면 [추적](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)을 생성합니다. CloudTrail은 추적을 사용하여 Amazon Simple Storage Service(S3) 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다.
**식별 및 자동화를 위해 Amazon Keyspaces 리소스에 태그 지정하기**
AWS 리소스에 태그 형태로 메타데이터를 할당할 수 있습니다. 각 태그는 리소스 관리, 검색 및 필터링을 더 수월하게 해줄 수 있는 옵션 값과 고객이 정의한 키로 구성된 간단한 레이블입니다.
태그를 지정하면 그룹화 제어를 구현할 수 있습니다. 고유한 태그 유형은 없지만 목적, 소유자, 환경 또는 기타 기준에 따라 리소스를 분류할 수 있습니다. 다음은 몇 가지 예입니다.
+ 액세스 - 태그를 기반으로 Amazon Keyspaces 리소스에 대한 액세스를 제어하는 데 사용됩니다. 자세한 내용은 [Amazon Keyspaces 태그 기반 권한 부여](security_iam_service-with-iam.md#security_iam_service-with-iam-tags) 단원을 참조하십시오.
+ 보안 - 데이터 보호 설정과 같은 요구 사항을 결정하는 데 사용됩니다.
+ 기밀성 – 리소스가 지원하는 특정 데이터 기밀성 수준에 대한 식별자입니다.
+ 환경 - 개발, 테스트 및 프로덕션 인프라 간 구별에 사용됩니다.
자세한 내용은 [AWS 태깅 전략](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) 및 [리소스에 태그 및 레이블 추가](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html)를 참조하세요.