As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As práticas recomendadas de segurança a seguir são consideradas preventivas porque podem ajudar você a antecipar e prevenir incidentes de segurança no Amazon Keyspaces.
- Use criptografia em repouso
-
O Amazon Keyspaces criptografa em repouso todos os dados de usuário gravados em tabelas, usando chaves de criptografia armazenadas no AWS Key Management Service (AWS KMS)
. Isso oferece uma camada de proteção de dados adicional ao proteger seus dados contra acesso não autorizado ao armazenamento subjacente. Por padrão, o Amazon Keyspaces usa um Chave pertencente à AWS para criptografar todas as suas tabelas. Se essa chave não existir, ela é criada para você. As chaves padrão do serviço não podem ser desabilitadas.
Como alternativa, você pode usar uma chave gerenciada pelo cliente para criptografia em repouso. Para obter mais informações, consulte Criptografia em repouso do Amazon Keyspaces.
- Usar perfis do IAM para autenticar o acesso ao Amazon Keyspaces
-
Para que usuários, aplicativos e outros AWS serviços acessem o Amazon Keyspaces, eles devem incluir AWS credenciais válidas em suas AWS solicitações de API. Você não deve armazenar AWS credenciais diretamente no aplicativo ou na EC2 instância. Essas são credenciais de longo prazo que não são automaticamente alternadas e, portanto, podem ter impacto comercial significativo se forem comprometidas. Um perfil do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessar os serviços e recursos da AWS .
Para obter mais informações, consulte Perfis do IAM.
- Usar políticas do IAM para autorizações de base do Amazon Keyspaces
-
Ao conceder permissões, você decide quem as está recebendo, para quais Amazon APIs Keyspaces elas estão recebendo permissões e as ações específicas que você deseja permitir nesses recursos. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
Anexe políticas de permissões para identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, dê permissões para eles executarem operações nos recursos do Amazon Keyspaces.
Para isso, você pode usar o seguinte:
- Uso de condições de política do IAM para controle de acesso refinado
-
Ao conceder permissões no Amazon Keyspaces, você pode especificar as condições que determinam como uma política de permissões entra em vigor. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
É possível especificar as condições ao conceder permissões usando uma política do IAM. Por exemplo, você pode fazer o seguinte:
-
Conceda permissões para permitir que os usuários tenham acesso somente leitura a tabelas ou espaços de chaves específicos.
-
Conceda permissões para permitir que um usuário tenha acesso de gravação a uma determinada tabela, com base na identidade desse usuário.
Para obter mais informações, consulte Exemplos de políticas baseadas em identidade.
-
- Considere utilizar a criptografia do lado do cliente
-
Se você armazena dados confidenciais e sensíveis no Amazon Keyspaces, talvez seja melhor criptografar os dados o mais próximo possível da origem, para que eles fiquem protegidos durante todo o ciclo de vida. A criptografia dos seus dados confidenciais em trânsito e em repouso ajuda você a garantir que os dados em texto simples não estejam disponíveis a terceiros.
