As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Práticas recomendadas de segurança para o Amazon Keyspaces
<a name="best-practices-security"></a>

O Amazon Keyspaces (para Apache Cassandra) fornece uma série de atributos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições. 

**Topics**
+ [Práticas preventivas de segurança recomendadas para o Amazon Keyspaces](best-practices-security-preventative.md)
+ [Práticas recomendadas de detecção de segurança para o Amazon Keyspaces](best-practices-security-detective.md)

# Práticas preventivas de segurança recomendadas para o Amazon Keyspaces
<a name="best-practices-security-preventative"></a>

As práticas recomendadas de segurança a seguir são consideradas preventivas porque podem ajudar você a antecipar e prevenir incidentes de segurança no Amazon Keyspaces.

**Use criptografia em repouso**  
O Amazon Keyspaces criptografa em repouso todos os dados de usuário gravados em tabelas, usando chaves de criptografia armazenadas no [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/). Isso oferece uma camada de proteção de dados adicional ao proteger seus dados contra acesso não autorizado ao armazenamento subjacente.  
Por padrão, o Amazon Keyspaces usa um Chave pertencente à AWS para criptografar todas as suas tabelas. Se essa chave não existir, ela é criada para você. As chaves padrão do serviço não podem ser desabilitadas.   
Como alternativa, você pode usar uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia em repouso. Para obter mais informações, consulte [Criptografia em repouso do Amazon Keyspaces](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html).

**Usar perfis do IAM para autenticar o acesso ao Amazon Keyspaces**  
Para que usuários, aplicativos e outros AWS serviços acessem o Amazon Keyspaces, eles devem incluir AWS credenciais válidas em suas AWS solicitações de API. Você não deve armazenar AWS credenciais diretamente no aplicativo ou na instância do EC2. Essas são credenciais de longo prazo que não são automaticamente alternadas e, portanto, podem ter impacto comercial significativo se forem comprometidas. Um perfil do IAM permite obter chaves de acesso temporárias que podem ser usadas para acessar os serviços e recursos da AWS .  
Para obter mais informações, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).

**Usar políticas do IAM para autorizações de base do Amazon Keyspaces**  
Ao conceder permissões, você decide quem as está recebendo, para quais Amazon APIs Keyspaces elas estão recebendo permissões e as ações específicas que você deseja permitir nesses recursos. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.  
Anexe políticas de permissões para identidades do IAM (ou seja, usuários, grupos e perfis) e, assim, dê permissões para eles executarem operações nos recursos do Amazon Keyspaces.  
Para isso, você pode usar o seguinte:  
+ [AWS políticas gerenciadas (predefinidas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [Políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)

**Uso de condições de política do IAM para controle de acesso refinado**  
Ao conceder permissões no Amazon Keyspaces, você pode especificar as condições que determinam como uma política de permissões entra em vigor. A implementação do privilégio mínimo é fundamental para reduzir os riscos de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.  
É possível especificar as condições ao conceder permissões usando uma política do IAM. Por exemplo, você pode fazer o seguinte:  
+ Conceda permissões para permitir que os usuários tenham acesso somente leitura a tabelas ou espaços de chaves específicos.
+ Conceda permissões para permitir que um usuário tenha acesso de gravação a uma determinada tabela, com base na identidade desse usuário.
 Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html).

**Considere utilizar a criptografia do lado do cliente**  
Se você armazena dados confidenciais e sensíveis no Amazon Keyspaces, talvez seja melhor criptografar os dados o mais próximo possível da origem, para que eles fiquem protegidos durante todo o ciclo de vida. A criptografia dos seus dados confidenciais em trânsito e em repouso ajuda você a garantir que os dados em texto simples não estejam disponíveis a terceiros.

# Práticas recomendadas de detecção de segurança para o Amazon Keyspaces
<a name="best-practices-security-detective"></a>

As práticas recomendadas de segurança a seguir são consideradas de detecção porque podem ajudá-lo a detectar possíveis falhas e incidentes de segurança.

**Use AWS CloudTrail para monitorar o uso da AWS KMS chave AWS Key Management Service (AWS KMS)**  
Se você estiver usando uma [AWS KMS chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia em repouso, o uso dessa chave será registrado. AWS CloudTrail CloudTrail fornece visibilidade da atividade do usuário ao registrar as ações realizadas em sua conta. CloudTrail registra informações importantes sobre cada ação, incluindo quem fez a solicitação, os serviços usados, as ações realizadas, os parâmetros das ações e os elementos de resposta retornados pelo AWS serviço. Essas informações ajudam você a monitorar as alterações feitas em seus AWS recursos e solucionar problemas operacionais. CloudTrail facilita a garantia da conformidade com políticas internas e padrões regulatórios.  
Você pode usar CloudTrail para auditar o uso da chave. CloudTrail cria arquivos de log que contêm um histórico de chamadas de AWS API e eventos relacionados à sua conta. Esses arquivos de log incluem todas as solicitações de AWS KMS API feitas usando o console e as ferramentas de linha de comando, além das feitas por meio de AWS serviços integrados. AWS SDKs Você pode usar esses arquivos de log para obter informações sobre quando a AWS KMS chave foi usada, a operação solicitada, a identidade do solicitante, o endereço IP de origem da solicitação e assim por diante. Para obter mais informações, consulte [Como registrar chamadas de API do AWS Key Management Service com o AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) no [Guia do usuário do AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).

**Use CloudTrail para monitorar as operações da linguagem de definição de dados (DDL) do Amazon Keyspaces**  
CloudTrail fornece visibilidade da atividade do usuário ao registrar as ações realizadas em sua conta. CloudTrail registra informações importantes sobre cada ação, incluindo quem fez a solicitação, os serviços usados, as ações realizadas, os parâmetros das ações e os elementos de resposta retornados pelo AWS serviço. Essas informações ajudam você a monitorar as alterações feitas em seus AWS recursos e a solucionar problemas operacionais. CloudTrail facilita a garantia da conformidade com políticas internas e padrões regulatórios.  
Todas as [operações de DDL](cql.ddl.md) do Amazon Keyspaces são registradas automaticamente. CloudTrail As operações DDL permitem criar e gerenciar tabelas e espaços de chaves do Amazon Keyspaces.  
Quando a atividade ocorre no Amazon Keyspaces, essa atividade é registrada em um CloudTrail evento junto com outros eventos de AWS serviço no histórico de eventos. Para obter mais informações, consulte [Registrar operações do Amazon Keyspaces usando o AWS CloudTrail](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html). Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte [Visualização de CloudTrail eventos com histórico](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) de eventos no *Guia AWS CloudTrail do usuário*.  
[Para obter um registro contínuo dos eventos em seu Conta da AWS, incluindo eventos do Amazon Keyspaces, crie uma trilha.](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon Simple Storage Service (Amazon S3). Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na partição da AWS e fornece os arquivos de log ao bucket do S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros.

**Marque seus recursos do Amazon Keyspaces para identificação e automação**  
Você pode atribuir metadados aos seus AWS recursos na forma de tags. Cada tag é um rótulo simples que consiste em uma chave definida pelo cliente e um valor opcional que pode facilitar o gerenciamento, a pesquisa e a filtragem de recursos.   
A atribuição de tags (tagging) permite a implementação de controles agrupados. Embora não haja tipos de tags inerentes, elas permitem categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Veja os seguintes exemplos:  
+ Acesso – usado para controlar o acesso aos recursos do Amazon Keyspaces com base em tags. Para obter mais informações, consulte [Autorização baseada em tags do Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-tags).
+ Segurança – usada para determinar requisitos como configurações de proteção de dados.
+ Confidencialidade: um identificador para o nível de confidencialidade de dados específico suportado por um recurso.
+ Ambiente: usada para distinguir entre as infraestruturas de desenvolvimento, teste e produção. 
Para obter mais informações, consulte [AWS estratégias de marcação](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) e [Adicionar tags e rótulos a recursos](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html).