Segurança da infraestrutura no Amazon Keyspaces - Amazon Keyspaces (para Apache Cassandra)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança da infraestrutura no Amazon Keyspaces

Como um serviço gerenciado, o Amazon Keyspaces (para Apache Cassandra) é protegido pela segurança de rede global. AWS Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa chamadas de API AWS publicadas para acessar o Amazon Keyspaces pela rede. Os clientes devem oferecer compatibilidade com:

  • Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

O Amazon Keyspaces oferece suporte a dois métodos de autenticação de solicitações de clientes. O primeiro método usa credenciais específicas do serviço, que são credenciais baseadas em senha geradas para um usuário do IAM específico. Você pode criar e gerenciar a senha usando o console do IAM AWS CLI, o ou a AWS API. Para obter mais informações, consulte Como usar o IAM com o Amazon Keyspaces.

O segundo método usa um plug-in de autenticação para o driver DataStax Java de código aberto para Cassandra. Esse plug-in permite que usuários, perfis e identidades federadas do IAM adicionem informações de autenticação às solicitações de API do Amazon Keyspaces (para Apache Cassandra) usando o Processo do Signature Version 4 (SigV4) da AWS. Para obter mais informações, consulte Crie e configure AWS credenciais para o Amazon Keyspaces.

Você pode usar um endpoint da VPC de interface para manter o tráfego entre sua Amazon VPC e o Amazon Keyspaces saindo da rede da Amazon. Os endpoints de VPC de interface são alimentados por AWS PrivateLink uma AWS tecnologia que permite a comunicação privada entre AWS serviços usando uma interface de rede elástica com privacidade em IPs sua Amazon VPC. Para obter mais informações, consulte Como usar o Amazon Keyspaces com endpoint da VPC de interface.