DynamoDB 偵測性安全最佳實務 - Amazon DynamoDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

DynamoDB 偵測性安全最佳實務

下列 Amazon DynamoDB 最佳實務能幫助您偵測潛在安全弱點與事件。

用 AWS CloudTrail 於監控 AWS 受管理的 KMS 金鑰使用量

如果您正在使AWS 受管金鑰用靜態加密,則會登入此金鑰的使用情況 AWS CloudTrail。 CloudTrail 通過記錄在您帳戶上採取的操作來提供用戶活動的可見性。 CloudTrail 記錄每個動作的重要資訊,包括提出要求的人員、使用的服務、執行的動作、動作的參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更,並疑難排解作業問題。 CloudTrail 可以更輕鬆地確保遵守內部政策和法規標準。

您可以使用 CloudTrail 稽核金鑰使用情況。 CloudTrail 會建立包含帳戶 AWS API 呼叫歷史記錄和相關事件的記錄檔。這些記錄檔包括使用 AWS Management Console、 AWS SDK 和命令列工具所發出的所有 AWS KMS API 要求,以及透過整合式 AWS 服務提出的要求。您可以使用這些日誌檔來取得使用 KMS 金鑰的時間、所請求的操作、請求者的身分、請求的來源 IP 地址等資訊。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的記錄 AWS KMS API 呼叫 和 AWS CloudTrail

使用以下方式監控動態 B 作業 CloudTrail

CloudTrail 可同時監視控制平面事件和資料平面事件。控制平面操作可讓您建立及管理 DynamoDB 資料表。它們也可讓您使用索引、串流,以及相依於資料表的其他物件。資料平面操作可讓您對資料表中的資料執行建立、讀取、更新與刪除 (也稱為 CRUD) 動作。某些資料平面操作也可讓您從次要索引中讀取資料。若要在中啟用資料平面事件的記錄 CloudTrail,您需要啟用中的資料平面 API 活動記錄 CloudTrail。如需更多資訊,請參閱記錄追蹤的資料事件

DynamoDB 中發生活動時,該活動會與事件歷史記錄中的其他 AWS 服務 CloudTrail 事件一起記錄在事件中。如需詳細資訊,請參閱使用 AWS CloudTrail來記錄 DynamoDB 操作。您可以在帳戶中查看,搜索和下載最近的事 AWS 件。如需詳細資訊,請參閱AWS CloudTrail 使用指南中的檢視具有 CloudTrail 事件歷程記錄的事件。

如需 AWS 帳戶中持續的事件記錄 (包括 DynamoDB 的事件),請建立追蹤。追蹤可 CloudTrail 將日誌檔交付到 Amazon Simple Storage Service (Amazon S3) 儲存貯體。根據預設,當您在主控台上建立追蹤時,追蹤會套用至所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件,並將日誌檔案交付到您指定的 S3 儲存貯體。此外,您還可以設定其他 AWS 服務,以進一步分析 CloudTrail 記錄中收集的事件資料並採取行動。

使用 DynamoDB Streams 監控資料平面操作

DynamoDB 已與整合, AWS Lambda 因此您可以建立觸發器 (可自動回應 DynamoDB Streams 中事件的程式碼片段)。您可以利用觸發條件建立對 DynamoDB 資料表資料修改做出反應的應用程式。

如果您在資料表中啟用 DynamoDB Streams,就可以建立串流 Amazon Resource Name (ARN) 與您撰寫之 Lambda 函數的關聯。修改表格中的項目之後,表格的資料流中會立即顯示新記錄。 AWS Lambda 輪詢串流,並在偵測到新串流記錄時同步叫用 Lambda 函數。Lambda 函數可以執行您指定的任何動作,例如傳送通知或啟動工作流程。

如需範例,請參閱教學課程:搭配 Amazon DynamoDB Streams 使用 AWS Lambda。此範例會接收 DynamoDB 事件輸入、處理其包含的訊息,並將一些傳入的事件資料寫入 Amazon CloudWatch 日誌。

使用以下方式監控動態 B 組態 AWS Config

您可以使用 AWS Config 持續監控並記錄 AWS 資源的變更。您也可以使用 AWS Config 來清查您的 AWS 資源。當偵測到先前狀態的變更時,Amazon Simple Notification Service (Amazon SNS) 會通知您檢閱並採取行動。請遵循AWS Config 使用主控台設定中的指引,確保包含 DynamoDB 資源類型。

您可以進行設 AWS Config 定,將組態變更和通知串流至 Amazon SNS 主題。例如,更新資源時,您可以收到傳送至您電子郵件的通知,因此您可以檢視變更。您也可以在根據資源 AWS Config 評估自訂或受管規則時收到通知。

如需範例,請參閱AWS Config 開發人員指南中的AWS Config 傳送至 Amazon SNS 的通知主題。

監控 DynamoDB 是否符合規則 AWS Config

AWS Config 持續追蹤資源中發生的組態變更。其會檢查這些變更是否違反您規則中的任何條件。如果資源違反規則,會將資源和規則 AWS Config 標記為不符合標準。

透過使 AWS Config 用評估資源組態,您可以評估資源組態是否符合內部實務、產業準則和法規。 AWS Config 提供AWS 受管規則,這些規則是預先定義的可自訂規則,可 AWS Config 用來評估您的 AWS 資源是否符合常見的最佳作法。

為您的 DynamoDB 資源加上標籤,以便進行識別和自動化

您可以使用標籤的形式將中繼 AWS 資料指派給資源。每個標記都是由客戶定義金鑰和選用值組成的簡單標籤,能夠更輕鬆地管理、搜尋和篩選資源。

標記允許實現分組控制。雖然標籤不具固有類型,但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例:

  • 安全性:用於確定加密等需求。

  • 機密性:資源支援的特定資料機密等級識別符。

  • 環境:用來區分開發、測試和生產基礎設施。

如需詳細資訊,請參閱 AWS 標記策略DynamoDB 的標記

使用監控與安全最佳實務相關的 Amazon DynamoDB 使用情況。 AWS Security Hub

Security Hub 會透過安全控制來評估資源組態和安全標準,協助您遵守各種合規架構。

如需有關使用 Security Hub 評估 DynamoDB 資源的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon DynamoDB 控制項