本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
下列 Amazon DynamoDB 最佳實務能幫助您偵測潛在安全弱點與事件。
- 使用 AWS CloudTrail 監控 AWS 受管KMS金鑰用量
-
如果您使用 AWS 受管金鑰進行靜態加密,則會登入此金鑰的使用 AWS CloudTrail。 會透過記錄您帳戶上採取的動作來 CloudTrail 提供使用者活動的可見性。 CloudTrail 會記錄每個動作的重要資訊,包括提出請求的人員、所使用的服務、執行的動作、動作的參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更,並疑難排解操作問題。 CloudTrail 可讓您更輕鬆地確保遵循內部政策和法規標準。
您可以使用 CloudTrail 來稽核金鑰 usage. CloudTrail 建立日誌檔案,其中包含您帳戶的呼叫和相關事件歷史記錄 AWS API。這些日誌檔案包括使用 提出的所有 AWS KMS API請求 AWS Management Console AWS SDKs,以及命令列工具,以及透過整合 AWS 服務提出的請求。您可以使用這些日誌檔案來取得金鑰KMS使用時間、請求的操作、請求者的身分、請求來源的 IP 地址等資訊。如需詳細資訊,請參閱使用 記錄 AWS KMS API通話 AWS CloudTrail和 AWS CloudTrail 使用者指南。
- 使用 監控 DynamoDB 操作 CloudTrail
-
CloudTrail 可以同時監控控制平面事件和資料平面事件。控制平面操作可讓您建立及管理 DynamoDB 資料表。它們也可讓您使用索引、串流,以及相依於資料表的其他物件。資料平面操作可讓您對資料表中的資料執行建立、讀取、更新和刪除 (也稱為 CRUD) 動作。某些資料平面操作也可讓您從次要索引中讀取資料。若要在 中啟用資料平面事件記錄 CloudTrail,您需要在 中啟用資料平面API活動記錄 CloudTrail。如需更多資訊,請參閱記錄追蹤的資料事件。
當活動在 DynamoDB 中發生時,該活動會與 CloudTrail 事件歷史記錄中的其他 AWS 服務事件一起記錄在事件中。如需詳細資訊,請參閱使用 AWS CloudTrail來記錄 DynamoDB 操作。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱AWS CloudTrail 《 使用者指南》中的使用事件歷史記錄檢視 CloudTrail 事件。
若要持續記錄您 AWS 帳戶中的事件,包括 DynamoDB 的事件,請建立追蹤。線索可讓 CloudTrail 將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。根據預設,當您在主控台上建立追蹤時,追蹤會套用至所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件,並將日誌檔案交付到您指定的 S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。
- 使用 DynamoDB Streams 監控資料平面操作
-
DynamoDB 已與 整合, AWS Lambda 因此您可以建立觸發,也就是自動回應 DynamoDB Streams 中事件的程式碼片段。您可以利用觸發條件建立對 DynamoDB 資料表資料修改做出反應的應用程式。
如果您在資料表上啟用 DynamoDB Streams,您可以將串流 Amazon Resource Name (ARN) 與您寫入的 Lambda 函數建立關聯。在修改資料表中的項目之後,資料表的 stream. AWS Lambda polls 會立即顯示新記錄,並在偵測到新的串流記錄時同步叫用 Lambda 函數。Lambda 函數可以執行您指定的任何動作,例如傳送通知或啟動工作流程。
如需範例,請參閱教學課程:搭配 Amazon DynamoDB Streams 使用 AWS Lambda。此範例會接收 DynamoDB 事件輸入、處理其中包含的訊息,並將部分傳入事件資料寫入 Amazon CloudWatch Logs。
- 使用 監控 DynamoDB 組態 AWS Config
-
您可以使用 AWS Config 持續監控並記錄 AWS 資源的變更。您也可以使用 AWS Config 來清查 AWS 資源。當偵測到先前狀態的變更時,可以傳送 Amazon Simple Notification Service (AmazonSNS) 通知,供您檢閱並採取動作。遵循AWS Config 使用主控台設定 中的指引,確保包含 DynamoDB 資源類型。
您可以設定 AWS Config 將組態變更和通知串流至 Amazon SNS主題。例如,更新資源時,您可以收到傳送至您電子郵件的通知,因此您可以檢視變更。當 根據您的 資源 AWS Config 評估自訂或受管規則時,您也會收到通知。
如需範例,請參閱《 AWS Config 開發人員指南》中的AWS Config 傳送給 Amazon SNS主題的通知。
- 監控 DynamoDB 對 AWS Config 規則的合規
-
AWS Config 會持續追蹤資源之間發生的組態變更。其會檢查這些變更是否違反您規則中的任何條件。如果資源違反規則, 會將資源和規則 AWS Config 標記為不合規。
透過使用 AWS Config 評估您的資源組態,您可以評估資源組態符合內部實務、產業準則和法規的程度。 AWS Config 提供AWS 受管規則,這些是預先定義、可自訂的規則, AWS Config 可用來評估您的 AWS 資源是否符合常見的最佳實務。
- 為您的 DynamoDB 資源加上標籤,以便進行識別和自動化
-
您可以將中繼資料以標籤的形式指派給 AWS 資源。每個標記都是由客戶定義金鑰和選用值組成的簡單標籤,能夠更輕鬆地管理、搜尋和篩選資源。
標記允許實現分組控制。雖然標籤不具固有類型,但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例:
-
安全性:用於確定加密等需求。
-
機密性:資源支援的特定資料機密等級識別符。
-
環境:用來區分開發、測試和生產基礎設施。
如需詳細資訊,請參閱 AWS 標記策略
和 DynamoDB 的標記。 -
- 監控 Amazon DynamoDB 的使用,因為它與使用 的安全最佳實務相關 AWS Security Hub。
-
Security Hub 會透過安全控制來評估資源組態和安全標準,協助您遵守各種合規架構。
如需有關使用 Security Hub 評估 DynamoDB 資源的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon DynamoDB 控制項。
