本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon Keyspaces 的偵測安全最佳實務 下列安全最佳實務被視為偵測性,因為它們可協助您偵測潛在的安全弱點和事件。 **使用 AWS CloudTrail 來監控 AWS Key Management Service (AWS KMS) AWS KMS 金鑰用量** 如果您使用[客戶受管 AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)進行靜態加密,則會登入此金鑰的使用 AWS CloudTrail。CloudTrail 透過記錄對您帳戶所採取的動作,來提供使用者活動的可見性。CloudTrail 會記錄每個動作的重要資訊,包括提出請求的人員、使用的服務、執行的動作、動作的參數,以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更,並疑難排解操作問題。CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。 您可以使用 CloudTrail 來稽核金鑰的使用情況。CloudTrail 會建立日誌檔案,其中包含您帳戶的 AWS API 呼叫和相關事件的歷史記錄。這些日誌檔案包括使用主控台、 AWS SDKs和命令列工具提出的所有 AWS KMS API 請求,以及透過整合 AWS 服務提出的請求。您可以使用這些日誌檔案來取得有關何時使用 AWS KMS 金鑰、請求的操作、請求者的身分、請求的 IP 地址等資訊。如需詳細資訊,請參閱《[AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)》中的[使用 AWS CloudTrail記錄 AWS Key Management Service API 呼叫](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)。 **使用 CloudTrail 監控 Amazon Keyspaces 資料定義語言 (DDL) 操作** CloudTrail 透過記錄對您帳戶所採取的動作,來提供使用者活動的可見性。CloudTrail 會記錄每個動作的重要資訊,包括提出請求的人、使用過的服務、執行過的動作、該動作的參數以及透過 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更,並針對操作問題進行疑難排解。CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。 所有 Amazon Keyspaces [DDL 操作](cql.ddl.md)都會自動記錄在 CloudTrail 中。DDL 操作可讓您建立和管理 Amazon Keyspaces 金鑰空間和資料表。 當 Amazon Keyspaces 中發生活動時,該活動會與事件歷史記錄中的其他服務 AWS 事件一起記錄在 CloudTrail 事件中。如需詳細資訊,請參閱[使用 記錄 Amazon Keyspaces 操作 AWS CloudTrail](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html)。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱 *AWS CloudTrail 使用者指南*中的 [使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。 若要持續記錄 中的事件 AWS 帳戶,包括 Amazon Keyspaces 的事件,請建立[追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)。線索能讓 CloudTrail 將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。根據預設,當您在主控台上建立線索時,線索會套用至所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件,並將日誌檔案交付到您指定的 S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。 **標記 Amazon Keyspaces 資源以進行識別和自動化** 您可以將中繼資料以標籤形式指派給 AWS 資源。每個標籤都是簡單的標籤,其中包含客戶定義的金鑰和選用值,可讓您更輕鬆地管理、搜尋和篩選資源。 標記允許實現分組控制。雖然標籤不具固有類型,但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例: + 存取 – 用於根據標籤控制對 Amazon Keyspaces 資源的存取。如需詳細資訊,請參閱[以 Amazon Keyspaces 標籤為基礎的授權](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)。 + 安全性 – 用來判斷資料保護設定等需求。 + 機密性 – 資源支援的特定資料機密性層級的識別符。 + 環境:用來區分開發、測試和正式作業基礎結構。 如需詳細資訊,請參閱[AWS 標記策略](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)和[將標籤和標籤新增至資源](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html)。