本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Keyspaces 的預防性安全最佳實務
以下安全最佳實務可視為預防性,因為它們可協助您預測並預防 Amazon Keyspaces 中的安全性事件。
- 靜態加密
-
Amazon 金 Keyspaces 使用儲存在 AWS Key Management Service(AWS KMS)
中的加密金鑰,來對存放在資料表中的所有使用者資料進行靜態加密。如此可透過保護您的資料免於發生未經授權的基礎儲存體存取,為資料提供另一層保護。 根據預設,Amazon Keyspaces 會使AWS 擁有的金鑰用一個來加密所有資料表。如果這個金鑰不存在,就會為您建立。服務預設金鑰無法停用預設金鑰。
- 使用 IAM 角色驗證 Amazon Keyspaces 的存取權
-
對於要存取 Amazon Keyspaces 的使用者、應用程式和其他AWS服務,其必須在AWS API 請求中包含有效的AWS登入資料。您不應該將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期登入資料,因此如果遭到盜用,可能會對業務造成嚴重的影響。IAM 角色可讓您取得臨時存取金鑰,用於存取 AWS 服務和資源。
如需詳細資訊,請參閱 IAM 角色。
- 使用 IAM 政策進行 Amazon Keyspaces 基礎授權
-
授予許可時,會決定誰可以取得許可、可以取得哪些 Amazon Keyspaces space API 許可,以及可以對這些資源進行的特定動作。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限是其中關鍵。
將許可政策連接至 IAM 身分 (即使用者、群組和角色),藉此授予可在 Amazon Keyspaces 資源上執行操作的許可。
您可以使用下列內容執行這項作業:
- 使用 IAM 政策條件進行精細定義存取控制
-
您在 Amazon Keyspaces 授予許可時,可以指定條件,以決定許可政策的生效方式。對降低錯誤或惡意意圖所引起的安全風險和影響而言,實作最低權限是其中關鍵。
您可以指定使用 IAM 政策授予許可時的條件。例如,您可以執行下列動作:
-
授予許可,允許使用者唯讀存取特定金鑰空間或資料表。
-
根據使用者的身分,授與權限,以允許使用者寫入特定資料表的存取權。
如需詳細資訊,請參閱以身分為基礎的政策範例。
-
- 考慮用戶端加密
-
如果將敏感或機密資料存放在 Amazon Keyspace 中,您可能會想在盡可能接近資料來源的位置加密資料,以便在整個生命週期中保護資料。將您傳輸中和靜態的敏感資料加密,有助於確保您的明文資料不會被任何第三方取得。
