本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon Keyspaces 的預防性安全最佳實務 下列安全最佳實務被視為預防性的,因為它們可協助您預測和防止 Amazon Keyspaces 中的安全事件。 **使用靜態加密** Amazon Keyspaces 會使用存放在 [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 中的加密金鑰,對存放在資料表中的所有使用者資料進行靜態加密。如此可透過保護您的資料免於發生未經授權的基礎儲存體存取,為資料提供另一層保護。 根據預設,Amazon Keyspaces 會使用 AWS 擁有的金鑰 來加密所有資料表。如果此金鑰不存在,則會為您建立。無法停用服務預設金鑰。 或者,您可以使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)進行靜態加密。如需詳細資訊,請參閱 [Amazon Keyspaces 靜態加密](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html)。 **使用 IAM 角色來驗證對 Amazon Keyspaces 的存取** 對於存取 Amazon Keyspaces 的使用者、應用程式和其他 AWS 服務,他們必須在其 AWS API 請求中包含有效的 AWS 登入資料。您不應將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期憑證,因此如果遭到盜用,可能會對業務造成嚴重的影響。IAM 角色可讓您取得臨時存取金鑰,用於存取 AWS 服務和資源。 如需詳細資訊,請參閱 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。 **針對 Amazon Keyspaces 基本授權使用 IAM 政策** 授予許可時,您可以決定取得許可的人員、他們取得許可的 Amazon Keyspaces APIs,以及您想要在這些資源上允許的特定動作。實作最低權限是降低安全風險和可能因錯誤或惡意意圖而產生之影響的關鍵。 將許可政策連接至 IAM 身分 (即使用者、群組和角色),藉此授予在 Amazon Keyspaces 資源上執行操作的許可。 您可以使用下列內容執行這項作業: + [AWS 受管 (預先定義) 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) + [客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) **使用 IAM 政策條件進行精細定義存取控制** 當您在 Amazon Keyspaces 中授予許可時,您可以指定決定許可政策如何生效的條件。實作最低權限是降低安全風險和可能因錯誤或惡意意圖而產生之影響的關鍵。 您可以指定使用 IAM 政策授予許可時的條件。例如,您可以執行下列動作: + 授予許可,以允許使用者唯讀存取特定金鑰空間或資料表。 + 根據使用者的身分,授予許可以允許使用者寫入存取特定資料表。 如需詳細資訊,請參閱以[身分為基礎的政策範例](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html)。 **考慮用戶端加密** 如果您在 Amazon Keyspaces 中存放敏感或機密資料,建議您盡可能將資料加密至接近其原始伺服器的位置,以便在整個生命週期內保護您的資料。將您傳輸中和靜態的敏感資料加密,有助於確保您的明文資料不會被任何第三方取得。