本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Keyspaces 的安全最佳實務
<a name="best-practices-security"></a>

Amazon Keyspaces （適用於 Apache Cassandra) 提供許多安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

**Topics**
+ [Amazon Keyspaces 的預防性安全最佳實務](best-practices-security-preventative.md)
+ [Amazon Keyspaces 的偵測安全最佳實務](best-practices-security-detective.md)

# Amazon Keyspaces 的預防性安全最佳實務
<a name="best-practices-security-preventative"></a>

下列安全最佳實務被視為預防性的，因為它們可協助您預測和防止 Amazon Keyspaces 中的安全事件。

**使用靜態加密**  
Amazon Keyspaces 會使用存放在 [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 中的加密金鑰，對存放在資料表中的所有使用者資料進行靜態加密。如此可透過保護您的資料免於發生未經授權的基礎儲存體存取，為資料提供另一層保護。  
根據預設，Amazon Keyspaces 會使用 AWS 擁有的金鑰 來加密所有資料表。如果此金鑰不存在，則會為您建立。無法停用服務預設金鑰。  
或者，您可以使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)進行靜態加密。如需詳細資訊，請參閱 [Amazon Keyspaces 靜態加密](https://docs.aws.amazon.com/keyspaces/latest/devguide/EncryptionAtRest.html)。

**使用 IAM 角色來驗證對 Amazon Keyspaces 的存取**  
對於存取 Amazon Keyspaces 的使用者、應用程式和其他 AWS 服務，他們必須在其 AWS API 請求中包含有效的 AWS 登入資料。您不應將 AWS 登入資料直接存放在應用程式或 EC2 執行個體中。這些是不會自動輪換的長期憑證，因此如果遭到盜用，可能會對業務造成嚴重的影響。IAM 角色可讓您取得臨時存取金鑰，用於存取 AWS 服務和資源。  
如需詳細資訊，請參閱 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。

**針對 Amazon Keyspaces 基本授權使用 IAM 政策**  
授予許可時，您可以決定取得許可的人員、他們取得許可的 Amazon Keyspaces APIs，以及您想要在這些資源上允許的特定動作。實作最低權限是降低安全風險和可能因錯誤或惡意意圖而產生之影響的關鍵。  
將許可政策連接至 IAM 身分 （即使用者、群組和角色），藉此授予在 Amazon Keyspaces 資源上執行操作的許可。  
您可以使用下列內容執行這項作業：  
+ [AWS 受管 （預先定義） 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
+ [客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)

**使用 IAM 政策條件進行精細定義存取控制**  
當您在 Amazon Keyspaces 中授予許可時，您可以指定決定許可政策如何生效的條件。實作最低權限是降低安全風險和可能因錯誤或惡意意圖而產生之影響的關鍵。  
您可以指定使用 IAM 政策授予許可時的條件。例如，您可以執行下列動作：  
+ 授予許可，以允許使用者唯讀存取特定金鑰空間或資料表。
+ 根據使用者的身分，授予許可以允許使用者寫入存取特定資料表。
 如需詳細資訊，請參閱以[身分為基礎的政策範例](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html)。

**考慮用戶端加密**  
如果您在 Amazon Keyspaces 中存放敏感或機密資料，建議您盡可能將資料加密至接近其原始伺服器的位置，以便在整個生命週期內保護您的資料。將您傳輸中和靜態的敏感資料加密，有助於確保您的明文資料不會被任何第三方取得。

# Amazon Keyspaces 的偵測安全最佳實務
<a name="best-practices-security-detective"></a>

下列安全最佳實務被視為偵測性，因為它們可協助您偵測潛在的安全弱點和事件。

**使用 AWS CloudTrail 來監控 AWS Key Management Service (AWS KMS) AWS KMS 金鑰用量**  
如果您使用[客戶受管 AWS KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)進行靜態加密，則會登入此金鑰的使用 AWS CloudTrail。CloudTrail 透過記錄對您帳戶所採取的動作，來提供使用者活動的可見性。CloudTrail 會記錄每個動作的重要資訊，包括提出請求的人員、使用的服務、執行的動作、動作的參數，以及 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更，並疑難排解操作問題。CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。  
您可以使用 CloudTrail 來稽核金鑰的使用情況。CloudTrail 會建立日誌檔案，其中包含您帳戶的 AWS API 呼叫和相關事件的歷史記錄。這些日誌檔案包括使用主控台、 AWS SDKs和命令列工具提出的所有 AWS KMS API 請求，以及透過整合 AWS 服務提出的請求。您可以使用這些日誌檔案來取得有關何時使用 AWS KMS 金鑰、請求的操作、請求者的身分、請求的 IP 地址等資訊。如需詳細資訊，請參閱《[AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)》中的[使用 AWS CloudTrail記錄 AWS Key Management Service API 呼叫](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)。

**使用 CloudTrail 監控 Amazon Keyspaces 資料定義語言 (DDL) 操作**  
CloudTrail 透過記錄對您帳戶所採取的動作，來提供使用者活動的可見性。CloudTrail 會記錄每個動作的重要資訊，包括提出請求的人、使用過的服務、執行過的動作、該動作的參數以及透過 AWS 服務傳回的回應元素。此資訊可協助您追蹤對 AWS 資源所做的變更，並針對操作問題進行疑難排解。CloudTrail 可讓您更輕鬆地確保內部政策和法規標準的合規性。  
所有 Amazon Keyspaces [DDL 操作](cql.ddl.md)都會自動記錄在 CloudTrail 中。DDL 操作可讓您建立和管理 Amazon Keyspaces 金鑰空間和資料表。  
當 Amazon Keyspaces 中發生活動時，該活動會與事件歷史記錄中的其他服務 AWS 事件一起記錄在 CloudTrail 事件中。如需詳細資訊，請參閱[使用 記錄 Amazon Keyspaces 操作 AWS CloudTrail](https://docs.aws.amazon.com/keyspaces/latest/devguide/logging-using-cloudtrail.html)。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊，請參閱 *AWS CloudTrail 使用者指南*中的 [使用 CloudTrail 事件歷史記錄檢視事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。  
若要持續記錄 中的事件 AWS 帳戶，包括 Amazon Keyspaces 的事件，請建立[追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)。線索能讓 CloudTrail 將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。根據預設，當您在主控台上建立線索時，線索會套用至所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件，並將日誌檔案交付到您指定的 S3 儲存貯體。此外，您可以設定其他 AWS 服務，以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。

**標記 Amazon Keyspaces 資源以進行識別和自動化**  
您可以將中繼資料以標籤形式指派給 AWS 資源。每個標籤都是簡單的標籤，其中包含客戶定義的金鑰和選用值，可讓您更輕鬆地管理、搜尋和篩選資源。  
標記允許實現分組控制。雖然標籤不具固有類型，但能讓您依用途、擁有者、環境或其他條件分類資源。下列是一些範例：  
+ 存取 – 用於根據標籤控制對 Amazon Keyspaces 資源的存取。如需詳細資訊，請參閱[以 Amazon Keyspaces 標籤為基礎的授權](security_iam_service-with-iam.md#security_iam_service-with-iam-tags)。
+ 安全性 – 用來判斷資料保護設定等需求。
+ 機密性 – 資源支援的特定資料機密性層級的識別符。
+ 環境：用來區分開發、測試和正式作業基礎結構。
如需詳細資訊，請參閱[AWS 標記策略](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)和[將標籤和標籤新增至資源](https://docs.aws.amazon.com/keyspaces/latest/devguide/tagging-keyspaces.html)。