以下安全佳实践被认为是检测性的,因为这些实践可以帮助发现潜在安全弱点和事件。
- 使用Amazon CloudTrail监控Amazon Key Management Service(Amazon KMS)Amazon KMS密钥用法
如果您使用的是客户托管Amazon KMS密钥对于静态加密,将此密钥的使用登录到中。Amazon CloudTrail. CloudTrail 按照帐户上执行的记录操作,显示用户活动。CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、所使用的服务、执行的操作、操作的参数以及 Amazon 服务返回的响应元素。这些信息有助于跟踪 Amazon 资源更改,解决运营问题。利用 CloudTrail,可以更轻松确保符合内部策略和法规标准。
可以使用 CloudTrail 审计密钥使用情况。CloudTrail 创建日志文件,其中包含账户的 Amazon API 调用和相关事件历史记录。这些日志文件包括所有Amazon KMS使用控制台发出的 API 请求,Amazon以及通过集成的 SDK 和命令行工具,以及通过集成的方式生产的工具Amazon服务。您可以使用这些日志文件来获取有关何时间的信息。Amazon KMS使用密钥、请求的操作、请求者的身份、发出请求的 IP 地址等。有关更多信息,请参见用 Amazon CloudTrail 记录 Amazon Key Management Service API 调用和 Amazon CloudTrail 用户指南。
- 使用 CloudTrail 监控 Amazon Keyspaces 数据定义语言 (DDL) 操作
CloudTrail 按照帐户上执行的记录操作,显示用户活动。CloudTrail 记录有关每个操作的重要信息,包括谁发出请求、所使用的服务、执行的操作、操作的参数以及 Amazon 服务返回的响应元素。此信息可帮助您跟踪对您的更改。Amazon资源并解决操作问题。利用 CloudTrail,可以更轻松确保符合内部策略和法规标准。
所有 Amazon KeyspacesDL 操作将自动登录 CloudTrail。使用 DDL 操作,您可以创建和管理 Amazon Keyspaces 密钥空间和表格。
当 Amazon Keyspaces 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他活动一起保存在 CAmazon事件历史记录中的服务事件。有关更多信息,请参阅 。使用以下方式记录 Amazon Keyspaces 操作Amazon CloudTrail. 您可以在中查看、搜索和下载新事件。Amazon Web Services 账户. 有关更多信息,请参阅 Amazon CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看事件。
要持续记录在中的事件Amazon Web Services 账户,包括亚马逊 Keyspaces 的活动,创建踪迹. 跟踪记录让 CloudTrail 可以将日志文件发送至 Amazon Simple Storage Service (Amazon S3) 存储桶。默认情况下,在控制台中创建跟踪时,此跟踪应用于所有Amazon Web Services 区域. 跟踪记录 Amazon 分区所有区域的事件,将日志文件传送至指定的 S3 存储桶。此外,可以配置其他 Amazon 服务,进一步分析和应对 CloudTrail 日志中收集的事件数据。
- 标记 Amazon Keyspaces 资源以进行标识和自动化
可以将自己的元数据以标签形式分配给 Amazon 资源。每个标签都是一个标注,包含一个客户定义的密钥和一个可选值,让您能够更轻松地管理、搜索和筛选资源。
标签可实现分组控制。尽管没有固有类型的标签,但利用标签,可以根据用途、所有者、环境或其他条件分类资源。下面是一些示例:
访问权限 — 用于基于标签控制对 Amazon Keyspaces 资源的访问。有关更多信息,请参阅基于 Amazon Keyspaces 标签的授权。
安全性 — 用于确定数据保护设置等要求。
机密性 — 资源支持的特定数据机密级别的标识符。
环境 – 用于区分开发、测试和生产基础设施。
有关更多信息,请参阅 。Amazon标记策略
和向资源添加标签和标签.