Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für Amazon Redshift
Diese AWS Security Hub Kontrollen bewerten den Service und die Ressourcen von Amazon Redshift.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
Verwandte Anforderungen: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),, (11), (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3), (4) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (9) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind
Schweregrad: Kritisch
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-cluster-public-access-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Redshift Redshift-Cluster öffentlich zugänglich sind. Es wertet das PubliclyAccessible
Feld im Cluster-Konfigurationselement aus.
Das PubliclyAccessible
Attribut der Amazon Redshift Redshift-Cluster-Konfiguration gibt an, ob der Cluster öffentlich zugänglich ist. Wenn der Cluster mit „PubliclyAccessible
gesetzt auf“ konfiguriert isttrue
, handelt es sich um eine mit dem Internet verbundene Instance mit einem öffentlich auflösbaren DNS Namen, der in eine öffentliche IP-Adresse aufgelöst wird.
Wenn der Cluster nicht öffentlich zugänglich ist, handelt es sich um eine interne Instanz mit einem DNS Namen, der in eine private IP-Adresse aufgelöst wird. Sofern Sie nicht beabsichtigen, dass Ihr Cluster öffentlich zugänglich ist, sollte der Cluster nicht mit der PubliclyAccessible
Einstellung auf true
konfiguriert werden.
Abhilfe
Informationen zum Aktualisieren eines Amazon Redshift-Clusters zur Deaktivierung des öffentlichen Zugriffs finden Sie unter Modifizieren eines Clusters im Amazon Redshift Management Guide. Stellen Sie Öffentlich zugänglich auf Nein ein.
[Redshift.2] Verbindungen zu Amazon Redshift Redshift-Clustern sollten bei der Übertragung verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS::Redshift::ClusterParameterGroup
AWS Config Regel: redshift-require-tls-ssl
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Verbindungen zu Amazon Redshift Redshift-Clustern erforderlich sind, um Verschlüsselung bei der Übertragung zu verwenden. Die Prüfung schlägt fehl, wenn der Amazon Redshift Redshift-Clusterparameter require_SSL
nicht auf True
gesetzt ist.
TLSkann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über TLS sollten zugelassen werden. Das Verschlüsseln von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen.
Abhilfe
Informationen zum Aktualisieren einer Amazon Redshift-Parametergruppe, sodass eine Verschlüsselung erforderlich ist, finden Sie unter Ändern einer Parametergruppe im Amazon Redshift Management Guide. Auf True setzenrequire_ssl
.
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NIST.800-53.r5 SC-7 .800-53.r5 SI-13 (5NIST)
Kategorie: Wiederherstellung > Ausfallsicherheit > Backups aktiviert
Schweregrad: Mittel
Ressourcentyp: AWS::Redshift::Cluster
AWS Config Regel: redshift-backup-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Minimale Aufbewahrungsdauer für Snapshots in Tagen |
Ganzzahl |
|
|
Dieses Steuerelement prüft, ob in einem Amazon Redshift Redshift-Cluster automatische Snapshots aktiviert sind und ob eine Aufbewahrungsdauer größer oder gleich dem angegebenen Zeitraum ist. Die Kontrolle schlägt fehl, wenn automatische Snapshots für den Cluster nicht aktiviert sind oder wenn die Aufbewahrungsdauer den angegebenen Zeitraum unterschreitet. Sofern Sie keinen benutzerdefinierten Parameterwert für die Aufbewahrungsdauer von Snapshots angeben, verwendet Security Hub einen Standardwert von 7 Tagen.
Mithilfe von Backups können Sie sich nach einem Sicherheitsvorfall schneller erholen. Sie stärken die Widerstandsfähigkeit Ihrer Systeme. Amazon Redshift erstellt standardmäßig regelmäßig Snapshots. Dieses Steuerelement prüft, ob automatische Snapshots aktiviert sind und mindestens sieben Tage lang aufbewahrt werden. Weitere Informationen zu automatisierten Amazon Redshift-Snapshots finden Sie unter Automatisierte Snapshots im Amazon Redshift Management Guide.
Abhilfe
Informationen zur Aktualisierung der Aufbewahrungsdauer von Snapshots für einen Amazon Redshift-Cluster finden Sie unter Modifizieren eines Clusters im Amazon Redshift Management Guide. Stellen Sie für Backup die Snapshot-Aufbewahrung auf einen Wert von 7 oder höher ein.
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST NIST
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-cluster-audit-logging-enabled
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
-
loggingEnabled = true
(nicht anpassbar)
Dieses Steuerelement prüft, ob für einen Amazon Redshift Redshift-Cluster die Audit-Protokollierung aktiviert ist.
Die Amazon Redshift Redshift-Audit-Protokollierung bietet zusätzliche Informationen über Verbindungen und Benutzeraktivitäten in Ihrem Cluster. Diese Daten können in Amazon S3 gespeichert und gesichert werden und können bei Sicherheitsüberprüfungen und Untersuchungen hilfreich sein. Weitere Informationen finden Sie unter Protokollierung von Datenbankprüfungen im Amazon Redshift Management Guide.
Abhilfe
Informationen zur Konfiguration der Auditprotokollierung für einen Amazon Redshift-Cluster finden Sie unter Konfiguration der Überwachung mithilfe der Konsole im Amazon Redshift Management Guide.
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Kategorie: Identifizieren > Sicherheitslücken-, Patch- und Versionsverwaltung
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-cluster-maintenancesettings-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
-
allowVersionUpgrade = true
(nicht anpassbar)
Dieses Steuerelement prüft, ob automatische Hauptversions-Upgrades für den Amazon Redshift Redshift-Cluster aktiviert sind.
Durch die Aktivierung automatischer Hauptversions-Upgrades wird sichergestellt, dass die neuesten Hauptversionsupdates für Amazon Redshift Redshift-Cluster während des Wartungsfensters installiert werden. Diese Updates können Sicherheitspatches und Bugfixes enthalten. Es ist ein wichtiger Schritt zur Sicherung von Systemen, über die Installation von Patches auf dem Laufenden zu bleiben.
Abhilfe
Um dieses Problem zu beheben, klicken Sie auf AWS CLI, verwenden Sie den Amazon Redshift modify-cluster
Redshift-Befehl und legen Sie das --allow-version-upgrade
Attribut fest.
ist der Name Ihres Amazon Redshift Redshift-Clusters.clustername
aws redshift modify-cluster --cluster-identifier
clustername
--allow-version-upgrade
[Redshift.7] Redshift-Cluster sollten erweitertes Routing verwenden VPC
Verwandte Anforderungen: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
Kategorie: Schützen > Sichere Netzwerkkonfiguration > API privater Zugriff
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-enhanced-vpc-routing-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster EnhancedVpcRouting
aktiviert wurde.
Durch das erweiterte VPC Routing wird der gesamte COPY
UNLOAD
Datenverkehr zwischen dem Cluster und den Datenrepositorys durch Ihren geleitet. VPC Anschließend können Sie VPC Funktionen wie Sicherheitsgruppen und Netzwerkzugriffskontrolllisten verwenden, um den Netzwerkverkehr zu sichern. Sie können VPC Flow Logs auch verwenden, um den Netzwerkverkehr zu überwachen.
Abhilfe
Detaillierte Anweisungen zur Problembehebung finden Sie unter Enabling enhanced VPC Routing im Amazon Redshift Management Guide.
[Redshift.8] Amazon Redshift Redshift-Cluster sollten nicht den standardmäßigen Admin-Benutzernamen verwenden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-default-admin-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster den Standardwert des Admin-Benutzernamens geändert hat. Diese Steuerung schlägt fehl, wenn der Admin-Benutzername für einen Redshift-Cluster auf awsuser
gesetzt ist.
Wenn Sie einen Redshift-Cluster erstellen, sollten Sie den Standard-Administratorbenutzernamen in einen eindeutigen Wert ändern. Standardbenutzernamen sind allgemein bekannt und sollten bei der Konfiguration geändert werden. Durch das Ändern der Standardbenutzernamen wird das Risiko eines unbeabsichtigten Zugriffs verringert.
Abhilfe
Sie können den Admin-Benutzernamen für Ihren Amazon Redshift Redshift-Cluster nicht ändern, nachdem Sie ihn erstellt haben. Informationen zum Erstellen eines neuen Clusters mit einem nicht standardmäßigen Benutzernamen finden Sie unter Schritt 1: Erstellen eines Amazon Redshift-Beispielclusters im Amazon Redshift Getting Started Guide.
[Redshift.9] Redshift-Cluster sollten nicht den Standard-Datenbanknamen verwenden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Kategorie: Identifizieren > Ressourcenkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-default-db-name-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster den Datenbanknamen gegenüber seinem Standardwert geändert hat. Die Steuerung schlägt fehl, wenn der Datenbankname für einen Redshift-Cluster auf dev
gesetzt ist.
Wenn Sie einen Redshift-Cluster erstellen, sollten Sie den Standarddatenbanknamen in einen eindeutigen Wert ändern. Standardnamen sind allgemein bekannt und sollten bei der Konfiguration geändert werden. Beispielsweise könnte ein bekannter Name zu unbeabsichtigtem Zugriff führen, wenn er in IAM Richtlinienbedingungen verwendet wird.
Abhilfe
Sie können den Datenbanknamen für Ihren Amazon Redshift Redshift-Cluster nicht ändern, nachdem er erstellt wurde. Anweisungen zum Erstellen eines neuen Clusters finden Sie unter Erste Schritte mit Amazon Redshift im Amazon Redshift Getting Started Guide.
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), .800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6) NIST
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-at-rest
Schweregrad: Mittel
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-cluster-kms-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob Amazon Redshift Redshift-Cluster im Ruhezustand verschlüsselt sind. Die Steuerung schlägt fehl, wenn ein Redshift-Cluster im Ruhezustand nicht verschlüsselt ist oder wenn sich der Verschlüsselungsschlüssel von dem im Regelparameter angegebenen Schlüssel unterscheidet.
In Amazon Redshift können Sie die Datenbankverschlüsselung für Ihre Cluster aktivieren, um Data-at-Rest besser zu schützen. Wenn Sie die Verschlüsselung für einen Cluster aktivieren, werden die Datenblöcke und die Metadaten des Systems für den Cluster und Snapshots des Clusters verschlüsselt. Die Verschlüsselung ruhender Daten ist eine empfohlene bewährte Methode, da sie Ihren Daten eine Ebene der Zugriffsverwaltung hinzufügt. Durch die Verschlüsselung von Redshift-Clustern im Ruhezustand wird das Risiko verringert, dass ein nicht autorisierter Benutzer auf die auf der Festplatte gespeicherten Daten zugreifen kann.
Abhilfe
Informationen zur Änderung eines Redshift-Clusters für die Verwendung von KMS Verschlüsselung finden Sie unter Ändern der Cluster-Verschlüsselung im Amazon Redshift Management Guide.
[Redshift.11] Redshift-Cluster sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: tagged-redshift-cluster
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen |
No default value
|
Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster Tags mit den spezifischen Schlüsseln hat, die im Parameter requiredTagKeys
definiert sind. Die Steuerung schlägt fehl, wenn der Cluster keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys
angegebenen Schlüssel hat. Wenn der Parameter requiredTagKeys
nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:
, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einem Redshift-Cluster finden Sie unter Tagging resources in Amazon Redshift im Amazon Redshift Management Guide.
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::Redshift::EventSubscription
AWS Config Regel: tagged-redshift-eventsubscription
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen |
No default value
|
Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys
definiert sind. Die Steuerung schlägt fehl, wenn der Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys
angegebenen Schlüssel enthält. Wenn der Parameter requiredTagKeys
nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:
, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einem Abonnement für Redshift-Ereignisbenachrichtigungen finden Sie unter Tagging resources in Amazon Redshift im Amazon Redshift Management Guide.
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::Redshift::ClusterSnapshot
AWS Config Regel: tagged-redshift-clustersnapshot
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen |
No default value
|
Dieses Steuerelement prüft, ob ein Amazon Redshift Redshift-Cluster-Snapshot Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys
definiert sind. Die Steuerung schlägt fehl, wenn der Cluster-Snapshot keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter requiredTagKeys
angegebenen Schlüssel enthält. Wenn der Parameter requiredTagKeys
nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Cluster-Snapshot mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:
, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einem Redshift-Cluster-Snapshot finden Sie unter Tagging resources in Amazon Redshift im Amazon Redshift Management Guide.
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::Redshift::ClusterSubnetGroup
AWS Config Regel: tagged-redshift-clustersubnetgroup
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList | Liste der Stichwörter, die übereinstimmen AWS Anforderungen |
No default value
|
Dieses Steuerelement prüft, ob eine Amazon Redshift Redshift-Cluster-Subnetzgruppe Tags mit den spezifischen Schlüsseln hat, die im Parameter definiert sind. requiredTagKeys
Die Steuerung schlägt fehl, wenn die Cluster-Subnetzgruppe keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter angegebenen Schlüssel hat. requiredTagKeys
Wenn der Parameter requiredTagKeys
nicht angegeben wird, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn die Cluster-Subnetzgruppe mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnenaws:
, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einem zuweisen AWS Ressource, und sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributbasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) anhängen und an AWS Ressourcen schätzen. Sie können eine einzelne ABAC Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM Prinzipale erstellen. Sie können diese ABAC Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter ABAC Wofür AWS? im IAMBenutzerhandbuch.
Anmerkung
Fügen Sie den Tags keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen hinzu. Tags sind für viele zugänglich AWS-Services, einschließlich AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihres AWS Ressourcen in der Allgemeine AWS-Referenz.
Abhilfe
Informationen zum Hinzufügen von Tags zu einer Redshift-Cluster-Subnetzgruppe finden Sie unter Tagging resources in Amazon Redshift im Amazon Redshift Management Guide.
[Redshift.15] Redshift-Sicherheitsgruppen sollten den Zugriff auf den Cluster-Port nur von eingeschränkten Quellen zulassen
Kategorie: Schützen > Sichere Netzwerkkonfiguration > Konfiguration von Sicherheitsgruppen
Schweregrad: Hoch
Art der Ressource: AWS::Redshift::Cluster
AWS Config Regel: redshift-unrestricted-port-access
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob eine mit einem Amazon Redshift Redshift-Cluster verknüpfte Sicherheitsgruppe über Eingangsregeln verfügt, die den Zugriff auf den Cluster-Port vom Internet aus ermöglichen (0.0.0.0/0 oder: :/0). Die Kontrolle schlägt fehl, wenn die Eingangsregeln der Sicherheitsgruppe den Zugriff auf den Cluster-Port über das Internet zulassen.
Die Zulassung eines uneingeschränkten eingehenden Zugriffs auf den Redshift-Cluster-Port (IP-Adresse mit dem Suffix /0) kann zu unbefugtem Zugriff oder Sicherheitsvorfällen führen. Wir empfehlen, bei der Erstellung von Sicherheitsgruppen und der Konfiguration von Regeln für eingehenden Datenverkehr das Prinzip des Zugriffs mit den geringsten Rechten anzuwenden.
Abhilfe
Informationen zur Beschränkung des Eingangs auf dem Redshift-Cluster-Port auf eingeschränkte Ursprünge finden Sie unter Arbeiten mit Sicherheitsgruppenregeln im VPCAmazon-Benutzerhandbuch. Aktualisieren Sie Regeln, bei denen der Portbereich mit dem Redshift-Cluster-Port übereinstimmt und der IP-Portbereich 0.0.0.0/0 ist.