Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon Redshift
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Redshift. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoría:** Proteger > Configuración de red segura > Recursos no accesibles públicamente
**Gravedad:** crítica
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los clústeres de Amazon Redshift son de acceso público. Evalúa el campo `PubliclyAccessible` del elemento de configuración del clúster.
El atributo de la configuración del clúster de Amazon Redshift `PubliclyAccessible` indica si el clúster es de acceso público. Si el clúster se configuró con `PubliclyAccessible` en `true`, se trata de una instancia orientada a Internet con un nombre DNS que se puede resolver públicamente y que se resuelve en una dirección IP pública.
Cuando el clúster no es accesible públicamente, se trata de una instancia interna con un nombre DNS que se resuelve en una dirección IP privada. A menos que desee que su clúster sea de acceso público, el clúster no debe configurarse con el valor `PubliclyAccessible` establecido como `true`.
### Corrección
Para actualizar un clúster de Amazon Redshift para inhabilitar el acceso público, consulte [Modificación de un clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) en la *Guía de administración de Amazon Redshift*. Establezca **Accesible públicamente** en **No**.
## Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoría: Proteger > Protección** de datos > Cifrado de data-in-transit
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si las conexiones a los clústeres de Amazon Redshift son necesarias para utilizar el cifrado en tránsito. La comprobación no se realiza correctamente si el parámetro de clúster de Amazon Redshift `require_SSL` no se ha establecido como `True`.
El TLS se puede utilizar para evitar que posibles atacantes utilicen ataques similares para espiar person-in-the-middle o manipular el tráfico de la red. Solo se deben permitir las conexiones cifradas a través de TLS. El cifrado de los datos en tránsito puede afectar al rendimiento. Debe probar su aplicación con esta característica para comprender el perfil de rendimiento y el impacto del TLS.
### Corrección
Para actualizar un grupo de parámetros de Amazon Redshift para que requiera el cifrado, consulte [Modificación de un grupo de parámetros](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) en la *Guía de administración de Amazon Redshift*. Establecer `require_ssl` como **True**.
## Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NISt.800-53.r5 SI-13 NIST.800-53.r5 SC-7 (5)
**Categoría: Recuperación > Resiliencia > Respaldos habilitados**
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Periodo mínimo de retención de instantáneas en días | Entero | De `7` a `35` | `7` |
Este control comprueba si un clúster de Amazon Redshift tiene habilitadas las instantáneas automatizadas y si el periodo de retención es superior o igual al periodo especificado. Se produce un error en el control si las instantáneas automatizadas no están habilitadas para el clúster o si el periodo de retención es inferior al periodo especificado. A menos que proporciones un valor de parámetro personalizado para el período de retención de instantáneas, Security Hub CSPM utiliza un valor predeterminado de 7 días.
Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. Refuerzan la resiliencia de sus sistemas. Amazon Redshift toma instantáneas periódicas de forma predeterminada. Este control comprueba si las instantáneas automáticas están habilitadas y conservadas durante al menos siete días. Para obtener más información sobre las instantáneas automatizadas de Amazon Redshift, consulte [Instantáneas automatizadas](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) en la *Guía de administración de Amazon Redshift*.
### Corrección
Para actualizar el período de retención de instantáneas de un clúster de Amazon Redshift, consulte [Modificación de un clúster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) en la *Guía de administración de Amazon Redshift*. Para **Copia de seguridad**, establezca la **Retención de instantáneas** en un valor de 7 o superior.
## Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 (8), niST.800-53.r5 SI-4 (20), NIst.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**AWS Config regla:** `redshift-cluster-audit-logging-enabled` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un clúster de Amazon Redshift tiene activado el registro de auditoría.
El registro de auditoría de Amazon Redshift proporciona información adicional acerca de las conexiones y las actividades de los usuarios en su clúster. Estos datos se pueden almacenar y proteger en Amazon S3 y pueden ser útiles en las auditorías e investigaciones de seguridad. Para obtener más información, consulte [Registro de auditoría de base de datos](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) en la *Guía de administración de Amazon Redshift*.
### Corrección
Para configurar el registro de auditoría para un clúster de Amazon Redshift, consulte [Configuración de la auditoría mediante la consola](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) en la *Guía de administración de Amazon Redshift*.
## Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIst.800-53.r5 SI-2 (2), NISt.800-53.r5 SI-2 (4), NISt.800-53.r5 SI-2 (5)
**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
+ `allowVersionUpgrade = true` (no personalizable)
Este control comprueba si las actualizaciones automáticas de las versiones principales están habilitadas para el clúster de Amazon Redshift.
La activación de las actualizaciones automáticas de las versiones principales garantiza que las últimas actualizaciones de las versiones principales de los clústeres de Amazon Redshift se instalen durante el período de mantenimiento. Estas actualizaciones pueden incluir parches de seguridad y correcciones de errores. Mantenerse al día con la instalación de los parches es un paso importante para proteger los sistemas.
### Corrección
Para solucionar este problema AWS CLI, utilice el comando Amazon `modify-cluster` Redshift y `--allow-version-upgrade` defina el atributo. `clustername`es el nombre de su clúster de Amazon Redshift.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoría:** Proteger > Configuración de red segura > Acceso privado a la API
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un clúster de Amazon Redshift ha habilitado `EnhancedVpcRouting`.
El Enhanced VPC Routing fuerza a todo `COPY` y el tráfico de `UNLOAD` entre el clúster y los repositorios de datos para que pase a través de su VPC. A continuación, puede utilizar las funciones de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar Registros de flujo de VPC para monitorear el tráfico de red.
### Corrección
Para obtener instrucciones de corrección detalladas, consulte [Habilitar el enrutamiento de VPC mejorado](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) en la *Guía de administración de Amazon Redshift*.
## Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoría**: Identificar > Configuración de recursos
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un clúster de Amazon Redshift ha cambiado el nombre de usuario de administrador con respecto a su valor predeterminado. Este control fallará si el nombre de usuario de administrador de un clúster de Redshift se ha establecido como `awsuser`.
Al crear un clúster de Redshift, debe cambiar el nombre de usuario de administrador predeterminado por un valor único. Los nombres de usuario predeterminados son de dominio público y deben cambiarse al configurarlos. Cambiar los nombres de usuario predeterminados reduce el riesgo de accesos no deseados.
### Corrección
No se puede cambiar el nombre de usuario de administración de su clúster de Amazon Redshift después de crearlo. Para crear un clúster nuevo con un nombre de usuario que no sea el predeterminado, consulte [Paso 1: crear un clúster de Amazon Redshift de muestra](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) en la *Guía de introducción a Amazon Redshift*.
## Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 NIST.800-53.r5 SC-2 SI-7 (6)
**Categoría: Proteger > Protección** de datos > Cifrado de data-at-rest
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si los clústeres de Amazon Redshift están cifrados en reposo. El control falla si un clúster de Redshift no está cifrado en reposo o si la clave de cifrado es diferente de la clave proporcionada en el parámetro de la regla.
En Amazon Redshift, puede activar el cifrado de la base de datos de los clústeres para proteger los datos en reposo. Cuando activa el cifrado para un clúster, se cifran los bloques de datos y metadatos del sistema para el clúster y sus instantáneas. El cifrado de los datos en reposo es una práctica recomendada, ya que añade una capa de administración del acceso a los datos. El cifrado de los clústeres de Redshift en reposo reduce el riesgo de que un usuario no autorizado pueda acceder a los datos almacenados en el disco.
### Corrección
Para modificar un clúster de Redshift para que utilice el cifrado de KMS, consulte [Cambiar el cifrado de clústeres](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) en la *Guía de administración de Amazon Redshift*.
## [Redshift.11] Los clústeres de Redshift deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::Redshift::Cluster`
**AWS Config regla:** `tagged-redshift-cluster` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Este control comprueba si un clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a un clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.
## [Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::Redshift::EventSubscription`
**AWS Config regla:** `tagged-redshift-eventsubscription` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Este control comprueba si una instantánea del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a una suscripción a notificaciones de eventos de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.
## [Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::Redshift::ClusterSnapshot`
**AWS Config regla:** `tagged-redshift-clustersnapshot` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Este control comprueba si una instantánea del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si la instantánea del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la instantánea de clúster no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a la instantánea del clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.
## [Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config regla:** `tagged-redshift-clustersubnetgroup` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Este control comprueba si un grupo de subredes del clúster de Amazon Redshift tiene etiquetas con las claves específicas definidas en el parámetro `requiredTagKeys`. El control lanza un error si el grupo de subredes del clúster no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de subredes del clúster no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para agregar etiquetas a un grupo de subredes del clúster de Redshift, consulte [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.
## [Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos
**Requisitos relacionados:** PCI DSS v4.0.1/1.3.1
**Categoría:** Proteger > Configuración de red segura > Configuración de grupos de seguridad
**Gravedad:** alta
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si un grupo de seguridad asociado a un clúster de Amazon Redshift ha establecido reglas de entrada que permiten acceder al puerto del clúster desde Internet (0.0.0.0/0 o ::/0). El control lanza un error si las reglas de entrada del grupo de seguridad permiten el acceso al puerto del clúster desde Internet.
Permitir el acceso al puerto del clúster de Redshift (dirección IP con el sufijo /0) sin restricciones puede provocar un acceso no autorizado o incidentes de seguridad. Recomendamos aplicar el principio de acceso con privilegio mínimo al crear grupos de seguridad y configurar las reglas de entrada.
### Corrección
Para restringir la entrada en el puerto del clúster de Redshift a orígenes restringidos, consulte [Trabajar con reglas del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) en la *Guía del usuario de Amazon VPC*. Actualice las reglas en las que el rango de puertos coincida con el puerto del clúster de Redshift y el rango de puertos IP sea 0.0.0.0/0.
## [Redshift.16] Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control verifica si un grupo de subredes de un clúster de Amazon Redshift tiene subredes de más de una zona de disponibilidad (AZ). El control falla si el grupo de subredes del clúster no tiene subredes de al menos dos subredes diferentes. AZs
La configuración de subredes en varias redes AZs ayuda a garantizar que su almacén de datos de Redshift pueda seguir funcionando incluso cuando se produzcan fallos.
### Corrección
*Para modificar un grupo de subredes de clústeres de Redshift para que abarque varios AZs, consulte [Modificación de un grupo de subredes de clústeres en la Guía de administración](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) de Amazon Redshift.*
## [Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::Redshift::ClusterParameterGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Una lista de claves de etiqueta que no son del sistema y que se deben asignar a un recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control verifica si un grupo de parámetros de clúster de Amazon Redshift tiene las claves de etiquetas especificadas por el parámetro `requiredKeyTags`. El control falla si el grupo de parámetros no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas por el parámetro `requiredKeyTags`. Si no especifica valores para el parámetro `requiredKeyTags`, el control verifica únicamente la existencia de una clave de etiqueta y falla si el grupo de parámetros no tiene ninguna clave de etiqueta. El control ignora las etiquetas del sistema, que se aplican automáticamente y tienen el prefijo `aws:`.
Una etiqueta es una etiqueta que se crea y se asigna a un AWS recurso. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. También pueden ayudar a identificar, organizar, buscar y filtrar recursos. También pueden ayudar a rastrear propietarios de recursos para acciones y notificaciones. También puede usar etiquetas para implementar control de acceso basado en atributos (ABAC) como estrategia de autorización. Para obtener más información sobre estrategias ABAC, consulte [Definición de permisos basados en atributos con autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para obtener más información sobre las etiquetas, consulte los [AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS sitios. No están destinadas a usarse para datos privados o información confidencial.
### Corrección
Para obtener información sobre cómo agregar etiquetas a un grupo de parámetros de clúster de Amazon Redshift, consulte la [Etiquetado de recursos en Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) en la *Guía de administración de Amazon Redshift*.
## [Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ
**Categoría**: Recuperación > Resiliencia > Alta disponibilidad
**Gravedad:** media
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control verifica si las implementaciones en múltiples zonas de disponibilidad (Multi-AZ) están habilitadas para un clúster de Amazon Redshift. El control falla si las implementaciones Multi-AZ no están habilitadas para el clúster de Amazon Redshift.
Amazon Redshift admite implementaciones en múltiples zonas de disponibilidad (Multi-AZ) para clústeres aprovisionados. Si las implementaciones Multi-AZ están habilitadas para un clúster, un almacén de datos de Amazon Redshift puede continuar en funcionamiento en situaciones de falla cuando ocurre un evento inesperado en una zona de disponibilidad (AZ). Una implementación Multi-AZ aprovisiona recursos de computación en más de una zona de disponibilidad y permite acceder a estos recursos de computación mediante un único punto de conexión. En caso de una falla completa en una zona de disponibilidad, los recursos de computación restantes en otra zona estarán disponibles para continuar el procesamiento de las cargas de trabajo. Puede convertir un almacén de datos de una sola zona de disponibilidad (Single-AZ) existente en un almacén de datos Multi-AZ. Luego se aprovisionan recursos de computación adicionales en una segunda zona de disponibilidad.
### Corrección
Para obtener información sobre cómo configurar implementaciones Multi-AZ para un clúster de Amazon Redshift, consulte la [Conversión de un almacén de datos Single-AZ en un almacén de datos Multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) en la *Guía de administración de Amazon Redshift*.