Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS DMS
Ces contrôles du Security Hub évaluent AWS Database Migration Service (AWS DMS) service et ressources.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7), (21),,,, (11), (16) NIST.800-53.r5 AC-3, (20), (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::DMS::ReplicationInstance
AWS Config règle : dms-replication-not-public
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si AWS DMS les instances de réplication sont publiques. Pour ce faire, il examine la valeur du PubliclyAccessible champ.
Une instance de réplication privée possède une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit avoir une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté à l'instance de réplication à l'VPCaide d'unVPN, AWS Direct Connect, ou VPC peering. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section Instances de réplication publiques et privées dans le AWS Database Migration Service Guide de l'utilisateur.
Vous devez également vous assurer que l'accès à votre AWS DMS la configuration de l'instance est limitée aux seuls utilisateurs autorisés. Pour ce faire, limitez les IAM autorisations des utilisateurs à modifier AWS DMS paramètres et ressources.
Correction
Vous ne pouvez pas modifier le paramètre d'accès public d'une instance de DMS réplication après l'avoir créée. Pour modifier le paramètre d'accès public, supprimez votre instance actuelle, puis recréez-la. Ne sélectionnez pas l'option Accessible au public.
[DMS.2] DMS les certificats doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::Certificate
AWS Config règle : tagged-dms-certificate (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS DMS le certificat possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un DMS certificat, consultez la section Ressources de balisage dans AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.3] les abonnements aux DMS événements doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::EventSubscription
AWS Config règle : tagged-dms-eventsubscription (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS DMS l'abonnement aux événements comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'abonnement à l'événement ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'abonnement à l'événement n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des tags à un abonnement à un DMS événement, voir Ressources de balisage dans AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.4] les instances DMS de réplication doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::ReplicationInstance
AWS Config règle : tagged-dms-replicationinstance (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS DMS l'instance de réplication possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'instance de réplication ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de réplication n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à une instance de DMS réplication, consultez la section Marquage des ressources dans AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.5] les groupes DMS de sous-réseaux de réplication doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::ReplicationSubnetGroup
AWS Config règle : tagged-dms-replicationsubnetgroup (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS DMS le groupe de sous-réseaux de réplication possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le groupe de sous-réseaux de réplication ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de réplication n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un groupe de DMS sous-réseaux de réplication, consultez la section Balisage des ressources dans AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication
Exigences connexes : NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::DMS::ReplicationInstance
AWS Config règle : dms-auto-minor-version-upgrade-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour un AWS DMS instance de réplication. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour une instance de DMS réplication.
DMSfournit une mise à niveau automatique des versions mineures de chaque moteur de réplication pris en charge afin que vous puissiez conserver votre instance de réplication up-to-date. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les instances de DMS réplication, les mises à niveau mineures sont appliquées automatiquement pendant la période de maintenance ou immédiatement si l'option Appliquer les modifications immédiatement est sélectionnée.
Correction
Pour activer la mise à niveau automatique des versions mineures sur les instances de DMS réplication, consultez la section Modification d'une instance de réplication dans le AWS Database Migration Service Guide de l'utilisateur.
[DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::DMS::ReplicationTask
AWS Config règle : dms-replication-task-targetdb-logging
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de LOGGER_SEVERITY_DEFAULT pour les tâches de DMS réplication TARGET_APPLY etTARGET_LOAD. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur àLOGGER_SEVERITY_DEFAULT.
DMSutilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
TARGET_APPLY— Les instructions relatives aux données et au langage de définition des données (DDL) sont appliquées à la base de données cible.TARGET_LOAD: les données sont chargées dans la base de données cible.
La journalisation joue un rôle essentiel dans les tâches de DMS réplication en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que DEFAULT sont rarement nécessaires pour ces composants lors du dépannage. Nous recommandons de conserver le même niveau de journalisation que DEFAULT pour ces composants, sauf demande spécifique de le modifier par AWS Support. Un niveau de journalisation minimal de DEFAULT garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG, ouLOGGER_SEVERITY_DETAILED_DEBUG.
Correction
Pour activer la journalisation pour les tâches de DMS réplication de la base de données cible, voir Affichage et gestion AWS DMS journaux de tâches dans le AWS Database Migration Service Guide de l'utilisateur.
[DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::DMS::ReplicationTask
AWS Config règle : dms-replication-task-sourcedb-logging
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de LOGGER_SEVERITY_DEFAULT pour les tâches de DMS réplication SOURCE_CAPTURE etSOURCE_UNLOAD. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur àLOGGER_SEVERITY_DEFAULT.
DMSutilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
SOURCE_CAPTURE— Les données de réplication ou de capture des données de modification (CDC) en cours sont capturées à partir de la base de données ou du service source et transmises au composant deSORTERservice.SOURCE_UNLOAD— Les données sont déchargées de la base de données ou du service source pendant le chargement complet.
La journalisation joue un rôle essentiel dans les tâches de DMS réplication en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que DEFAULT sont rarement nécessaires pour ces composants lors du dépannage. Nous recommandons de conserver le même niveau de journalisation que DEFAULT pour ces composants, sauf demande spécifique de le modifier par AWS Support. Un niveau de journalisation minimal de DEFAULT garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG, ouLOGGER_SEVERITY_DETAILED_DEBUG.
Correction
Pour activer la journalisation des tâches de DMS réplication de la base de données source, voir Affichage et gestion AWS DMS journaux de tâches dans le AWS Database Migration Service Guide de l'utilisateur.
[DMS.9] les DMS points de terminaison doivent utiliser SSL
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
AWS Config règle : dms-endpoint-ssl-configured
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS le point de terminaison utilise une SSL connexion. Le contrôle échoue si le point de terminaison ne l'utilise pasSSL.
SSLTLSLes connexions/fournissent une couche de sécurité en chiffrant les connexions entre les instances de DMS réplication et votre base de données. L'utilisation de certificats fournit un niveau de sécurité supplémentaire en validant que la connexion est établie avec la base de données attendue. Pour ce faire, il vérifie le certificat de serveur qui est automatiquement installé sur toutes les instances de base de données que vous provisionnez. En activant la SSL connexion sur vos DMS terminaux, vous protégez la confidentialité des données pendant la migration.
Correction
Pour ajouter une SSL connexion à un point de DMS terminaison nouveau ou existant, voir Utilisation SSL avec AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM
Exigences connexes : NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-1 7, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
AWS Config règle : dms-neptune-iam-authorization-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS le point de terminaison d'une base de données Amazon Neptune est configuré avec IAM autorisation. Le contrôle échoue si l'IAMautorisation n'est pas activée sur le DMS terminal.
AWS Identity and Access Management (IAM) fournit un contrôle d'accès précis sur AWS. AvecIAM, vous pouvez spécifier qui peut accéder à quels services et ressources, et dans quelles conditions. Grâce aux IAM politiques, vous gérez les autorisations accordées à votre personnel et à vos systèmes afin de garantir les autorisations du moindre privilège. En activant IAM l'autorisation sur AWS DMS points de terminaison pour les bases de données Neptune, vous pouvez accorder des privilèges d'autorisation IAM aux utilisateurs en utilisant un rôle de service spécifié par ServiceAccessRoleARN le paramètre.
Correction
Pour activer IAM l'autorisation sur les DMS points de terminaison des bases de données Neptune, consultez Utiliser Amazon Neptune comme cible pour AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé
Exigences connexes : NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2, NIST.800-53.r5 IA-5
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
AWS Config règle : dms-mongo-db-authentication-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS Le point de terminaison pour MongoDB est configuré avec un mécanisme d'authentification. Le contrôle échoue si aucun type d'authentification n'est défini pour le point de terminaison.
AWS Database Migration Service prend en charge deux méthodes d'authentification pour MongoDB MONGODB: -CR pour MongoDB version 2.x SCRAMet SHA - -1 pour MongoDB version 3.x ou ultérieure. Ces méthodes d'authentification sont utilisées pour authentifier et chiffrer les mots de passe MongoDB si les utilisateurs souhaitent utiliser les mots de passe pour accéder aux bases de données. Authentification activée AWS DMS endpoints garantit que seuls les utilisateurs autorisés peuvent accéder aux données migrées entre les bases de données et les modifier. Sans authentification appropriée, les utilisateurs non autorisés peuvent accéder à des données sensibles pendant le processus de migration. Cela peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
Correction
Pour activer un mécanisme d'authentification sur les DMS points de terminaison pour MongoDB, consultez Utiliser MongoDB comme source pour AWS DMS dans le .AWS Database Migration Service Guide de l'utilisateur.
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
Exigences connexes : NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
AWS Config règle : dms-redis-tls-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS Le point de terminaison pour OSS Redis est configuré avec une TLS connexion. Le contrôle échoue si le point de terminaison n'TLSest pas activé.
TLSassure end-to-end la sécurité lorsque des données sont envoyées entre des applications ou des bases de données via Internet. Lorsque vous configurez SSL le chiffrement pour votre DMS terminal, il permet une communication cryptée entre les bases de données source et cible pendant le processus de migration. Cela permet d'empêcher l'écoute et l'interception de données sensibles par des acteurs malveillants. Sans SSL cryptage, les données sensibles peuvent être consultées, ce qui peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
Correction
Pour activer une TLS connexion sur les DMS points de terminaison pour Redis, voir Utiliser Redis comme cible pour AWS Database Migration Service dans le .AWS Database Migration Service Guide de l'utilisateur.
