Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour DynamoDB
Ces AWS Security Hub les contrôles évaluent le service et les ressources Amazon DynamoDB.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dynamodb-autoscaling-enabled
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées valides | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre minimal d'unités de capacité de lecture allouées pour le dimensionnement automatique de DynamoDB |
Entier |
|
Aucune valeur par défaut |
|
|
Pourcentage d'utilisation cible de la capacité de lecture |
Entier |
|
Aucune valeur par défaut |
|
|
Nombre minimal d'unités de capacité d'écriture allouées pour le dimensionnement automatique de DynamoDB |
Entier |
|
Aucune valeur par défaut |
|
|
Pourcentage d'utilisation cible de la capacité d'écriture |
Entier |
|
Aucune valeur par défaut |
Ce contrôle vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture selon les besoins. Le contrôle échoue si la table n'utilise pas le mode capacité à la demande ou le mode provisionné avec mise à l'échelle automatique configurée. Par défaut, ce contrôle nécessite uniquement la configuration de l'un de ces modes, sans tenir compte des niveaux spécifiques de capacité de lecture ou d'écriture. Vous pouvez éventuellement fournir des valeurs de paramètres personnalisées pour exiger des niveaux spécifiques de capacité de lecture et d'écriture ou un taux d'utilisation cible.
L'adaptation de la capacité à la demande permet d'éviter de limiter les exceptions, ce qui permet de maintenir la disponibilité de vos applications. Les tables DynamoDB qui utilisent le mode de capacité à la demande sont limitées uniquement par les quotas de table par défaut du débit DynamoDB. Pour augmenter ces quotas, vous pouvez déposer un ticket d'assistance auprès AWS Support. Les tables DynamoDB qui utilisent le mode provisionné avec mise à l'échelle automatique ajustent dynamiquement la capacité de débit allouée en fonction des modèles de trafic. Pour plus d'informations sur la limitation des demandes DynamoDB, consultez la section Limitation des demandes et capacité de rafale dans le manuel du développeur Amazon DynamoDB.
Correction
Pour activer le dimensionnement automatique de DynamoDB sur des tables existantes en mode capacité, consultez la section Activation du dimensionnement automatique de DynamoDB sur des tables existantes dans le manuel Amazon DynamoDB Developer Guide.
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dynamodb-pitr-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si point-in-time recovery (PITR) est activé pour une table Amazon DynamoDB.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. La restauration point-in-time DynamoDB automatise les sauvegardes des tables DynamoDB. Cela réduit le temps de restauration suite à des opérations de suppression ou d'écriture accidentelles. Les tables DynamoDB activées peuvent être restaurées à tout moment au cours des 35 derniers jours. PITR
Correction
Pour restaurer une table DynamoDB à un point dans le temps, consultez la section Restauration d'une table DynamoDB à un moment donné dans le manuel Amazon DynamoDB Developer Guide.
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::DAX::Cluster
AWS Config règle : dax-encryption-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator DAX () est chiffré au repos. Le contrôle échoue si le DAX cluster n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque d'accès aux données stockées sur disque par un utilisateur non authentifié auprès de AWS. Le chiffrement ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, API des autorisations sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.
Correction
Vous ne pouvez pas activer ou désactiver le chiffrement au repos après la création d'un cluster. Vous devez recréer le cluster afin d'activer le chiffrement au repos. Pour obtenir des instructions détaillées sur la création d'un DAX cluster avec le chiffrement au repos activé, voir Activation du chiffrement au repos à l'aide du AWS Management Consoledans le guide du développeur Amazon DynamoDB.
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dynamodb-resources-protected-by-backup-plan
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Le contrôle produit un |
Booléen |
|
Aucune valeur par défaut |
Ce contrôle évalue si une ACTIVE table Amazon DynamoDB en cours est couverte par un plan de sauvegarde. Le contrôle échoue si la table DynamoDB n'est pas couverte par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck paramètre égal àtrue, le contrôle est transmis uniquement si la table DynamoDB est sauvegardée dans un AWS Backup coffre verrouillé.
AWS Backup est un service de sauvegarde entièrement géré qui vous aide à centraliser et à automatiser la sauvegarde des données sur Services AWS. Avec AWS Backup, vous pouvez créer des plans de sauvegarde qui définissent vos besoins en matière de sauvegarde, tels que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. L'inclusion de tables DynamoDB dans vos plans de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
Correction
Pour ajouter une table DynamoDB à AWS Backup plan de sauvegarde, voir Affectation de ressources à un plan de sauvegarde dans AWS Backup Guide du développeur.
[DynamoDB.5] Les tables DynamoDB doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : tagged-dynamodb-table (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si une table Amazon DynamoDB possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si la table ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à une table DynamoDB, consultez la section Marquage des ressources dans DynamoDB dans le manuel du développeur Amazon DynamoDB.
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dynamodb-table-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur une table Amazon DynamoDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une table DynamoDB.
Vous pouvez protéger une table DynamoDB contre toute suppression accidentelle à l'aide de la propriété de protection contre la suppression. L'activation de cette propriété pour les tables permet de garantir que les tables ne sont pas supprimées accidentellement lors des opérations de gestion des tables régulières effectuées par vos administrateurs. Cela permet d'éviter toute interruption de vos activités commerciales normales.
Correction
Pour activer la protection contre la suppression pour une table DynamoDB, consultez la section Utilisation de la protection contre la suppression dans le manuel Amazon DynamoDB Developer Guide.
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
Exigences connexes : NIST.800-53.r5 AC-1 7 NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dax-tls-endpoint-encryption
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator DAX () est chiffré en transit, le type de chiffrement du point de terminaison étant défini sur. TLS Le contrôle échoue si le DAX cluster n'est pas chiffré pendant le transit.
HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau. Vous ne devez autoriser que les connexions chiffrées TLS pour accéder aux DAX clusters. Toutefois, le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec le chiffrement activé pour comprendre le profil de performance et l'impact deTLS.
Correction
Vous ne pouvez pas modifier le paramètre de TLS chiffrement après avoir créé un DAX cluster. Pour chiffrer un DAX cluster existant, créez-en un nouveau avec le chiffrement en transit activé, transférez le trafic de votre application vers celui-ci, puis supprimez l'ancien cluster. Pour plus d'informations, consultez la section Utilisation de la protection contre les suppressions dans le manuel Amazon DynamoDB Developer Guide.
