Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon Redshift
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Redshift.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
Exigences connexes : NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Critique
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-public-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont accessibles au public. Il évalue le PubliclyAccessible
champ dans l'élément de configuration du cluster.
L'PubliclyAccessible
attribut de configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec PubliclyAccessible
set totrue
, il s'agit d'une instance connectée à Internet dont le nom DNS peut être résolu publiquement et qui est résolu en adresse IP publique.
Lorsque le cluster n'est pas accessible au public, il s'agit d'une instance interne avec un nom DNS qui se résout en adresse IP privée. À moins que vous ne souhaitiez que votre cluster soit accessible au public, le cluster ne doit pas être configuré avec la PubliclyAccessible
valeur définie surtrue
.
Correction
Pour mettre à jour un cluster Amazon Redshift afin de désactiver l'accès public, consultez la section Modification d'un cluster dans le guide de gestion Amazon Redshift. Réglez Accessible au public sur Non.
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
Exigences associées : NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
AWS::Redshift::ClusterParameterGroup
Règle AWS Config : redshift-require-tls-ssl
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les connexions aux clusters Amazon Redshift sont nécessaires pour utiliser le chiffrement en transit. La vérification échoue si le paramètre du cluster Amazon Redshift require_SSL
n'est pas défini sur. True
Le protocole TLS peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via TLS devraient être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
Correction
Pour mettre à jour un groupe de paramètres Amazon Redshift afin d'exiger le chiffrement, consultez la section Modification d'un groupe de paramètres dans le guide de gestion Amazon Redshift. Réglé require_ssl
sur True.
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-backup-enabled
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
|
Durée minimale de conservation des instantanés en jours |
Entier |
|
|
Ce contrôle vérifie si les instantanés automatisés sont activés dans un cluster Amazon Redshift et si la période de conservation est supérieure ou égale à la période spécifiée. Le contrôle échoue si les instantanés automatisés ne sont pas activés pour le cluster ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent la résilience de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. Pour plus de détails sur les instantanés automatisés Amazon Redshift, consultez la section Instantanés automatisés dans le guide de gestion Amazon Redshift.
Correction
Pour mettre à jour la période de conservation des instantanés pour un cluster Amazon Redshift, consultez la section Modification d'un cluster dans le guide de gestion Amazon Redshift. Pour Backup, définissez la rétention des snapshots sur une valeur supérieure ou égale à 7.
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
AWS Config règle : redshift-cluster-audit-logging-enabled
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
-
loggingEnabled = true
(non personnalisable)
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon Redshift.
La journalisation des audits Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans le cadre d'audits et d'enquêtes de sécurité. Pour plus d'informations, consultez la section Journalisation des audits de base de données dans le guide de gestion Amazon Redshift.
Correction
Pour configurer la journalisation des audits pour un cluster Amazon Redshift, consultez la section Configuration de l'audit à l'aide de la console dans le guide de gestion Amazon Redshift.
[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-maintenancesettings-check
Type de calendrier : changement déclenché
Paramètres :
-
allowVersionUpgrade = true
(non personnalisable)
Ce contrôle vérifie si les mises à niveau automatiques des versions majeures sont activées pour le cluster Amazon Redshift.
L'activation des mises à niveau automatiques des versions majeures garantit que les dernières mises à jour des versions majeures des clusters Amazon Redshift sont installées pendant la période de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour résoudre ce problème AWS CLI, utilisez la commande Amazon modify-cluster
Redshift et définissez --allow-version-upgrade
l'attribut.
est le nom de votre cluster Amazon Redshift.clustername
aws redshift modify-cluster --cluster-identifier
clustername
--allow-version-upgrade
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protection > Configuration réseau sécurisée > Accès privé à l'API
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-enhanced-vpc-routing-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift est EnhancedVpcRouting
activé.
Le routage VPC amélioré force tout le UNLOAD
trafic entre le cluster COPY
et les référentiels de données à passer par votre VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
Correction
Pour obtenir des instructions de correction détaillées, consultez la section Activation du routage VPC amélioré dans le guide de gestion Amazon Redshift.
[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Ce contrôle échouera si le nom d'utilisateur de l'administrateur d'un cluster Redshift est défini sur. awsuser
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la configuration. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
Correction
Vous ne pouvez pas modifier le nom d'utilisateur administrateur de votre cluster Amazon Redshift après l'avoir créé. Pour créer un nouveau cluster avec un nom d'utilisateur autre que le nom d'utilisateur par défaut, consultez l'étape 1 : créer un exemple de cluster Amazon Redshift dans le guide de démarrage Amazon Redshift.
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-default-db-name-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom de la base de données par rapport à sa valeur par défaut. Le contrôle échouera si le nom de base de données d'un cluster Redshift est défini sur. dev
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom de base de données par défaut par une valeur unique. Les noms par défaut sont connus du public et doivent être modifiés lors de la configuration. Par exemple, un nom connu peut entraîner un accès involontaire s'il est utilisé dans les conditions de la politique IAM.
Correction
Vous ne pouvez pas modifier le nom de base de données de votre cluster Amazon Redshift une fois celui-ci créé. Pour obtenir des instructions sur la création d'un nouveau cluster, consultez Getting started with Amazon Redshift dans le manuel Amazon Redshift Getting Started Guide.
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-kms-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont chiffrés au repos. Le contrôle échoue si un cluster Redshift n'est pas chiffré au repos ou si la clé de chiffrement est différente de la clé fournie dans le paramètre de règle.
Dans Amazon Redshift, vous pouvez activer le chiffrement des bases de données pour vos clusters afin de protéger les données au repos. Lorsque vous activez le chiffrement pour un cluster, les blocs de données et les métadonnées système sont chiffrés pour le cluster et ses instantanés. Le chiffrement des données au repos est une bonne pratique recommandée car il ajoute une couche de gestion des accès à vos données. Le chiffrement des clusters Redshift au repos réduit le risque qu'un utilisateur non autorisé puisse accéder aux données stockées sur le disque.
Correction
Pour modifier un cluster Redshift afin d'utiliser le chiffrement KMS, consultez la section Modification du chiffrement du cluster dans le guide de gestion Amazon Redshift.
[Redshift.11] Les clusters Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::Cluster
AWS Config règle : tagged-redshift-cluster
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys
Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un cluster Redshift, consultez la section Ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::EventSubscription
AWS Config règle : tagged-redshift-eventsubscription
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys
Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un abonnement aux notifications d'événements Redshift, consultez les ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::ClusterSnapshot
AWS Config règle : tagged-redshift-clustersnapshot
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys
Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un instantané de cluster Redshift, consultez la section Ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::ClusterSubnetGroup
AWS Config règle : tagged-redshift-clustersubnetgroup
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys
Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un groupe de sous-réseaux du cluster Redshift, consultez la section Ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes
Exigences connexes : PCI DSS v4.0.1/1.3.1
Catégorie : Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
Gravité : Élevée
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-unrestricted-port-access
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un groupe de sécurité associé à un cluster Amazon Redshift possède des règles d'entrée qui autorisent l'accès au port du cluster depuis Internet (0.0.0.0/0 ou : :/0). Le contrôle échoue si les règles d'entrée du groupe de sécurité autorisent l'accès au port du cluster depuis Internet.
L'autorisation d'un accès entrant illimité au port du cluster Redshift (adresse IP avec un suffixe /0) peut entraîner un accès non autorisé ou des incidents de sécurité. Nous recommandons d'appliquer le principe du moindre privilège d'accès lors de la création de groupes de sécurité et de la configuration des règles de trafic entrant.
Correction
Pour limiter l'entrée sur le port du cluster Redshift aux origines restreintes, consultez la section Utiliser les règles des groupes de sécurité dans le guide de l'utilisateur Amazon VPC. Mettez à jour les règles selon lesquelles la plage de ports correspond au port du cluster Redshift et la plage de ports IP est de 0.0.0.0/0.
[Redshift.16] Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::Redshift::ClusterSubnetGroup
Règle AWS Config : redshift-cluster-subnet-group-multi-az
Type de calendrier : changement déclenché
Paramètres : Aucun
Le contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des sous-réseaux provenant de plusieurs zones de disponibilité (AZ). Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède pas de sous-réseaux provenant d'au moins deux sous-réseaux différents. AZs
La configuration de sous-réseaux sur plusieurs réseaux permet de AZs garantir que votre entrepôt de données Redshift peut continuer à fonctionner même en cas de panne.
Correction
Pour modifier un groupe de sous-réseaux de cluster Redshift afin qu'il en couvre plusieurs AZs, consultez la section Modification d'un groupe de sous-réseaux de cluster dans le guide de gestion Amazon Redshift.