Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Amazon Redshift
Ces AWS Security Hub contrôles évaluent le service et les ressources Amazon Redshift.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
Exigences connexes : NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.1, NIST.800-53.r5 SC-7 v3.2.1/1.3.2, v3.2.1/1.3.4, v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 PCI DSS PCI DSS PCI DSS PCI DSS
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Critique
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-public-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont accessibles au public. Il évalue le PubliclyAccessible champ dans l'élément de configuration du cluster.
L'PubliclyAccessibleattribut de la configuration du cluster Amazon Redshift indique si le cluster est accessible au public. Lorsque le cluster est configuré avec PubliclyAccessible set totrue, il s'agit d'une instance connectée à Internet dont le DNS nom peut être résolu publiquement et qui est résolu en adresse IP publique.
Lorsque le cluster n'est pas accessible au public, il s'agit d'une instance interne dont le DNS nom correspond à une adresse IP privée. À moins que vous ne souhaitiez que votre cluster soit accessible au public, le cluster ne doit pas être configuré avec la PubliclyAccessible valeur définie surtrue.
Correction
Pour mettre à jour un cluster Amazon Redshift afin de désactiver l'accès public, consultez la section Modification d'un cluster dans le guide de gestion Amazon Redshift. Réglez Accessible au public sur Non.
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup
Règle AWS Config : redshift-require-tls-ssl
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les connexions aux clusters Amazon Redshift sont nécessaires pour utiliser le chiffrement pendant le transit. La vérification échoue si le paramètre du cluster Amazon Redshift require_SSL n'est pas défini sur. True
TLSpeut être utilisé pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées TLS devraient être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact deTLS.
Correction
Pour mettre à jour un groupe de paramètres Amazon Redshift afin d'exiger le chiffrement, consultez la section Modification d'un groupe de paramètres dans le guide de gestion Amazon Redshift. Réglé require_ssl sur True.
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-backup-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Durée minimale de conservation des instantanés en jours |
Entier |
|
|
Ce contrôle vérifie si les instantanés automatisés sont activés dans un cluster Amazon Redshift et si la période de conservation est supérieure ou égale à la période spécifiée. Le contrôle échoue si les instantanés automatisés ne sont pas activés pour le cluster ou si la période de rétention est inférieure à la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de conservation des instantanés, Security Hub utilise une valeur par défaut de 7 jours.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent la résilience de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. Pour plus de détails sur les instantanés automatisés Amazon Redshift, consultez la section Instantanés automatisés dans le guide de gestion Amazon Redshift.
Correction
Pour mettre à jour la période de conservation des instantanés pour un cluster Amazon Redshift, consultez la section Modification d'un cluster dans le guide de gestion Amazon Redshift. Pour Backup, définissez la rétention des snapshots sur une valeur supérieure ou égale à 7.
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8), v4.0.1/10.2.1 NIST PCI DSS
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
AWS Config règle : redshift-cluster-audit-logging-enabled (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
-
loggingEnabled = true(non personnalisable)
Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon Redshift.
La journalisation des audits Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans le cadre d'audits et d'enquêtes de sécurité. Pour plus d'informations, consultez la section Journalisation des audits de base de données dans le guide de gestion Amazon Redshift.
Correction
Pour configurer la journalisation des audits pour un cluster Amazon Redshift, consultez la section Configuration de l'audit à l'aide de la console dans le guide de gestion Amazon Redshift.
[Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-maintenancesettings-check
Type de calendrier : changement déclenché
Paramètres :
-
allowVersionUpgrade = true(non personnalisable)
Ce contrôle vérifie si les mises à niveau automatiques des versions majeures sont activées pour le cluster Amazon Redshift.
L'activation des mises à niveau automatiques des versions majeures garantit que les dernières mises à jour des versions majeures des clusters Amazon Redshift sont installées pendant la période de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes.
Correction
Pour résoudre ce problème à partir de AWS CLI, utilisez la commande Amazon modify-cluster Redshift et définissez --allow-version-upgrade l'attribut. clustername
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
Exigences connexes : NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protection > Configuration réseau sécurisée > accès API privé
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-enhanced-vpc-routing-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift est EnhancedVpcRouting activé.
VPCLe routage amélioré oblige tout COPY le UNLOAD trafic entre le cluster et les référentiels de données à passer par votreVPC. Vous pouvez ensuite utiliser des VPC fonctionnalités telles que les groupes de sécurité et les listes de contrôle d'accès au réseau pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de VPC flux pour surveiller le trafic réseau.
Correction
Pour obtenir des instructions de correction détaillées, consultez la section Activer le VPC routage amélioré dans le guide de gestion Amazon Redshift.
[Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-default-admin-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom d'utilisateur de l'administrateur par rapport à sa valeur par défaut. Ce contrôle échouera si le nom d'utilisateur de l'administrateur d'un cluster Redshift est défini sur. awsuser
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom d'utilisateur administrateur par défaut par une valeur unique. Les noms d'utilisateur par défaut sont de notoriété publique et doivent être modifiés lors de la configuration. La modification des noms d'utilisateur par défaut réduit le risque d'accès involontaire.
Correction
Vous ne pouvez pas modifier le nom d'utilisateur administrateur de votre cluster Amazon Redshift après l'avoir créé. Pour créer un nouveau cluster avec un nom d'utilisateur autre que le nom d'utilisateur par défaut, consultez l'étape 1 : créer un exemple de cluster Amazon Redshift dans le guide de démarrage Amazon Redshift.
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-default-db-name-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon Redshift a modifié le nom de la base de données par rapport à sa valeur par défaut. Le contrôle échouera si le nom de base de données d'un cluster Redshift est défini sur. dev
Lorsque vous créez un cluster Redshift, vous devez remplacer le nom de base de données par défaut par une valeur unique. Les noms par défaut sont connus du public et doivent être modifiés lors de la configuration. Par exemple, un nom connu peut donner lieu à un accès par inadvertance s'il est utilisé conformément aux IAM règles en vigueur.
Correction
Vous ne pouvez pas modifier le nom de base de données de votre cluster Amazon Redshift une fois celui-ci créé. Pour obtenir des instructions sur la création d'un nouveau cluster, consultez Getting started with Amazon Redshift dans le manuel Amazon Redshift Getting Started Guide.
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST .800-53.r5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-cluster-kms-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les clusters Amazon Redshift sont chiffrés au repos. Le contrôle échoue si un cluster Redshift n'est pas chiffré au repos ou si la clé de chiffrement est différente de la clé fournie dans le paramètre de règle.
Dans Amazon Redshift, vous pouvez activer le chiffrement des bases de données pour vos clusters afin de protéger les données au repos. Lorsque vous activez le chiffrement pour un cluster, les blocs de données et les métadonnées système sont chiffrés pour le cluster et ses instantanés. Le chiffrement des données au repos est une bonne pratique recommandée car il ajoute une couche de gestion des accès à vos données. Le chiffrement des clusters Redshift au repos réduit le risque qu'un utilisateur non autorisé puisse accéder aux données stockées sur le disque.
Correction
Pour modifier un cluster Redshift afin d'utiliser le KMS chiffrement, consultez la section Modification du chiffrement du cluster dans le guide de gestion Amazon Redshift.
[Redshift.11] Les clusters Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::Cluster
AWS Config règle : tagged-redshift-cluster (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un cluster Redshift, consultez la section Ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::EventSubscription
AWS Config règle : tagged-redshift-eventsubscription (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un abonnement aux notifications d'événements Redshift, consultez les ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::ClusterSnapshot
AWS Config règle : tagged-redshift-clustersnapshot (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un instantané de cluster Amazon Redshift comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le cliché du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cliché du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un instantané de cluster Redshift, consultez la section Ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Redshift::ClusterSubnetGroup
AWS Config règle : tagged-redshift-clustersubnetgroup (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un groupe de sous-réseaux du cluster Amazon Redshift possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le groupe de sous-réseaux du cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux du cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un groupe de sous-réseaux du cluster Redshift, consultez la section Ressources de balisage dans Amazon Redshift dans le guide de gestion Amazon Redshift.
[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes
Exigences connexes : PCI DSS v4.0.1/1.3.1
Catégorie : Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité
Gravité : Élevée
Type de ressource : AWS::Redshift::Cluster
Règle AWS Config : redshift-unrestricted-port-access
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un groupe de sécurité associé à un cluster Amazon Redshift possède des règles d'entrée qui autorisent l'accès au port du cluster depuis Internet (0.0.0.0/0 ou : :/0). Le contrôle échoue si les règles d'entrée du groupe de sécurité autorisent l'accès au port du cluster depuis Internet.
L'autorisation d'un accès entrant illimité au port du cluster Redshift (adresse IP avec un suffixe /0) peut entraîner un accès non autorisé ou des incidents de sécurité. Nous recommandons d'appliquer le principe du moindre privilège d'accès lors de la création de groupes de sécurité et de la configuration des règles de trafic entrant.
Correction
Pour limiter l'entrée sur le port du cluster Redshift aux origines restreintes, consultez la section Utiliser les règles des groupes de sécurité dans le guide de l'utilisateur VPC Amazon. Mettez à jour les règles selon lesquelles la plage de ports correspond au port du cluster Redshift et la plage de ports IP est de 0.0.0.0/0.
