Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon Redshift
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon Redshift. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [Redshift.1] Cluster Amazon Redshift harus melarang akses publik
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21),, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (11), (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Kritis
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon Redshift dapat diakses publik. Ini mengevaluasi `PubliclyAccessible` bidang dalam item konfigurasi cluster.
`PubliclyAccessible`Atribut konfigurasi klaster Amazon Redshift menunjukkan apakah klaster dapat diakses publik. Ketika cluster dikonfigurasi dengan `PubliclyAccessible` set to`true`, itu adalah instance yang menghadap Internet yang memiliki nama DNS yang dapat diselesaikan secara publik, yang diselesaikan ke alamat IP publik.
Ketika cluster tidak dapat diakses publik, itu adalah instance internal dengan nama DNS yang menyelesaikan ke alamat IP pribadi. Kecuali jika Anda bermaksud agar cluster Anda dapat diakses oleh publik, cluster tidak boleh dikonfigurasi dengan `PubliclyAccessible` set to`true`.
### Remediasi
Untuk memperbarui klaster Amazon Redshift untuk menonaktifkan akses publik, lihat [Memodifikasi klaster di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) Manajemen Pergeseran Merah *Amazon*. Setel **Dapat diakses publik** ke **No**.
## [Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, 3 ( NIST.800-53.r5 SC-23), (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi dalam perjalanan. Pemeriksaan gagal jika parameter cluster Amazon Redshift `require_SSL` tidak disetel ke. `True`
TLS dapat digunakan untuk membantu mencegah penyerang potensial menggunakan person-in-the-middle atau serangan serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui TLS yang diizinkan. Mengenkripsi data dalam perjalanan dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.
### Remediasi
Untuk memperbarui grup parameter Amazon Redshift agar memerlukan enkripsi, lihat [Memodifikasi grup parameter](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) di Panduan Manajemen Pergeseran Merah *Amazon*. Setel `require_ssl` ke **Benar**.
## [Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis
**Persyaratan terkait:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-13 (5)
**Kategori:** Pulih> Ketahanan > Cadangan diaktifkan
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Periode retensi snapshot minimum dalam beberapa hari | Bilangan Bulat | `7` untuk `35` | `7` |
Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan snapshot otomatis, dan periode retensi yang lebih besar dari atau sama dengan kerangka waktu yang ditentukan. Kontrol gagal jika snapshot otomatis tidak diaktifkan untuk cluster, atau jika periode retensi kurang dari kerangka waktu yang ditentukan. Kecuali Anda memberikan nilai parameter khusus untuk periode retensi snapshot, Security Hub CSPM menggunakan nilai default 7 hari.
Cadangan membantu Anda pulih lebih cepat dari insiden keamanan. Mereka memperkuat ketahanan sistem Anda. Amazon Redshift mengambil snapshot periodik secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. *Untuk detail selengkapnya tentang snapshot otomatis Amazon Redshift, lihat Snapshot [otomatis di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) Pergeseran Merah Amazon.*
### Remediasi
Untuk memperbarui periode retensi snapshot untuk klaster Amazon Redshift, [lihat Memodifikasi klaster di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) *Pergeseran Merah* Amazon. Untuk **Backup**, atur **retensi Snapshot** ke nilai 7 atau lebih tinggi.
## [Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan:** `redshift-cluster-audit-logging-enabled` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon Redshift mengaktifkan pencatatan audit.
Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat [Pencatatan audit database](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) di Panduan *Manajemen Pergeseran Merah Amazon*.
### Remediasi
*Untuk mengonfigurasi pencatatan audit untuk klaster Amazon Redshift, lihat [Mengonfigurasi audit menggunakan konsol di Panduan Manajemen](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) Amazon Redshift.*
## [Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), Nist.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.R5 SI-2 (4), Nist.800-53.R5 SI-2 (5)
**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `allowVersionUpgrade = true`(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah pemutakhiran versi utama otomatis diaktifkan untuk klaster Amazon Redshift.
Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru ke kluster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
### Remediasi
Untuk mengatasi masalah ini dari AWS CLI, gunakan perintah Amazon `modify-cluster` Redshift, dan setel `--allow-version-upgrade` atribut. `clustername`adalah nama cluster Amazon Redshift Anda.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## [Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
**Persyaratan terkait:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Kategori:** Lindungi > Konfigurasi jaringan aman > Akses pribadi API
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon Redshift telah `EnhancedVpcRouting` diaktifkan.
Perutean VPC yang disempurnakan memaksa semua `COPY` dan `UNLOAD` lalu lintas antara cluster dan repositori data untuk melewati VPC Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan VPC Flow Logs untuk memantau lalu lintas jaringan.
### Remediasi
*Untuk petunjuk remediasi terperinci, lihat [Mengaktifkan perutean VPC yang disempurnakan di](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) Panduan Manajemen Pergeseran Merah Amazon.*
## [Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
**Kategori:** Identifikasi > Konfigurasi Sumber Daya
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon Redshift telah mengubah nama pengguna admin dari nilai defaultnya. Kontrol ini akan gagal jika nama pengguna admin untuk cluster Redshift diatur ke. `awsuser`
Saat membuat klaster Redshift, Anda harus mengubah nama pengguna admin default menjadi nilai unik. Nama pengguna default adalah pengetahuan publik dan harus diubah pada konfigurasi. Mengubah nama pengguna default mengurangi risiko akses yang tidak diinginkan.
### Remediasi
Anda tidak dapat mengubah nama pengguna admin untuk cluster Amazon Redshift Anda setelah membuatnya. Untuk membuat klaster baru dengan nama pengguna non-default, lihat [Langkah 1: Membuat contoh klaster Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) di Panduan Memulai *Amazon Redshift*.
## [Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.R5 SI-7 (6)
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah cluster Amazon Redshift dienkripsi saat istirahat. Kontrol gagal jika klaster Redshift tidak dienkripsi saat istirahat atau jika kunci enkripsi berbeda dari kunci yang disediakan dalam parameter aturan.
Di Amazon Redshift, Anda dapat mengaktifkan enkripsi database untuk cluster Anda untuk membantu melindungi data saat istirahat. Saat Anda mengaktifkan enkripsi untuk cluster, blok data dan metadata sistem dienkripsi untuk cluster dan snapshot-nya. Enkripsi data saat istirahat adalah praktik terbaik yang disarankan karena menambahkan lapisan manajemen akses ke data Anda. Mengenkripsi cluster Redshift saat istirahat mengurangi risiko bahwa pengguna yang tidak sah dapat mengakses data yang disimpan pada disk.
### Remediasi
Untuk memodifikasi klaster Redshift agar menggunakan enkripsi KMS, lihat [Mengubah enkripsi klaster di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) Manajemen Pergeseran Merah *Amazon*.
## [Redshift.11] Cluster Redshift harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan:** `tagged-redshift-cluster` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
*Untuk menambahkan tag ke klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon.*
## [Redshift.12] Langganan pemberitahuan acara Redshift harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Redshift::EventSubscription`
**AWS Config aturan:** `tagged-redshift-eventsubscription` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
*Untuk menambahkan tag ke langganan notifikasi peristiwa Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan Manajemen Pergeseran Merah](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Amazon.*
## [Redshift.13] Cuplikan cluster Redshift harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Redshift::ClusterSnapshot`
**AWS Config aturan:** `tagged-redshift-clustersnapshot` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah snapshot klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika snapshot cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika snapshot cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
*Untuk menambahkan tag ke snapshot klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Panduan Manajemen Pergeseran Merah Amazon.*
## [Redshift.14] Grup subnet cluster Redshift harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config aturan:** `tagged-redshift-clustersubnetgroup` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Kontrol ini memeriksa apakah grup subnet klaster Amazon Redshift memiliki tag dengan kunci spesifik yang ditentukan dalam parameter. `requiredTagKeys` Kontrol gagal jika grup subnet cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup subnet cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
*Untuk menambahkan tag ke grup subnet klaster Redshift, lihat [Menandai sumber daya di Amazon Redshift di](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Panduan Manajemen Pergeseran Merah Amazon.*
## [Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi
**Persyaratan terkait:** PCI DSS v4.0.1/1.3.1
**Kategori:** Lindungi > Konfigurasi jaringan aman > Konfigurasi grup keamanan
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah grup keamanan yang terkait dengan klaster Amazon Redshift memiliki aturan masuk yang mengizinkan akses ke port cluster dari internet (0.0.0.0/0 atau: :/0). Kontrol gagal jika aturan masuknya grup keamanan mengizinkan akses ke port cluster dari internet.
Mengizinkan akses masuk yang tidak terbatas ke port cluster Redshift (alamat IP dengan akhiran /0) dapat mengakibatkan akses atau insiden keamanan yang tidak sah. Kami merekomendasikan untuk menerapkan prinsip akses hak istimewa paling rendah saat membuat grup keamanan dan mengonfigurasi aturan masuk.
### Remediasi
Untuk membatasi masuknya port klaster Redshift ke asal terbatas, lihat [Bekerja dengan aturan grup keamanan di](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) Panduan Pengguna Amazon *VPC*. Perbarui aturan di mana rentang port cocok dengan port cluster Redshift dan rentang port IP adalah 0.0.0.0/0.
## [Redshift.16] Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol memeriksa apakah grup subnet klaster Amazon Redshift memiliki subnet dari lebih dari satu Availability Zone (AZ). Kontrol gagal jika grup subnet cluster tidak memiliki subnet dari setidaknya dua subnet yang berbeda. AZs
Mengonfigurasi subnet di beberapa AZs bantuan memastikan bahwa gudang data Redshift Anda dapat terus beroperasi bahkan ketika peristiwa kegagalan terjadi.
### Remediasi
*Untuk mengubah grup subnet klaster Redshift menjadi rentang beberapa AZs, lihat [Memodifikasi grup subnet klaster di Panduan Manajemen Pergeseran](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) Merah Amazon.*
## [Redshift.17] Grup parameter cluster Redshift harus diberi tag
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::Redshift::ClusterParameterGroup`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Daftar kunci tag non-sistem yang harus ditetapkan ke sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah grup parameter cluster Amazon Redshift memiliki kunci tag yang ditentukan oleh parameter. `requiredKeyTags` Kontrol gagal jika grup parameter tidak memiliki kunci tag, atau tidak memiliki semua kunci yang ditentukan oleh `requiredKeyTags` parameter. Jika Anda tidak menentukan nilai apa pun untuk `requiredKeyTags` parameter, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika grup parameter tidak memiliki kunci tag. Kontrol mengabaikan tag sistem, yang diterapkan secara otomatis dan memiliki `aws:` awalan.
Tag adalah label yang Anda buat dan tetapkan ke AWS sumber daya. Setiap tanda terdiri dari kunci tanda yang diperlukan dan nilai tanda opsional. Anda dapat menggunakan tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Mereka dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Mereka juga dapat membantu Anda melacak pemilik sumber daya untuk tindakan dan pemberitahuan. Anda juga dapat menggunakan tag untuk menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi. *Untuk informasi selengkapnya tentang strategi ABAC, lihat [Menentukan izin berdasarkan atribut dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di Panduan Pengguna IAM.* Untuk informasi selengkapnya tentang tag, lihat [Panduan Pengguna AWS Sumber Daya Penandaan dan Editor Tag](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**catatan**
Jangan menyimpan informasi pengenal pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS. Mereka tidak dimaksudkan untuk digunakan untuk data pribadi atau sensitif.
### Remediasi
Untuk informasi tentang menambahkan tag ke grup parameter klaster Amazon Redshift, lihat [Menandai sumber daya di Amazon Redshift di Panduan](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) Manajemen *Pergeseran Merah* Amazon.
## [Redshift.18] Cluster Redshift harus mengaktifkan penerapan Multi-AZ
**Kategori:** Pulihkan > Ketahanan > Ketersediaan tinggi
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::Redshift::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah beberapa penerapan Availability Zones (Multi-AZ) diaktifkan untuk klaster Amazon Redshift. Kontrol gagal jika penerapan multi-AZ tidak diaktifkan untuk klaster Amazon Redshift.
Amazon Redshift mendukung beberapa penerapan Availability Zones (Multi-AZ) untuk kluster yang disediakan. Jika penerapan multi-AZ diaktifkan untuk klaster, gudang data Amazon Redshift dapat terus beroperasi dalam skenario kegagalan saat peristiwa tak terduga terjadi di Availability Zone (AZ). Penerapan multi-AZ menyebarkan sumber daya komputasi di lebih dari satu AZ dan sumber daya komputasi ini dapat diakses melalui satu titik akhir. Jika terjadi kegagalan AZ secara keseluruhan, sumber daya komputasi yang tersisa di AZ lain tersedia untuk melanjutkan pemrosesan beban kerja. Anda dapat mengonversi gudang data Single-AZ yang ada ke gudang data multi-AZ. Sumber daya komputasi tambahan kemudian disediakan dalam AZ kedua.
### Remediasi
*Untuk informasi tentang mengonfigurasi penerapan Multi-AZ untuk klaster Amazon Redshift, lihat [Mengonversi gudang data AZ tunggal menjadi gudang data Multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) di Panduan Manajemen Pergeseran Merah Amazon.*