Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per Amazon Redshift
Questi AWS Security Hub i controlli valutano il servizio e le risorse Amazon Redshift.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
[Redshift.1] I cluster Amazon Redshift dovrebbero vietare l'accesso pubblico
Requisiti correlati: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21) NIST.800-53.r5 AC-3,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Severità: critica
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-cluster-public-access-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i cluster Amazon Redshift sono accessibili pubblicamente. Valuta il PubliclyAccessible campo nell'elemento di configurazione del cluster.
L'PubliclyAccessibleattributo della configurazione del cluster Amazon Redshift indica se il cluster è accessibile pubblicamente. Quando il cluster è configurato con PubliclyAccessible set totrue, si tratta di un'istanza con accesso a Internet con un DNS nome risolvibile pubblicamente, che si risolve in un indirizzo IP pubblico.
Quando il cluster non è accessibile pubblicamente, si tratta di un'istanza interna con un DNS nome che si risolve in un indirizzo IP privato. A meno che non si intenda rendere il cluster accessibile al pubblico, il cluster non deve essere configurato con PubliclyAccessible set to. true
Correzione
Per aggiornare un cluster Amazon Redshift per disabilitare l'accesso pubblico, consulta Modifying a cluster nella Amazon Redshift Management Guide. Imposta l'accesso pubblico su No.
[Redshift.2] Le connessioni ai cluster Amazon Redshift devono essere crittografate in transito
Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup
AWS Config regola: redshift-require-tls-ssl
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se le connessioni ai cluster Amazon Redshift sono necessarie per utilizzare la crittografia in transito. Il controllo ha esito negativo se il parametro del cluster Amazon Redshift require_SSL non è impostato su. True
TLSpuò essere usato per impedire a potenziali aggressori di utilizzare person-in-the-middle o attacchi simili per intercettare o manipolare il traffico di rete. Dovrebbero essere consentite solo le connessioni crittografate. TLS La crittografia dei dati in transito può influire sulle prestazioni. È consigliabile testare l'applicazione con questa funzionalità per comprendere il profilo delle prestazioni e l'impatto diTLS.
Correzione
Per aggiornare un gruppo di parametri Amazon Redshift per richiedere la crittografia, consulta Modificare un gruppo di parametri nella Amazon Redshift Management Guide. Impostato su require_ssl True.
[Redshift.3] I cluster Amazon Redshift devono avere le istantanee automatiche abilitate
Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), (10), NIST.800-53.r5 SC-7 .800-53.r5 SI-13 (5) NIST
Categoria: Recover > Resilience > Backup abilitati
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-backup-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Periodo minimo di conservazione delle istantanee in giorni |
Numero intero |
|
|
Questo controllo verifica se un cluster Amazon Redshift ha abilitato le istantanee automatiche e un periodo di conservazione maggiore o uguale al periodo di tempo specificato. Il controllo fallisce se le istantanee automatiche non sono abilitate per il cluster o se il periodo di conservazione è inferiore al periodo di tempo specificato. A meno che non si fornisca un valore di parametro personalizzato per il periodo di conservazione delle istantanee, Security Hub utilizza un valore predefinito di 7 giorni.
I backup consentono di ripristinare più rapidamente un incidente di sicurezza. Rafforzano la resilienza dei sistemi. Amazon Redshift acquisisce istantanee periodiche per impostazione predefinita. Questo controllo verifica se le istantanee automatiche sono abilitate e conservate per almeno sette giorni. Per ulteriori dettagli sugli snapshot automatizzati di Amazon Redshift, consulta la sezione Istantanee automatizzate nella Amazon Redshift Management Guide.
Correzione
Per aggiornare il periodo di conservazione degli snapshot per un cluster Amazon Redshift, consulta Modifying a cluster nella Amazon Redshift Management Guide. Per Backup, imposta la conservazione delle istantanee su un valore pari o superiore a 7.
[Redshift.4] I cluster Amazon Redshift devono avere la registrazione di controllo abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), .800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-cluster-audit-logging-enabled (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
-
loggingEnabled = true(non personalizzabile)
Questo controllo verifica se in un cluster Amazon Redshift è abilitata la registrazione di audit.
La registrazione di controllo di Amazon Redshift fornisce informazioni aggiuntive sulle connessioni e sulle attività degli utenti nel cluster. Questi dati possono essere archiviati e protetti in Amazon S3 e possono essere utili per controlli e indagini di sicurezza. Per ulteriori informazioni, consulta Database audit logging nella Amazon Redshift Management Guide.
Correzione
Per configurare la registrazione di audit per un cluster Amazon Redshift, consulta Configurazione del controllo con la console nella Amazon Redshift Management Guide.
[Redshift.6] Amazon Redshift dovrebbe avere gli upgrade automatici alle versioni principali abilitati
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identifica > Gestione di vulnerabilità, patch e versioni
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-cluster-maintenancesettings-check
Tipo di pianificazione: modifica attivata
Parametri:
-
allowVersionUpgrade = true(non personalizzabile)
Questo controllo verifica se gli upgrade automatici delle versioni principali sono abilitati per il cluster Amazon Redshift.
L'abilitazione degli aggiornamenti automatici delle versioni principali garantisce che gli ultimi aggiornamenti delle versioni principali dei cluster Amazon Redshift vengano installati durante la finestra di manutenzione. Questi aggiornamenti potrebbero includere patch di sicurezza e correzioni di bug. Mantenersi aggiornati sull'installazione delle patch è un passaggio importante per proteggere i sistemi.
Correzione
Per risolvere questo problema tramite AWS CLI, usa il modify-cluster comando Amazon Redshift e imposta l'--allow-version-upgradeattributo. clustername
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
[Redshift.7] I cluster Redshift dovrebbero utilizzare un routing avanzato VPC
Requisiti correlati: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7
Categoria: Protezione > Configurazione di rete sicura > accesso API privato
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-enhanced-vpc-routing-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon Redshift è EnhancedVpcRouting abilitato.
Il VPC routing avanzato impone a tutto COPY il UNLOAD traffico tra il cluster e gli archivi di dati di passare attraverso il tuo. VPC È quindi possibile utilizzare VPC funzionalità come i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete per proteggere il traffico di rete. È inoltre possibile utilizzare VPC Flow Logs per monitorare il traffico di rete.
Correzione
Per istruzioni dettagliate sulla riparazione, consulta Enhancing Enhanced VPC Routing nella Amazon Redshift Management Guide.
[Redshift.8] I cluster Amazon Redshift non devono utilizzare il nome utente amministratore predefinito
Requisiti correlati: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Categoria: Identifica > Configurazione delle risorse
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-default-admin-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon Redshift ha modificato il nome utente dell'amministratore rispetto al valore predefinito. Questo controllo avrà esito negativo se il nome utente di amministratore per un cluster Redshift è impostato su. awsuser
Quando si crea un cluster Redshift, è necessario modificare il nome utente amministratore predefinito con un valore univoco. I nomi utente predefiniti sono di dominio pubblico e devono essere modificati al momento della configurazione. La modifica dei nomi utente predefiniti riduce il rischio di accessi involontari.
Correzione
Non puoi modificare il nome utente di amministratore per il tuo cluster Amazon Redshift dopo averlo creato. Per creare un nuovo cluster con un nome utente non predefinito, consulta la Fase 1: Creare un cluster Amazon Redshift di esempio nella Amazon Redshift Getting Started Guide.
[Redshift.9] I cluster Redshift non devono utilizzare il nome di database predefinito
Requisiti correlati: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Categoria: Identifica > Configurazione delle risorse
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-default-db-name-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un cluster Amazon Redshift ha modificato il nome del database rispetto al valore predefinito. Il controllo avrà esito negativo se il nome del database per un cluster Redshift è impostato su. dev
Quando si crea un cluster Redshift, è necessario modificare il nome del database predefinito con un valore univoco. I nomi predefiniti sono di dominio pubblico e devono essere modificati al momento della configurazione. Ad esempio, un nome noto potrebbe portare ad un accesso involontario se utilizzato in IAM condizioni di policy.
Correzione
Non puoi modificare il nome del database per il tuo cluster Amazon Redshift dopo che è stato creato. Per istruzioni sulla creazione di un nuovo cluster, consulta Getting started with Amazon Redshift nella Amazon Redshift Getting Started Guide.
[Redshift.10] I cluster Redshift devono essere crittografati a riposo
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 (6) NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-cluster-kms-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se i cluster Amazon Redshift sono crittografati quando sono inattivi. Il controllo fallisce se un cluster Redshift non è crittografato a riposo o se la chiave di crittografia è diversa dalla chiave fornita nel parametro della regola.
In Amazon Redshift è possibile attivare la crittografia del database per i cluster per proteggere ulteriormente i dati a riposo. Quando si attiva la crittografia per un cluster, i blocchi di dati e i metadati di sistema vengono crittografati per il cluster e i relativi snapshot. La crittografia dei dati inattivi è una best practice consigliata perché aggiunge un livello di gestione degli accessi ai dati. La crittografia dei cluster Redshift a riposo riduce il rischio che un utente non autorizzato possa accedere ai dati archiviati su disco.
Correzione
Per modificare un cluster Redshift per utilizzare la KMS crittografia, consulta Changing cluster encryption nella Amazon Redshift Management Guide.
[Redshift.11] I cluster Redshift devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: tagged-redshift-cluster (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un cluster Amazon Redshift dispone di tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un cluster Redshift, consulta Tagging resources in Amazon Redshift nella Amazon Redshift Management Guide.
[Redshift.12] Le sottoscrizioni alle notifiche degli eventi Redshift devono essere etichettate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::Redshift::EventSubscription
AWS Config regola: tagged-redshift-eventsubscription (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se uno snapshot del cluster Amazon Redshift contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se lo snapshot del cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un abbonamento di notifica di eventi Redshift, consulta Tagging resources in Amazon Redshift nella Amazon Redshift Management Guide.
[Redshift.13] Le istantanee del cluster Redshift devono essere etichettate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::Redshift::ClusterSnapshot
AWS Config regola: tagged-redshift-clustersnapshot (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se uno snapshot del cluster Amazon Redshift contiene tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se lo snapshot del cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se lo snapshot del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a uno snapshot del cluster Redshift, consulta Tagging resources in Amazon Redshift nella Amazon Redshift Management Guide.
[Redshift.14] I gruppi di sottoreti del cluster Redshift devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::Redshift::ClusterSubnetGroup
AWS Config regola: tagged-redshift-clustersubnetgroup (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti |
No default value
|
Questo controllo verifica se un sottogruppo di cluster Amazon Redshift ha tag con le chiavi specifiche definite nel parametro. requiredTagKeys Il controllo fallisce se il gruppo di sottoreti del cluster non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro. requiredTagKeys Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il gruppo di sottorete del cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i principali responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un sottogruppo di cluster Redshift, consulta Tagging resources in Amazon Redshift nella Amazon Redshift Management Guide.
[Redshift.15] I gruppi di sicurezza Redshift dovrebbero consentire l'ingresso sulla porta del cluster solo da origini limitate
Categoria: Protezione > Configurazione di rete sicura > Configurazione del gruppo di sicurezza
Gravità: alta
Tipo di risorsa: AWS::Redshift::Cluster
AWS Config regola: redshift-unrestricted-port-access
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un gruppo di sicurezza associato a un cluster Amazon Redshift ha regole di ingresso che consentono l'accesso alla porta del cluster da Internet (0.0.0.0/0 o: :/0). Il controllo fallisce se le regole di ingresso del gruppo di sicurezza consentono l'accesso alla porta del cluster da Internet.
Consentire l'accesso in entrata senza restrizioni alla porta del cluster Redshift (indirizzo IP con suffisso /0) può causare accessi non autorizzati o incidenti di sicurezza. Si consiglia di applicare il principio dell'accesso con privilegi minimi durante la creazione di gruppi di sicurezza e la configurazione delle regole in entrata.
Correzione
Per limitare l'ingresso sulla porta del cluster Redshift a origini limitate, consulta Work with security group rules nella VPCAmazon User Guide. Aggiorna le regole in cui l'intervallo di porte corrisponde alla porta del cluster Redshift e l'intervallo di porte IP è 0.0.0.0/0.
