翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub コントロール AWS DMS
これらの Security Hub コントロールは、 AWS Database Migration Service (AWS DMS) サービスとリソース。
これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性。
〔DMS.1] Database Migration Service レプリケーションインスタンスはパブリックにしないでください
関連する要件: PCI DSS v3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.6、 NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 非常事態
リソースタイプ : AWS::DMS::ReplicationInstance
AWS Config ルール: dms-replication-not-public
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、 AWS DMS レプリケーション インスタンスはパブリックです。これを行うために、PubliclyAccessible フィールドの値を調査します。
プライベートレプリケーションインスタンスには、レプリケーションネットワーク外からアクセスできないプライベート IP アドレスがあります。ソースデータベースとターゲットデータベースが同じネットワーク内にある場合、レプリケーションインスタンスにはプライベート IP アドレスが必要です。ネットワークは、 VPCを使用してレプリケーション インスタンスの にも接続する必要がありますVPN。 AWS Direct Connect、またはVPCピアリング。パブリックレプリケーションインスタンスとプライベートレプリケーションインスタンスの詳細については、「」の「パブリックレプリケーションインスタンスとプライベートレプリケーションインスタンス」を参照してください。 AWS Database Migration Service ユーザーガイド 。
また、 へのアクセスも確認する必要があります。 AWS DMS インスタンス設定は、承認されたユーザーのみに制限されます。これを行うには、変更するユーザーのIAMアクセス許可を制限します。 AWS DMS 設定とリソース。
修正
DMS レプリケーションインスタンスの作成後にパブリックアクセス設定を変更することはできません。パブリックアクセス設定を変更するには、現在のインスタンスを削除してから再作成します。[パブリックアクセス可能] オプションは選択しないでください。
〔DMS.2] DMS証明書にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::DMS::Certificate
AWS Config ルール: tagged-dms-certificate (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 |
No default value
|
このコントロールは、 が AWS DMS 証明書には、パラメータ で定義された特定のキーを持つタグがありますrequiredTagKeys。証明書にタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、証明書にキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
DMS 証明書にタグを追加するには、「 でのリソースのタグ付け」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド 。
〔DMS.3] DMSイベントサブスクリプションにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::DMS::EventSubscription
AWS Config ルール: tagged-dms-eventsubscription (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 |
No default value
|
このコントロールは、 が AWS DMS イベントサブスクリプションには、パラメータ で定義された特定のキーを持つタグがありますrequiredTagKeys。イベントサブスクリプションにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、イベントサブスクリプションにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
DMS イベントサブスクリプションにタグを追加するには、「 でのリソースのタグ付け」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド 。
〔DMS.4] DMSレプリケーションインスタンスにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::DMS::ReplicationInstance
AWS Config ルール: tagged-dms-replicationinstance (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 |
No default value
|
このコントロールは、 が AWS DMS レプリケーションインスタンスには、パラメータ で定義された特定のキーを持つタグがありますrequiredTagKeys。レプリケーションインスタンスにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、レプリケーションインスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
DMS レプリケーションインスタンスにタグを追加するには、「 でのリソースのタグ付け」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド。
〔DMS.5] DMSレプリケーションサブネットグループにタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::DMS::ReplicationSubnetGroup
AWS Config ルール: tagged-dms-replicationsubnetgroup (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | を満たすタグのリスト AWS の要件 |
No default value
|
このコントロールは、 が AWS DMS レプリケーションサブネットグループには、パラメータ で定義された特定のキーを持つタグがありますrequiredTagKeys。レプリケーションサブネットグループにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、レプリケーションサブネットグループにキーがタグ付けされていない場合は失敗します。で始まるシステムタグは自動的に適用されaws:、無視されます。
タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.
修正
DMS レプリケーションサブネットグループにタグを追加するには、「 でのリソースのタグ付け」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド。
〔DMS.6] DMSレプリケーションインスタンスでは、自動マイナーバージョンアップグレードを有効にする必要があります
関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 中
リソースタイプ : AWS::DMS::ReplicationInstance
AWS Config ルール: dms-auto-minor-version-upgrade-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 で自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。 AWS DMS レプリケーションインスタンス。DMS レプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっていない場合、コントロールは失敗します。
DMS では、サポートされている各レプリケーションエンジンへのマイナーバージョン自動アップグレードが提供されるため、レプリケーションインスタンス を維持できます up-to-date。マイナーバージョンには、ソフトウェアの新機能、バグ修正、セキュリティパッチ、およびパフォーマンスの向上を含む可能性があります。DMS レプリケーション インスタンスで自動マイナーバージョンアップグレードを有効にすると、メンテナンスウィンドウ中、または「変更をすぐに適用」オプションが選択されているとすぐに、マイナーアップグレードが自動的に適用されます。
修正
DMS レプリケーションインスタンスでマイナーバージョン自動アップグレードを有効にするには、「」の「レプリケーションインスタンスの変更」を参照してください。 AWS Database Migration Service ユーザーガイド。
ターゲットデータベースの [DMS.7] DMSレプリケーションタスクでは、ログ記録が有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-2 (4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::DMS::ReplicationTask
AWS Config ルール: dms-replication-task-targetdb-logging
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、レLOGGER_SEVERITY_DEFAULTDMSプリケーションタスク TARGET_APPLYおよび の最小重要度レベルでログ記録が有効になっているかどうかをチェックしますTARGET_LOAD。これらのタスクでロギングが有効になっていない場合や、最小重大度レベルが LOGGER_SEVERITY_DEFAULT よりも低い場合、コントロールは失敗します。
DMS は CloudWatch 、移行プロセス中に Amazon を使用して情報をログに記録します。ロギングタスク設定を使用して、ログ記録するコンポーネントアクティビティとログに記録する情報量を指定できます。次のタスクにはロギングを指定する必要があります。
TARGET_APPLY– データおよびデータ定義言語 (DDL) ステートメントがターゲットデータベースに適用されます。TARGET_LOAD— データはターゲットデータベースにロードされます。
ログ記録は、モニタリング、トラブルシューティング、監査、パフォーマンス分析、エラー検出、復旧、履歴分析とレポートを有効にすることで、DMSレプリケーションタスクで重要な役割を果たします。これにより、データの整合性と規制要件の遵守を維持しながら、データベース間のデータレプリケーションを正常に行うことができます。これらのコンポーネントでは、トラブルシューティング時に DEFAULT 以外のログレベルが必要になることは、ほぼありません。によって特に変更が要求されない限り、これらのコンポーネントDEFAULTについてはログ記録レベルを のままにしておくことをお勧めします。 AWS Support。 のログ記録レベルDEFAULTを最小限に抑えることで、情報メッセージ、警告、エラーメッセージがログに書き込まれます。このコントロールは、前述のレプリケーションタスクのログレベルが、LOGGER_SEVERITY_DEFAULT、LOGGER_SEVERITY_DEBUG または LOGGER_SEVERITY_DETAILED_DEBUG のいずれかのログレベルであるかどうかを確認します。
修正
ターゲットデータベースレDMSプリケーションタスクのログ記録を有効にするには、「表示と管理」を参照してください。 AWS DMS の タスクログ AWS Database Migration Service ユーザーガイド。
ソースデータベースの [DMS.8] DMSレプリケーションタスクでは、ログ記録が有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-2 (4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::DMS::ReplicationTask
AWS Config ルール: dms-replication-task-sourcedb-logging
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、レDMSプリケーションタスクと SOURCE_CAPTURE LOGGER_SEVERITY_DEFAULTの最小重要度レベルでログ記録が有効になっているかどうかをチェックしますSOURCE_UNLOAD。これらのタスクでロギングが有効になっていない場合や、最小重大度レベルが LOGGER_SEVERITY_DEFAULT よりも低い場合、コントロールは失敗します。
DMS は CloudWatch 、移行プロセス中に Amazon を使用して情報をログに記録します。ロギングタスク設定を使用して、ログ記録するコンポーネントアクティビティとログに記録する情報量を指定できます。次のタスクにはロギングを指定する必要があります。
SOURCE_CAPTURE– 継続的なレプリケーションまたは変更データキャプチャ (CDC) データは、ソースデータベースまたはサービスからキャプチャされ、SORTERサービスコンポーネントに渡されます。SOURCE_UNLOAD— 全ロード中に、データがソースデータベースまたはサービスからアンロードされます。
ログ記録は、モニタリング、トラブルシューティング、監査、パフォーマンス分析、エラー検出、復旧、履歴分析とレポートを有効にすることで、DMSレプリケーションタスクで重要な役割を果たします。これにより、データの整合性と規制要件の遵守を維持しながら、データベース間のデータレプリケーションを正常に行うことができます。これらのコンポーネントでは、トラブルシューティング時に DEFAULT 以外のログレベルが必要になることは、ほぼありません。によって特に変更が要求されない限り、これらのコンポーネントDEFAULTについてはログ記録レベルを のままにしておくことをお勧めします。 AWS Support。 のログ記録レベルDEFAULTを最小限に抑えることで、情報メッセージ、警告、エラーメッセージがログに書き込まれます。このコントロールは、前述のレプリケーションタスクのログレベルが、LOGGER_SEVERITY_DEFAULT、LOGGER_SEVERITY_DEBUG または LOGGER_SEVERITY_DETAILED_DEBUG のいずれかのログレベルであるかどうかを確認します。
修正
ソースデータベースレDMSプリケーションタスクのログ記録を有効にするには、「表示と管理」を参照してください。 AWS DMS の タスクログ AWS Database Migration Service ユーザーガイド。
〔DMS.9] DMSエンドポイントは を使用する必要があります SSL
関連する要件: NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23、 NIST.800-53.r5 SC-23 (3)、 NIST.800-53.r5 SC-7(4)、、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::DMS::Endpoint
AWS Config ルール: dms-endpoint-ssl-configured
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 が AWS DMS エンドポイントは SSL接続を使用します。エンドポイントが を使用していない場合、コントロールは失敗しますSSL。
SSL/TLS 接続は、DMSレプリケーションインスタンスとデータベース間の接続を暗号化することで、セキュリティレイヤーを提供します。証明書を使用すると、想定されるデータベースへの接続が確立されていることを検証することによって、追加のセキュリティレイヤーが提供されます。これを行うには、プロビジョニングしたすべての DB インスタンスに自動インストールされたサーバー証明書を確認します。DMS エンドポイントでSSL接続を有効にすることで、移行中のデータの機密性を保護します。
修正
新規または既存のDMSエンドポイントSSLに接続を追加するには、「 SSLで を使用する」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド。
Neptune データベースの [DMS.10] DMSエンドポイントでは、IAM認証を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-17、 NIST.800-53.r5 IA-2、 NIST.800-53.r5 IA-5
カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証
重要度: 中
リソースタイプ : AWS::DMS::Endpoint
AWS Config ルール: dms-neptune-iam-authorization-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 が AWS DMS Amazon Neptune データベースの エンドポイントは、IAM認証を使用して設定されます。DMS エンドポイントでIAM認証が有効になっていない場合、コントロールは失敗します。
AWS Identity and Access Management (IAM) は、 全体できめ細かなアクセスコントロールを提供します。 AWS。 ではIAM、どの のサービスやリソースにどのユーザーがどの条件でアクセスできるかを指定できます。IAM ポリシーを使用すると、ワークフォースとシステムへのアクセス許可を管理し、最小特権のアクセス許可を確保できます。でIAM認証を有効にする AWS DMS Neptune データベースの エンドポイントでは、 ServiceAccessRoleARNパラメータで指定されたサービスロールを使用して、IAMユーザーに認証権限を付与できます。
修正
Neptune データベースのDMSエンドポイントでIAM認証を有効にするには、「 のターゲットとして Amazon Neptune を使用する」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド。
MongoDB の [DMS.11] DMSエンドポイントでは、認証メカニズムを有効にする必要があります
関連する要件: NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2、、 NIST.800-53.r5 IA-5
カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証
重要度: 中
リソースタイプ : AWS::DMS::Endpoint
AWS Config ルール: dms-mongo-db-authentication-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 が AWS DMS MongoDB の エンドポイントは、認証メカニズムで設定されています。エンドポイントに認証タイプが設定されていない場合、コントロールは失敗します。
AWS Database Migration Service はMongoDB の 2 つの認証方法をサポートします。MongoDB バージョン 2.x の場合は MONGODB-CR、MongoDB バージョン 3.x 以降の場合は SCRAMSHA--1 です。これらの認証方法は、ユーザーがパスワードを使用してデータベースにアクセスする場合に MongoDB パスワードを認証および暗号化するために使用されます。での認証 AWS DMS エンドポイントは、承認されたユーザーのみがデータベース間で移行されるデータにアクセスして変更できるようにします。適切な認証を行わないと、権限のないユーザーは移行プロセス中に機密データにアクセスできる可能性があります。これにより、データ侵害、データ損失、またはその他のセキュリティインシデントが発生する可能性があります。
修正
MongoDB のDMSエンドポイントで認証メカニズムを有効にするには、「 のソースとしての MongoDB の使用」を参照してください。 MongoDB AWS DMS ()AWS Database Migration Service ユーザーガイド。
Redis の [DMS.12] DMSエンドポイントTLSは有効になっているOSS必要があります
関連する要件: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-13
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ : AWS::DMS::Endpoint
AWS Config ルール: dms-redis-tls-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、 が AWS DMS Redis の エンドポイントOSSは、 TLS接続で設定されます。エンドポイントが有効になっていない場合、コントロールは失敗TLSします。
TLS は、データがインターネット経由でアプリケーションまたはデータベース間で送信されるときに end-to-end セキュリティを提供します。DMS エンドポイントのSSL暗号化を設定すると、移行プロセス中にソースデータベースとターゲットデータベース間の暗号化された通信が可能になります。これにより、悪意のある攻撃者による機密データの傍受や傍受を防ぐことができます。SSL 暗号化を行わないと、機密データにアクセスされ、データ侵害、データ損失、またはその他のセキュリティインシデントが発生する可能性があります。
修正
Redis のDMSエンドポイントでTLS接続を有効にするには、「 のターゲットとして Redis を使用する」を参照してください。 AWS Database Migration Service ()AWS Database Migration Service ユーザーガイド。
