翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Kinesis 用の Security Hub コントロール
これらの AWS Security Hub コントロールは、Amazon Kinesis サービスとリソースを評価します。
これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Kinesis.1] Kinesis ストリームは、保管中に暗号化する必要があります
関連する要件: NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28 (1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7 (6)
カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest
重要度: 中
リソースタイプ : AWS::Kinesis::Stream
AWS Config ルール : kinesis-stream-encrypted
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon Kinesis Streams が保管中にサーバー側の暗号化を使用して暗号化されているかどうかをチェックします。Amazon Kinesis Streams が、保管中にサーバー側の暗号化を使用して暗号化されていない場合、このコントロールは失敗します。
サーバー側の暗号化は、 AWS KMS keyを使用してデータを保管中になる前に自動的に暗号化する、Amazon Kinesis Data Streams の機能です。データは、Kinesis ストリームストレージレイヤーに書き込まれる前に暗号化され、ストレージから取得された後で復号されます。これにより、Amazon Kinesis Data Streams サービス内に保管中のデータは暗号化されます。
修正
Kinesis Streams でサーバー側の暗号化を有効にする方法については、「Amazon Kinesis Data Streams デベロッパーガイド」の「サーバー側の暗号化を使用する」を参照してください。
[Kinesis.2] Kinesis ストリームにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Kinesis::Stream
AWS Configルール: tagged-kinesis-stream (カスタム Security Hub ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価対象リソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト | デフォルト値なし |
このコントロールは、Amazon Kinesis データストリームにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。データストリームにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、データストリームにキーがタグ付けされていない場合に失敗します。システムタグは自動的に適用されaws:、 で始まるものは無視されます。
タグはリソースに割り当てるラベルで AWS 、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの特定、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と AWS リソースにタグをアタッチできます。プリンIAMシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーは、プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように設計できます。詳細については、IAM「 ユーザーガイド」の「 ABACとは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」のAWS 「リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Kinesis データストリームにタグを追加するには、Amazon Kinesis デベロッパーガイド」の「Amazon Kinesis Data Streams でのストリームのタグ付け」を参照してください。 Amazon Kinesis
[Kinesis.3] Kinesis ストリームには適切なデータ保持期間が必要です
カテゴリ: リカバリ > 耐障害性 > バックアップの有効化
重要度: 中
リソースタイプ : AWS::Kinesis::Stream
AWS Configルール : kinesis-stream-backup-retention-check
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
minimumBackupRetentionPeriod
|
データが保持される最小時間数。 | 文字列 | 24~8760 | 168 |
このコントロールは、Amazon Kinesis データストリームに、指定された時間枠以上のデータ保持期間があるかどうかを確認します。データ保持期間が指定された時間枠より短い場合、コントロールは失敗します。データ保持期間のカスタムパラメータ値を指定しない限り、Security Hub はデフォルト値の 168 時間を使用します。
Kinesis Data Streams では、データストリームは、リアルタイムで書き込みおよび読み取ることを目的とした順序付けられたデータレコードのシーケンスです。データレコードはストリームのシャードに一時的に保存されます。レコードが追加されてからアクセスできなくなるまでの期間は、保持期間と呼ばれます。Kinesis Data Streams は、保持期間を短縮した後、新しい保持期間より古いレコードにほぼすぐにアクセスできなくなります。たとえば、保持期間を 24 時間から 48 時間に変更すると、23 時間 55 分前にストリームに追加されたレコードは、さらに 24 時間後まで使用できます。
修正
Kinesis Data Streams のバックアップ保持期間を変更するには、Amazon Kinesis Data Streams デベロッパーガイド」の「データ保持期間の変更」を参照してください。
