翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Redshift Serverless の Security Hub CSPM コントロール
<a name="redshiftserverless-controls"></a>

これらの AWS Security Hub CSPM コントロールは、Amazon Redshift Serverless サービスとリソースを評価します。コントロールは一部の で使用できない場合があります AWS リージョン。詳細については、「[リージョン別のコントロールの可用性](securityhub-regions.md#securityhub-regions-control-support)」を参照してください。

## [RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります
<a name="redshiftserverless-1"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > VPC 内のリソース

**重要度:** 高

**リソースタイプ :** `AWS::RedshiftServerless::Workgroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless ワークグループで拡張された VPC ルーティングが有効になっているかどうかをチェックします。ワークグループで拡張された VPC ルーティングが無効になっている場合、コントロールは失敗します。

Amazon Redshift Serverless ワークグループで拡張 VPC ルーティングが無効になっている場合、Amazon Redshift は AWS ネットワーク内の他のサービスへのトラフィックを含め、インターネット経由でトラフィックをルーティングします。ワークグループで拡張された VPC ルーティングを有効にすると、Amazon Redshift はクラスターとデータリポジトリ間のすべての `COPY` および `UNLOAD` のトラフィックが Amazon VPC サービスに基づく仮想プライベートクラウド (VPC) を通過するように強制します。拡張された VPC ルーティングを有効にすることで、標準の VPC 機能を使用して、Amazon Redshift クラスターと他のリソースの間のデータフローを制御できます。これには、VPC セキュリティグループとエンドポイントポリシー、ネットワークアクセスコントロールリスト (ACL)、ドメインネームシステム (DNS) サーバーなどの機能が含まれます。VPC フローログを使用して `COPY` と `UNLOAD` のトラフィックをモニタリングすることもできます。

### 修正
<a name="redshiftserverless-1-remediation"></a>

拡張された VPC ルーティングの詳細とワークグループで有効にする方法については、「*Amazon Redshift 管理ガイド*」の「[Controlling network traffic with Redshift enhanced VPC routing](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)」を参照してください。

## [RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です
<a name="redshiftserverless-2"></a>

**カテゴリ:** 保護 > データ保護 > 転送中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Workgroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless ワークグループへの接続で、転送中のデータを暗号化する必要があるかどうかをチェックします。ワークグループの `require_ssl` 設定パラメータが `false` に設定されている場合、コントロールは失敗します。

Amazon Redshift Serverless ワークグループは、RPU、VPC サブネットグループ、セキュリティグループなどのコンピューティングリソースをグループ化する、コンピューティングリソースのコレクションです。ワークグループのプロパティには、ネットワークとセキュリティ設定が含まれます。これらの設定は、ワークグループへの接続で転送中のデータを暗号化するために SSL を使用する必要があるかどうかを指定します。

### 修正
<a name="redshiftserverless-2-remediation"></a>

Amazon Redshift Serverless ワークグループの設定を更新して SSL 接続を要求する方法については、「*Amazon Redshift 管理ガイド*」の「[Amazon Redshift Serverless への接続](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html)」を参照してください。

## [RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります
<a name="redshiftserverless-3"></a>

**カテゴリ:** 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

**重要度:** 高

**リソースタイプ :** `AWS::RedshiftServerless::Workgroup`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless ワークグループでパブリックアクセスが無効になっているかどうかをチェックします。Redshift Serverless ワークグループの `publiclyAccessible` プロパティを評価します。ワークグループのパブリックアクセスが有効 (`true`) になっている場合、コントロールは失敗します。

Amazon Redshift Serverless ワークグループのパブリックアクセス (`publiclyAccessible`) 設定は、ワークグループにパブリックネットワークからアクセスできるかどうかを指定します。ワークグループのパブリックアクセスが有効 (`true`) になっている場合、Amazon Redshift は Elastic IP アドレスを作成して、ワークグループを VPC の外部からパブリックにアクセスできるようにします。ワークグループにパブリックアクセスを許可しない場合は、パブリックアクセスを無効にします。

### 修正
<a name="redshiftserverless-3-remediation"></a>

Amazon Redshift Serverless ワークグループのパブリックアクセス設定を変更する方法については、「*Amazon Redshift 管理ガイド*」の「[ワークグループのプロパティを表示する](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html)」を参照してください。

## [RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要があります AWS KMS keys
<a name="redshiftserverless-4"></a>

**関連する要件:** NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**カテゴリ:** 保護 > データ保護 > 保管中のデータの暗号化

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Namespace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**スケジュールタイプ :** 定期的

**パラメータ :**


| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |  評価 AWS KMS keys に含める の Amazon リソースネーム (ARNs) のリスト。Redshift Serverless 名前空間がリスト内の KMS キーで暗号化されていない場合、コントロールは `FAILED` 検出結果を生成します。  |  StringList (最大 3 項目)  |  既存の KMS キーの 1～3 個の ARN。例: `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  デフォルト値なし  | 

このコントロールは、Amazon Redshift Serverless 名前空間が保管時にカスタマーマネージド AWS KMS keyで暗号化されているかどうかをチェックします。Redshift Serverless 名前空間がカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。必要に応じて、コントロールの評価に含める KMS キーのリストを指定することができます。

Amazon Redshift Serverless では、名前空間はデータベースオブジェクトの論理コンテナを定義します。このコントロールは、名前空間の暗号化設定が、名前空間内のデータの暗号化のために AWS KMS key、マネージド KMS キーではなくカスタマー AWS マネージド を指定するかどうかを定期的にチェックします。カスタマーマネージド KMS キーを使用すると、ユーザーがキーを完全にコントロールできます。これには、キーポリシーの定義と維持管理、許可の管理、暗号化マテリアルのローテーション、タグの割り当て、エイリアスの作成、キーの有効化と無効化が含まれます。

### 修正
<a name="redshiftserverless-4-remediation"></a>

Amazon Redshift Serverless 名前空間の暗号化設定の更新とカスタマー管理の指定については AWS KMS key、「Amazon Redshift 管理ガイド」の[「名前空間 AWS KMS key の の変更](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html)」を参照してください。 **

## [RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません
<a name="redshiftserverless-5"></a>

**カテゴリ:** 識別 > リソース設定

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Namespace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless 名前空間の管理者ユーザー名がデフォルトの管理者ユーザー名 `admin` であるかどうかをチェックします。Redshift Serverless 名前空間の管理者ユーザー名が `admin` の場合、コントロールは失敗します。

Amazon Redshift Serverless 名前空間を作成するときに、名前空間のカスタム管理者ユーザー名を指定する必要があります。デフォルトの管理者ユーザー名は一般に知られています。カスタム管理者ユーザー名を指定することで、たとえば、名前空間に対するブルートフォース攻撃のリスクや有効性を軽減できます。

### 修正
<a name="redshiftserverless-5-remediation"></a>

Amazon Redshift Serverless コンソールまたは API を使用して、Amazon Redshift Serverless 名前空間の管理者ユーザー名を変更できます。コンソールを使用して変更するには、名前空間設定を選択し、**[アクション]** メニューで **[管理者認証情報の編集]** を選択します。プログラムで変更するには、[UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html) オペレーションを使用するか、 を使用している場合は AWS CLI update[-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) コマンドを実行します。管理者ユーザー名を変更する場合は、同時に管理者パスワードも変更する必要があります。

## [RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります
<a name="redshiftserverless-6"></a>

**カテゴリ:** 識別 > ログ記録

**重要度:** 中

**リソースタイプ :** `AWS::RedshiftServerless::Namespace`

**AWS Config ルール :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**スケジュールタイプ :** 定期的

**パラメータ :** なし

このコントロールは、Amazon Redshift Serverless 名前空間が接続ログとユーザーログを Amazon CloudWatch Logs にエクスポートするように設定されているかどうかをチェックします。Redshift Serverless 名前空間がログを CloudWatch Logs にエクスポートするように設定されていない場合、コントロールは失敗します。

Amazon Redshift Serverless の設定で、接続ログ (`connectionlog`) とユーザーログ (`userlog`) のデータを Amazon CloudWatch Logs のロググループにエクスポートするように設定すると、ログレコードを収集して耐久性のあるストレージに保存できるため、セキュリティ、アクセス、可用性のレビューと監査に対応できます。CloudWatch Logs では、ログデータのリアルタイム分析を実行したり、CloudWatch を使用してアラームを作成したり、メトリクスを確認したりすることもできます。

### 修正
<a name="redshiftserverless-6-remediation"></a>

Amazon Redshift Serverless 名前空間のログデータを Amazon CloudWatch Logs にエクスポートするには、名前空間の監査ログ設定で、対応するログをエクスポート対象として選択する必要があります。これらの設定を更新する方法については、「*Amazon Redshift 管理ガイド*」の「[セキュリティと暗号化を編集する](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html)」を参照してください。