쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

설정
문의하기
피드백
AWS Documentation
AWS 계정 생성

DynamoDB에 대한 Security Hub 제어

PDF
RSS
포커스 모드
DynamoDB에 대한 Security Hub 제어 - AWS Security Hub
[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.[DynamoDB.2] DynamoDB 테이블에는 시점 복구가 활성화되어 있어야 합니다.[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.[DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.[DynamoDB.5] DynamoDB 테이블에 태그를 지정해야 합니다.[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이러한 AWS Security Hub 제어는 Amazon DynamoDB 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-autoscaling-enabled

스케줄 유형: 주기적

파라미터:

파라미터 설명 형식 유효한 사용자 지정 값 Security Hub 기본값

minProvisionedReadCapacity

DynamoDB Auto Scaling에 프로비저닝된 최소 읽기 용량 유닛 수

Integer

1~40000

기본값 없음

targetReadUtilization

읽기 용량의 목표 사용률(%)

Integer

20~90

기본값 없음

minProvisionedWriteCapacity

DynamoDB Auto Scaling에 프로비저닝된 최소 쓰기 용량 유닛 수

Integer

1~40000

기본값 없음

targetWriteUtilization

쓰기 용량의 목표 사용률(%)

Integer

20~90

기본값 없음

이 제어는 Amazon DynamoDB 테이블이 필요에 따라 읽기 및 쓰기 용량을 확장할 수 있는지 여부를 확인합니다. 테이블이 온디맨드 용량 모드 또는 Auto Scaling이 구성된 프로비저닝 모드를 사용하는 경우, 이 제어가 실패합니다. 기본적으로 이 제어는 특정 수준의 읽기 또는 쓰기 용량에 관계없이 이러한 모드 중 하나만 구성하면 됩니다. 필요에 따라 특정 수준의 읽기 및 쓰기 용량 또는 목표 사용률을 요구하는 사용자 지정 파라미터 값을 제공할 수 있습니다.

수요에 따라 용량을 확장하면 제한 예외를 방지하여 애플리케이션의 가용성을 유지하는 데 도움이 됩니다. 온디맨드 용량 모드의 DynamoDB 테이블은 DynamoDB 처리량 기본 테이블 할당량에 의해서만 제한됩니다. 이러한 할당량을 늘리려면에 지원 티켓을 제출할 수 있습니다 Support. Auto Scaling을 사용하는 프로비저닝 모드의 DynamoDB 테이블은 트래픽 패턴에 따라 프로비저닝된 처리량 용량을 동적으로 조정합니다. DynamoDB 요청 제한에 대한 자세한 내용은 Amazon DynamoDB 개발자 안내서요청 제한 및 버스트 용량을 참조하세요.

문제 해결

용량 모드에서 기존 테이블에 대해 DynamoDB Auto Scaling을 활성화하려면 Amazon DynamoDB 개발자 안내서기존 테이블에 대한 DynamoDB Auto Scaling 활성화를 참조하세요.

[DynamoDB.2] DynamoDB 테이블에는 시점 복구가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-pitr-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DynamoDB 테이블에 대해 PITR(시점 복구)이 활성화되어 있는지 확인합니다.

백업을 통해 보안 사고로부터 더 빠르게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. DynamoDB 시점 복구는 DynamoDB 테이블에 대한 백업을 자동화합니다. 이는 실수로 인한 삭제 또는 쓰기 작업을 복구하는 데 걸리는 시간을 줄여줍니다. PITR이 활성화된 DynamoDB 테이블은 최근 35일 중 원하는 시점으로 복원할 수 있습니다.

문제 해결

DynamoDB 테이블을 특정 시점으로 복원하려면 Amazon DynamoDB 개발자 안내서DynamoDB 테이블을 특정 시점으로 복원을 참조하세요.

[DynamoDB.3] DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::DAX::Cluster

AWS Config 규칙: dax-encryption-enabled

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon DynamoDB Accelerator(DAX) 클러스터의 저장 시 암호화 여부를 확인합니다. DAX 클러스터가 저장 시 암호화되지 않으면 제어가 실패합니다.

저장 데이터를 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다 AWS. 암호화는 권한이 없는 사용자가 데이터에 액세스하는 능력을 제한하기 위해 또 다른 액세스 제어 세트를 추가합니다. 예를 들어, 데이터를 읽기 전에 해독하려면 API 권한이 필요합니다.

문제 해결

클러스터가 생성된 후에는 저장 시 암호화를 활성화하거나 비활성화할 수 없습니다. 저장 시 암호화를 활성화하려면 클러스터를 다시 생성해야 합니다. 저장 시 암호화가 활성화된 DAX 클러스터를 생성하는 방법에 대한 자세한 지침은 Amazon DynamoDB 개발자 안내서AWS Management Console를 사용하여 저장 시 암호화 활성화를 참조하세요.

[DynamoDB.4] DynamoDB 테이블은 백업 계획에 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 백업 활성화

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-resources-protected-by-backup-plan

스케줄 유형: 주기적

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

backupVaultLockCheck

파라미터가 로 설정되어 true 있고 리소스가 AWS Backup 볼트 잠금을 사용하는 경우 제어는 PASSED 결과를 생성합니다.

true 또는 false

기본값 없음

이 제어는 ACTIVE 상태의 Amazon DynamoDB 테이블이 백업 계획에 포함되는지 여부를 평가합니다. DynamoDB 테이블이 백업 계획에 포함되지 않는 경우, 제어가 실패합니다. backupVaultLockCheck 파라미터를와 동일하게 설정하면 DynamoDB 테이블이 AWS Backup 잠긴 볼트에 백업된 경우에만 true제어가 전달됩니다.

AWS Backup 는에서 데이터 백업을 중앙 집중화하고 자동화하는 데 도움이 되는 완전 관리형 백업 서비스입니다 AWS 서비스. 를 사용하면 데이터를 백업하는 빈도 및 백업 보존 기간과 같은 백업 요구 사항을 정의하는 백업 계획을 생성할 AWS Backup수 있습니다. 백업 계획에 DynamoDB 테이블을 포함하면 의도하지 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다.

문제 해결

AWS Backup 백업 계획에 DynamoDB 테이블을 추가하려면 AWS Backup 개발자 안내서백업 계획에 리소스 할당을 참조하세요.

[DynamoDB.5] DynamoDB 테이블에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: tagged-dynamodb-table (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. StringList AWS 요구 사항을 충족하는 태그 목록 No default value

이 제어는 Amazon DynamoDB 테이블에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 테이블에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 테이블에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서ABAC란 무엇입니까 AWS?를 참조하세요.

참고

개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 추가하지 않습니다. 를 AWS 서비스포함하여 많은 사용자가 태그를 액세스할 수 있습니다 AWS Billing. 자세한 태그 지정 모범 사례는의 AWS 리소스 태그 지정을 참조하세요AWS 일반 참조.

문제 해결

DynamoDB 테이블에 태그를 추가하려면 Amazon DynamoDB 개발자 안내서DynamoDB에서 리소스 태깅을 참조하세요.

[DynamoDB.6] DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dynamodb-table-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon DynamoDB 테이블의 삭제 방지 기능 활성화 여부를 확인합니다. DynamoDB 테이블에 삭제 방지 기능이 활성화되지 않은 경우, 제어가 실패합니다.

삭제 보호 속성을 사용하여 DynamoDB 테이블이 실수로 삭제되지 않도록 보호할 수 있습니다. 테이블에 이 속성을 활성화하면 관리자가 일반적인 테이블 관리 작업을 수행하는 동안 테이블이 실수로 삭제되는 것을 방지할 수 있습니다. 이렇게 하면 정상적인 비즈니스 운영이 중단되는 것을 방지하는 데 도움이 됩니다.

문제 해결

DynamoDB 테이블에 대한 삭제 보호를 활성화하려면 Amazon DynamoDB 개발자 안내서삭제 보호 사용을 참조하세요.

[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다

관련 요구 사항: NIST.800-53.r5 AC-17, NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, PCI DSS v4.0.1/4.2.1

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: 중간

리소스 유형: AWS::DynamoDB::Table

AWS Config 규칙: dax-tls-endpoint-encryption

스케줄 유형: 주기적

파라미터: 없음

이 제어는 엔드포인트 암호화 유형을 TLS로 설정하여 Amazon DynamoDB Accelerator(DAX) 클러스터가 전송 중에 암호화되는지 여부를 확인합니다. DAX 클러스터가 전송 중에 암호화되지 않으면 제어가 실패합니다.

HTTPS(TLS)를 사용하여 잠재적 공격자가 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을 염탐하거나 조작하지 못하게 할 수 있습니다. DAX 클러스터에 액세스하려면 TLS를 통한 암호화된 연결만 허용해야 합니다. 전송 중 데이터를 암호화하면 성능에 영향을 미칠 수 있습니다. 이 기능으로 애플리케이션을 테스트하여 성능 프로필과 TLS의 영향을 이해해야 합니다.

문제 해결

DAX 클러스터를 생성한 후에는 TLS 암호화 설정을 변경할 수 없습니다. 기존 DAX 클러스터를 암호화하려면 전송 중 암호화를 활성화한 새로운 클러스터를 생성하고 애플리케이션의 트래픽을 해당 클러스터로 이동한 다음 이전 클러스터를 삭제합니다. 자세한 내용은 Amazon DynamoDB 개발자 안내서의 삭제 보호 기능 사용을 참조하세요.

이 페이지에서

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.