As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles de CSPM do Security Hub para Amazon Redshift
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Redshift. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
**Requisitos relacionados:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (20), (21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.4 3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
**Categoria:** Proteger > Configuração de rede segura > Recursos não acessíveis ao público
**Gravidade:** crítica
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os clusters Amazon Redshift estão acessíveis publicamente. Ele avalia o campo `PubliclyAccessible` no item de configuração do cluster.
O atributo `PubliclyAccessible` da configuração do cluster do Amazon Redshift indica se o cluster está acessível publicamente. Quando um cluster é configurado com `PubliclyAccessible` em `true`, ele será uma instância voltada para a Internet com um nome de DNS que pode ser resolvido publicamente, resultando em um endereço IP público.
Se um cluster não for acessível publicamente, ele será uma instância interna com um nome de DNS que é resolvido para um endereço IP privado. A menos que você pretenda que seu cluster seja acessível publicamente, o cluster não deve ser configurado com `PubliclyAccessible` definido como `true`.
### Correção
Para atualizar um cluster do Amazon Redshift para desativar o acesso público, consulte [Modificar um cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) no *Guia de gerenciamento do Amazon Redshift*. Defina **Acessível ao público** como **Sim**.
## [Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
**Categoria:** Proteger > Proteção de dados > Criptografia de data-in-transit
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as conexões com os clusters do Amazon Redshift são necessárias para usar criptografia em trânsito. A verificação falhará se o parâmetro de cluster do Amazon Redshift `require_SSL` não estiver definido como `True`.
O TLS pode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas via TLS devem ser permitidas. A criptografia de dados em trânsito pode afetar a performance. É necessário testar sua aplicação com esse atributo para entender o perfil de performance e o impacto do TLS.
### Correção
Para atualizar um grupo de parâmetros do Amazon Redshift para exigir criptografia, consulte [Modificar um grupo de parâmetros](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify) no *Guia de gerenciamento do Amazon Redshift*. Defina `require_ssl` como **verdadeiro**.
## [Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
**Requisitos relacionados:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-13 (5)
**Categoria:** Recuperação > Resiliência > Backups ativados
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| `MinRetentionPeriod` | Período mínimo de retenção de snapshot em dias | Inteiro | `7` para `35` | `7` |
Esse controle verifica se um cluster do Amazon Redshift tem snapshots automatizados habilitados e um período de retenção maior ou igual ao período de tempo especificado. O controle falhará se os snapshots automatizados não estiverem habilitados para o cluster, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub CSPM usa um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O Amazon Redshift faz snapshots periódicos por padrão. Esse controle verifica se os snapshots automáticos estão habilitados e retidos por pelo menos sete dias. Para obter mais detalhes sobre os snapshots automatizados do Amazon Redshift, consulte [snapshots automatizados](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots) no *Guia de gerenciamento do Amazon Redshift*.
### Correção
Para atualizar o período de retenção de snapshots para um cluster do Amazon Redshift, consulte [Modificar um cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster) no *Guia de gerenciamento do Amazon Redshift*. Em **Backup**, defina **Retenção de snapshots** para um valor de 7 ou mais.
## [Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**AWS Config regra:** `redshift-cluster-audit-logging-enabled` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon Redshift tem log de auditoria habilitado.
O registro em log de auditoria do Amazon Redshift fornece informações adicionais sobre conexões e atividades do usuário em seu cluster. Esses dados podem ser armazenados e protegidos no Amazon S3 e podem ser úteis em auditorias e investigações de segurança. Para obter mais informações, consulte [Registros em logo de auditoria de bancos de dados](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html) no *Guia de gerenciamento do Amazon Redshift*.
### Correção
Para configurar o registro de auditoria para um cluster do Amazon Redshift, consulte [Configurar auditoria usando o console](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
**Categoria:** Identificar > Gerenciamento de vulnerabilidades, patches e versões
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
+ `allowVersionUpgrade = true` (não personalizável)
Esse controle verifica se as atualizações automáticas de versões principais estão habilitadas para o cluster do Amazon Redshift.
A ativação de atualizações automáticas de versões principais garante que as atualizações mais recentes da versão principal dos clusters do Amazon Redshift sejam instaladas durante a janela de manutenção. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
### Correção
Para corrigir esse problema a partir do AWS CLI, use o comando Amazon `modify-cluster` Redshift e `--allow-version-upgrade` defina o atributo. `clustername`é o nome do seu cluster do Amazon Redshift.
```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```
## [Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
**Requisitos relacionados:** NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
**Categoria:** Proteger > Configuração de rede segura > Acesso privado a API
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon Redshift foi `EnhancedVpcRouting` ativado.
O roteamento aprimorado de VPC força todo o tráfego `COPY` e `UNLOAD` entre o cluster e os repositórios de dados a passar pela sua VPC. Em seguida, você pode usar recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego da rede. Também é possível usar logs de fluxo da VPC para monitorar o tráfego de rede.
### Correção
Para obter instruções detalhadas de correção, consulte [Ativar roteamento aprimorado de VPC](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Identificar > Configuração de recursos
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um cluster do Amazon Redshift alterou o nome de usuário do administrador de seu valor padrão. Esse controle falhará se o nome de usuário do administrador de um cluster do Redshift estiver definido como `awsuser`
Ao criar um cluster do Redshift, é necessário alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados na configuração. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.
### Correção
Você não pode alterar o nome de usuário do administrador do cluster do Amazon Redshift depois que ele é criado. Para criar um novo cluster com um nome de usuário não padrão, consulte [Etapa 1: Criar uma amostra de cluster do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html) no *Guia de conceitos básicos do Amazon Redshift*.
## [Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SI-7 (6)
**Categoria:** Proteger > Proteção de dados > Criptografia de data-at-rest
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se os clusters do Amazon Redshift estão criptografados em repouso. O controle falhará se um cluster do Redshift não for criptografado em repouso ou se a chave de criptografia for diferente da chave fornecida no parâmetro da regra.
No Amazon Redshift, é possível ativar a criptografia de banco de dados para seus clusters para ajudar a proteger os dados em repouso. Quando você ativar a criptografia de um cluster, os blocos de dados e os metadados do sistema serão criptografados para o cluster e os respectivos snapshots. A criptografia de dados em repouso é uma prática recomendada, pois ela adiciona uma camada de gerenciamento de acesso aos seus dados. Criptografar clusters Redshift em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco.
### Correção
Para modificar um cluster do Redshift para usar a criptografia KMS, consulte [Alterar criptografia do cluster](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.11] Os clusters do Redshift devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::Cluster`
**AWS Config regra:** `tagged-redshift-cluster` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.12] As notificações de assinatura de notificações eventos do Redshift devem ser marcadas
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::EventSubscription`
**AWS Config regra:** `tagged-redshift-eventsubscription` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
*Para adicionar tags a uma assinatura de notificação de eventos do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no Guia de gerenciamento do Amazon Redshift*.
## [Redshift.13] Os snapshots de cluster do Redshift devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::ClusterSnapshot`
**AWS Config regra:** `tagged-redshift-clustersnapshot` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se um snapshop de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o snapshot de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o snapshot de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um snapshot de cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.14] Os grupos de sub-redes de cluster do Redshift devem ser marcados
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`
**AWS Config regra:** `tagged-redshift-clustersubnetgroup` (regra CSPM personalizada do Security Hub)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Esse controle verifica se o grupo de sub-redes de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro `requiredTagKeys`. O controle falhará se o grupo de sub-redes de cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro `requiredTagKeys`. Se o parâmetro `requiredTagKeys` não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de sub-redes de cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com `aws:`, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
**nota**
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) no. *Referência geral da AWS*
### Correção
Para adicionar tags a um grupo de sub-redes de cluster do Redshift, consulte [Marcar recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada somente na porta do cluster de origens restritas
**Requisitos relacionados:** PCI DSS v4.0.1/1.3.1
**Categoria:** Proteger > Configuração de rede segura > Configuração do grupo de segurança
**Gravidade:** alta
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se um grupo de segurança associado a um cluster do Amazon Redshift tem regras de entrada que permitem acesso à porta do cluster pela Internet (0.0.0.0/0 ou :/0). O controle falhará se as regras de entrada do grupo de segurança permitirem o acesso à porta do cluster pela Internet.
Permitir acesso de entrada irrestrito à porta de cluster do Redshift (endereço IP com sufixo /0) pode resultar em acesso não autorizado ou incidentes de segurança. Recomendamos aplicar o princípio de acesso com privilégio mínimo ao criar grupos de segurança e configurar regras de entrada.
### Correção
Para restringir a entrada na porta do cluster Redshift a origens restritas, consulte [Trabalhar com regras de grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) no *Guia do usuário da Amazon VPC*. Atualize as regras nas quais o intervalo de portas corresponda à porta do cluster do Redshift e o intervalo de portas IP seja 0.0.0.0/0.
## [Redshift.16] Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::ClusterSubnetGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
O controle verifica se um grupo de sub-redes de cluster do Amazon Redshift tem sub-redes de mais de uma zona de disponibilidade (AZ). O controle falhará se o grupo de sub-redes do cluster não tiver sub-redes de pelo menos duas diferentes. AZs
A configuração de sub-redes em várias AZs ajuda a garantir que seu data warehouse do Redshift possa continuar operando mesmo quando ocorrerem eventos de falha.
### Correção
*Para modificar um grupo de sub-redes de cluster do Redshift para abranger vários AZs, consulte [Modificação de um grupo de sub-redes de cluster no Guia de gerenciamento do](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html) Amazon Redshift.*
## [Redshift.17] Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags
**Categoria:** Identificar > Inventário > Marcação
**Gravidade:** baixa
**Tipo de recurso:** `AWS::Redshift::ClusterParameterGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)
**Tipo de programação:** acionado por alterações
**Parâmetros:**
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
| --- | --- | --- | --- | --- |
| requiredKeyTags | Uma lista de chaves de tags que não são do sistema e que devem ser atribuídas a um recurso avaliado. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos [requisitos da AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Nenhum valor padrão |
Esse controle verifica se o grupo de parâmetros de cluster do Amazon Redshift tem as chaves de tags especificadas pelo parâmetro `requiredKeyTags`. O controle falhará se o grupo de parâmetros não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas pelo parâmetro `requiredKeyTags`. Se você não especificar nenhum valor para o parâmetro `requiredKeyTags`, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de parâmetros não tiver nenhuma chave de tag. O controle ignora as tags do sistema, que são aplicadas automaticamente e têm o prefixo `aws:`.
Uma tag é um rótulo que você cria e atribui a um AWS recurso. Cada tag consiste em uma chave de tag necessária e um valor de tag opcional. É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Elas podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. Elas também ajudam a rastrear os proprietários de recursos responsáveis por ações e notificações. É possível também usar tags para implementar controle de acesso por atributo (ABAC) como uma estratégia de autorização. Para obter mais informações sobre estratégias de ABAC, consulte [Definição de permissões baseadas em atributos com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para obter mais informações sobre tags, consulte o [Guia do usuário dos AWS recursos de marcação e do editor de tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
**nota**
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitos Serviços da AWS. Elas não devem ser usadas para dados sensíveis ou privados.
### Correção
Para obter informações sobre a adição de tags a um grupo de parâmetros de cluster do Redshift, consulte [Aplicação de tags em recursos no Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html) no *Guia de gerenciamento do Amazon Redshift*.
## [Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas
**Categoria:** Recuperação > Resiliência > Alta disponibilidade
**Gravidade:** média
**Tipo de recurso:** `AWS::Redshift::Cluster`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se as implantações de várias zonas de disponibilidade (multi-AZ) estão habilitadas para um cluster do Amazon Redshift. O controle falhará se as implantações multi-AZ não estiverem habilitadas para um cluster do Amazon Redshift.
O Amazon Redshift oferece suporte a implantações de várias zonas de disponibilidade (multi-AZ) para clusters provisionados. Se as implantações multi-AZ estiverem habilitadas, um data warehouse do Amazon Redshift pode continuar operando em cenários de falha nos quais um evento inesperado acontece em uma zona de disponibilidade (AZ). Uma implantação multi-AZ implanta recursos computacionais em mais de uma AZ, e esses recursos computacionais podem ser acessados por meio de um único endpoint. Em caso de falha de uma AZ inteira, os recursos computacionais restantes na outra AZ permanecem disponíveis para continuar processando workloads. É possível converter um data warehouse single-AZ existente em um data warehouse multi-AZ. Recursos computacionais adicionais são então provisionados em uma segunda AZ.
### Correção
Para obter informações sobre como configurar implantações multi-AZ para um cluster do Amazon Redshift, consulte [Conversão de um data warehouse single-AZ em um data warehouse multi-AZ](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html) no *Guia de gerenciamento do Amazon Redshift*.