本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 适用于亚马逊 Data Firehose 的 Security Hub CSPM 控件
这些 Security Hub CSPM 控件用于评估 Amazon Data Firehose 服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [DataFirehose.1] Firehose 传输流应在静态状态下进行加密
**相关要求:** NIST.800-53.r5 AC-3、 NIST.800-53.r5 AU-3, NIST.800-53.r5 SC-1 2、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8
**类别:**保护 > 数据保护 > 加密 data-at-rest
**严重性:**中
**资源类型:**`AWS::KinesisFirehose::DeliveryStream`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)
**计划类型:**定期
**参数:**无
此控件可检查是否使用服务器端加密对 Amazon Data Firehose 传输流进行静态加密。如果未使用服务器端加密对 Firehose 传输流进行静态加密,则此控件将失败。
服务器端加密是 Amazon Data Firehose 交付流中的一项功能,它使用在 () 中创建 AWS Key Management Service 的密钥在数据静止之前自动对其进行加密。AWS KMS在数据写入 Data Firehose 流存储层之前对其进行加密,并在存储中检索之后进行解密。这样,您就可以遵守监管要求并增强您数据的安全性。
### 修复
要在 Firehose 传输流上启用服务器端加密,请参阅《Amazon Data Firehose 开发人员指南》**中的 [Amazon Data Firehose 中的数据保护](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html)。