本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Security Hub 控件适用于 AWS DMS

这些 Security Hub 控件会评估 AWS Database Migration Service (AWS DMS) 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[DMS.1] Database Migration Service 的复制实例不应是公共的

相关要求： NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3、(21)、、、(11) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (16)、(20) NIST.800-53.r5 AC-6、(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 v3.2.1/1.3.4、 NIST.800-53.r5 SC-7 v3.2.1/1.3.4、v3.2.1/1. PCI DSS 3.2、v3.2.1/1. PCI DSS 3.6、v4.0.1/1.4.4 PCI DSS PCI DSS PCI DSS PCI DSS

类别：保护 > 安全网络配置

严重性：严重

资源类型：AWS::DMS::ReplicationInstance

AWS Config 规则：dms-replication-not-public

计划类型：定期

参数：无

此控件检查 AWS DMS 复制实例是否为公共实例。为此，它会检查 PubliclyAccessible 字段的值。

私有复制实例具有私有 IP 地址，您无法在复制网络外部访问该地址。当源数据库和目标数据库位于同一网络时，复制实例应具有私有 IP 地址。还必须VPC使用VPN、 AWS Direct Connect或对VPC等连接将网络连接到复制实例。要了解有关公有和私有复制实例的更多信息，请参阅 AWS Database Migration Service 用户指南中的公有和私有复制实例。

您还应确保只有经过授权的用户才能访问您的 AWS DMS 实例配置。为此，请限制用户修改 AWS DMS 设置和资源的IAM权限。

修复

创建DMS复制实例后，您无法更改其公共访问设置。要变更公共访问设置，请删除您当前的实例，然后重新创建实例。不要选择公开访问选项。

[DMS.2] 应给DMS证书加标签

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::Certificate

AWS Config 规则：tagged-dms-certificate（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 证书是否具有参数中定义的特定密钥的标签requiredTagKeys。如果证书没有任何标签键或者未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查标是否存在签密键，如果证书未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，它根据标签定义权限。您可以为IAM实体（用户或角色）和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅有什么ABAC用 AWS？ 在《IAM用户指南》中。

修复

要为DMS证书添加标签，请参阅AWS Database Migration Service 用户指南 AWS Database Migration Service中的为资源添加标签。

[DMS.3] DMS 活动订阅应加标签

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::EventSubscription

AWS Config 规则：tagged-dms-eventsubscription（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 事件订阅是否具有参数中定义的特定密钥的标签requiredTagKeys。如果事件订阅没有任何标签键或者未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果事件订阅未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，它根据标签定义权限。您可以为IAM实体（用户或角色）和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅有什么ABAC用 AWS？ 在《IAM用户指南》中。

修复

要为DMS活动订阅添加标签，请参阅AWS Database Migration Service 用户指南 AWS Database Migration Service中的为资源添加标签。

[DMS.4] 应DMS标记复制实例

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::ReplicationInstance

AWS Config 规则：tagged-dms-replicationinstance（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 复制实例是否具有参数中定义的特定密钥的标签requiredTagKeys。如果复制实例没有任何标签键或者未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果复制实例未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，它根据标签定义权限。您可以为IAM实体（用户或角色）和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅有什么ABAC用 AWS？ 在《IAM用户指南》中。

修复

要为DMS复制实例添加标签，请参阅《AWS Database Migration Service 用户指南》 AWS Database Migration Service中的为资源添加标签。

[DMS.5] 应DMS标记复制子网组

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::ReplicationSubnetGroup

AWS Config 规则：tagged-dms-replicationsubnetgroup（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 复制子网组是否具有参数中定义的特定密钥的标签requiredTagKeys。如果复制子网组没有任何标签键或者未在 requiredTagKeys 参数中指定所有键，则此控件将失败。如果未提供 requiredTagKeys 参数，则此控件仅检查是否存在标签键，如果复制子网组未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，它根据标签定义权限。您可以为IAM实体（用户或角色）和 AWS 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅有什么ABAC用 AWS？ 在《IAM用户指南》中。

修复

要向DMS复制子网组添加标签，请参阅《AWS Database Migration Service 用户指南》 AWS Database Migration Service中的标记资源。

[DMS.6] DMS 复制实例应启用自动次要版本升级

相关要求：NIST.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5)、v4.0.1/6.3.3 NIST NIST PCI DSS

类别：识别 > 漏洞、补丁和版本管理

严重性：中

资源类型：AWS::DMS::ReplicationInstance

AWS Config 规则：dms-auto-minor-version-upgrade-check

计划类型：已触发变更

参数：无

此控件检查是否为 AWS DMS 复制实例启用了自动次要版本升级。如果未为DMS复制实例启用自动次要版本升级，则控制失败。

DMS为每个支持的复制引擎提供自动次要版本升级，以便您可以保留复制实例 up-to-date。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在DMS复制实例上启用自动次要版本升级，可以在维护时段内自动应用次要升级，或者如果选择了立即应用更改选项，则会立即应用次要升级。

修复

要在DMS复制实例上启用自动次要版本升级，请参阅AWS Database Migration Service 用户指南中的修改复制实例。

[DMS.7] 目标数据库的DMS复制任务应启用日志记录

相关要求： NIST.800-53.r5 AC-2(4)、(26)、 NIST.800-53.r5 AC-4 (9)、、 NIST.800-53.r5 AC-6 (9)、.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、NIST .800-53.r5 SI-4 (20)、.8 NIST 00-53.r5 SI-7 (8)、v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST PCI DSS

类别：识别 > 日志记录

严重性：中

资源类型：AWS::DMS::ReplicationTask

AWS Config 规则：dms-replication-task-targetdb-logging

计划类型：已触发变更

参数：无

此控件检查是否为DMS复制任务启用了日志记录，最低严重级别LOGGER_SEVERITY_DEFAULT为TARGET_APPLY和TARGET_LOAD。如果未为这些任务启用日志记录，或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT，则控制失败。

DMS在迁移过程中使用 Amazon CloudWatch 记录信息。使用日志记录任务设置，您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录：

日志记录通过支持监控、故障排除、审计、性能分析、错误检测和恢复以及历史分析和报告，在DMS复制任务中起着至关重要的作用。日志记录有助于确保数据库之间数据的成功复制，同时保持数据完整性并符合法规要求。在故障排除期间，这些组件很少需要除了 DEFAULT 以外的其他日志级别。除非特别要求由 AWS Support变更这些组件的日志级别，否则我们建议保留这些组件的日志级别 DEFAULT。最低日志级别为 DEFAULT 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一：LOGGER_SEVERITY_DEFAULT、LOGGER_SEVERITY_DEBUG 或 LOGGER_SEVERITY_DETAILED_DEBUG。

修复

要启用目标数据库DMS复制任务的日志记录，请参阅《AWS Database Migration Service 用户指南》中的查看和管理 AWS DMS 任务日志。

[DMS.8] 源数据库的DMS复制任务应启用日志记录

相关要求： NIST.800-53.r5 AC-2(4)、(26)、 NIST.800-53.r5 AC-4 (9)、、 NIST.800-53.r5 AC-6 (9)、.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、NIST .800-53.r5 SI-4 (20)、.8 NIST 00-53.r5 SI-7 (8)、v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST PCI DSS

类别：识别 > 日志记录

严重性：中

资源类型：AWS::DMS::ReplicationTask

AWS Config 规则：dms-replication-task-sourcedb-logging

计划类型：已触发变更

参数：无

此控件检查是否为DMS复制任务启用了日志记录，最低严重级别LOGGER_SEVERITY_DEFAULT为SOURCE_CAPTURE和SOURCE_UNLOAD。如果未为这些任务启用日志记录，或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT，则控制失败。

DMS在迁移过程中使用 Amazon CloudWatch 记录信息。使用日志记录任务设置，您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录：

日志记录通过支持监控、故障排除、审计、性能分析、错误检测和恢复以及历史分析和报告，在DMS复制任务中起着至关重要的作用。日志记录有助于确保数据库之间数据的成功复制，同时保持数据完整性并符合法规要求。在故障排除期间，这些组件很少需要除了 DEFAULT 以外的其他日志级别。除非特别要求由 AWS Support变更这些组件的日志级别，否则我们建议保留这些组件的日志级别 DEFAULT。最低日志级别为 DEFAULT 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一：LOGGER_SEVERITY_DEFAULT、LOGGER_SEVERITY_DEBUG 或 LOGGER_SEVERITY_DETAILED_DEBUG。

修复

要启用源数据库DMS复制任务的日志记录，请参阅《AWS Database Migration Service 用户指南》中的查看和管理 AWS DMS 任务日志。

[DMS.9] DMS 端点应使用 SSL

相关要求： NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3、 NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-endpoint-ssl-configured

计划类型：已触发变更

参数：无

此控件检查 AWS DMS 端点是否使用SSL连接。如果端点不使用，则控制失败SSL。

SSL/c TLS onnections 通过加密DMS复制实例和数据库之间的连接来提供一层安全保护。使用证书通过验证是否与预期数据库建立连接来提供额外的安全保护。它通过检查自动安装在您预置的所有数据库实例上的服务器证书来实现这一点。通过在DMS终端节点上启用SSL连接，可以在迁移过程中保护数据的机密性。

修复

要向新的或现有DMS端点添加SSL连接，请参阅AWS Database Migration Service 用户指南 AWS Database Migration Service中的SSL与一起使用。

[DMS.10] Neptune 数据库的DMS端点应启用授权 IAM

相关要求： NIST.800-53.r5 AC-2、、、 NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

类别：保护 > 安全访问管理 > 无密码身份验证

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-neptune-iam-authorization-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon Neptune 数据库的 AWS DMS 终端节点是否配置了授权。IAM如果DMS端点未启用IAM授权，则控制失败。

AWS Identity and Access Management (IAM) 提供跨越细粒度的访问控制。 AWS使用IAM，您可以指定谁可以在哪些条件下访问哪些服务和资源。通过IAM策略，您可以管理员工和系统的权限，以确保权限最低。通过在 Neptune 数据库的 AWS DMS 端点上启用IAM授权，您可以使用参数指定的服务角色向IAM用户授予授权权限。ServiceAccessRoleARN

修复

要在 Neptune 数据库的DMS终端节点上启用IAM授权，请参阅用户指南中的AWS Database Migration Service 使用亚马逊 Neptune 作为目标 AWS Database Migration Service。

[DMS.11] MongoDB 的DMS端点应启用身份验证机制

相关要求： NIST.800-53.r5 AC-3、、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

类别：保护 > 安全访问管理 > 无密码身份验证

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-mongo-db-authentication-enabled

计划类型：已触发变更

参数：无

此控件检查 MongoDB 的 AWS DMS 端点是否配置了身份验证机制。如果没有为该端点设置身份验证类型，则此控件将失败。

AWS Database Migration Service MongoDB 支持两种身份验证方法：MONGODB-CR 适用于 MongoDB 版本 2.x，- 1 适用于 MongoDB 版本 3.x 或更高版本。SCRAM SHA如果用户想使用密码访问数据库，则使用这些身份验证方法对 MongoDB 密码进行身份验证和加密。 AWS DMS 端点身份验证可确保只有经过授权的用户才能访问和修改数据库之间迁移的数据。如果没有适当的身份验证，未经授权的用户可能会在迁移过程中访问敏感数据。这样可能导致数据泄露、数据丢失或其他安全事件。

修复

要在 MongoDB 的DMS端点上启用身份验证机制，请参阅《用户指南》中的 “使用 MongoDB 作为来源”。 AWS DMSAWS Database Migration Service

[DMS.12] Redis 的DMS终端节点OSS应该已启用 TLS

相关要求： NIST.800-53.r5 SC-8， NIST.800-53.r5 SC-13，PCIDSSv4.0.1/4.2.1

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-redis-tls-enabled

计划类型：已触发变更

参数：无

此控件检查 Redis 的 AWS DMS 终端节点OSS是否配置了TLS连接。如果端点未TLS启用，则控制失败。

TLS当数据通过 Internet 在应用程序或数据库之间发送时，可提供 end-to-end安全性。当您为DMS终端节点配置SSL加密时，它会在迁移过程中启用源数据库和目标数据库之间的加密通信。这有助于防止恶意行为者侦听和拦截敏感数据。如果不SSL加密，可能会访问敏感数据，从而导致数据泄露、数据丢失或其他安全事件。

修复

要在 Redis 的DMS终端节点上启用TLS连接，请参阅AWS Database Migration Service 用户指南 AWS Database Migration Service中的使用 Redis 作为目标。