选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

适用于 Kinesis 的 Security Hub 控件

PDF
RSS
聚焦模式
适用于 Kinesis 的 Security Hub 控件 - AWS Security Hub
[Kinesis.1] Kinesis 直播应在静态状态下进行加密[Kinesis.2] 应标记 Kinesis 流[Kinesis.3] Kinesis 流应有足够的数据留存期

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

这些 AWS Security Hub 控制措施用于评估 Amazon Kinesis 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[Kinesis.1] Kinesis 直播应在静态状态下进行加密

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::Kinesis::Stream

AWS Config 规则:kinesis-stream-encrypted

计划类型:已触发变更

参数:

此控件检查 Kinesis Data Streams 是否使用服务器端加密进行静态加密。如果 Kinesis 流未使用服务器端加密进行静态加密,则此控制失败。

服务器端加密是 Amazon Kinesis Data Streams 中的一项功能,它使用 AWS KMS key在数据静止之前自动对其进行加密。数据在写入 Kinesis 流存储层之前进行加密,并在从存储中检索后进行解密。因此,在 Amazon Kinesis Data Streams 服务中对数据进行静态加密。

修复

有关启用 Kinesis 流的服务器端加密的信息,请参阅 Amazon Kinesis 开发人员指南中的“如何开始使用服务器端加密?”

[Kinesis.2] 应标记 Kinesis 流

类别:识别 > 清单 > 标记

严重性:

资源类型:AWS::Kinesis::Stream

AWS Config规则:tagged-kinesis-stream(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 AWS 要求的标签列表 无默认值

此控件可检查 Amazon Kinesis 数据流是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果数据流没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果数据流未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。

注意

请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签AWS 一般参考

修复

要向 Kinesis 数据流添加标签,请参阅《Amazon Kinesis Developer Guide》中的 Tagging your streams in Amazon Kinesis Data Streams

[Kinesis.3] Kinesis 流应有足够的数据留存期

类别:恢复 > 弹性 > 启用备份

严重性:

资源类型:AWS::Kinesis::Stream

AWS Config规则:kinesis-stream-backup-retention-check

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值
minimumBackupRetentionPeriod 数据应保留的最少小时数。 字符串 24 到 8760 168

此控件可检查 Amazon Kinesis 数据流的数据留存期是否大于或等于指定时间范围。如果数据留存期小于指定时间范围,则此控件将失败。除非您为数据留存期提供自定义参数值,否则 Security Hub 将使用默认值 168 小时。

在 Kinesis Data Streams 中,数据流是指数据记录的有序序列,可用于执行实时写入和读取。数据记录临时存储在您流的分片中。从添加记录开始,到记录不再可供访问为止的时间段称为保留期。在缩短保留期后,Kinesis Data Streams 几乎会立即使早于新保留期的记录变得不可访问。例如,将保留期从 24 小时更改为 48 小时意味着,在 23 小时 55 分钟之前添加到流中的记录在 24 小时之后仍可用。

修复

要更改 Kinesis Data Streams 的备份保留期,请参阅《Amazon Kinesis Data Streams 开发人员指南》中的更改数据留存期

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。