

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于亚马逊 Redshift 的 Security Hub CSPM 控件
<a name="redshift-controls"></a>

这些 AWS Security Hub CSPM 控制措施用于评估 Amazon Redshift 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [Redshift.1] Amazon Redshift 集群应禁止公共访问
<a name="redshift-1"></a>

**相关要求：** NIST.800-53.r5 AC-21、、 NIST.800-53.r5 AC-3 (7)、(21) NIST.800-53.r5 AC-3、、、(11)、(16) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (20)、(21) NIST.800-53.r5 AC-6、(3) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v3.2.1/1.2.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1、 NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.4 2.1/1.3.6，PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置 > 不公开访问的资源

**严重性：**严重

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**计划类型：**已触发变更

**参数：**无 

此控件可检查 Amazon Redshift 集群是否公开访问。它会评估集群配置项目中的 `PubliclyAccessible` 字段。

Amazon Redshift 集群配置的 `PubliclyAccessible` 属性表示集群是否公开访问。当集群配置为 `PubliclyAccessible` 设置为 `true` 时，它是一个面向 Internet 的实例，具有可公开解析的 DNS 名称，可解析为公共 IP 地址。

当集群不可公开访问时，它是一个内部实例，其 DNS 名称可解析为私有 IP 地址。除非您希望集群可以公开访问，否则不应将集群配置为把 `PubliclyAccessible` 设置为 `true`。

### 修复
<a name="redshift-1-remediation"></a>

要更新 Amazon Redshift 集群以禁用公共访问，请参阅 *Amazon Redshift 管理指南*中的[修改集群](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。将**公开访问**设置为**否**。

## [Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
<a name="redshift-2"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-1 3、3 ( NIST.800-53.r5 SC-23)、( NIST.800-53.r5 SC-23)、(4)、 NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2)、PCI DSS v4.0.1/4.2.1

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否需要连接到 Amazon Redshift 集群才能在传输中使用加密。如果 Amazon Redshift 集群参数 `require_SSL` 未设置为 `True`，则检查将失败。

TLS 可用于帮助防止潜在的攻击者使用 person-in-the-middle或类似的攻击来窃听或操纵网络流量。只应允许通过 TLS 进行加密连接。加密传输中数据可能会影响性能。您应该使用此功能测试应用程序，以了解性能概况和 TLS 的影响。

### 修复
<a name="redshift-2-remediation"></a>

要将 Amazon Redshift 参数组更新为要求加密，请参阅 *Amazon Redshift 管理指南*中的[修改参数组](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify)。将 `require_ssl` 设置为 **True**。

## [Redshift.3] Amazon Redshift 集群应启用自动快照
<a name="redshift-3"></a>

**相关要求：** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、 NIST.800-53.r5 SC-7 (10)、nist.800-53.r5 SI-13 (5)

**类别：**恢复 > 弹性 > 启用备份 

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  最短快照保留期（以天为单位）  |  整数  |  `7` 到 `35`  |  `7`  | 

此控件检查 Amazon Redshift 集群是否启用了自动快照，以及保留期是否大于或等于指定的时间范围。如果没有为集群启用自动快照，或者保留期小于指定的时间范围，则控制失败。除非您为快照保留期提供自定义参数值，否则 Security Hub CSPM 将使用默认值 7 天。

备份可以帮助您更快地从安全事件中恢复。它们增强了系统的弹性。默认情况下，Amazon Redshift 会定期拍摄快照。此控件检查是否已启用自动快照并将其保留至少七天。有关 Amazon Redshift 自动快照的更多详情，请参阅 *Amazon Redshift 管理指南*中的[自动快照](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots)。

### 修复
<a name="redshift-3-remediation"></a>

要更新 Amazon Redshift 集群的快照保留期，请参阅 *Amazon Redshift 管理指南*中的[修改集群](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。对于**备份**，将**快照保留期**设置为 7 或更大。

## [Redshift.4] Amazon Redshift 集群应启用审核日志记录
<a name="redshift-4"></a>

**相关要求：** NIST.800-53.r5 AC-2(4)、(26)、(9)、 NIST.800-53.r5 AC-4 (9)、 NIST.800-53.r5 AC-6 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8)、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则:**`redshift-cluster-audit-logging-enabled`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**无 

此控件用于检查 Amazon Redshift 集群是否启用了审核日志。

Amazon Redshift 审核日志记录提供有关集群中的连接和用户活动的其他信息。这些数据可以存储在 Amazon S3 中并加以保护，有助于安全审计和调查。有关更多信息，请参阅 *Amazon Redshift 管理指南*中的[数据库审核日志记录](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。

### 修复
<a name="redshift-4-remediation"></a>

要为 Amazon Redshift 集群配置审核日志记录，请参阅 *Amazon Redshift 管理指南*中的[使用控制台配置审计](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。

## [Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
<a name="redshift-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-2、nist.800-53.r5 SI-2 (2)、nist.800-53.r5 SI-2 (4)、nist.800-53.r5 SI-2 (5)

**类别：**识别 > 漏洞、补丁和版本管理

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**计划类型：**已触发变更

**参数：**
+ `allowVersionUpgrade = true`（不可自定义）

此控件检查是否为 Amazon Redshift 集群启用了自动主要版本升级。

启用自动主要版本升级可确保在维护时段内安装 Amazon Redshift 集群的最新主要版本更新。这些更新可能包括安全补丁和错误修复。及时安装补丁程序是保护系统安全的重要一步。

### 修复
<a name="redshift-6-remediation"></a>

要从中修复此问题 AWS CLI，请使用 Amazon `modify-cluster` Redshift 命令并设置`--allow-version-upgrade`属性。 `clustername`是您的亚马逊 Redshift 集群的名称。

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## [Redshift.7] Redshift 集群应使用增强型 VPC 路由
<a name="redshift-7"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)

**类别：**保护 > 安全网络配置 > API 私有访问

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon Redshift 集群是否已启用 `EnhancedVpcRouting`。

增强型 VPC 路由强制集群和数据存储库之间的所有 `COPY` 和 `UNLOAD` 流量通过 VPC。然后，您可以使用安全组和网络访问控制列表等 VPC 功能来保护网络流量。您还可以使用 VPC Flow 日志监控网络流量。

### 修复
<a name="redshift-7-remediation"></a>

有关详细的补救说明，请参阅 *Amazon Redshift 管理指南*中的[启用增强型 VPC 路由](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html)。

## [Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
<a name="redshift-8"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**识别 > 资源配置

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Redshift 集群是否已将管理员用户名从其默认值变更为其他值。如果 Redshift 集群的管理员用户名设置为 `awsuser`，则此控制失败。

创建 Redshift 集群时，应将默认管理员用户名变更为唯一值。默认用户名是众所周知的，应在配置时进行变更。变更默认用户名可以降低意外访问的风险。

### 修复
<a name="redshift-8-remediation"></a>

创建 Amazon Redshift 集群后，您无法更改其管理员用户名。要使用非默认用户名创建新集群，请参阅《Amazon Redshift 入门指南》**中的[步骤 1：创建示例 Amazon Redshift 集群](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html)。

## [Redshift.10] Redshift 集群应在静态状态下进行加密
<a name="redshift-10"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件会检查 Amazon Redshift 集群是否处于静态加密状态。如果 Redshift 集群未静态加密或者加密密钥与规则参数中提供的密钥不同，则则控制失败。

在 Amazon Redshift 中，您可以为集群开启数据库加密，以帮助保护静态数据。为集群开启加密时，会对集群及其快照的数据块和系统元数据进行加密。静态数据加密是推荐的最佳实践，因为它为数据添加了一层访问管理。对静态 Redshift 集群进行加密可降低未经授权的用户访问磁盘上存储的数据的风险。

### 修复
<a name="redshift-10-remediation"></a>

要将 Redshift 集群修改为使用 KMS 加密，请参阅 *Amazon Redshift* 管理指南中的[变更集群加密](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html)。

## [Redshift.11] 应标记 Redshift 集群
<a name="redshift-11"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则:**`tagged-redshift-cluster`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群没有任何标签键或者未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-11-remediation"></a>

要向 Redshift 集群添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.12] 应标记 Redshift 事件通知订阅
<a name="redshift-12"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::EventSubscription`

**AWS Config 规则:**`tagged-redshift-eventsubscription`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群快照是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群快照没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群快照未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-12-remediation"></a>

要向 Redshift 事件通知订阅添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.13] 应标记 Redshift 集群快照
<a name="redshift-13"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::ClusterSnapshot`

**AWS Config 规则:**`tagged-redshift-clustersnapshot`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群快照是否具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群快照没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群快照未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-13-remediation"></a>

要向 Redshift 集群快照添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.14] 应标记 Redshift 集群子网组
<a name="redshift-14"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::ClusterSubnetGroup`

**AWS Config 规则:**`tagged-redshift-clustersubnetgroup`（自定义 Security Hub CSPM 规则）

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品）  | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 |  No default value  | 

此控件可检查 Amazon Redshift 集群子网组是否有具有带特定键的标签，这些键在 `requiredTagKeys` 参数中进行定义。如果集群子网组没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键，则此控件将失败。如果未提供 `requiredTagKeys` 参数，则此控件仅检查是否存在标签键，如果集群子网组未使用任何键进行标记，则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)？ 在 *IAM 用户指南*中。

**注意**  
请勿在标签中添加个人身份信息（PII）或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务，包括 AWS Billing。有关更多标记最佳做法，请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*

### 修复
<a name="redshift-14-remediation"></a>

要向 Redshift 集群子网组添加标签，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
<a name="redshift-15"></a>

**相关要求：**PCI DSS v4.0.1/1.3.1

**类别：**保护 > 安全网络配置 > 安全组配置

**严重性：**高

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**计划类型：**定期

**参数：**无

此控件可与检查 Amazon Redshift 集群关联的安全组是否有允许从互联网访问集群端口的入口规则（0.0.0.0/0 或 ::/0）。如果安全组入口规则允许从互联网访问集群端口，则此控件将失败。

允许对 Redshift 集群端口（带有 /0 后缀的 IP 地址）进行不受限制的入站访问可能会导致未经授权的访问或安全事件。我们建议在创建安全组和配置入站规则时应用最低权限访问原则。

### 修复
<a name="redshift-15-remediation"></a>

要将 Redshift 集群端口的入口限制为受限来源，请参阅《Amazon VPC 用户指南》**中的[使用安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules)。更新端口范围与 Redshift 集群端口相匹配且 IP 端口范围为 0.0.0.0/0 的规则。

## [Redshift.16] Redshift 集群子网组应具有来自多个可用区的子网
<a name="redshift-16"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Redshift::ClusterSubnetGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon Redshift 集群子网组是否包含来自多个可用区（AZ）的子网。如果集群子网组没有来自至少两个不同 AZs子网的子网，则控制失败。

跨多个子网配置 AZs 有助于确保即使发生故障事件，您的 Redshift 数据仓库也能继续运行。

### 修复
<a name="redshift-16-remediation"></a>

要将 Redshift 集群子网组修改为跨多个集群子网组 AZs，请参阅《*Amazon Redshift* [管理指南》中的修改集群子网组](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html)。

## [Redshift.17] 应标记 Redshift 集群参数组
<a name="redshift-17"></a>

**类别：**识别 > 清单 > 标记

**严重性：**低

**资源类型：**`AWS::Redshift::ClusterParameterGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**计划类型：**已触发变更

**参数：**


| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签密钥区分大小写。 | StringList （最多 6 件商品） | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 | 

此控件检查 Amazon Redshift 集群参数组是否具有 `requiredKeyTags` 参数指定的标签键。如果参数组没有任何标签键，或者缺少 `requiredKeyTags` 参数指定的所有键，则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值，则该控件仅检查是否存在标签键，如果参数组没有任何标签键，则该控件会失败。该控件会忽略系统标签，这些标签会自动应用，并且带有 `aws:` 前缀。

标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签，按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制（ABAC）作为授权策略。有关 ABAC 策略的更多信息，请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息，请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
请勿在标签中存储个人身份信息（PII）或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。

### 修复
<a name="redshift-17-remediation"></a>

有关向 Amazon Redshift 集群参数组添加标签的信息，请参阅《Amazon Redshift 管理指南》**中的[在 Amazon Redshift 中为资源添加标签](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。

## [Redshift.18] Redshift 集群应启用多可用区部署
<a name="redshift-18"></a>

**类别：**恢复 > 弹性 > 高可用性

**严重性：**中

**资源类型：**`AWS::Redshift::Cluster`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**计划类型：**已触发变更

**参数：**无

此控件检查是否为 Amazon Redshift 集群启用了多个可用区（Multi-AZ）部署。如果没有为 Amazon Redshift 集群启用多可用区部署，则此控件会失败。

Amazon Redshift 支持对预置的集群使用多可用区（Multi-AZ）部署。如果为集群启用了多可用区部署，则在可用区（AZ）出现意外事件的故障场景中，Amazon Redshift 数据仓库可以继续运行。多可用区部署将计算资源部署在多个可用区中，这些计算资源可通过单个端点访问。如果某个可用区出现彻底故障，则第二个可用区中的剩余计算资源可用于继续处理工作负载。您可以将现有单可用区数据仓库转换为多可用区数据仓库。然后在第二个可用区预置额外的计算资源。

### 修复
<a name="redshift-18-remediation"></a>

有关为 Amazon Redshift 集群配置多可用区部署的信息，请参阅《Amazon Redshift 管理指南》**中的[将单可用区数据仓库转换为多可用区数据仓库](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html)。