Security Hub 控制項 AWS Backup - AWS Security Hub
[Backup 1] AWS Backup 復原點應在靜態時加密[Backup。2] AWS Backup 應標記恢復點[Backup 3] AWS Backup 儲存庫應加上標籤[Backup 4] AWS Backup 報告計劃應加上標籤[Backup .5] AWS Backup 備份計劃應加上標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 控制項 AWS Backup

這些 Security Hub 控制項會評估 AWS Backup 服務和資源。

這些控件可能無法在所有人中使用 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性

[Backup 1] AWS Backup 復原點應在靜態時加密

相關要求:NISTSI-12 CP-9 (8) NIST

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型:AWS::Backup::RecoveryPoint

AWS Config 規則:backup-recovery-point-encrypted

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS Backup 復原點會在靜態時加密。如果復原點未在靜態時加密,則控制項會失敗。

同時 AWS Backup 復原點是指在備份程序中建立的資料的特定副本或快照。它代表了備份數據的特定時刻,並在原始數據丟失,損壞或無法訪問的情況下作為還原點。加密備份復原點可增加額外的保護層,防止未經授權的存取。加密是保護備份資料機密性、完整性和安全性的最佳作法。

修補

若要加密 AWS Backup 復原點,請參閱中的備份加密 AWS Backup 中的 AWS Backup 開發人員指南

[Backup。2] AWS Backup 應標記恢復點

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::Backup::RecoveryPoint

AWS Config規則:tagged-backup-recoverypoint(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合的標籤列表 AWS 要求 無預設值

這個控件檢查是否一個 AWS Backup 復原點具有標籤,其中包含參數中定義的特定索引鍵requiredTagKeys。如果復原點沒有任何標籤索引鍵,或是沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果復原點未標記任何金鑰,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤的標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記您的 AWS中的資源 AWS 一般參考.

修補

若要將標籤新增至 AWS Backup 復原點

  1. 打開 AWS Backup 控制台 https://console.aws.amazon.com/備份

  2. 在導覽窗格中,選擇 Backup plans (備份計劃)

  3. 從清單中選取備份計畫。

  4. 在 [Backup 方案標記] 區段中,選擇 [管理標記]。

  5. 輸入標籤的金鑰和值。為其他鍵值配對選擇「新增標籤」。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)

[Backup 3] AWS Backup 儲存庫應加上標籤

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::Backup::BackupVault

AWS Config規則:tagged-backup-backupvault(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合的標籤列表 AWS 要求 無預設值

這個控件檢查是否一個 AWS Backup Vault 具有標籤,其中包含在參數中定義的特定鍵requiredTagKeys。如果復原點沒有任何標籤索引鍵,或是沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果復原點未標記任何金鑰,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤的標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記您的 AWS中的資源 AWS 一般參考.

修補

若要將標籤新增至 AWS Backup 金庫

  1. 打開 AWS Backup 控制台 https://console.aws.amazon.com/備份

  2. 在導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 從清單中選取備份儲存庫。

  4. 在「Backup 保管庫標籤」區段中,選擇「管理標籤」。

  5. 輸入標籤的金鑰和值。為其他鍵值配對選擇「新增標籤」。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)

[Backup 4] AWS Backup 報告計劃應加上標籤

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::Backup::ReportPlan

AWS Config規則:tagged-backup-reportplan(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合的標籤列表 AWS 要求 無預設值

這個控件檢查是否一個 AWS Backup 報告計劃具有標籤,其中包含在參數中定義的特定鍵requiredTagKeys。如果報表計劃沒有任何標籤索引鍵,或是沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤索引鍵是否存在,如果報表計劃未標記任何索引鍵,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤的標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記您的 AWS中的資源 AWS 一般參考.

修補

若要將標籤新增至 AWS Backup 報告計劃

  1. 打開 AWS Backup 控制台 https://console.aws.amazon.com/備份

  2. 在導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 從清單中選取備份儲存庫。

  4. 在「Backup 保管庫標籤」區段中,選擇「管理標籤」。

  5. 選擇 Add new tag (新增標籤)。輸入標籤的金鑰和值。對其他鍵值對重複此步驟。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)

[Backup .5] AWS Backup 備份計劃應加上標籤

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::Backup::BackupPlan

AWS Config規則:tagged-backup-backupplan(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合的標籤列表 AWS 要求 無預設值

這個控件檢查是否一個 AWS Backup 備份計劃具有標籤,其中包含參數中定義的特定鍵requiredTagKeys。如果備份計畫沒有任何標籤索引鍵,或是沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,則控制項只會檢查標籤金鑰是否存在,如果備份計畫未標記任何金鑰,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤的標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記您的 AWS中的資源 AWS 一般參考.

修補

若要將標籤新增至 AWS Backup 備份計劃

  1. 打開 AWS Backup 控制台 https://console.aws.amazon.com/備份

  2. 在導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 從清單中選取備份儲存庫。

  4. 在「Backup 保管庫標籤」區段中,選擇「管理標籤」。

  5. 選擇 Add new tag (新增標籤)。輸入標籤的金鑰和值。對其他鍵值對重複此步驟。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)