的 Security Hub 控制項 AWS Backup - AWS Security Hub
【Backup.1】 AWS Backup 復原點應靜態加密【Backup.2】 AWS Backup 復原點應加上標籤【Backup.3】 AWS Backup 保存庫應加上標籤【Backup.4】 AWS Backup 報告計劃應加上標籤【Backup.5】 AWS Backup 備份計劃應加上標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 Security Hub 控制項 AWS Backup

這些 Security Hub 控制項會評估 AWS Backup 服務和資源。

這些控制項可能並非所有 都可用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【Backup.1】 AWS Backup 復原點應靜態加密

相關要求:NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12

類別:保護 > 資料保護 > data-at-rest加密

嚴重性:

資源類型: AWS::Backup::RecoveryPoint

AWS Config 規則:backup-recovery-point-encrypted

排程類型:變更觸發

參數:

此控制項會檢查 AWS Backup 復原點是否已靜態加密。如果復原點未靜態加密,則控制項會失敗。

AWS Backup 復原點是指在備份程序中建立的特定資料複本或快照。它代表資料備份的特定時刻,並做為還原點,以防原始資料遺失、損毀或無法存取。加密備份復原點可增加額外的保護,防止未經授權的存取。加密是保護備份資料的機密性、完整性和安全性的最佳實務。

修補

若要加密 AWS Backup 復原點,請參閱《 AWS Backup 開發人員指南》中的 中的備份加密 AWS Backup

【Backup.2】 AWS Backup 復原點應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::Backup::RecoveryPoint

AWS Config rule:tagged-backup-recoverypoint(自訂 Security Hub 規則)

排程類型:變更觸發

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 AWS Backup 復原點是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果復原點沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果復原點未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組不同的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考

修補

將標籤新增至 AWS Backup 復原點

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,選擇 Backup plans (備份計劃)

  3. 從清單中選擇備份計劃。

  4. 備份計劃標籤區段中,選擇管理標籤

  5. 輸入標籤的金鑰和值。選擇新增標籤以用於其他鍵/值對。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)

【Backup.3】 AWS Backup 保存庫應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::Backup::BackupVault

AWS Config rule:tagged-backup-backupvault(自訂 Security Hub 規則)

排程類型:變更觸發

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 AWS Backup 保存庫是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果復原點沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果復原點未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組不同的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考

修補

將標籤新增至 AWS Backup 文件庫

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 從清單中選擇備份保存庫。

  4. 備份文件庫標籤區段中,選擇管理標籤

  5. 輸入標籤的金鑰和值。選擇新增標籤以用於其他鍵/值對。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)

【Backup.4】 AWS Backup 報告計劃應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::Backup::ReportPlan

AWS Config rule:tagged-backup-reportplan(自訂 Security Hub 規則)

排程類型:變更已觸發

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 AWS Backup 報告計劃是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果報告計劃沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果報告計劃未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組不同的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考

修補

將標籤新增至 AWS Backup 報告計劃

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 從清單中選擇備份保存庫。

  4. 備份文件庫標籤區段中,選擇管理標籤

  5. 選擇 Add new tag (新增標籤)。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)

【Backup.5】 AWS Backup 備份計劃應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::Backup::BackupPlan

AWS Config rule:tagged-backup-backupplan(自訂 Security Hub 規則)

排程類型:變更觸發

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 AWS Backup 備份計劃是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果備份計劃沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果備份計劃未加上任何金鑰的標籤,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為您的 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考

修補

將標籤新增至 AWS Backup 備份計劃

  1. 在 https://https://console.aws.amazon.com/backup 開啟 AWS Backup 主控台。

  2. 在導覽窗格中,選擇 Backup vaults (備份文件庫)

  3. 從清單中選擇備份保存庫。

  4. 備份文件庫標籤區段中,選擇管理標籤

  5. 選擇 Add new tag (新增標籤)。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。

  6. 當您完成新增標籤的作業時,請選擇 Save (儲存)