本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Data Firehose 的 Security Hub CSPM 控制項
<a name="datafirehose-controls"></a>

這些 Security Hub CSPM 控制項會評估 Amazon Data Firehose 服務和資源。

這些控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【DataFirehose.1] Firehose 交付串流應靜態加密
<a name="datafirehose-1"></a>

**相關需求：**NIST.800-53.r5 AC-3、NIST.800-53.r5 AU-3、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::KinesisFirehose::DeliveryStream`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-firehose-delivery-stream-encrypted.html)

**排程類型：**定期

**參數：**無 

此控制項會檢查 Amazon Data Firehose 交付串流是否使用伺服器端加密進行靜態加密。如果 Firehose 交付串流未使用伺服器端加密進行靜態加密，則此控制會失敗。

伺服器端加密是 Amazon Data Firehose 交付串流的一項功能，使用在 AWS Key Management Service () 中建立的金鑰，在資料處於靜態狀態之前自動加密資料AWS KMS。資料會在寫入 Data Firehose 串流儲存層之前加密，並在從儲存體擷取後解密。這可讓您遵守法規要求，並增強資料的安全性。

### 修補
<a name="datafirehose-1-remediation"></a>

若要在 Firehose 交付串流上啟用伺服器端加密，請參閱《[Amazon Data Firehose 開發人員指南》中的 Amazon Data Firehose ](https://docs.aws.amazon.com/firehose/latest/dev/encryption.html)中的資料保護。 **