本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的 Security Hub 控制項 RDS
這些 AWS Security Hub 控制項會評估 Amazon Relational Database Service (Amazon RDS) 服務和資源。
這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【RDS.1】 RDS快照應為私有
相關要求:PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv3.2.1/7.2.1, NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型:AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot
AWS Config 規則:rds-snapshots-public-prohibited
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS快照是否為公有。如果RDS快照為公有,則控制項會失敗。此控制項會評估RDS執行個體、Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集。
RDS 快照用於在特定時間點備份RDS執行個體上的資料。它們可用於還原RDS執行個體的先前狀態。
RDS 快照不得為公有,除非有此意圖。如果您將未加密的手動快照共用為公有,這會讓所有 都能使用快照 AWS 帳戶。這可能會導致RDS執行個體意外的資料暴露。
請注意,如果組態變更為允許公開存取,則 AWS Config 規則可能無法偵測變更長達 12 小時。在 AWS Config 規則偵測到變更之前,即使組態違反規則,檢查仍會通過。
若要進一步了解共用資料庫快照,請參閱《Amazon RDS使用者指南》中的共用資料庫快照。
修補
若要從RDS快照移除公有存取,請參閱《Amazon RDS使用者指南》中的共用快照。對於資料庫快照可見性,我們選擇私有。
【RDS.2】 RDS 資料庫執行個體應禁止公開存取,由 PubliclyAccessible 組態決定
相關要求:CIS AWS 基礎基準 v3.0.0/2.3.3、 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)、PCIDSSv3.2.1/1.2.1、PCIDSSv3.2.1/1.3.1、PCIDSSv3.2.1/1.3.2、PCIDSSv3.2.1/1.3.4、PCIDSSv3.2.1/1.3.6、PCIDSSv3.2.1/7.2.1、PCIDSSv4.0.1/1.4.4
類別:保護 > 安全網路組態
嚴重性:嚴重
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-public-access-check
排程類型:已觸發變更
參數:無
此控制項會評估RDS執行個體組態項目中的 PubliclyAccessible 欄位,以檢查 Amazon 執行個體是否可公開存取。
Neptune 資料庫執行個體和 Amazon DocumentDB 叢集沒有 PubliclyAccessible旗標,且無法評估。不過,此控制項仍然可以產生這些資源的調查結果。您可以隱藏這些調查結果。
RDS 執行個體組態中的PubliclyAccessible值指出資料庫執行個體是否可公開存取。使用 設定資料庫執行個體時PubliclyAccessible,它是面向網際網路的執行個體,具有可公開解析DNS的名稱,可解析為公有 IP 地址。當資料庫執行個體無法公開存取時,它是內部執行個體,其DNS名稱會解析為私有 IP 地址。
除非您打算公開存取RDS執行個體,否則執行個體RDS不應設定 PubliclyAccessible值。這樣做可能會允許不必要的流量流向資料庫執行個體。
修補
若要從RDS資料庫執行個體移除公有存取權,請參閱《Amazon 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 RDS 針對公有存取,請選擇否。
【RDS.3】 RDS 資料庫執行個體應該啟用靜態加密
相關要求:CIS AWS 基礎基準 3.0.0/2.3.1 版、CIS AWS 基礎基準 1.4.0/2.3.1 版、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6) 版
類別:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-storage-encrypted
排程類型:已觸發變更
參數:無
此控制項會檢查您的 Amazon RDS 資料庫執行個體是否已啟用儲存加密。
此控制項適用於RDS資料庫執行個體。不過,它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集的調查結果。如果這些問題清單沒有用,您可以加以隱藏。
若要為RDS資料庫執行個體中的敏感資料增加一層安全性,您應該設定RDS資料庫執行個體進行靜態加密。若要加密靜態RDS資料庫執行個體和快照,請為您的RDS資料庫執行個體啟用加密選項。靜態加密的資料包括資料庫執行個體的基礎儲存體、其自動化備份、僅供讀取複本,以及快照。
RDS 加密的資料庫執行個體使用開放標準 AES-256 RDS 加密演算法來加密託管資料庫執行個體的伺服器上的資料。資料加密後,Amazon 會以透明的方式RDS處理資料的存取和解密身分驗證,且對效能的影響最小。您不需要修改資料庫用戶端應用程式即可使用加密。
Amazon RDS加密目前適用於所有資料庫引擎和儲存類型。Amazon RDS加密適用於大多數資料庫執行個體類別。若要了解不支援 Amazon RDS加密的資料庫執行個體類別,請參閱《Amazon 使用者指南》中的加密 Amazon RDS 資源。 RDS
修補
如需在 Amazon 中加密資料庫執行個體的資訊RDS,請參閱《Amazon 使用者指南》中的加密 Amazon RDS 資源。 RDS
【RDS.4】 RDS叢集快照和資料庫快照應靜態加密
相關要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型:AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot
AWS Config 規則:rds-snapshot-encrypted
排程類型:已觸發變更
參數:無
此控制項會檢查RDS資料庫快照是否已加密。如果未加密RDS資料庫快照,則控制項會失敗。
此控制項適用於RDS資料庫執行個體。不過,它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集快照的調查結果。如果這些問題清單沒有用,您可以加以隱藏。
加密靜態資料可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。RDS 快照中的資料應靜態加密,以增加安全層。
修補
若要加密RDS快照,請參閱《Amazon 使用者指南》中的加密 Amazon RDS 資源。 RDS 當您加密RDS資料庫執行個體時,加密的資料包含執行個體的基礎儲存體、其自動備份、僅供讀取複本和快照。
您只能在建立RDS資料庫執行個體時加密該資料庫執行個體,而不是在建立資料庫執行個體之後加密。不過,因為您可以加密未加密快照的副本,所以可以有效地將加密新增至未加密的資料庫執行個體。亦即,您可以建立資料庫執行個體的快照,然後建立該快照的加密副本。接著,從加密快照中還原資料庫執行個體,因此您有原始資料庫執行個體的加密副本。
【RDS.5】 RDS 資料庫執行個體應該設定多個可用區域
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-multi-az-support
排程類型:已觸發變更
參數:無
此控制項會檢查您的RDS資料庫執行個體是否已啟用高可用性。如果資料庫執行個體未設定多個可用區域 RDS (),則控制項會失敗AZs。
使用 RDS 設定 Amazon 資料庫執行個體AZs有助於確保儲存資料的可用性。如果可用區域可用性和定期RDS維護期間發生問題,多可用區域部署允許自動容錯移轉。
修補
若要在多個 中部署資料庫執行個體AZs,請在 Amazon RDS使用者指南中將資料庫執行個體修改為多可用區域資料庫執行個體部署。
【RDS.6】 RDS 應為資料庫執行個體設定增強型監控
相關要求: NIST.800-53.r5 CA-7NIST.800-53.r5 SI-2
類別:偵測 > 偵測服務
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-enhanced-monitoring-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
監控指標收集間隔之間的秒數 |
列舉 |
|
無預設值 |
此控制項會檢查是否已為 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體啟用增強型監控。如果未針對執行個體啟用增強型監控,則控制項會失敗。如果您為 monitoringInterval 參數提供自訂值,只有在指定間隔為執行個體收集增強型監控指標時,控制項才會傳遞。
在 Amazon 中RDS,增強型監控可更快速回應基礎基礎設施的效能變更。這些效能變更可能會導致資料無法使用。增強型監控提供RDS資料庫執行個體執行所在的作業系統的即時指標。代理程式安裝在執行個體上。代理程式可以比 Hypervisor layer 更準確地取得指標。
當您想要查看資料庫執行個體上的不同程序或執行緒如何使用 時,增強型監控指標很有用CPU。如需詳細資訊,請參閱《Amazon RDS使用者指南》中的增強型監控。
修補
如需為資料庫執行個體啟用增強型監控的詳細說明,請參閱《Amazon RDS使用者指南》中的設定和啟用增強型監控。
【RDS.7】 RDS叢集應該已啟用刪除保護
相關要求: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
類別:保護 > 資料保護 > 資料刪除保護
嚴重性:低
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-deletion-protection-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查RDS資料庫叢集是否已啟用刪除保護。如果RDS資料庫叢集未啟用刪除保護,則控制項會失敗。
此控制項適用於RDS資料庫執行個體。不過,它也可以產生 Aurora 資料庫執行個體、Neptune 資料庫執行個體和 Amazon DocumentDB 叢集的調查結果。如果這些問題清單沒有用,您可以加以隱藏。
啟用叢集刪除保護是防止未經授權的實體意外刪除或刪除資料庫的額外保護層。
啟用刪除保護時,無法刪除RDS叢集。刪除請求成功之前,必須先停用刪除保護。
修補
若要啟用RDS資料庫叢集的刪除保護,請參閱《Amazon RDS使用者指南》中的使用主控台、 CLI和 修改資料庫叢集API。針對刪除保護,選擇啟用刪除保護。
【RDS.8】 RDS 資料庫執行個體應該已啟用刪除保護
相關要求: NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:保護 > 資料保護 > 資料刪除保護
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-deletion-protection-enabled
排程類型:已觸發變更
參數:
-
databaseEngines:mariadb,mysql,custom-oracle-ee,oracle-ee-cdb,oracle-se2-cdb,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web(不可自訂)
此控制項會檢查使用其中一個所列資料庫引擎的RDS資料庫執行個體是否已啟用刪除保護。如果RDS資料庫執行個體未啟用刪除保護,則控制項會失敗。
啟用執行個體刪除保護是防止未經授權的實體意外刪除資料庫的額外保護層。
啟用刪除保護時,無法刪除RDS資料庫執行個體。刪除請求成功之前,必須先停用刪除保護。
修補
若要啟用RDS資料庫執行個體的刪除保護,請參閱《Amazon 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 RDS 針對刪除保護,選擇啟用刪除保護。
【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch 日誌
相關要求: NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(10)、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS 資料庫執行個體是否設定為將下列日誌發佈至 Amazon CloudWatch Logs。如果執行個體未設定為將下列日誌發佈至 CloudWatch Logs,則控制項會失敗:
-
Oracle:(警示、稽核、追蹤、接聽程式)
-
PostgreSQL:(Postgresql,升級)
-
MySQL:(稽核、錯誤、一般 SlowQuery)
-
MariaDB:(稽核、錯誤、一般、 SlowQuery)
-
SQL 伺服器:(錯誤、代理程式)
-
Aurora:(稽核、錯誤、一般) SlowQuery
-
Aurora-MySQL:(稽核、錯誤、一般 SlowQuery)
-
Aurora-PostgreSQL:(Postgresql,升級)。
RDS 資料庫應該啟用相關日誌。資料庫記錄提供對 提出請求的詳細記錄RDS。資料庫日誌可協助安全性和存取稽核,並有助於診斷可用性問題。
修補
若要將RDS資料庫日誌發佈至 CloudWatch 日誌,請參閱《Amazon RDS使用者指南》中的指定要發佈至 CloudWatch 日誌的日誌。
【RDS.10】 應為RDS執行個體設定IAM身分驗證
相關要求: NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-iam-authentication-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查RDS資料庫執行個體是否已啟用IAM資料庫身分驗證。如果未針對資料庫執行個體設定IAM身分驗證RDS,則控制項會失敗。此控制項只會評估具有下列引擎類型的RDS執行個體:mysql、postgres、auroraaurora-mysql、、 aurora-postgresql和 mariadb。要產生問題清單,RDS執行個體也必須處於下列其中一種狀態:available、storage-optimization、 backing-up或 storage-full。
IAM 資料庫身分驗證允許使用身分驗證字符而非密碼對資料庫執行個體進行身分驗證。進出資料庫的網路流量會使用 加密SSL。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的IAM資料庫身分驗證。
修補
若要在RDS資料庫執行個體上啟用IAM資料庫身分驗證,請參閱《Amazon RDS使用者指南》中的啟用和停用IAM資料庫身分驗證。
【RDS.11】 RDS執行個體應該啟用自動備份
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
類別:復原 > 恢復 > 備份已啟用
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:db-instance-backup-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
最短備份保留期間,以天為單位 |
Integer |
|
|
|
|
檢查RDS資料庫執行個體是否已啟用僅供讀取複本的備份 |
Boolean |
無法自訂 |
|
此控制項會檢查 Amazon Relational Database Service 執行個體是否已啟用自動備份,以及大於或等於指定時間範圍的備份保留期間。僅供讀取複本會從評估中排除。如果未為執行個體啟用備份,或保留期間小於指定的時間範圍,則控制項會失敗。除非您提供備份保留期間的自訂參數值,否則 Security Hub 會使用預設值 7 天。
備份可協助您更快速地從安全事件中復原,並強化系統的彈性。Amazon RDS可讓您設定每日完整執行個體磁碟區快照。如需 Amazon RDS 自動化備份的詳細資訊,請參閱《Amazon RDS使用者指南》中的使用備份。
修補
若要在RDS資料庫執行個體上啟用自動備份,請參閱《Amazon RDS使用者指南》中的啟用自動備份。
【RDS.12】 應為RDS叢集設定IAM身分驗證
相關要求: NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-iam-authentication-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS 資料庫叢集是否已啟用IAM資料庫身分驗證。
IAM 資料庫身分驗證允許對資料庫執行個體進行無密碼身分驗證。身分驗證使用身分驗證字符。進出資料庫的網路流量會使用 加密SSL。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的IAM資料庫身分驗證。
修補
若要啟用資料庫叢集的IAM身分驗證,請參閱《Amazon Aurora 使用者指南》中的啟用和停用IAM資料庫身分驗證。
【RDS.13】 應啟用RDS自動次要版本升級
相關要求:CIS AWS 基礎基準 v3.0.0/2.3.2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv4.0.1/6.3.3
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:高
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-automatic-minor-version-upgrade-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查是否已啟用RDS資料庫執行個體的自動次要版本升級。
啟用自動次要版本升級可確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新。這些升級可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝的最新消息,是保護系統安全的重要步驟。
修補
若要啟用現有資料庫執行個體的自動次要版本升級,請參閱《Amazon 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 RDS 對於自動次要版本升級,請選取是。
【RDS.14】 Amazon Aurora 叢集應該已啟用恢復
相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13(5)
類別:復原 > 恢復 > 備份已啟用
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:aurora-mysql-backtracking-enabled
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
恢復 Aurora MySQL 叢集的時數 |
Double |
|
無預設值 |
此控制項會檢查 Amazon Aurora 叢集是否已啟用恢復。如果叢集未啟用恢復,則控制項會失敗。如果您為 BacktrackWindowInHours 參數提供自訂值,則只有在叢集在指定的時間內恢復時,控制項才會傳遞。
備份可協助您更快地從安全事件中復原。它們也會強化您系統的彈性。Aurora 回溯可將資料庫復原至某個時間點的時間縮短。它不需要資料庫還原即可執行此操作。
修補
若要啟用 Aurora 恢復,請參閱《Amazon Aurora 使用者指南》中的設定恢復。
請注意,您無法在現有叢集上啟用恢復。反之,您可以建立已啟用恢復的複製。如需 Aurora 恢復限制的詳細資訊,請參閱恢復概觀中的限制清單。
【RDS.15】 RDS 應為多個可用區域設定資料庫叢集
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-multi-az-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查您的RDS資料庫叢集是否已啟用高可用性。如果資料庫叢集未部署在多個可用區域 RDS (),則控制項會失敗AZs。
RDS 資料庫叢集應設定為多個 AZs,以確保儲存資料的可用性。部署到多個 AZs 可讓 在 AZ 可用性問題和定期RDS維護事件期間自動容錯移轉。
修補
若要在多個 中部署資料庫叢集AZs,請在 Amazon RDS使用者指南中將資料庫執行個體修改為多可用區域資料庫執行個體部署。
Aurora 全域資料庫的修復步驟不同。若要設定 Aurora 全域資料庫的多個可用區域,請選取資料庫叢集。然後選擇動作和新增讀取器,然後指定多個 AZs。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的將 Aurora 複本新增至資料庫叢集。
【RDS.16】 RDS 資料庫叢集應設定為將標籤複製到快照
相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 清查
嚴重性:低
資源類型: AWS::RDS::DBCluster
AWS Config rule:rds-cluster-copy-tags-to-snapshots-enabled(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查RDS資料庫叢集是否設定為在建立快照時將所有標籤複製到快照。
識別和清查您的 IT 資產是控管和安全性的重要層面。您需要擁有所有RDS資料庫叢集的可見性,才能評估其安全性狀態,並對潛在弱點區域採取動作。快照的標記方式應該與其父RDS資料庫叢集相同。啟用此設定可確保快照繼承其父資料庫叢集的標籤。
修補
若要自動將標籤複製到RDS資料庫叢集的快照,請參閱《Amazon Aurora 使用者指南API》中的使用主控台、 CLI和 修改資料庫叢集。選取將標籤複製到快照。
【RDS.17】 RDS 資料庫執行個體應設定為將標籤複製到快照
相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 清查
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config rule:rds-instance-copy-tags-to-snapshots-enabled(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查RDS資料庫執行個體是否設定為在建立快照時將所有標籤複製到快照。
識別和清查您的 IT 資產是控管和安全性的重要層面。您需要掌握所有RDS資料庫執行個體,才能評估其安全狀態,並對潛在弱點區域採取動作。快照的標記方式應該與其父RDS資料庫執行個體相同。啟用此設定可確保快照繼承其父資料庫執行個體的標籤。
修補
若要自動將標籤複製到RDS資料庫執行個體的快照,請參閱《Amazon 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 RDS 選取將標籤複製到快照。
【RDS.18】 RDS執行個體應部署在 VPC
相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態 > 內的資源 VPC
嚴重性:高
資源類型: AWS::RDS::DBInstance
AWS Config rule:rds-deployed-in-vpc(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS執行個體是否部署在 EC2- 上VPC。
VPCs 提供多種網路控制,以安全存取 RDS 資源。這些控制項包括VPC端點ACLs、網路 和安全群組。若要利用這些控制項,建議您在 EC2- 上建立RDS執行個體VPC。
修補
如需將RDS執行個體移至 的指示VPC,請參閱《Amazon RDS使用者指南》中的更新資料庫執行個體VPC的 。
【RDS.19】 應為關鍵叢集事件設定現有的RDS事件通知訂閱
相關要求: NIST.800-53.r5 CA-7NIST.800-53.r5 SI-2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-cluster-event-notifications-configured(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查資料庫叢集的現有 Amazon RDS事件訂閱是否已啟用下列來源類型和事件類別索引鍵/值對的通知:
DBCluster: ["maintenance","failure"]
如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
RDS 事件通知使用 Amazon SNS讓您了解RDS資源可用性或組態的變更。這些通知允許快速回應。如需RDS事件通知的詳細資訊,請參閱《Amazon 使用者指南》中的使用 Amazon RDS事件通知。 RDS
修補
若要訂閱RDS叢集事件通知,請參閱《Amazon 使用者指南》中的訂閱 Amazon RDS事件通知。 RDS 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
叢集 |
|
要包含的叢集 |
所有叢集 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.20】 應為關鍵資料庫執行個體事件設定現有的RDS事件通知訂閱
相關要求: NIST.800-53.r5 CA-7.NIST800-53.r5 SI-2、PCIDSSv4.0.1/11.5.2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-instance-event-notifications-configured(自訂 Security Hub 規則)
排程類型:變更已觸發
參數:無
此控制項會檢查資料庫執行個體的現有 Amazon RDS事件訂閱是否已啟用下列來源類型和事件類別索引鍵/值對的通知:
DBInstance: ["maintenance","configuration change","failure"]
如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
RDS 事件通知使用 Amazon SNS讓您了解RDS資源可用性或組態的變更。這些通知允許快速回應。如需RDS事件通知的詳細資訊,請參閱《Amazon 使用者指南》中的使用 Amazon RDS事件通知。 RDS
修補
若要訂閱RDS執行個體事件通知,請參閱《Amazon 使用者指南》中的訂閱 Amazon RDS事件通知。 RDS 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
執行個體 |
|
要包含的執行個體 |
所有執行個體 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.21】 應為關鍵資料庫參數群組事件設定RDS事件通知訂閱
相關要求: NIST.800-53.r5 CA-7.NIST800-53.r5 SI-2、PCIDSSv4.0.1/11.5.2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-pg-event-notifications-configured(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS事件訂閱是否存在,並針對下列來源類型事件類別索引鍵/值對啟用通知。如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
DBParameterGroup: ["configuration change"]
RDS 事件通知使用 Amazon SNS讓您了解RDS資源可用性或組態的變更。這些通知允許快速回應。如需RDS事件通知的詳細資訊,請參閱《Amazon 使用者指南》中的使用 Amazon RDS事件通知。 RDS
修補
若要訂閱RDS資料庫參數群組事件通知,請參閱《Amazon 使用者指南》中的訂閱 Amazon RDS事件通知。 RDS 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
參數群組 |
|
要包含的參數群組 |
所有參數群組 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.22】 應為關鍵資料庫安全群組事件設定RDS事件通知訂閱
相關要求: NIST.800-53.r5 CA-7.NIST800-53.r5 SI-2、PCIDSSv4.0.1/11.5.2
類別:偵測 > 偵測服務 > 應用程式監控
嚴重性:低
資源類型: AWS::RDS::EventSubscription
AWS Config rule:rds-sg-event-notifications-configured(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS事件訂閱是否存在,並針對下列來源類型事件類別索引鍵/值對啟用通知。如果您的帳戶中沒有現有的事件訂閱,則控制項會通過。
DBSecurityGroup: ["configuration change","failure"]
RDS 事件通知使用 Amazon SNS讓您了解RDS資源可用性或組態的變更。這些通知允許快速回應。如需RDS事件通知的詳細資訊,請參閱《Amazon 使用者指南》中的使用 Amazon RDS事件通知。 RDS
修補
若要訂閱RDS執行個體事件通知,請參閱《Amazon 使用者指南》中的訂閱 Amazon RDS事件通知。 RDS 使用下列的值:
| 欄位 | Value |
|---|---|
|
來源類型 |
安全群組 |
|
要包含的安全群組 |
所有安全群組 |
|
要包含的事件類別 |
選取特定事件類別或所有事件類別 |
【RDS.23】 RDS執行個體不應使用資料庫引擎預設連接埠
相關要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(5)
類別:保護 > 安全網路組態
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config rule:rds-no-default-ports(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:無
此控制項會檢查RDS叢集或執行個體是否使用資料庫引擎預設連接埠以外的連接埠。如果RDS叢集或執行個體使用預設連接埠,則控制項會失敗。此控制項不適用於屬於叢集的RDS執行個體。
如果您使用已知連接埠來部署RDS叢集或執行個體,攻擊者可以猜測叢集或執行個體的相關資訊。攻擊者可以將此資訊與其他資訊搭配使用,以連線至RDS叢集或執行個體,或取得應用程式的其他資訊。
當您變更連接埠時,也必須更新用來連線至舊連接埠的現有連線字串。您也應該檢查資料庫執行個體的安全群組,以確保它包含允許在新連接埠上連線的輸入規則。
修補
若要修改現有RDS資料庫執行個體的預設連接埠,請參閱《Amazon 使用者指南》中的修改 Amazon RDS 資料庫執行個體。 RDS 若要修改現有RDS資料庫叢集的預設連接埠,請參閱《Amazon Aurora 使用者指南API》中的使用主控台、 CLI和 修改資料庫叢集。對於資料庫連接埠,將連接埠值變更為非預設值。
【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱
相關要求: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.2
類別:識別 > 資源組態
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-cluster-default-admin-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon RDS 資料庫叢集是否已從其預設值變更管理員使用者名稱。此控制項不適用於 neptune (Neptune 資料庫) 或 docdb (DocumentDB) 類型的引擎。如果管理員使用者名稱設定為預設值,則此規則會失敗。
建立 Amazon RDS 資料庫時,您應該將預設管理員使用者名稱變更為唯一值。預設使用者名稱是公有知識,應該在建立RDS資料庫期間變更。變更預設使用者名稱可降低意外存取的風險。
修補
若要變更與 Amazon RDS 資料庫叢集相關聯的管理員使用者名稱,請建立新的RDS資料庫叢集,並在建立資料庫時變更預設的管理員使用者名稱。
【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱
相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、PCIDSSv4.0.1/2.2.2
類別:識別 > 資源組態
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-instance-default-admin-check
排程類型:已觸發變更
參數:無
此控制項會檢查您是否已從預設值變更 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的管理使用者名稱。此控制項不適用於 neptune (Neptune 資料庫) 或 docdb (DocumentDB) 類型的引擎。如果管理使用者名稱設定為預設值,則控制項會失敗。
Amazon RDS 資料庫上的預設管理使用者名稱為公有知識。建立 Amazon RDS 資料庫時,您應該將預設管理使用者名稱變更為唯一值,以降低意外存取的風險。
修補
若要變更與RDS資料庫執行個體相關聯的管理使用者名稱,請先建立新的RDS資料庫執行個體。在建立資料庫時變更預設管理使用者名稱。
【RDS.26】 RDS 資料庫執行個體應受備份計劃保護
類別:復原 > 恢復 > 備份已啟用
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則: rds-resources-protected-by-backup-plan
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
如果 參數設定為 true 且資源使用 AWS Backup 保存庫鎖定,則控制項會產生 |
Boolean |
|
無預設值 |
此控制項會評估備份計劃是否涵蓋 Amazon RDS 資料庫執行個體。如果備份計畫未涵蓋RDS資料庫執行個體,則此控制會失敗。如果您將 backupVaultLockCheck 參數設定為等於 true,則只有在執行個體備份在 AWS Backup 鎖定的保存庫中時,控制項才會傳遞。
AWS Backup 是一種全受管備份服務,可集中和自動化跨 的資料備份 AWS 服務。使用 AWS Backup,您可以建立稱為備份計劃的備份政策。您可以使用這些計劃來定義備份需求,例如備份資料的頻率,以及這些備份的保留時間。RDS 在備份計劃中包含資料庫執行個體,可協助您保護資料免於意外遺失或刪除。
修補
若要將RDS資料庫執行個體新增至 AWS Backup 備份計劃,請參閱《 AWS Backup 開發人員指南》中的將資源指派給備份計劃。
【RDS.27】 RDS 資料庫叢集應靜態加密
相關要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則: rds-cluster-encrypted-at-rest
排程類型:已觸發變更
參數:無
此控制項會檢查RDS資料庫叢集是否靜態加密。如果RDS資料庫叢集未靜態加密,則控制項會失敗。
靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的任何資料。加密可協助您保護此類資料的機密性,降低未經授權的使用者可存取資料的風險。加密RDS資料庫叢集可保護您的資料和中繼資料,防止未經授權的存取。它也符合生產檔案系統的加密合規要求 data-at-rest。
修補
您可以在建立RDS資料庫叢集時啟用靜態加密。您無法在建立叢集後變更加密設定。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的加密 Amazon Aurora 資料庫叢集。
【RDS.28】 RDS 資料庫叢集應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBCluster
AWS Config rule:tagged-rds-dbcluster(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫叢集是否具有具有 參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫叢集沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫叢集未使用任何索引鍵標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC是 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至RDS資料庫叢集,請參閱《Amazon 使用者指南》中的標記 Amazon RDS 資源。 RDS
【RDS.29】 RDS 資料庫叢集快照應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBClusterSnapshot
AWS Config rule:tagged-rds-dbclustersnapshot(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫叢集快照是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫叢集快照沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫叢集快照未使用任何索引鍵標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至RDS資料庫叢集快照,請參閱《Amazon 使用者指南》中的標記 Amazon RDS 資源。 RDS
【RDS.30】 RDS 資料庫執行個體應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBInstance
AWS Config rule:tagged-rds-dbinstance(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫執行個體是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫執行個體沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫執行個體未使用任何索引鍵標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至RDS資料庫執行個體,請參閱《Amazon 使用者指南》中的標記 Amazon RDS 資源。 RDS
【RDS.31】 RDS 資料庫安全群組應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBSecurityGroup
AWS Config rule:tagged-rds-dbsecuritygroup(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫安全群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫安全群組沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫安全群組未加上任何索引鍵的標籤,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,其中包含金鑰和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC適用 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至RDS資料庫安全群組,請參閱《Amazon 使用者指南》中的標記 Amazon RDS 資源。 RDS
【RDS.32】 RDS 資料庫快照應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBSnapshot
AWS Config rule:tagged-rds-dbsnapshot(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫快照是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫快照沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫快照未加上任何索引鍵的標籤,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC適用 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至RDS資料庫快照,請參閱《Amazon 使用者指南》中的標記 Amazon RDS 資源。 RDS
【RDS.33】 RDS 資料庫子網路群組應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::RDS::DBSubnetGroup
AWS Config rule:tagged-rds-dbsubnetgroups(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon RDS 資料庫子網路群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料庫子網路群組沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料庫子網路群組未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼ABAC是 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至RDS資料庫子網路群組,請參閱《Amazon 使用者指南》中的標記 Amazon RDS 資源。 RDS
【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch 日誌
相關要求: NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則: rds-aurora-mysql-audit-logging-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否設定為將稽核日誌發佈至 Amazon CloudWatch Logs。如果叢集未設定為將稽核日誌發佈至 CloudWatch Logs,則控制項會失敗。控制項不會產生 Aurora Serverless v1 資料庫叢集的調查結果。
稽核日誌會擷取資料庫活動的記錄,包括登入嘗試、資料修改、結構描述變更,以及其他可基於安全性和合規目的而稽核的事件。當您設定 Aurora MySQL 資料庫叢集將稽核日誌發佈至 Amazon CloudWatch Logs 中的日誌群組時,您可以對日誌資料執行即時分析。 CloudWatch Logs 會將日誌保留在高度耐用的儲存中。您也可以在 中建立警示和檢視指標 CloudWatch。
注意
將稽核日誌發佈至 CloudWatch Logs 的替代方法是啟用進階稽核並將叢集層級資料庫參數設定為 server_audit_logs_upload 1。的預設值server_audit_logs_upload parameter為 0。不過,我們建議您改用下列修補指示來傳遞此控制項。
修補
若要將 Aurora MySQL 資料庫叢集稽核日誌發佈至 CloudWatch Logs,請參閱《Amazon Aurora 使用者指南》中的將 Amazon Aurora MySQL 日誌發佈至 Amazon CloudWatch Logs。
【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級
相關要求:NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv4.0.1/6.3.3
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則: rds-cluster-auto-minor-version-upgrade-enable
排程類型:已觸發變更
參數:無
此控制項會檢查是否已啟用 Amazon RDS Multi-AZ 資料庫叢集的自動次要版本升級。如果未針對多可用區域資料庫叢集啟用自動次要版本升級,則控制項會失敗。
RDS 提供自動次要版本升級,讓您可以將多可用區域資料庫叢集保持在最新狀態。次要版本可以引進新的軟體功能、錯誤修正、安全性修補程式和效能改善。透過在RDS資料庫叢集上啟用自動次要版本升級,當有新版本可用時,叢集以及叢集中的執行個體都會收到次要版本的自動更新。更新會在維護時段期間自動套用。
修補
若要在多可用區域資料庫叢集上啟用自動次要版本升級,請參閱《Amazon RDS使用者指南》中的修改多可用區域資料庫叢集。
PostgreSQL 資料庫執行個體RDS的 【RDS.36】 應該將日誌發佈至 CloudWatch 日誌
相關要求:PCIDSSv4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBInstance
AWS Config 規則:rds-postgresql-logs-to-cloudwatch
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
要發佈至日誌的 CloudWatch 日誌類型逗號分隔清單 |
StringList |
無法自訂 |
|
此控制項會檢查 Amazon RDS for PostgreSQL 資料庫執行個體是否設定為將日誌發佈至 Amazon CloudWatch Logs。如果 PostgreSQL 資料庫執行個體未設定為將 logTypes 參數中提到的日誌類型發佈至 CloudWatch Logs,則控制項會失敗。
資料庫記錄提供對RDS執行個體提出請求的詳細記錄。PostgreSQL 會產生事件日誌,其中包含管理員的有用資訊。將這些日誌發佈至 CloudWatch Logs 可集中管理日誌,並協助您執行日誌資料的即時分析。 CloudWatch Logs 會將日誌保留在高度耐用的儲存體中。您也可以在 中建立警示和檢視指標CloudWatch。
修補
若要將 PostgreSQL 資料庫執行個體日誌發佈至 CloudWatch Logs,請參閱《Amazon 使用者指南》中的將 PostgreSQL 日誌發佈至 Amazon CloudWatch Logs。 RDS
【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch 日誌
相關要求:PCIDSSv4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::RDS::DBCluster
AWS Config 規則:rds-aurora-postgresql-logs-to-cloudwatch
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon Aurora PostgreSQL 資料庫叢集是否設定為將日誌發佈至 Amazon CloudWatch Logs。如果未將 Aurora PostgreSQL 資料庫叢集設定為將 PostgreSQL 日誌發佈至 CloudWatch 日誌,則控制項會失敗。
資料庫記錄提供對RDS叢集提出請求的詳細記錄。Aurora PostgreSQL 會產生事件日誌,其中包含管理員的有用資訊。將這些日誌發佈至 CloudWatch Logs 可集中管理日誌,並協助您即時分析日誌資料。 CloudWatch Logs 會將日誌保留在高度耐用的儲存體中。您也可以在 中建立警示和檢視指標 CloudWatch。
修補
若要將 Aurora PostgreSQL 資料庫叢集日誌發佈至 CloudWatch Logs,請參閱《Amazon 使用者指南》中的將 Aurora PostgreSQL 日誌發佈至 Amazon CloudWatch Logs。 RDS
