

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Redshift 的 Security Hub CSPM 控制項
<a name="redshift-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Redshift 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Redshift.1】 Amazon Redshift 叢集應禁止公開存取
<a name="redshift-1"></a>

**相關需求：**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 、

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**嚴重

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html)

**排程類型：**已觸發變更

**參數：**無 

此控制項會檢查 Amazon Redshift 叢集是否可公開存取。它會評估叢集組態項目中的 `PubliclyAccessible` 欄位。

Amazon Redshift 叢集組態的 `PubliclyAccessible` 屬性會指出叢集是否可公開存取。當叢集`PubliclyAccessible`設定為 時`true`，它是面向網際網路的執行個體，其具有可公開解析的 DNS 名稱，可解析為公有 IP 地址。

當叢集無法公開存取時，它是內部執行個體，其具有解析為私有 IP 地址的 DNS 名稱。除非您打算讓叢集可公開存取，否則叢集不應`PubliclyAccessible`設定為 `true`。

### 修補
<a name="redshift-1-remediation"></a>

若要更新 Amazon Redshift 叢集以停用公開存取，請參閱《*Amazon Redshift 管理指南*》中的[修改叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。將**可公開存取**設定為**否**。

## 【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密
<a name="redshift-2"></a>

**相關要求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

**類別：**保護 > 資料保護 > data-in-transit

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster` `AWS::Redshift::ClusterParameterGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否需要連線至 Amazon Redshift 叢集，才能使用傳輸中的加密。如果 Amazon Redshift 叢集參數`require_SSL`未設定為 ，則檢查會失敗`True`。

TLS 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。應只允許透過 TLS 的加密連線。加密傳輸中的資料可能會影響效能。您應該使用此功能測試應用程式，以了解效能描述檔和 TLS 的影響。

### 修補
<a name="redshift-2-remediation"></a>

若要將 Amazon Redshift 參數群組更新為需要加密，請參閱《*Amazon Redshift 管理指南*》中的[修改參數群組](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-parameter-groups-console.html#parameter-group-modify)。`require_ssl` 設定為 **True**。

## 【Redshift.3】 Amazon Redshift 叢集應該啟用自動快照
<a name="redshift-3"></a>

**相關要求：**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-13(5)

**類別：**復原 > 恢復 > 備份已啟用 

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `​MinRetentionPeriod`  |  最短快照保留期間，以天為單位  |  Integer  |  `7` 至 `35`  |  `7`  | 

此控制項會檢查 Amazon Redshift 叢集是否已啟用自動快照，以及大於或等於指定時間範圍的保留期間。如果叢集未啟用自動快照，或保留期間小於指定的時間範圍，則控制項會失敗。除非您提供快照保留期間的自訂參數值，否則 Security Hub CSPM 會使用預設值 7 天。

備份可協助您更快地從安全事件中復原。它們可增強您系統的彈性。根據預設，Amazon Redshift 會定期拍攝快照。此控制項會檢查是否啟用自動快照並保留至少七天。如需 Amazon Redshift 自動化快照的詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[自動化快照](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots)。

### 修補
<a name="redshift-3-remediation"></a>

若要更新 Amazon Redshift 叢集的快照保留期，請參閱《*Amazon Redshift 管理指南*》中的[修改叢集](https://docs.aws.amazon.com/redshift/latest/mgmt/managing-clusters-console.html#modify-cluster)。對於**備份**，將**快照保留**值設定為 7 或更高。

## 【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄
<a name="redshift-4"></a>

**相關要求：**NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config rule：**`redshift-cluster-audit-logging-enabled`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**無 

此控制項會檢查 Amazon Redshift 叢集是否已啟用稽核記錄。

Amazon Redshift 稽核記錄提供叢集中連線和使用者活動的其他資訊。此資料可以在 Amazon S3 中存放和保護，並有助於安全稽核和調查。如需詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[資料庫稽核記錄](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html)。

### 修補
<a name="redshift-4-remediation"></a>

若要設定 Amazon Redshift 叢集的稽核記錄，請參閱《*Amazon Redshift 管理指南*》中的[使用主控台設定稽核](https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing-console.html)。

## 【Redshift.6】 Amazon Redshift 應已啟用主要版本的自動升級
<a name="redshift-6"></a>

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)

**類別：**識別 > 漏洞、修補程式和版本管理

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html)

**排程類型：**已觸發變更

**參數：**
+ `allowVersionUpgrade = true` （不可自訂）

此控制項會檢查是否已為 Amazon Redshift 叢集啟用自動主要版本升級。

啟用自動主要版本升級可確保在維護時段期間安裝 Amazon Redshift 叢集的最新主要版本更新。這些更新可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝的最新資訊，是保護系統安全的重要步驟。

### 修補
<a name="redshift-6-remediation"></a>

若要從 修復此問題 AWS CLI，請使用 Amazon Redshift `modify-cluster`命令，並設定 `--allow-version-upgrade` 屬性。 `clustername`是 Amazon Redshift 叢集的名稱。

```
aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade
```

## 【Redshift.7】 Redshift 叢集應使用增強型 VPC 路由
<a name="redshift-7"></a>

**相關需求：**NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)

**類別：**保護 > 安全網路組態 > API 私有存取

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Redshift 叢集是否`EnhancedVpcRouting`已啟用。

增強型 VPC 路由會強制叢集`COPY`和資料儲存庫之間的所有 和 `UNLOAD`流量通過您的 VPC。然後，您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。

### 修補
<a name="redshift-7-remediation"></a>

如需詳細修復指示，請參閱《*Amazon Redshift 管理指南*》中的[啟用增強型 VPC 路由](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html)。

## 【Redshift.8】 Amazon Redshift 叢集不應使用預設的 Admin 使用者名稱
<a name="redshift-8"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-default-admin-check.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Redshift 叢集是否已從其預設值變更管理員使用者名稱。如果 Redshift 叢集的管理員使用者名稱設定為 ，則此控制項會失敗`awsuser`。

建立 Redshift 叢集時，您應該將預設管理員使用者名稱變更為唯一值。預設使用者名稱是公有知識，應在組態時變更。變更預設使用者名稱可降低意外存取的風險。

### 修補
<a name="redshift-8-remediation"></a>

您無法在建立 Amazon Redshift 叢集之後變更其管理員使用者名稱。若要使用非預設使用者名稱建立新的叢集，請參閱[《Amazon Redshift 入門指南》中的步驟 1：建立範例 Amazon Redshift 叢集](https://docs.aws.amazon.com/redshift/latest/gsg/rs-gsg-prereq.html)。 **

## 【Redshift.10】 應靜態加密 Redshift 叢集
<a name="redshift-10"></a>

**相關需求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Redshift 叢集是否靜態加密。如果 Redshift 叢集未靜態加密，或加密金鑰與規則參數中提供的金鑰不同，則控制項會失敗。

在 Amazon Redshift 中，您可以為您的叢集開啟資料庫加密，以協助保護靜態資料。開啟叢集的加密時，叢集和其快照的資料區塊和系統中繼資料會加密。靜態資料加密是建議的最佳實務，因為它會為您的資料新增一層存取管理。加密靜態 Redshift 叢集可降低未經授權的使用者可以存取儲存在磁碟上的資料的風險。

### 修補
<a name="redshift-10-remediation"></a>

若要修改 Redshift 叢集以使用 KMS 加密，請參閱《*Amazon Redshift 管理指南*》中的[變更叢集加密](https://docs.aws.amazon.com/redshift/latest/mgmt/changing-cluster-encryption.html)。

## 【Redshift.11】 應標記 Redshift 叢集
<a name="redshift-11"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config rule：**`tagged-redshift-cluster`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-11-remediation"></a>

若要將標籤新增至 Redshift 叢集，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.12】 應標記 Redshift 事件通知訂閱
<a name="redshift-12"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::EventSubscription`

**AWS Config rule：**`tagged-redshift-eventsubscription`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集快照是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集快照沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集快照未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-12-remediation"></a>

若要將標籤新增至 Redshift 事件通知訂閱，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.13】 應標記 Redshift 叢集快照
<a name="redshift-13"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::ClusterSnapshot`

**AWS Config rule：**`tagged-redshift-clustersnapshot`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集快照是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集快照沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集快照未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-13-remediation"></a>

若要將標籤新增至 Redshift 叢集快照，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.14】 應標記 Redshift 叢集子網路群組
<a name="redshift-14"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config rule：**`tagged-redshift-clustersubnetgroup`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Redshift 叢集子網路群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集子網路群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果叢集子網路群組未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="redshift-14-remediation"></a>

若要將標籤新增至 Redshift 叢集子網路群組，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠
<a name="redshift-15"></a>

**相關要求：**PCI DSS v4.0.1/1.3.1

**類別：**保護 > 安全網路組態 > 安全群組組態

**嚴重性：**高

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-unrestricted-port-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查與 Amazon Redshift 叢集相關聯的安全群組是否具有允許從網際網路 (0.0.0.0/0 或 ：：/0) 存取叢集連接埠的輸入規則。如果安全群組傳入規則允許從網際網路存取叢集連接埠，則控制項會失敗。

允許不受限制的傳入存取 Redshift 叢集連接埠 (IP 地址加上 /0 尾碼） 可能會導致未經授權的存取或安全事件。我們建議您在建立安全群組和設定傳入規則時，套用最低權限存取的主體。

### 修補
<a name="redshift-15-remediation"></a>

若要將 Redshift 叢集連接埠上的輸入限制為受限原始伺服器，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules)。更新連接埠範圍符合 Redshift 叢集連接埠且 IP 連接埠範圍為 0.0.0.0/0 的規則。

## 【Redshift.16】 Redshift 叢集子網路群組應具有來自多個可用區域的子網路
<a name="redshift-16"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Redshift::ClusterSubnetGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-subnet-group-multi-az.html)

**排程類型：**已觸發變更

**參數：**無

控制項會檢查 Amazon Redshift 叢集子網路群組是否有來自多個可用區域 (AZ) 的子網路。如果叢集子網路群組沒有至少兩個不同AZs子網路，則控制項會失敗。

跨多個AZs設定子網路有助於確保您的 Redshift 資料倉儲可以繼續操作，即使發生故障事件也一樣。

### 修補
<a name="redshift-16-remediation"></a>

若要修改 Redshift 叢集子網路群組以跨越多個AZs，請參閱《*Amazon Redshift 管理指南*》中的[修改叢集子網路群組](https://docs.aws.amazon.com/redshift/latest/mgmt/modify-cluster-subnet-group.html)。

## 【Redshift.17】 應標記 Redshift 叢集參數群組
<a name="redshift-17"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Redshift::ClusterParameterGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-parameter-group-tagged.html)

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
| requiredKeyTags | 必須指派給評估資源的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目） | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 | 

此控制項會檢查 Amazon Redshift 叢集參數群組是否具有 `requiredKeyTags` 參數指定的標籤索引鍵。如果參數群組沒有任何標籤索引鍵，或沒有 `requiredKeyTags` 參數指定的所有索引鍵，則控制項會失敗。如果您未指定 `requiredKeyTags` 參數的任何值，則控制項只會檢查標籤索引鍵是否存在，如果參數群組沒有任何標籤索引鍵，則 會失敗。控制項會忽略系統標籤，這些標籤會自動套用並具有 `aws:` 字首。

標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可以使用標籤，依用途、擁有者、環境或其他條件來分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊，請參閱《*IAM 使用者指南*》中的[根據具有 ABAC 授權的屬性定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如需標籤的詳細資訊，請參閱[標記 AWS 資源和標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。

**注意**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。

### 修補
<a name="redshift-17-remediation"></a>

如需有關將標籤新增至 Amazon Redshift 叢集參數群組的資訊，請參閱《[Amazon Redshift 管理指南》中的在 Amazon Redshift 中標記資源](https://docs.aws.amazon.com/redshift/latest/mgmt/amazon-redshift-tagging.html)。 **

## 【Redshift.18】 Redshift 叢集應啟用異地同步備份部署
<a name="redshift-18"></a>

**類別：**復原 > 彈性 > 高可用性

**嚴重性：**中

**資源類型：** `AWS::Redshift::Cluster`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-multi-az-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查是否已為 Amazon Redshift 叢集啟用多個可用區域 （多可用區域） 部署。如果未為 Amazon Redshift 叢集啟用異地同步備份部署，則控制項會失敗。

Amazon Redshift 支援佈建叢集的多個可用區域 （多可用區域） 部署。如果為叢集啟用異地同步備份部署，當可用區域 (AZ) 發生意外事件時，Amazon Redshift 資料倉儲可以在失敗情況下繼續操作。異地同步備份部署會在多個異地同步備份中部署運算資源，而且可以透過單一端點存取這些運算資源。如果整個 AZ 失敗，則另一個 AZ 中的剩餘運算資源可用於繼續處理工作負載。您可以將現有的單一可用區資料倉儲轉換為多可用區資料倉儲。其他運算資源接著會佈建在第二個可用區域中。

### 修補
<a name="redshift-18-remediation"></a>

如需為 Amazon Redshift 叢集設定異地同步備份部署的相關資訊，請參閱《*Amazon Redshift 管理指南*》中的[將單一異地同步備份資料倉儲轉換為異地同步備份資料倉儲](https://docs.aws.amazon.com/redshift/latest/mgmt/convert-saz-to-maz.html)。