

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Redshift Serverless 的 Security Hub CSPM 控制項
<a name="redshiftserverless-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Redshift Serverless 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【RedshiftServerless.1] Amazon Redshift Serverless 工作群組應使用增強型 VPC 路由
<a name="redshiftserverless-1"></a>

**類別：**保護 > 安全網路組態 > VPC 內的資源

**嚴重性：**高

**資源類型：** `AWS::RedshiftServerless::Workgroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-routes-within-vpc.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否已為 Amazon Redshift Serverless 工作群組啟用增強型 VPC 路由。如果工作群組的增強型 VPC 路由已停用，則控制項會失敗。

如果停用 Amazon Redshift Serverless 工作群組的增強型 VPC 路由，Amazon Redshift 會透過網際網路路由流量，包括網路中其他服務的流量 AWS 。如果您為工作群組啟用增強型 VPC 路由，Amazon Redshift 會根據 Amazon VPC 服務，透過虛擬私有雲端 (VPC) 強制叢集與資料儲存庫之間的所有 `COPY`和`UNLOAD`流量。透過增強型 VPC 路由，您可以使用標準 VPC 功能來控制 Amazon Redshift 叢集和其他資源之間的資料流程。這包括 VPC 安全群組和端點政策、網路存取控制清單 (ACLs) 和網域名稱系統 (DNS) 伺服器等功能。您也可以使用 VPC 流程日誌來監控 `COPY` 和 `UNLOAD` 流量。

### 修補
<a name="redshiftserverless-1-remediation"></a>

如需增強型 VPC 路由以及如何為工作群組啟用它的詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[使用 Redshift 增強型 VPC 路由控制網路流量](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-routing.html)。

## 【RedshiftServerless.2] 必須使用 SSL 連線到 Redshift Serverless 工作群組
<a name="redshiftserverless-2"></a>

**類別：**保護 > 資料保護 > data-in-transit加密

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Workgroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-encrypted-in-transit.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否需要與 Amazon Redshift Serverless 工作群組的連線，才能加密傳輸中的資料。如果工作群組的`require_ssl`組態參數設定為 ，則控制項會失敗`false`。

Amazon Redshift Serverless 工作群組是運算資源的集合，可將運算資源分組，例如 RPUs、VPC 子網路群組和安全群組。工作群組的屬性包括網路和安全設定。這些設定指定是否需要連線到工作群組，才能使用 SSL 來加密傳輸中的資料。

### 修補
<a name="redshiftserverless-2-remediation"></a>

如需將 Amazon Redshift Serverless 工作群組的設定更新為需要 SSL 連線的相關資訊，請參閱《[Amazon Redshift 管理指南》中的連線至 Amazon Redshift Serverless](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-connecting.html)。 **

## 【RedshiftServerless.3] Redshift Serverless 工作群組應禁止公開存取
<a name="redshiftserverless-3"></a>

**類別：**保護 > 安全網路組態 > 不可公開存取的資源

**嚴重性：**高

**資源類型：** `AWS::RedshiftServerless::Workgroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-workgroup-no-public-access.html)

**排程類型：**定期

**參數：**無

此控制項會檢查是否停用 Amazon Redshift Serverless 工作群組的公有存取。它會評估 Redshift Serverless 工作群組的 `publiclyAccessible` 屬性。如果工作群組的公有存取已啟用 (`true`)，則控制項會失敗。

Amazon Redshift Serverless 工作群組的公有存取 (`publiclyAccessible`) 設定會指定工作群組是否可以從公有網路存取。如果工作群組的公有存取已啟用 (`true`)，Amazon Redshift 會建立彈性 IP 地址，讓工作群組可從 VPC 外部公開存取。如果您不希望工作群組可公開存取，請停用其公開存取。

### 修補
<a name="redshiftserverless-3-remediation"></a>

如需有關變更 Amazon Redshift Serverless 工作群組公有存取設定的資訊，請參閱《*Amazon Redshift 管理指南*》中的[檢視工作群組的屬性](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-workgroups.html)。

## 【RedshiftServerless.4] Redshift Serverless 命名空間應使用客戶受管加密 AWS KMS keys
<a name="redshiftserverless-4"></a>

**相關要求：**NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

**類別：**保護 > 資料保護 > data-at-rest加密

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Namespace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-namespace-cmk-encryption.html)

**排程類型：**定期

**參數：**


| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  `kmsKeyArns`  |   AWS KMS keys 要包含在評估中的 Amazon Resource Name (ARNs清單。如果 Redshift Serverless 命名空間未使用清單中的 KMS 金鑰加密，控制項會產生`FAILED`問題清單。  |  StringList （最多 3 個項目）  |  現有 KMS 金鑰的 1–3 ARNs。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。  |  無預設值  | 

此控制項會檢查 Amazon Redshift Serverless 命名空間是否使用客戶受管的靜態加密 AWS KMS key。如果 Redshift Serverless 命名空間未使用客戶受管 KMS 金鑰加密，則控制項會失敗。您可以選擇性地為控制項指定要包含在評估中的 KMS 金鑰清單。

在 Amazon Redshift Serverless 中，命名空間會定義資料庫物件的邏輯容器。此控制項會定期檢查命名空間的加密設定是否指定客戶受管 AWS KMS key，而非 AWS 受管 KMS 金鑰，以加密命名空間中的資料。使用客戶受管 KMS 金鑰，您可以完全控制金鑰。這包括定義和維護金鑰政策、管理授予、輪換密碼編譯材料、指派標籤、建立別名，以及啟用和停用金鑰。

### 修補
<a name="redshiftserverless-4-remediation"></a>

如需更新 Amazon Redshift Serverless 命名空間加密設定並指定客戶受管的詳細資訊 AWS KMS key，請參閱[《Amazon Redshift 管理指南》中的變更命名空間 AWS KMS key 的](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-workgroups-and-namespaces-rotate-kms-key.html) 。 **

## 【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱
<a name="redshiftserverless-5"></a>

**類別：**識別 > 資源組態

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Namespace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-default-admin-check.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Redshift Serverless 命名空間的管理員使用者名稱是否為預設的管理員使用者名稱 `admin`。如果 Redshift Serverless 命名空間的管理員使用者名稱為 ，則控制項會失敗`admin`。

建立 Amazon Redshift Serverless 命名空間時，您應該為命名空間指定自訂管理員使用者名稱。預設管理員使用者名稱為公有知識。例如，透過指定自訂管理員使用者名稱，您可以協助降低對命名空間的暴力攻擊風險或有效性。

### 修補
<a name="redshiftserverless-5-remediation"></a>

您可以使用 Amazon Redshift Serverless 主控台或 API 變更 Amazon Redshift Serverless 命名空間的管理員使用者名稱。若要使用主控台進行變更，請選擇命名空間組態，然後在**動作**功能表上選擇**編輯管理員憑證**。若要以程式設計方式變更，請使用 [UpdateNamespace](https://docs.aws.amazon.com/redshift-serverless/latest/APIReference/API_UpdateNamespace.html) 操作，或者，如果您使用的是 AWS CLI，請執行 [update-namespace](https://docs.aws.amazon.com/cli/latest/reference/redshift-serverless/update-namespace.html) 命令。如果您變更管理員使用者名稱，也必須同時變更管理員密碼。

## 【RedshiftServerless.6] Redshift Serverless 命名空間應將日誌匯出至 CloudWatch Logs
<a name="redshiftserverless-6"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::RedshiftServerless::Namespace`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/redshift-serverless-publish-logs-to-cloudwatch.html)

**排程類型：**定期

**參數：**無

此控制項會檢查 Amazon Redshift Serverless 命名空間是否已設定為將連線和使用者日誌匯出至 Amazon CloudWatch Logs。如果未將 Redshift Serverless 命名空間設定為將日誌匯出至 CloudWatch Logs，則控制項會失敗。

如果您設定 Amazon Redshift Serverless 將連線日誌 (`connectionlog`) 和使用者日誌 (`userlog`) 資料匯出至 Amazon CloudWatch Logs 中的日誌群組，您可以將日誌記錄收集並存放在耐用的儲存體中，以支援安全性、存取和可用性檢閱和稽核。使用 CloudWatch Logs，您也可以執行日誌資料的即時分析，並使用 CloudWatch 建立警示和檢閱指標。

### 修補
<a name="redshiftserverless-6-remediation"></a>

若要將 Amazon Redshift Serverless 命名空間的日誌資料匯出至 Amazon CloudWatch Logs，必須在命名空間的稽核日誌組態設定中選取要匯出的個別日誌。如需更新這些設定的相關資訊，請參閱《*Amazon Redshift 管理指南*》中的[編輯安全性和加密](https://docs.aws.amazon.com/redshift/latest/mgmt/serverless-console-configuration-edit-network-settings.html)。