翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DynamoDB テーブルの露出の修正

AWSSecurity Hub は、DynamoDB テーブルの公開結果を生成できます。

Security Hub コンソールでは、露出の検出結果に関与した DynamoDB テーブルとその識別情報が、検出結果の詳細の [リソース] セクションに一覧表示されます。プログラムにより、Security Hub CSPM API の GetFindingsV2オペレーションを使用してリソースの詳細を取得できます。

露出の検出結果に関連するリソースを特定したら、不要なリソースを削除できます。不要なリソースを削除すると、露出プロファイルとAWSコストを削減できます。リソースが不可欠な場合は、以下の推奨される修復手順に従ってリスクを軽減します。修復トピックは、特性のタイプに基づいて分割されます。

1 つの露出の検出結果には、複数の修復トピックで特定された問題が含まれます。逆に、1 つの修復トピックだけに対処することで、露出の検出結果に対処し、その重要度レベルを下げることができます。リスク修復へのアプローチは、組織の要件とワークロードによって異なります。

DynamoDB の設定ミス特性

以下に、DynamoDB テービルの設定ミスの特性と修復手順について説明します。

DynamoDB テーブルでポイントインタイムリカバリが無効になっている

DynamoDB のポイントインタイムリカバリを有効にする

DynamoDB ポイントインタイムリカバリは、DynamoDB テーブルデータの継続的バックアップを自動的に行います。DynamoDB テーブルを特定の時点に復元する方法については、「Amazon DynamoDB ユーザーガイド」の「DynamoDB テーブルを特定の時点に復元」を参照してください。

DynamoDB テーブルはバックアッププランの対象ではありません

AWSBackup は、DynamoDB を含むサービス間でバックアップを設定、管理、自動化するための一元化されたAWSサービスを提供します。バックアッププランがない場合、テーブルにはカスタマイズ可能な保持期間を持つスケジュールされた自動バックアップがないため、重大なセキュリティリスクが発生します。攻撃者は、テーブルデータを悪意を持って破損または削除する可能性があります。適切なバックアップがないと、ポイントインタイムリカバリウィンドウ (有効になっている場合) を超えるリカバリオプションがないため、データが永続的に損失する可能性があります。データ保護のベストプラクティスに従って、DynamoDB テーブルをバックアッププランでカバーすることをお勧めします。

バックアッププランの作成

バックアッププランを作成する前に、データの適切なバックアップ頻度と保持期間を決定します。バックアッププランの作成方法については、「Amazon DynamoDB ユーザーガイド」の「バックアッププランにリソースを割り当てる」を参照してください。

DynamoDB テーブルの削除保護が無効になっている

削除保護により、DynamoDB テーブルが誤って削除されるのを防ぎます。削除保護を無効にすると、DynamoDB テーブルはコンソールアクション、API コール、CLI コマンド、または自動プロセスによる意図しない削除に対して脆弱になります。これにより、AWS環境にアクセスできる権限のないエンティティが意図的にテーブルを削除し、サービスの中断や永続的なデータ損失につながる可能性があるため、AWS環境がデータ損失にさらされる可能性があります。データ保護のベストプラクティスに従って、DynamoDB テーブルのデータ保護を有効にすることをお勧めします。

削除保護の有効化

複数のテーブルを管理する場合は、 を使用してテーブルプロパティCloudFormationを一括で更新することを検討してください。CloudFormationテンプレートを変更して DeletionProtectionEnabledプロパティを含め、スタックを更新できます。修復が完了したら、テーブルの [設定] タブの [追加情報] ドロップダウンで削除保護が有効になっていることを確認します。