Amazon FSx の Security Hub コントロール
これらの AWS Security Hub CSPM コントロールは、Amazon FSx サービスとリソースを評価します。コントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[FSx.1] FSx for OpenZFS ファイルシステムでは、タグをバックアップとボリュームにコピーするように設定する必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ :AWS::FSx::FileSystem
AWS Config ルール :fsx-openzfs-copy-tags-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon FSx for OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかどうかをチェックします。OpenZFS ファイルシステムがタグをバックアップとボリュームにコピーするように設定されていない場合、コントロールは失敗します。
IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。タグはAWS リソースを目的、所有者、環境などさまざまな方法で分類するのに役立ちます。割り当てたタグに基づいて特定のリソースをすばやく識別できるため、これは同じ型のリソースが多い場合に役立ちます。
修正
タグをバックアップとボリュームにコピーするように FSx for OpenZFS ファイルシステムを設定する方法については、「Amazon FSx for OpenZFS ユーザーガイド」の「Updating a file system」を参照してください。
[FSx.2] FSx for Lustre ファイルシステムでは、タグをバックアップにコピーするように設定する必要があります
関連する要件: NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ :AWS::FSx::FileSystem
AWS Config ルール :fsx-lustre-copy-tags-to-backups
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、Amazon FSx for Lustre ファイルシステムがタグをバックアップとボリュームにコピーするように設定されているかどうかをチェックします。Lustre ファイルシステムがタグをバックアップとボリュームにコピーするように設定されていない場合、コントロールは失敗します。
IT アセットの身分証明書とインベントリはガバナンスとセキュリティの重要な側面です。タグはAWS リソースを目的、所有者、環境などさまざまな方法で分類するのに役立ちます。割り当てたタグに基づいて特定のリソースをすばやく識別できるため、これは同じ型のリソースが多い場合に役立ちます。
修正
タグをバックアップにコピーするように FSx for Lustre ファイルシステムを設定する方法については、「Amazon FSx for Lustre ユーザーガイド」の「Copying backups within the same AWS アカウント」を参照してください。
[FSx.3] FSx for OpenZFS ファイルシステムはマルチ AZ 配置用に設定する必要があります
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ :AWS::FSx::FileSystem
AWS Config ルール :fsx-openzfs-deployment-type-check
スケジュールタイプ: 定期的
パラメータ: deploymentTypes: MULTI_AZ_1 (カスタマイズ不可)
このコントロールは、Amazon FSx for OpenZFS ファイルシステムがマルチアベイラビリティーゾーン (マルチ AZ) 配置タイプを使用するように設定されているかどうかをチェックします。ファイルシステムがマルチ AZ 配置タイプを使用するように設定されていない場合、コントロールは失敗します。
Amazon FSx for OpenZFS は、ファイルシステムでマルチ AZ (HA)、シングル AZ (HA)、シングル AZ (非 HA) などさまざまな配置タイプをサポートしています。配置タイプは、さまざまなレベルの可用性と耐久性を提供します。マルチ AZ (HA) ファイルシステムは、2 つのアベイラビリティーゾーン (AZ) にまたがるファイルサーバーの高可用性 (HA) ペアで構成されます。高い可用性と耐久性を持つモデルを実現できるため、ほとんどのプロダクションワークロードでマルチ AZ (HA) 配置タイプを使用することをお勧めします。
修正
ファイルシステムの作成時にマルチ AZ 配置タイプを使用するように Amazon FSx for OpenZFS ファイルシステムを設定できます。既存の FSx for OpenZFS ファイルシステムの配置タイプを変更することはできません。
FSx for OpenZFS ファイルシステムの配置タイプとオプションの詳細については、「Amazon FSx for OpenZFS ユーザーガイド」の「Availability and durability for Amazon FSx for OpenZFS」および「Managing file system resources」を参照してください。
[FSx.4] FSx for NetApp ONTAP ファイルシステムは、マルチ AZ 配置用に設定する必要があります
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ :AWS::FSx::FileSystem
AWS Config ルール :fsx-ontap-deployment-type-check
スケジュールタイプ: 定期的
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
|
|
評価に含める配置タイプのリスト。ファイルシステムがリストで指定された配置タイプを使用するように設定されていない場合、コントロールは |
列挙型 |
|
|
このコントロールは、Amazon FSx for NetApp ONTAP ファイルシステムマルチアベイラビリティーゾーン (マルチ AZ) 配置タイプを使用するように設定されているかどうかをチェックします。ファイルシステムがマルチ AZ 配置タイプを使用するように設定されていない場合、コントロールは失敗します。必要に応じて、評価に含める配置タイプのリストを指定できます。
Amazon FSx for NetApp ONTAP は、ファイルシステムで Single-AZ 1、Single-AZ 2、Multi-AZ 1、Multi-AZ 2 という複数の配置タイプをサポートしています。配置タイプは、さまざまなレベルの可用性と耐久性を提供します。マルチ AZ 配置タイプでは高い可用性と耐久性を持つモデルを実現できるため、ほとんどのプロダクションワークロードでマルチ AZ 配置タイプを使用することをお勧めします。マルチ AZ ファイルシステムは、シングル AZ ファイルシステムの可用性と耐久性の機能をすべてサポートしています。さらに、アベイラビリティーゾーン (AZ) が利用できない場合でも、データに継続的な可用性を提供するように設計されています。
修正
既存の Amazon FSx for NetApp ONTAP ファイルシステムの配置タイプを変更することはできません。ただし、データをバックアップし、マルチ AZ 配置タイプを使用する新しいファイルシステムに復元することはできます。
FSx for ONTAP ファイルシステムの配置タイプとオプションの詳細については、「FSx for ONTAP ユーザーガイド」の「Availability, durability, and deployment options」および「Managing file systems」を参照してください。
[FSx.5] FSx for Windows File Server ファイルシステムは、マルチ AZ 配置用に設定する必要があります
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ :AWS::FSx::FileSystem
AWS Config ルール :fsx-windows-deployment-type-check
スケジュールタイプ: 定期的
パラメータ: deploymentTypes: MULTI_AZ_1 (カスタマイズ不可)
このコントロールは、Amazon FSx for Windows File Server ファイルシステムマルチアベイラビリティーゾーン (マルチ AZ) 配置タイプを使用するように設定されているかどうかをチェックします。ファイルシステムがマルチ AZ 配置タイプを使用するように設定されていない場合、コントロールは失敗します。
Amazon FSx for Windows File Server は、ファイルシステムでシングル AZ とマルチ AZ という 2 種類の配置タイプをサポートしています。配置タイプは、さまざまなレベルの可用性と耐久性を提供します。シングル AZ ファイルシステムは、単一の Windows ファイルサーバーインスタンスと、単一のアベイラビリティーゾーン (AZ) 内の一連のストレージボリュームで構成されます。マルチ AZ ファイルシステムは、2 つのアベイラビリティーゾーンにまたがる Windows ファイルサーバーの高可用性クラスターで構成されます。高い可用性と耐久性を持つモデルを実現できるため、ほとんどのプロダクションワークロードでマルチ AZ 配置タイプを使用することをお勧めします。
修正
ファイルシステムの作成時にマルチ AZ 配置タイプを使用するように Amazon FSx for Windows File Server ファイルシステムを設定できます。既存の FSx for Windows File Server ファイルシステムの配置タイプを変更することはできません。
FSx for Windows File Server ファイルシステムの配置タイプとオプションの詳細については、「Amazon FSx for Windows File Server ユーザーガイド」の「Availability and durability: Single-AZ and Multi-AZ file systems」および「Getting started with Amazon FSx for Windows File Server」を参照してください。
