翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Redshift Serverless の Security Hub CSPM コントロール
これらのAWS Security Hub CSPMコントロールは、Amazon Redshift Serverless サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[RedshiftServerless.1] Amazon Redshift Serverless ワークグループは拡張された VPC のルーティングを使用する必要があります
カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース
重要度: 高
リソースタイプ : AWS::RedshiftServerless::Workgroup
AWS Config ルール : redshift-serverless-workgroup-routes-within-vpc
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、Amazon Redshift Serverless ワークグループで拡張された VPC ルーティングが有効になっているかどうかをチェックします。ワークグループで拡張された VPC ルーティングが無効になっている場合、コントロールは失敗します。
Amazon Redshift Serverless ワークグループで拡張 VPC ルーティングが無効になっている場合、Amazon Redshift はAWSネットワーク内の他のサービスへのトラフィックを含め、インターネット経由でトラフィックをルーティングします。ワークグループで拡張された VPC ルーティングを有効にすると、Amazon Redshift はクラスターとデータリポジトリ間のすべての COPY および UNLOAD のトラフィックが Amazon VPC サービスに基づく仮想プライベートクラウド (VPC) を通過するように強制します。拡張された VPC ルーティングを有効にすることで、標準の VPC 機能を使用して、Amazon Redshift クラスターと他のリソースの間のデータフローを制御できます。これには、VPC セキュリティグループとエンドポイントポリシー、ネットワークアクセスコントロールリスト (ACL)、ドメインネームシステム (DNS) サーバーなどの機能が含まれます。VPC フローログを使用して COPY と UNLOAD のトラフィックをモニタリングすることもできます。
修正
拡張された VPC ルーティングの詳細とワークグループで有効にする方法については、「Amazon Redshift 管理ガイド」の「Controlling network traffic with Redshift enhanced VPC routing」を参照してください。
[RedshiftServerless.2] SSL を使用するには、Redshift Serverless ワークグループへの接続が必要です
カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化
重要度: 中
リソースタイプ : AWS::RedshiftServerless::Workgroup
AWS Config ルール : redshift-serverless-workgroup-encrypted-in-transit
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、Amazon Redshift Serverless ワークグループへの接続で、転送中のデータを暗号化する必要があるかどうかをチェックします。ワークグループの require_ssl 設定パラメータが false に設定されている場合、コントロールは失敗します。
Amazon Redshift Serverless ワークグループは、RPU、VPC サブネットグループ、セキュリティグループなどのコンピューティングリソースをグループ化する、コンピューティングリソースのコレクションです。ワークグループのプロパティには、ネットワークとセキュリティ設定が含まれます。これらの設定は、ワークグループへの接続で転送中のデータを暗号化するために SSL を使用する必要があるかどうかを指定します。
修正
Amazon Redshift Serverless ワークグループの設定を更新して SSL 接続を要求する方法については、「Amazon Redshift 管理ガイド」の「Amazon Redshift Serverless への接続」を参照してください。
[RedshiftServerless.3] Redshift Serverless ワークグループはパブリックアクセスを禁止する必要があります
カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース
重要度: 高
リソースタイプ : AWS::RedshiftServerless::Workgroup
AWS Config ルール : redshift-serverless-workgroup-no-public-access
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、Amazon Redshift Serverless ワークグループでパブリックアクセスが無効になっているかどうかをチェックします。Redshift Serverless ワークグループの publiclyAccessible プロパティを評価します。ワークグループのパブリックアクセスが有効 (true) になっている場合、コントロールは失敗します。
Amazon Redshift Serverless ワークグループのパブリックアクセス (publiclyAccessible) 設定は、ワークグループにパブリックネットワークからアクセスできるかどうかを指定します。ワークグループのパブリックアクセスが有効 (true) になっている場合、Amazon Redshift は Elastic IP アドレスを作成して、ワークグループを VPC の外部からパブリックにアクセスできるようにします。ワークグループにパブリックアクセスを許可しない場合は、パブリックアクセスを無効にします。
修正
Amazon Redshift Serverless ワークグループのパブリックアクセス設定を変更する方法については、「Amazon Redshift 管理ガイド」の「ワークグループのプロパティを表示する」を参照してください。
[RedshiftServerless.4] Redshift Serverless 名前空間はカスタマーマネージドで暗号化する必要がありますAWS KMS keys
関連する要件: NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::RedshiftServerless::Namespace
AWS Config ルール : redshift-serverless-namespace-cmk-encryption
スケジュールタイプ : 定期的
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
|
|
評価AWS KMS keysに含める の Amazon リソースネーム (ARNs) のリスト。Redshift Serverless 名前空間がリスト内の KMS キーで暗号化されていない場合、コントロールは |
StringList (最大 3 項目) |
既存の KMS キーの 1~3 個の ARN。例: |
デフォルト値なし |
このコントロールは、Amazon Redshift Serverless 名前空間が保管時にカスタマーマネージド AWS KMS key で暗号化されているかどうかをチェックします。Redshift Serverless 名前空間がカスタマーマネージド KMS キーで暗号化されていない場合、コントロールは失敗します。必要に応じて、コントロールの評価に含める KMS キーのリストを指定することができます。
Amazon Redshift Serverless では、名前空間はデータベースオブジェクトの論理コンテナを定義します。このコントロールは、名前空間の暗号化設定が、名前空間内のデータの暗号化のためにAWS KMS key、マネージド KMS キーではなくカスタマーAWSマネージド を指定するかどうかを定期的にチェックします。カスタマーマネージド KMS キーを使用すると、ユーザーがキーを完全にコントロールできます。これには、キーポリシーの定義と維持管理、許可の管理、暗号化マテリアルのローテーション、タグの割り当て、エイリアスの作成、キーの有効化と無効化が含まれます。
修正
Amazon Redshift Serverless 名前空間の暗号化設定の更新とカスタマー管理の指定についてはAWS KMS key、「Amazon Redshift 管理ガイド」の「名前空間AWS KMS keyの の変更」を参照してください。
[RedshiftServerless.5] Redshift サーバーレス名前空間でデフォルトの管理者ユーザー名を使用すべきではありません
カテゴリ: 識別 > リソース設定
重要度: 中
リソースタイプ : AWS::RedshiftServerless::Namespace
AWS Config ルール : redshift-serverless-default-admin-check
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、Amazon Redshift Serverless 名前空間の管理者ユーザー名がデフォルトの管理者ユーザー名 admin であるかどうかをチェックします。Redshift Serverless 名前空間の管理者ユーザー名が admin の場合、コントロールは失敗します。
Amazon Redshift Serverless 名前空間を作成するときに、名前空間のカスタム管理者ユーザー名を指定する必要があります。デフォルトの管理者ユーザー名は一般に知られています。カスタム管理者ユーザー名を指定することで、たとえば、名前空間に対するブルートフォース攻撃のリスクや有効性を軽減できます。
修正
Amazon Redshift Serverless コンソールまたは API を使用して、Amazon Redshift Serverless 名前空間の管理者ユーザー名を変更できます。コンソールを使用して変更するには、名前空間設定を選択し、[アクション] メニューで [管理者認証情報の編集] を選択します。プログラムで変更するには、UpdateNamespace オペレーションを使用するか、 を使用している場合は update-namespace コマンドAWS CLIを実行します。管理者ユーザー名を変更する場合は、同時に管理者パスワードも変更する必要があります。
[RedshiftServerless.6] Redshift Serverless 名前空間は CloudWatch Logs にログをエクスポートする必要があります
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::RedshiftServerless::Namespace
AWS Config ルール : redshift-serverless-publish-logs-to-cloudwatch
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、Amazon Redshift Serverless 名前空間が接続ログとユーザーログを Amazon CloudWatch Logs にエクスポートするように設定されているかどうかをチェックします。Redshift Serverless 名前空間がログを CloudWatch Logs にエクスポートするように設定されていない場合、コントロールは失敗します。
Amazon Redshift Serverless の設定で、接続ログ (connectionlog) とユーザーログ (userlog) のデータを Amazon CloudWatch Logs のロググループにエクスポートするように設定すると、ログレコードを収集して耐久性のあるストレージに保存できるため、セキュリティ、アクセス、可用性のレビューと監査に対応できます。CloudWatch Logs では、ログデータのリアルタイム分析を実行したり、CloudWatch を使用してアラームを作成したり、メトリクスを確認したりすることもできます。
修正
Amazon Redshift Serverless 名前空間のログデータを Amazon CloudWatch Logs にエクスポートするには、名前空間の監査ログ設定で、対応するログをエクスポート対象として選択する必要があります。これらの設定を更新する方法については、「Amazon Redshift 管理ガイド」の「セキュリティと暗号化を編集する」を参照してください。
