[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密 [DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期 [DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开 [DocumentDB.4] Amazon DocumentDB 集群应将审核日志发布到 CloudWatch Logs [DocumentDB.5] Amazon DocumentDB 集群应启用删除保护 [DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密

适用于 Amazon DocumentDB 的 Security Hub 控件

这些 AWS Security Hub CSPM 控件评估 Amazon DocumentDB（兼容 MongoDB）服务和资源。控件可能并非在所有 AWS 区域都可用。有关更多信息，请参阅按地区划分的控件可用性。

[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::RDS::DBCluster

AWS Config 规则： docdb-cluster-encrypted

计划类型：已触发变更

参数：无

此控件检查 Amazon DocumentDB 集群是否进行静态加密。如果 Amazon DocumentDB 集群未进行静态加密，则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。Amazon DocumentDB 集群中的数据应进行静态加密，以增加安全性。Amazon DocumentDB 使用 256 位高级加密标准 (AES-256)，使用 AWS Key Management Service (AWS KMS) 中存储的加密密钥来加密您的数据。

修复

您可以在创建 Amazon DocumentDB 集群时启用静态加密。创建集群后，您将无法变更加密设置。有关更多信息，请参阅 Amazon DocumentDB 开发人员指南中的为 Amazon DocumentDB 集群启用静态加密。

[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期

相关要求： NIST.800-53.r5 SI-12、PCI DSS v4.0.1/3.2.1

类别：恢复 > 弹性 > 启用备份

严重性：中

资源类型：AWS::RDS::DBCluster

AWS Config 规则： docdb-cluster-backup-retention-check

计划类型：已触发变更

参数：

参数	描述	类型	允许的自定义值	Security Hub 默认值
`minimumBackupRetentionPeriod`	最小备份保留期（以天为单位）	整数	`7`到 `35`。	`7`

此控件检查 Amazon DocumentDB 集群的备份保留期是否大于或等于指定时间范围。如果备份保留期小于指定时间范围，则控制失败。除非您为备份保留期提供自定义参数值，否则 Security Hub 将使用默认值即 7 天。

备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。通过自动备份 Amazon DocumentDB 集群，您将能够将系统恢复到某个时间点并最大限度地减少停机时间和数据丢失。在 Amazon DocumentDB 中，集群的默认备份保留期为 1 天。必须将其增加到 7 到 35 天之间的值才能通过此控件。

修复

要变更 Amazon DocumentDB 集群的备份保留期，请参阅 Amazon DocumentDB 开发人员指南中的修改 Amazon DocumentDB 集群。对于备份，选择备份保留期。

[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开

相关要求： NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)、PCI DSS v4.0.1/1.4.4

类别：保护 > 安全网络配置

严重性：严重

资源类型：AWS::RDS::DBClusterSnapshot

AWS Config 规则： docdb-cluster-snapshot-public-prohibited

计划类型：已触发变更

参数：无

此控件检查 Amazon DocumentDB 手动集群快照是否是公开的。如果手动集群快照是公共的，则控制失败。

除非有意图，否则 Amazon DocumentDB 手动集群快照不应公开。如果您将未加密的手动快照公开共享，则该快照可供所有 AWS 账户使用。公开快照可能会导致意外的数据泄露。

注意

此控件评估手动集群快照。您无法共享 Amazon DocumentDB 自动集群快照。但是，您可以通过复制自动快照来创建手动快照，然后共享该副本。

修复

要移除对 Amazon DocumentDB 手动集群快照的公开访问权限，请参阅 Amazon DocumentDB 开发人员指南中的共享快照。通过编程方式，您可以使用 Amazon DocumentDB modify-db-snapshot-attribute 操作。将 attribute-name 设置为 restore，并将 values-to-remove 设置为 all。

[DocumentDB.4] Amazon DocumentDB 集群应将审核日志发布到 CloudWatch Logs

相关要求： NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCI DSS v4.0.1/10.3.3

类别：识别 > 日志记录

严重性：中

资源类型：AWS::RDS::DBCluster

AWS Config 规则： docdb-cluster-audit-logging-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon DocumentDB 集群是否将审核日志发布到 Amazon CloudWatch Logs。如果集群未将审核日志发布到 CloudWatch Logs，则控制失败。

Amazon DocumentDB（与 MongoDB 兼容）允许您审核在集群中执行的事件。记录的事件的示例包括成功和失败的身份验证尝试、删除数据库中的集合或创建索引。默认情况下，审计在 Amazon DocumentDB 中处于禁用状态，需要您采取措施才能启用审计。

修复

要将 Amazon DocumentDB 审核日志记录发布到 CloudWatch Logs，请参阅 Amazon DocumentDB 开发人员指南中的启用审计。

[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)。

类别：保护 > 数据保护 > 数据删除保护

严重性：中

资源类型：AWS::RDS::DBCluster

AWS Config 规则： docdb-cluster-deletion-protection-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon DocumentDB 集群是否已启用删除保护。如果集群未启用删除保护，则控制失败。

启用集群删除保护可提供额外保护，防止数据库意外删除或未经授权的用户删除。在启用删除保护时，无法删除 Amazon DocumentDB 集群。您必须先禁用删除保护，删除请求才能成功。当您在 Amazon DocumentDB 控制台中创建集群时，删除保护默认启用。

修复

要为现有 Amazon DocumentDB 集群启用删除保护，请参阅 Amazon DocumentDB 开发人员指南中的修改 Amazon DocumentDB 集群。在修改集群部分中，为删除保护选择启用。

[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密

类别：保护 > 数据保护 > 传输中数据加密

严重性：中

资源类型：AWS::RDS::DBCluster

AWS Config 规则： docdb-cluster-encrypted-in-transit

计划类型：定期

参数： excludeTlsParameters：disabled、enabled（不可自定义）

此控件检查 Amazon DocumentDB 集群是否需要 TLS 才能连接到集群。如果与集群关联的集群参数组不同步，或者 TLS 集群参数设置为 disabled 或 enabled，则该控件会失败。

您可以使用 TLS 加密应用程序与 Amazon DocumentDB 集群之间的连接。使用 TLS 可帮助防止数据在应用程序和 Amazon DocumentDB 集群之间传输时被拦截。Amazon DocumentDB 集群的传输中加密通过与该集群关联的集群参数组中的 TLS 参数进行管理。启用传输中加密后，需要使用 TLS 进行安全连接才能连接到集群。我们建议使用以下 TLS 参数：tls1.2+、tls1.3+ 和 fips-140-3。

修复

有关更改 Amazon DocumentDB 集群的 TLS 设置的信息，请参阅《Amazon DocumentDB 开发人员指南》中的 Encrypting data in transit。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon Detective 控件

Amazon DynamoDB 控件