[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由 [RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组 [RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问 [RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys [RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名 [RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch

适用于亚马逊 Redshift Serverless 的 Security Hub CSPM 控件

这些AWS Security Hub CSPM控制措施用于评估 Amazon Redshift 无服务器服务和资源。这些控件可能并非全部可用AWS 区域。有关更多信息，请参阅按地区划分的控件可用性。

[RedshiftServerless.1] 亚马逊 Redshift 无服务器工作组应使用增强型 VPC 路由

类别：保护 > 安全网络配置 > VPC 内的资源

严重性：高

资源类型：AWS::RedshiftServerless::Workgroup

AWS Config 规则：redshift-serverless-workgroup-routes-within-vpc

计划类型：定期

参数：无

此控件检查是否为 Amazon Redshift Serverless 工作组启用了增强型 VPC 路由。如果为工作组禁用了增强型 VPC 路由，则该控件会失败。

如果对 Amazon Redshift 无服务器工作组禁用增强型 VPC 路由，Amazon Redshift 会通过互联网路由流量，包括流向网络内其他服务的流量。AWS如果为工作组启用增强型 VPC 路由，Amazon Redshift 会强制基于 Amazon VPC 服务通过虚拟私有云（VPC）路由集群和数据存储库之间的所有 COPY 和 UNLOAD 流量。借助增强型 VPC 路由，您可以使用标准 VPC 功能来控制 Amazon Redshift 集群与其他资源之间的数据流。这包括 VPC 安全组和终端节点策略、网络访问控制列表 (ACLs) 和域名系统 (DNS) 服务器等功能。您还可以使用 VPC 流日志来监控 COPY 和 UNLOAD 流量。

修复

有关增强型 VPC 路由以及如何为工作组启用它的更多信息，请参阅《Amazon Redshift 管理指南》中的使用 Redshift 增强型 VPC 路由控制网络流量。

[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::RedshiftServerless::Workgroup

AWS Config 规则：redshift-serverless-workgroup-encrypted-in-transit

计划类型：定期

参数：无

此控件检查是否需要连接到 Amazon Redshift Serverless 工作组才能加密传输中数据。如果工作组的 require_ssl 配置参数设置为 false，则该控件会失败。

Amazon Redshift Serverless 工作组是一组计算资源，将 RPUs VPC 子网组和安全组等计算资源组合在一起。工作组的属性包括网络和安全设置。这些设置指定是否应要求与工作组的连接使用 SSL 加密传输中数据。

修复

有关更新 Amazon Redshift Serverless 工作组的设置以要求 SSL 连接的信息，请参阅《Amazon Redshift 管理指南》中的连接到 Amazon Redshift Serverless。

[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问

类别：保护 > 安全网络配置 > 不公开访问的资源

严重性：高

资源类型：AWS::RedshiftServerless::Workgroup

AWS Config 规则：redshift-serverless-workgroup-no-public-access

计划类型：定期

参数：无

此控件检查是否为 Amazon Redshift Serverless 工作组禁用了公开访问。它评估 Redshift Serverless 工作组的 publiclyAccessible 属性。如果为工作组启用了公开访问（true），则该控件会失败。

Amazon Redshift Serverless 工作组的公开访问（publiclyAccessible）设置指定是否可以从公共网络访问该工作组。如果为工作组启用了公开访问（true），Amazon Redshift 会创建一个弹性 IP 地址，使得可以从 VPC 外部公开访问该工作组。如果您不希望某个工作组可以公开访问，请为其禁用公开访问。

修复

有关更改 Amazon Redshift Serverless 工作组的公开访问设置的信息，请参阅《Amazon Redshift 管理指南》中的查看工作组的属性。

[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户托管进行加密 AWS KMS keys

相关要求： NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1)、(10)、2 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12)、 NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)

类别：保护 > 数据保护 > 加密 data-at-rest

严重性：中

资源类型：AWS::RedshiftServerless::Namespace

AWS Config 规则：redshift-serverless-namespace-cmk-encryption

计划类型：定期

参数：

参数	说明	Type	允许的自定义值	Security Hub CSPM 默认值
`kmsKeyArns`	评估中AWS KMS keys要包含的 Amazon 资源名称 (ARNs) 列表。如果 Redshift Serverless 命名空间未使用列表中的 KMS 密钥进行加密，则该控件会生成 `FAILED` 调查发现。	StringList （最多 3 件商品）	1—3 个 ARNs 现有 KMS 密钥。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。	无默认值

此控件检查 Amazon Redshift Serverless 命名空间是否使用客户管理型 AWS KMS key进行静态加密。如果未使用客户管理型 KMS 密钥对 Redshift Serverless 命名空间进行加密，则该控件会失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

在 Amazon Redshift Serverless 中，命名空间定义了数据库对象的逻辑容器。此控件会定期检查命名空间的加密设置是否指定由客户管理AWS KMS key的而不是AWS托管的 KMS 密钥来加密命名空间中的数据。使用客户管理型 KMS 密钥，您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。

修复

有关更新 Amazon Redshift 无服务器命名空间的加密设置和指定客户托管的命名空间的信息AWS KMS key，请参阅 Amazon Redshift 管理指南中的更改命名空间。AWS KMS key

[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名

类别：识别 > 资源配置

严重性：中

资源类型：AWS::RedshiftServerless::Namespace

AWS Config 规则：redshift-serverless-default-admin-check

计划类型：定期

参数：无

此控件检查 Amazon Redshift Serverless 命名空间的管理员用户名是否为默认管理员用户名 admin。如果 Redshift Serverless 命名空间的管理员用户名为 admin，则该控件会失败。

创建 Amazon Redshift Serverless 命名空间时，应为该命名空间指定自定义管理员用户名。默认管理员用户名为公共知识。例如，通过指定自定义管理员用户名，您可以帮助降低命名空间遭受暴力攻击的风险或有效性。

修复

您可以使用 Amazon Redshift Serverless 控制台或 API 更改 Amazon Redshift Serverless 命名空间的管理员用户名。要使用控制台进行更改，请选择命名空间配置，然后在操作菜单上选择编辑管理员凭证。要以编程方式对其进行更改，请使用UpdateNamespace操作，或者，如果您使用的是，则运行 update-AWS CLI namesp ace 命令。如果您更改管理员用户名，则必须同时更改管理员密码。

[RedshiftServerless.6] Redshift Serverless 命名空间应将日志导出到日志 CloudWatch

类别：识别 > 日志记录

严重性：中

资源类型：AWS::RedshiftServerless::Namespace

AWS Config 规则：redshift-serverless-publish-logs-to-cloudwatch

计划类型：定期

参数：无

此控件检查 Amazon Redshift Serverless 命名空间是否配置为将连接和用户日志导出到亚马逊日志。 CloudWatch 如果 Redshift Serverless 命名空间未配置为将日志导出到日志，则控制失败。 CloudWatch

如果您将 Amazon Redshift Serverless 配置为将连接 CloudWatch 日志 (connectionloguserlog) 和用户日志 () 数据导出到 Amazon Logs 中的日志组，则可以收集日志记录并将其存储在持久存储中，这样可以支持安全、访问和可用性审查和审计。借助 CloudWatch 日志，您还可以对日志数据进行实时分析，并 CloudWatch 用于创建警报和查看指标。

修复

要将 Amazon Redshift Serverless 命名空间的 CloudWatch 日志数据导出到 Amazon 日志，必须在该命名空间的审核日志配置设置中选择相应的日志进行导出。有关更新这些设置的信息，请参阅《Amazon Redshift 管理指南》中的编辑安全性和加密。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Amazon Redshift 控件

Amazon Route 53 控制