【ElastiCache.1] ElastiCache (Valkey 和 Redis OSS) 叢集應該啟用自動備份【ElastiCache.2] ElastiCache 叢集應啟用自動次要版本升級【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉【ElastiCache.4] ElastiCache 複寫群組應靜態加密【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH 【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組

ElastiCache 的 Security Hub 控制項

這些 AWS Security Hub 控制項會評估 Amazon ElastiCache 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱依區域的控制項可用性。

【ElastiCache.1] ElastiCache (Valkey 和 Redis OSS) 叢集應該啟用自動備份

相關要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

類別：復原 > 恢復 > 備份已啟用

嚴重性：高

資源類型：AWS::ElastiCache::CacheCluster、 AWS:ElastiCache:ReplicationGroup

AWS Config 規則：elasticache-automatic-backup-check-enabled

排程類型：定期

參數：

參數	Description (描述)	類型	允許自訂值	Security Hub 預設值
`snapshotRetentionPeriod`	最短快照保留期間，以天為單位	Integer	`1` 至 `35`	`1`

此控制項會檢查 Amazon ElastiCache (Valkey 或 Redis OSS) 叢集是否已啟用自動備份。如果叢集SnapshotRetentionLimit的小於指定的時段，則控制項會失敗。除非您提供快照保留期間的自訂參數值，否則 Security Hub 會使用預設值 1 天。

ElastiCache (Valkey 和 Redis OSS) 叢集可以備份其資料。您可以使用備份來還原叢集或植入新叢集。備份包含叢集的中繼資料，以及叢集中的所有資料。所有備份都會寫入提供持久儲存的 Amazon S3。您可以透過建立新的 ElastiCache 叢集並填入備份中的資料來還原資料。您可以使用 AWS 管理主控台、 AWS CLI和 ElastiCache API 來管理備份。

注意

2025 年 10 月 14 日，Security Hub 變更了此控制項的標題、描述和規則。先前，控制項會使用 elasticache-redis-cluster-automatic-backup-check 規則檢查 Redis OSS 叢集和所有複寫群組。控制項的標題為：ElastiCache (Redis OSS) 叢集應該啟用自動備份。

除了 Redis OSS 叢集和所有複寫群組之外，此控制項現在還會檢查 Valkey 叢集。新的標題和描述反映控制項會檢查這兩種類型的叢集。

修補

如需排程 ElastiCache 叢集自動備份的詳細資訊，請參閱《Amazon ElastiCache 使用者指南》中的排程自動備份。

【ElastiCache.2] ElastiCache 叢集應啟用自動次要版本升級

相關要求：NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5) PCI DSS v4.0.1/6.3.3

類別：識別 > 漏洞、修補程式和版本管理

嚴重性：高

資源類型： AWS::ElastiCache::CacheCluster

AWS Config 規則：elasticache-auto-minor-version-upgrade-check

排程類型：定期

參數：無

此控制項會評估 Amazon ElastiCache 是否自動將次要版本升級套用至快取叢集。如果快取叢集未自動套用次要版本升級，則控制項會失敗。

注意

此控制項不適用於 ElastiCache Memcached 叢集。

自動次要版本升級是一項功能，您可以在 Amazon ElastiCache 中啟用此功能，以便在新的次要快取引擎版本可用時自動升級快取叢集。這些升級可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝up-to-date，是保護系統安全的重要步驟。

修補

若要自動將次要版本升級套用至現有的 ElastiCache 快取叢集，請參閱《Amazon ElastiCache 使用者指南》中的 ElastiCache 版本管理。 Amazon ElastiCache

【ElastiCache.3] ElastiCache 複寫群組應該啟用自動容錯移轉

相關要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

類別：復原 > 彈性 > 高可用性

嚴重性：中

資源類型： AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-auto-failover-enabled

排程類型：定期

參數：無

此控制項會檢查 ElastiCache 複寫群組是否已啟用自動容錯移轉。如果複寫群組未啟用自動容錯移轉，則控制項會失敗。

為複寫群組啟用自動容錯移轉時，主節點的角色會自動容錯移轉至其中一個僅供讀取複本。此容錯移轉和複本提升可確保您可以在提升完成後繼續寫入新的主要節點，以減少發生故障時的整體停機時間。

修補

若要啟用現有 ElastiCache 複寫群組的自動容錯移轉，請參閱《Amazon ElastiCache 使用者指南》中的修改 ElastiCache 叢集。 Amazon ElastiCache 如果您使用 ElastiCache 主控台，請將自動容錯移轉設定為已啟用。

【ElastiCache.4] ElastiCache 複寫群組應靜態加密

相關要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

類別：保護 > 資料保護 > data-at-rest加密

嚴重性：中

資源類型： AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-encrypted-at-rest

排程類型：定期

參數：無

此控制項會檢查 ElastiCache 複寫群組是否靜態加密。如果複寫群組未靜態加密，則控制項會失敗。

加密靜態資料可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。ElastiCache (Redis OSS) 複寫群組應靜態加密，以增加一層安全性。

修補

若要在 ElastiCache 複寫群組上設定靜態加密，請參閱《Amazon ElastiCache 使用者指南》中的啟用靜態加密。

【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密

相關要求：NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8(1)、NIST.800NIST.800-53.r5 SC-855.r5 NIST.800-53.r5 SC-8 SI-7

類別：保護 > 資料保護 > data-in-transit加密

嚴重性：中

資源類型： AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-encrypted-in-transit

排程類型：定期

參數：無

此控制項會檢查 ElastiCache 複寫群組是否在傳輸中加密。如果複寫群組未在傳輸中加密，則控制項會失敗。

加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。在 ElastiCache 複寫群組上啟用傳輸中加密會在資料從一個位置移至另一個位置時加密資料，例如叢集中的節點之間，或叢集與您的應用程式之間。

修補

若要在 ElastiCache 複寫群組上設定傳輸中加密，請參閱《Amazon ElastiCache 使用者指南》中的啟用傳輸中加密。

【ElastiCache.6] 舊版的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH

相關要求：NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6、PCI DSS v4.0.1/8.3.1

類別：保護 > 安全存取管理

嚴重性：中

資源類型： AWS::ElastiCache::ReplicationGroup

AWS Config 規則：elasticache-repl-grp-redis-auth-enabled

排程類型：定期

參數：無

此控制項會檢查 ElastiCache (Redis OSS) 複寫群組是否已啟用 Redis OSS AUTH。如果複寫群組節點的 Redis OSS 版本低於 6.0 且未使用，則控制項AuthToken會失敗。

當您使用 Redis 身分驗證字符或密碼時，Redis 需要密碼，才能允許用戶端執行命令，以改善資料安全性。對於 Redis 6.0 和更新版本，建議使用角色型存取控制 (RBAC)。由於 Redis 6.0 之前的版本不支援 RBAC，因此此控制項只會評估無法使用 RBAC 功能的版本。

修補

若要在 ElastiCache (Redis OSS) 複寫群組上使用 Redis AUTH，請參閱《Amazon ElastiCache 使用者指南》中的在現有 ElastiCache (Redis OSS) 叢集上修改 AUTH 字符。

【ElastiCache.7] ElastiCache 叢集不應使用預設子網路群組

相關要求：NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)

類別：保護 > 安全網路組態

嚴重性：高

資源類型： AWS::ElastiCache::CacheCluster

AWS Config 規則：elasticache-subnet-group-check

排程類型：定期

參數：無

此控制項會檢查 ElastiCache 叢集是否已設定自訂子網路群組。如果 ElastiCache 叢集CacheSubnetGroupName的值為，則控制項會失敗default。

啟動 ElastiCache 叢集時，如果尚未存在子網路群組，則會建立預設子網路群組。預設群組使用來自預設虛擬私有雲端 (VPC) 的子網路。建議使用自訂子網路群組，這些群組會更嚴格地限制叢集所在的子網路，以及叢集從子網路繼承的聯網。