本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon FSx 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon FSx 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【FSx.1] FSx for OpenZFS 檔案系統應設定為將標籤複製到備份和磁碟區
相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::FSx::FileSystem
AWS Config 規則:fsx-openzfs-copy-tags-enabled
排程類型:定期
參數:無
此控制項會檢查 Amazon FSx for OpenZFS 檔案系統是否設定為將標籤複製到備份和磁碟區。如果未將 OpenZFS 檔案系統設定為將標籤複製到備份和磁碟區,則控制項會失敗。
識別和清查您的 IT 資產是控管和安全性的重要層面。標籤可協助您以不同的方式分類 AWS 資源,例如依用途、擁有者或環境。當您有許多相同類型的資源時,這會很有用,因為您可以根據指派給該資源的標籤快速識別特定資源。
修補
如需有關設定 FSx for OpenZFS 檔案系統以將標籤複製到備份和磁碟區的資訊,請參閱《Amazon FSx for OpenZFS 使用者指南》中的更新檔案系統。
【FSx.2] FSx for Lustre 檔案系統應設定為將標籤複製到備份
相關需求:NIST.800-53.r5 CP-9、NIST.800-53.r5 CM-8
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::FSx::FileSystem
AWS Config 規則:fsx-lustre-copy-tags-to-backups
排程類型:定期
參數:無
此控制項會檢查 Amazon FSx for Lustre 檔案系統是否設定為將標籤複製到備份和磁碟區。如果未將 Lustre 檔案系統設定為將標籤複製到備份和磁碟區,則控制項會失敗。
識別和清查您的 IT 資產是控管和安全性的重要層面。標籤可協助您以不同的方式分類 AWS 資源,例如依用途、擁有者或環境。當您有許多相同類型的資源時,這會很有用,因為您可以根據指派給該資源的標籤快速識別特定資源。
修補
如需有關設定 FSx for Lustre 檔案系統將標籤複製到備份的資訊,請參閱《Amazon FSx for Lustre 使用者指南》中的在相同的 內複製備份 AWS 帳戶。
【FSx.3] FSx for OpenZFS 檔案系統應設定為異地同步備份部署
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::FSx::FileSystem
AWS Config 規則:fsx-openzfs-deployment-type-check
排程類型:定期
參數: deploymentTypes: MULTI_AZ_1 (不可自訂)
此控制項會檢查 Amazon FSx for OpenZFS 檔案系統是否設定為使用多個可用區域 (多可用區域) 部署類型。如果未將檔案系統設定為使用異地同步備份部署類型,則控制項會失敗。
Amazon FSx for OpenZFS 支援多種檔案系統的部署類型:異地同步備份 (HA)、單一可用區 (HA) 和單一可用區 (非 HA)。部署類型提供不同層級的可用性和耐久性。多可用區域 (HA) 檔案系統是由跨兩個可用區域 (AZs) 分佈的高可用性 (HA) 對檔案伺服器組成。由於多可用區域 (HA) 部署類型提供的高可用性和耐久性模型,因此我們建議對大多數生產工作負載使用 。
修補
您可以設定 Amazon FSx for OpenZFS 檔案系統,以在建立檔案系統時使用異地同步備份部署類型。您無法變更現有 FSx for OpenZFS 檔案系統的部署類型。
如需有關 FSx for OpenZFS 檔案系統的部署類型和選項的資訊,請參閱《Amazon FSx for OpenZFS 使用者指南》中的 Amazon FSx for OpenZFS 和管理檔案系統資源的可用性和耐用性。 https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-file-systems.html FSx OpenZFS
【FSx.4] FSx for NetApp ONTAP 檔案系統應設定為異地同步備份部署
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::FSx::FileSystem
AWS Config 規則:fsx-ontap-deployment-type-check
排程類型:定期
參數:
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
|
|
要包含在評估中的部署類型清單。如果檔案系統未設定為使用清單中指定的部署類型,則控制項會產生 |
列舉 |
|
|
此控制項會檢查 Amazon FSx for NetApp ONTAP 檔案系統是否設定為使用多個可用區域 (多可用區域) 部署類型。如果未將檔案系統設定為使用異地同步備份部署類型,則控制項會失敗。您可以選擇性地指定要在評估中包含的部署類型清單。
Amazon FSx for NetApp ONTAP 支援多種檔案系統的部署類型:單一可用區 1、單一可用區 2、多可用區 1 和多可用區 2。部署類型提供不同層級的可用性和耐久性。由於多可用區域部署類型提供的高可用性和耐久性模型,我們建議對大多數生產工作負載使用異地同步備份部署類型。多可用區域檔案系統支援單一可用區域檔案系統的所有可用性和耐久性功能。此外,它們旨在提供資料的持續可用性,即使可用區域 (AZ) 無法使用也一樣。
修補
您無法變更現有 Amazon FSx for NetApp ONTAP 檔案系統的部署類型。不過,您可以備份資料,然後在使用異地同步備份部署類型的新檔案系統上還原資料。
如需有關 FSx for ONTAP 檔案系統的部署類型和選項的資訊,請參閱《FSx for ONTAP 使用者指南》中的可用性、耐用性和部署選項以及管理檔案系統。
【FSx.5] FSx for Windows File Server 檔案系統應設定為異地同步備份部署
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::FSx::FileSystem
AWS Config 規則:fsx-windows-deployment-type-check
排程類型:定期
參數: deploymentTypes: MULTI_AZ_1 (不可自訂)
此控制項會檢查 Amazon FSx for Windows File Server 檔案系統是否設定為使用多個可用區域 (多可用區域) 部署類型。如果未將檔案系統設定為使用異地同步備份部署類型,則控制項會失敗。
Amazon FSx for Windows File Server 支援兩種檔案系統的部署類型:單一可用區和多可用區。部署類型提供不同層級的可用性和耐久性。單一可用區域檔案系統由單一 Windows 檔案伺服器執行個體和單一可用區域 (AZ) 內的一組儲存磁碟區組成。多可用區域檔案系統是由分散在兩個可用區域的 Windows 檔案伺服器的高可用性叢集組成。由於提供的高可用性和耐久性模型,我們建議對大多數生產工作負載使用異地同步備份部署類型。
修補
您可以設定 Amazon FSx for Windows File Server 檔案系統,以在建立檔案系統時使用異地同步備份部署類型。您無法變更現有 FSx for Windows File Server 檔案系統的部署類型。
如需 FSx for Windows File Server 檔案系統的部署類型和選項的相關資訊,請參閱《Amazon FSx for Windows File Server 使用者指南》中的可用性和耐用性:單一可用區域和多可用區域檔案系統和 Amazon FSx for Windows File Server 入門。 FSx
