本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Kinesis 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Kinesis 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【Kinesis.1】 Kinesis 串流應靜態加密
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::Kinesis::Stream
AWS Config 規則:kinesis-stream-encrypted
排程類型:已觸發變更
參數:無
此控制項會檢查 Kinesis Data Streams 是否使用伺服器端加密進行靜態加密。如果 Kinesis 串流未使用伺服器端加密進行靜態加密,則此控制會失敗。
伺服器端加密是 Amazon Kinesis Data Streams 的一項功能,可在資料處於靜態狀態之前使用 自動加密資料 AWS KMS key。資料會在寫入 Kinesis 串流儲存層之前加密,並在從儲存體擷取資料後解密。因此,您的資料會在 Amazon Kinesis Data Streams 服務內進行靜態加密。
修補
如需有關為 Kinesis 串流啟用伺服器端加密的資訊,請參閱《Amazon Kinesis 開發人員指南》中的如何開始使用伺服器端加密?。
【Kinesis.2】 Kinesis 串流應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Kinesis::Stream
AWS Config rule:tagged-kinesis-stream(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS 要求的標籤金鑰。 | 無預設值 |
此控制項會檢查 Amazon Kinesis 資料串流是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料串流沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料串流未標記任何索引鍵,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的什麼是 ABAC AWS?。
注意
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 Kinesis 資料串流,請參閱《Amazon Kinesis 開發人員指南》中的在 Amazon Kinesis Data Streams 中標記串流。 Amazon Kinesis
【Kinesis.3】 Kinesis 串流應具有足夠的資料保留期
嚴重性:中
資源類型: AWS::Kinesis::Stream
AWS Config規則:kinesis-stream-backup-retention-check
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
minimumBackupRetentionPeriod
|
應保留資料的最小時數。 | 字串 | 24 到 8760 | 168 |
此控制項會檢查 Amazon Kinesis 資料串流的資料保留期間是否大於或等於指定的時間範圍。如果資料保留期間小於指定的時間範圍,則控制項會失敗。除非您提供資料保留期間的自訂參數值,否則 Security Hub 會使用預設值 168 小時。
在 Kinesis Data Streams 中,資料串流是一系列排序的資料記錄,旨在即時寫入和讀取。資料記錄會暫時存放在串流中的碎片中。從新增記錄的時間期間,到記錄不再可供存取的時間稱為保留期間。Kinesis Data Streams 幾乎會在減少保留期間後,立即讓超過新保留期的記錄無法存取。例如,將保留期間從 24 小時變更為 48 小時,表示在 23 小時 55 分鐘之前新增到串流的記錄仍會在 24 小時後提供。
修補
若要變更 Kinesis Data Streams 的備份保留期,請參閱《Amazon Kinesis Data Streams 開發人員指南》中的變更資料保留期。
