本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Kinesis 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon Kinesis 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【Kinesis.1】 Kinesis 串流應靜態加密
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::Kinesis::Stream`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-encrypted.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Kinesis Data Streams 是否使用伺服器端加密進行靜態加密。如果 Kinesis 串流未使用伺服器端加密進行靜態加密,則此控制會失敗。
伺服器端加密是 Amazon Kinesis Data Streams 的一項功能,可在資料處於靜態狀態之前使用 自動加密資料 AWS KMS key。資料會在寫入 Kinesis 串流儲存層之前加密,並在從儲存體擷取資料後解密。因此,您的資料會在 Amazon Kinesis Data Streams 服務內進行靜態加密。
### 修補
如需有關為 Kinesis 串流啟用伺服器端加密的資訊,請參閱《*Amazon Kinesis 開發人員指南*》中的[如何開始使用伺服器端加密?](https://docs.aws.amazon.com/streams/latest/dev/getting-started-with-sse.html)。
## 【Kinesis.2】 Kinesis 串流應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::Kinesis::Stream`
**AWS Config rule:**`tagged-kinesis-stream`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 Amazon Kinesis 資料串流是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料串流沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料串流未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 Kinesis 資料串流,請參閱《[Amazon Kinesis 開發人員指南》中的在 Amazon Kinesis Data Streams 中標記串流](https://docs.aws.amazon.com/streams/latest/dev/tagging.html)。 *Amazon Kinesis *
## 【Kinesis.3】 Kinesis 串流應具有足夠的資料保留期
**嚴重性:**中
**資源類型:** `AWS::Kinesis::Stream`
**AWS Config規則:**[https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html](https://docs.aws.amazon.com/config/latest/developerguide/kinesis-stream-backup-retention-check.html)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| minimumBackupRetentionPeriod | 應保留資料的最小時數。 | String | 24 至 8760 | 168 |
此控制項會檢查 Amazon Kinesis 資料串流的資料保留期間是否大於或等於指定的時間範圍。如果資料保留期間小於指定的時間範圍,則控制項會失敗。除非您提供資料保留期間的自訂參數值,否則 Security Hub CSPM 會使用預設值 168 小時。
在 Kinesis Data Streams 中,資料串流是一系列排序的資料記錄,旨在即時寫入和讀取。資料記錄會暫時存放在串流中的碎片中。從新增記錄的時間期間,到記錄不再可供存取的時間稱為保留期間。Kinesis Data Streams 幾乎會在減少保留期間後,立即讓超過新保留期的記錄無法存取。例如,將保留期間從 24 小時變更為 48 小時,表示在 23 小時 55 分鐘之前新增到串流的記錄仍會在 24 小時後提供。
### 修補
若要變更 Kinesis Data Streams 的備份保留期,請參閱《*Amazon Kinesis Data Streams 開發人員指南*》中的[變更資料保留期](https://docs.aws.amazon.com/streams/latest/dev/kinesis-extended-retention.html)。