Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon DynamoDB
Ces contrôles sont liés aux ressources DynamoDB.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
Exigences associées : NIST .800-53.r5 CP-10, .800-53.r5 CP-2 (2), NIST .800-53.r5 CP-6 (2), .800-53.r5 SC-36, NIST .800-53.r5 SC-5 (2), .800-53.r5 SI-13 (5) NIST NIST NIST
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
Règle AWS Config : dynamodb-autoscaling-enabled
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées valides | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre minimal d'unités de capacité de lecture allouées pour le dimensionnement automatique de DynamoDB |
Entier |
|
Aucune valeur par défaut |
|
|
Pourcentage d'utilisation cible de la capacité de lecture |
Entier |
|
Aucune valeur par défaut |
|
|
Nombre minimal d'unités de capacité d'écriture allouées pour le dimensionnement automatique de DynamoDB |
Entier |
|
Aucune valeur par défaut |
|
|
Pourcentage d'utilisation cible de la capacité d'écriture |
Entier |
|
Aucune valeur par défaut |
Ce contrôle vérifie si une table Amazon DynamoDB peut adapter sa capacité de lecture et d'écriture selon les besoins. Le contrôle échoue si la table n'utilise pas le mode capacité à la demande ou le mode provisionné avec mise à l'échelle automatique configurée. Par défaut, ce contrôle nécessite uniquement la configuration de l'un de ces modes, sans tenir compte des niveaux spécifiques de capacité de lecture ou d'écriture. Vous pouvez éventuellement fournir des valeurs de paramètres personnalisées pour exiger des niveaux spécifiques de capacité de lecture et d'écriture ou un taux d'utilisation cible.
L'adaptation de la capacité à la demande permet d'éviter de limiter les exceptions, ce qui permet de maintenir la disponibilité de vos applications. Les tables DynamoDB en mode capacité à la demande ne sont limitées que par les quotas de table par défaut du débit DynamoDB. Pour augmenter ces quotas, vous pouvez déposer un ticket d'assistance avec des tables AWS Support.DynamoDB en mode provisionné. Le dimensionnement automatique permet d'ajuster dynamiquement la capacité de débit allouée en fonction des modèles de trafic. Pour plus d'informations sur la limitation des demandes DynamoDB, consultez la section Limitation des demandes et capacité de rafale dans le manuel du développeur Amazon DynamoDB.
Correction
Pour activer le dimensionnement automatique de DynamoDB sur des tables existantes en mode capacité, consultez la section Activation du dimensionnement automatique de DynamoDB sur des tables existantes dans le manuel Amazon DynamoDB Developer Guide.
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
Exigences connexes : NIST .800-53.r5 CP-10, .800-53.r5 CP-6 (2), NIST .800-53.r5 CP-9, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST NIST NIST
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
Règle AWS Config : dynamodb-pitr-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si point-in-time recovery (PITR) est activé pour une table Amazon DynamoDB.
Les sauvegardes vous aident à récupérer plus rapidement après un incident de sécurité. Ils renforcent également la résilience de vos systèmes. La restauration point-in-time DynamoDB automatise les sauvegardes des tables DynamoDB. Cela réduit le temps de restauration suite à des opérations de suppression ou d'écriture accidentelles. Les tables DynamoDB activées peuvent être restaurées à tout moment au cours des 35 derniers jours. PITR
Correction
Pour restaurer une table DynamoDB à un point dans le temps, consultez la section Restauration d'une table DynamoDB à un moment donné dans le manuel Amazon DynamoDB Developer Guide.
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
Exigences connexes : NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::DAX::Cluster
Règle AWS Config : dax-encryption-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator DAX () est chiffré au repos. Le contrôle échoue si le DAX cluster n'est pas chiffré au repos.
Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Le chiffrement ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, API des autorisations sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.
Correction
Vous ne pouvez pas activer ou désactiver le chiffrement au repos après la création d'un cluster. Vous devez recréer le cluster afin d'activer le chiffrement au repos. Pour obtenir des instructions détaillées sur la création d'un DAX cluster avec le chiffrement au repos activé, consultez la section Activation du chiffrement au repos AWS Management Consoleà l'aide du manuel du développeur Amazon DynamoDB.
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
Exigences associées : NIST .800-53.r5 CP-10, .800-53.r5 CP-6, NIST .800-53.r5 CP-6 (1), .800-53.r5 CP-6 (2), NIST .800-53.r5 CP-9, .800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST NIST NIST NIST
Catégorie : Restauration > Résilience > Sauvegardes activées
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dynamodb-resources-protected-by-backup-plan
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Le contrôle produit un |
Booléen |
|
Aucune valeur par défaut |
Ce contrôle évalue si une ACTIVE table Amazon DynamoDB en cours est couverte par un plan de sauvegarde. Le contrôle échoue si la table DynamoDB n'est pas couverte par un plan de sauvegarde. Si vous définissez le backupVaultLockCheck paramètre égal àtrue, le contrôle est transmis uniquement si la table DynamoDB est sauvegardée dans AWS Backup un coffre verrouillé.
AWS Backup est un service de sauvegarde entièrement géré qui vous aide à centraliser et à automatiser la sauvegarde des données entre tous AWS services. Vous pouvez ainsi créer des plans de sauvegarde qui définissent vos besoins en matière de sauvegarde, tels que la fréquence de sauvegarde de vos données et la durée de conservation de ces sauvegardes. AWS Backup L'inclusion de tables DynamoDB dans vos plans de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.
Correction
Pour ajouter une table DynamoDB à AWS Backup un plan de sauvegarde, consultez la section Affectation de ressources à un plan de sauvegarde dans le Guide du développeur.AWS Backup
[DynamoDB.5] Les tables DynamoDB doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : tagged-dynamodb-table (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si une table Amazon DynamoDB possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si la table ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la table n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une table DynamoDB, consultez la section Marquage des ressources dans DynamoDB dans le manuel du développeur Amazon DynamoDB.
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
Exigences associées : NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-2, .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-3, NIST .800-53.r5 SC-5 (2) NIST NIST
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dynamodb-table-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur une table Amazon DynamoDB. Le contrôle échoue si la protection contre la suppression n'est pas activée sur une table DynamoDB.
Vous pouvez protéger une table DynamoDB contre toute suppression accidentelle à l'aide de la propriété de protection contre la suppression. L'activation de cette propriété pour les tables permet de garantir que les tables ne sont pas supprimées accidentellement lors des opérations de gestion des tables régulières effectuées par vos administrateurs. Cela permet d'éviter toute interruption de vos activités commerciales normales.
Correction
Pour activer la protection contre la suppression pour une table DynamoDB, consultez la section Utilisation de la protection contre la suppression dans le manuel Amazon DynamoDB Developer Guide.
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
Exigences connexes : NIST .800-53.r5 AC-17, .800-53.r5 SC-8, .800-53.r5 SC-13, NIST .800-53.r5 SC-23 NIST NIST
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::DynamoDB::Table
AWS Config règle : dax-tls-endpoint-encryption
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si un cluster Amazon DynamoDB Accelerator DAX () est chiffré en transit, le type de chiffrement du point de terminaison étant défini sur. TLS Le contrôle échoue si le DAX cluster n'est pas chiffré pendant le transit.
HTTPS(TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser des attaques person-in-the-middle ou des attaques similaires pour espionner ou manipuler le trafic réseau. Vous ne devez autoriser que les connexions chiffrées TLS pour accéder aux DAX clusters. Toutefois, le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec le chiffrement activé pour comprendre le profil de performance et l'impact deTLS.
Correction
Vous ne pouvez pas modifier le paramètre de TLS chiffrement après avoir créé un DAX cluster. Pour chiffrer un DAX cluster existant, créez-en un nouveau avec le chiffrement en transit activé, transférez le trafic de votre application vers celui-ci, puis supprimez l'ancien cluster. Pour plus d'informations, consultez la section Utilisation de la protection contre les suppressions dans le manuel Amazon DynamoDB Developer Guide.
