の Security Hub コントロール AWS DMS - AWS Security Hub
[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります[DMS.2] DMS 証明書にはタグを付ける必要があります[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。[DMS.9] DMS エンドポイントは SSL を使用する必要があります。[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール AWS DMS

これらの Security Hub コントロールは、 AWS Database Migration Service (AWS DMS) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[DMS.1] Database Migration Service のレプリケーションインスタンスは非パブリックである必要があります

関連する要件: NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-77

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 非常事態

リソースタイプ : AWS::DMS::ReplicationInstance

AWS Config ルール : dms-replication-not-public

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、 AWS DMS レプリケーションインスタンスがパブリックかどうかをチェックします。これを行うために、PubliclyAccessible フィールドの値を調査します。

プライベートレプリケーションインスタンスには、レプリケーションネットワーク外からアクセスできないプライベート IP アドレスがあります。ソースデータベースとターゲットデータベースが同じネットワーク内にある場合、レプリケーションインスタンスにはプライベート IP アドレスが必要です。ネットワークは、VPN、 AWS Direct Connect、または VPC ピアリングを使用してレプリケーションインスタンスの VPC にも接続する必要があります。パブリックおよびプライベートレプリケーションインスタンスの詳細については、「AWS Database Migration Service ユーザーガイド」の「パブリックおよびプライベートレプリケーションインスタンス」を参照してください。

また、 AWS DMS インスタンス設定へのアクセスが承認されたユーザーのみに制限されていることを確認する必要があります。これを行うには、ユーザーの IAM アクセス許可を制限して、 AWS DMS 設定とリソースを変更します。

修正

DMS レプリケーションインスタンスのパブリックアクセス設定は、作成後に変更できません。パブリックアクセス設定を変更するには、現在のインスタンスを削除してから再作成します。[パブリックアクセス可能] オプションは選択しないでください。

[DMS.2] DMS 証明書にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::DMS::Certificate

AWS Config ルール: tagged-dms-certificate (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、 AWS DMS 証明書にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。証明書にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、証明書にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC とは AWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

DMS 証明書にタグを追加するには、「AWS Database Migration Service ユーザーガイド」の「AWS Database Migration Serviceのリソースのタグ付け」を参照してください。

[DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::DMS::EventSubscription

AWS Config ルール: tagged-dms-eventsubscription (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、 AWS DMS イベントサブスクリプションにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。イベントサブスクリプションにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、イベントサブスクリプションにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC とは AWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

DMS イベントサブスクリプションにタグを追加するには、「AWS Database Migration Service ユーザーガイド」の「AWS Database Migration Serviceのリソースのタグ付け」を参照してください。

[DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::DMS::ReplicationInstance

AWS Config ルール: tagged-dms-replicationinstance (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、 AWS DMS レプリケーションインスタンスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。レプリケーションインスタンスにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、レプリケーションインスタンスにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC とは AWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

DMS レプリケーションインスタンスにタグを追加するには、「AWS Database Migration Service ユーザーガイド」の「AWS Database Migration Serviceのリソースのタグ付け」を参照してください。

[DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::DMS::ReplicationSubnetGroup

AWS Config ルール: tagged-dms-replicationsubnetgroup (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、 AWS DMS レプリケーションサブネットグループにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。レプリケーションサブネットグループにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、レプリケーションサブネットグループにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC とは AWS」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

DMS レプリケーションサブネットグループにタグを追加するには、「AWS Database Migration Service ユーザーガイド」の「AWS Database Migration Serviceのリソースのタグ付け」を参照してください。

[DMS.6] DMS レプリケーションインスタンスでは、マイナーバージョンの自動アップグレードが有効になっている必要があります。

関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/6.3.3

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度:

リソースタイプ : AWS::DMS::ReplicationInstance

AWS Config ルール : dms-auto-minor-version-upgrade-check

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS DMS レプリケーションインスタンスで自動マイナーバージョンアップグレードが有効になっているかどうかを確認します。このコントロールは、DMS レプリケーションインスタンスのマイナーバージョンの自動アップグレードが有効になっているかどうかを確認します。

DMS は、サポートされている各レプリケーションエンジンに自動的にマイナーバージョンアップグレードを行うため、レプリケーションインスタンスを最新の状態に保つことができます。マイナーバージョンには、ソフトウェアの新機能、バグ修正、セキュリティパッチ、およびパフォーマンスの向上を含む可能性があります。DMS レプリケーションインスタンスでマイナーバージョン自動アップグレードを有効にすると、マイナーアップグレードはメンテナンス期間中に自動的に適用され、[変更を今すぐ適用] オプションが選択されている場合はすぐに適用されます。

修正

DMS レプリケーションインスタンスのマイナーバージョン自動アップグレードを有効にするには、「AWS Database Migration Service ユーザーガイド」の「レプリケーションインスタンスの変更」を参照してください。

[DMS.7] ターゲットデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.25

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::DMS::ReplicationTask

AWS Config ルール : dms-replication-task-targetdb-logging

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、DMS レプリケーションタスク TARGET_APPLY および TARGET_LOADLOGGER_SEVERITY_DEFAULT の最小重要度レベルでログ記録が有効になっているかどうかを確認します。これらのタスクでロギングが有効になっていない場合や、最小重大度レベルが LOGGER_SEVERITY_DEFAULT よりも低い場合、コントロールは失敗します。

DMS は、移行プロセス中に Amazon CloudWatch を使用して情報をログ記録します。ロギングタスク設定を使用して、ログ記録するコンポーネントアクティビティとログに記録する情報量を指定できます。次のタスクにはロギングを指定する必要があります。

  • TARGET_APPLY - データおよびデータ定義言語 (DDL) ステートメントがターゲットデータベースに適用されます。

  • TARGET_LOAD — データはターゲットデータベースにロードされます。

ロギングは、モニタリング、トラブルシューティング、監査、パフォーマンス分析、エラー検出、リカバリのほか、履歴分析やレポート作成を可能にするため、DMS のレプリケーションタスクにおいて重要な役割を果たします。これにより、データの整合性と規制要件の遵守を維持しながら、データベース間のデータレプリケーションを正常に行うことができます。これらのコンポーネントでは、トラブルシューティング時に DEFAULT 以外のログレベルが必要になることは、ほぼありません。 Supportにより特に変更の要求がない限り、これらのコンポーネントには DEFAULT と同じログレベルを維持するようにしてください。DEFAULT の最低限のロギングレベルでは、情報メッセージ、警告、エラーメッセージが確実にログに書き込まれます。このコントロールは、前述のレプリケーションタスクのログレベルが、LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG または LOGGER_SEVERITY_DETAILED_DEBUG のいずれかのログレベルであるかどうかを確認します。

修正

ターゲットデータベースの DMS レプリケーションタスクのログ記録を有効にするには、「 ユーザーガイド」の AWS DMS 「タスクログの表示と管理」を参照してください。 AWS Database Migration Service

[DMS.8] ソースデータベースの DMS レプリケーションタスクでは、ロギングが有効になっている必要があります。

関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.4.25

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::DMS::ReplicationTask

AWS Config ルール : dms-replication-task-sourcedb-logging

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、DMS レプリケーションタスク SOURCE_CAPTURE および SOURCE_UNLOADLOGGER_SEVERITY_DEFAULT の最小重要度レベルでログ記録が有効になっているかどうかを確認します。これらのタスクでロギングが有効になっていない場合や、最小重大度レベルが LOGGER_SEVERITY_DEFAULT よりも低い場合、コントロールは失敗します。

DMS は、移行プロセス中に Amazon CloudWatch を使用して情報をログ記録します。ロギングタスク設定を使用して、ログ記録するコンポーネントアクティビティとログに記録する情報量を指定できます。次のタスクにはロギングを指定する必要があります。

  • SOURCE_CAPTURE— 進行中のレプリケーションまたは変更データキャプチャ (CDC) データがソースデータベースまたはサービスからキャプチャされ、SORTER サービスコンポーネントに渡されます。

  • SOURCE_UNLOAD— 全ロード中に、データがソースデータベースまたはサービスからアンロードされます。

ロギングは、モニタリング、トラブルシューティング、監査、パフォーマンス分析、エラー検出、リカバリのほか、履歴分析やレポート作成を可能にするため、DMS のレプリケーションタスクにおいて重要な役割を果たします。これにより、データの整合性と規制要件の遵守を維持しながら、データベース間のデータレプリケーションを正常に行うことができます。これらのコンポーネントでは、トラブルシューティング時に DEFAULT 以外のログレベルが必要になることは、ほぼありません。 Supportにより特に変更の要求がない限り、これらのコンポーネントには DEFAULT と同じログレベルを維持するようにしてください。DEFAULT の最低限のロギングレベルでは、情報メッセージ、警告、エラーメッセージが確実にログに書き込まれます。このコントロールは、前述のレプリケーションタスクのログレベルが、LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG または LOGGER_SEVERITY_DETAILED_DEBUG のいずれかのログレベルであるかどうかを確認します。

修正

ソースデータベースの DMS レプリケーションタスクのログ記録を有効にするには、「 ユーザーガイド」の AWS DMS 「タスクログの表示と管理」を参照してください。 AWS Database Migration Service

[DMS.9] DMS エンドポイントは SSL を使用する必要があります。

関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、PCI DSS v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::DMS::Endpoint

AWS Config ルール : dms-endpoint-ssl-configured

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、 AWS DMS エンドポイントが SSL 接続を使用しているかどうかをチェックします。エンドポイントが SSL を使用していない場合、コントロールは失敗します。

SSL/TLS 接続は、DMS レプリケーションインスタンスとデータベースの間の接続を暗号化することによって、セキュリティレイヤーを 1 つ提供します。証明書を使用すると、想定されるデータベースへの接続が確立されていることを検証することによって、追加のセキュリティレイヤーが提供されます。これを行うには、プロビジョニングしたすべての DB インスタンスに自動インストールされたサーバー証明書を確認します。DMS エンドポイントで SSL 接続を有効にすることで、移行中のデータの機密性を保護できます。

修正

SSL 接続を新規または既存の DMS エンドポイントに追加するには、「AWS Database Migration Service ユーザーガイド」の「AWS Database Migration Serviceでの SSL の使用」を参照してください。

[DMS.10] Neptune データベースの DMS エンドポイントでは、IAM 認証が有効になっている必要があります

関連する要件: NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-17、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度:

リソースタイプ : AWS::DMS::Endpoint

AWS Config ルール : dms-neptune-iam-authorization-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Neptune データベースの AWS DMS エンドポイントが IAM 認可で設定されているかどうかを確認します。DMS エンドポイントで IAM 認証が有効になっていない場合、コントロールは失敗します。

AWS Identity and Access Management (IAM) は、 全体できめ細かなアクセスコントロールを提供します AWS。IAM では、誰がどのサービスとリソースにアクセスできるか、またどの条件下でアクセスできるかを指定できます。IAM ポリシーを使用すると、ワークフォースとシステムへのアクセス許可を管理し、最小特権のアクセス許可を確保できます。Neptune データベースの AWS DMS エンドポイントで IAM 認可を有効にすると、 ServiceAccessRoleARNパラメータで指定されたサービスロールを使用して、IAM ユーザーに認可権限を付与できます。

修正

Neptune データベースの DMS エンドポイントで IAM 認証を有効にするには、「AWS Database Migration Service ユーザーガイド」の「Amazon Neptune を AWS Database Migration Serviceのターゲットとして使用する」を参照してください。

[DMS.11] MongoDB の DMS エンドポイントでは、認証メカニズムが有効になっている必要があります

関連する要件: NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-6、NIST.800-53.r5 IA-2、NIST.800-53.r5 IA-5、PCI DSS v4.0.1/7.3.1

カテゴリ: 保護 > セキュアなアクセス管理 > パスワードレス認証

重要度:

リソースタイプ : AWS::DMS::Endpoint

AWS Config ルール : dms-mongo-db-authentication-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、MongoDB の AWS DMS エンドポイントが認証メカニズムで設定されているかどうかを確認します。エンドポイントに認証タイプが設定されていない場合、コントロールは失敗します。

AWS Database Migration Service は、MongoDB バージョン 2.x 用の MongoDB-CR と MongoDB バージョン 3.x 以降の SCRAM-SHA-1 の 2 つの認証方法をサポートしています。これらの認証方法は、ユーザーがパスワードを使用してデータベースにアクセスする場合に MongoDB パスワードを認証および暗号化するために使用されます。 AWS DMS エンドポイントでの認証により、承認されたユーザーのみがデータベース間で移行されるデータにアクセスして変更できるようになります。適切な認証がないと、移行プロセス中に権限のないユーザーが機密データにアクセスできる可能性があります。これにより、データ侵害、データ損失、またはその他のセキュリティインシデントが発生する可能性があります。

修正

MongoDB の DMS エンドポイントで認証メカニズムを有効にするには、「AWS Database Migration Service ユーザーガイド」の「MongoDB を AWS DMSのソースとして使用する」を参照してください。

[DMS.12] Redis OSS の DMS エンドポイントでは TLS が有効になっている必要があります

関連する要件: NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-13、PCI DSS v4.0.1/4.2.1

カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化

重要度:

リソースタイプ : AWS::DMS::Endpoint

AWS Config ルール : dms-redis-tls-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Redis OSS の AWS DMS エンドポイントが TLS 接続で設定されているかどうかを確認します。エンドポイントで TLS が有効になっていない場合、コントロールは失敗します。

TLS は、データがインターネット経由でアプリケーションまたはデータベース間で送信されるときに、エンドツーエンドのセキュリティを提供します。DMS エンドポイントに SSL 暗号化を設定すると、移行プロセス中にソースデータベースとターゲットデータベース間の暗号化された通信が可能になります。これにより、悪意のある攻撃者による機密データの盗聴や傍受を防ぐことができます。SSL 暗号化を使用しないと、機密データにアクセスされ、データ侵害、データ損失、またはその他のセキュリティインシデントが発生する可能性があります。

修正

Redis の DMS エンドポイントで TLS 接続を有効にするには、「AWS Database Migration Service ユーザーガイド」の「AWS Database Migration Serviceのターゲットとして Redis を使用する」を参照してください。