DynamoDB の Security Hub コントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DynamoDB の Security Hub コントロール

これらの AWS Security Hub コントロールは、Amazon DynamoDB サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ : AWS::DynamoDB::Table

AWS Config ルール : dynamodb-autoscaling-enabled

スケジュールタイプ : 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 有効なカスタム値 Security Hub のデフォルト値

minProvisionedReadCapacity

DynamoDB 自動スケーリング用にプロビジョニングされた読み込みキャパシティユニットの最小数

整数

140000

デフォルト値なし

targetReadUtilization

読み込みキャパシティのターゲット使用率 (%)

整数

2090

デフォルト値なし

minProvisionedWriteCapacity

DynamoDB 自動スケーリング用にプロビジョニングされた書き込みキャパシティユニットの最小数

整数

140000

デフォルト値なし

targetWriteUtilization

書き込みキャパシティのターゲット使用率 (%)

整数

2090

デフォルト値なし

このコントロールは、Amazon DynamoDB テーブルが必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかをチェックします。テーブルで自動スケーリングが設定されたオンデマンドキャパシティモードまたはプロビジョンモードを使用しない場合、コントロールは失敗します。デフォルトでは、このコントロールは、特定のレベルの読み込みまたは書き込みキャパシティに関係なく、これらのモードのいずれかを設定するだけで済みます。必要に応じて、特定のレベルの読み込みおよび書き込みキャパシティ、またはターゲット使用率を必要とするカスタムパラメータ値を指定できます。

需要に応じて容量をスケーリングすると、スロットリング例外を回避し、アプリケーションの可用性を維持するのに役立ちます。オンデマンドキャパシティモードの DynamoDB テーブルは、DynamoDB スループットのデフォルトテーブルクォータによってのみ制限されます。これらのクォータを引き上げるには、トラフィックパターンに応じてプロビジョニングされたスループット容量を自動スケーリングで調整するプロビジョニングモードの AWS Support.DynamoDB テーブルでサポートチケットを提出できます。DynamoDB リクエストスロットリングの詳細については、「Amazon DynamoDB 開発者ガイド」の「リクエストのスロットリングとバーストキャパシティ」を参照してください。

修正

キャパシティモードで既存テーブルの DynamoDB オートスケーリングを有効にするには、「Amazon DynamoDB 開発者ガイド」の「既存のテーブルでの DynamoDB Auto Scaling の有効化」を参照してください。

[DynamoDB.2] DynamoDB テーブルでは point-in-time リカバリを有効にする必要があります

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ : AWS::DynamoDB::Table

AWS Config ルール : dynamodb-pitr-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon DynamoDB テーブルで point-in-time リカバリ (PITR) が有効になっているかどうかをチェックします。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。DynamoDB point-in-time リカバリは、DynamoDB テーブルのバックアップを自動化します。偶発的な削除や書き込み操作から回復する時間が短縮されます。PITR が有効になっている DynamoDB テーブルは、過去 35 日間の任意の時点に復元できます。

修正

DynamoDB テーブルを特定の時点に復元するには、「Amazon DynamoDB 開発者ガイド」の「DynamoDB テーブルをある時点に復元する」を参照してください。

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-28、 NIST.800-53.r5 SC-28 (1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7 (6)

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::DAX::Cluster

AWS Config ルール : dax-encryption-enabled

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon DynamoDB Accelerator (DAX) クラスターが保管中に暗号化されているかどうかを確認します。DAX クラスターが保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータを暗号化すると、ディスクに保存されているデータが、 に対して認証されていないユーザーによってアクセスされるリスクが軽減されます AWS。暗号化により、権限のないユーザーがデータにアクセスする能力を制限するために、別の一連のアクセスコントロールが追加されます。例えば、読み取り前にデータを復号化するにはアクセスAPI許可が必要です。

修正

クラスターが作成された後は、保管中の暗号化を有効または無効にすることはできません。保管中の暗号化を有効にするにはクラスターを再作成する必要があります。保管時の暗号化を有効にしてDAXクラスターを作成する方法の詳細については、「Amazon DynamoDB デベロッパーガイド」の「 を使用した保管時の暗号化 AWS Management Consoleの有効化」を参照してください。

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ : AWS::DynamoDB::Table

AWS Config ルール: dynamodb-resources-protected-by-backup-plan

スケジュールタイプ : 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

backupVaultLockCheck

パラメータが に設定trueされ、リソースが AWS Backup ボールトロックを使用する場合、コントロールはPASSED結果を生成します。

ブール値

true、または false

デフォルト値なし

このコントロールは、ACTIVE 状態の Amazon DynamoDB テーブルがバックアッププランの対象になっているかどうかを評価します。DynamoDB テーブルがバックアッププランの対象になっていない場合、コントロールは失敗します。backupVaultLockCheck パラメータを に設定するとtrue、DynamoDB テーブルが AWS Backup ロックされたボールトにバックアップされている場合にのみコントロールが成功します。

AWS Backup は、 全体のデータのバックアップを一元化および自動化するのに役立つフルマネージドバックアップサービスです AWS サービス。を使用すると AWS Backup、データのバックアップ頻度やバックアップの保持期間など、バックアップ要件を定義するバックアッププランを作成できます。バックアッププランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。

修正

AWS Backup バックアッププランに DynamoDB テーブルを追加するには、「 AWS Backup デベロッパーガイド」の「バックアッププランへのリソースの割り当て」を参照してください。

[DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::DynamoDB::Table

AWS Config ルール: tagged-dynamodb-table (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト No default value

このコントロールは、Amazon DynamoDB テーブルに、パラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。テーブルにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、テーブルにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。これは、タグに基づいてアクセス許可を定義します。タグは、IAMエンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

DynamoDB テーブルにタグを追加するには、「Amazon DynamoDB デベロッパーガイド」の「DynamoDB でのリソースのタグ付け」を参照してください。 DynamoDB

[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

関連する要件: NIST.800-53.r5 CA-9 (1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

カテゴリ: 保護 > データ保護 > データ削除保護

重要度:

リソースタイプ : AWS::DynamoDB::Table

AWS Config ルール: dynamodb-table-deletion-protection-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon DynamoDB テーブルで削除保護が有効になっているかどうかをチェックします。DynamoDB テーブルで削除保護が有効になっていない場合、コントロールは失敗します。

削除保護プロパティを使用すると、DynamoDB テーブルを誤って削除しないように保護できます。テーブルに対してこのプロパティを有効にすると、管理者が通常のテーブル管理オペレーションを行うときにテーブルが誤って削除されるのを防ぐことができます。これにより、通常業務が中断されるのを防ぐことができます。

修正

DynamoDB テーブルの削除保護を有効にするには、「Amazon DynamoDB 開発者ガイド」の「削除保護の使用」を参照してください。

[DynamoDB.7] DynamoDB Accelerator クラスターは転送中に暗号化する必要があります

関連する要件: NIST.800-53.r5 AC-1 7、 NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23

カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit

重要度:

リソースタイプ : AWS::DynamoDB::Table

AWS Config ルール: dax-tls-endpoint-encryption

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon DynamoDB Accelerator (DAX) クラスターが転送中に暗号化され、エンドポイントの暗号化タイプが に設定されているかどうかをチェックしますTLS。DAX クラスターが転送中に暗号化されていない場合、コントロールは失敗します。

HTTPS (TLS) を使用すると、潜在的な攻撃者がネットワークトラフィックを傍受 person-in-the-middle または操作するために または同様の攻撃を使用することを防ぐことができます。DAX クラスターへのアクセスには、 経由TLSの暗号化された接続のみを許可する必要があります。ただし、転送中のデータを暗号化すると、パフォーマンスに影響する可能性があります。パフォーマンスプロファイルと の影響を理解するには、暗号化を有効にしてアプリケーションをテストする必要がありますTLS。

修正

DAX クラスターの作成後にTLS暗号化設定を変更することはできません。既存のDAXクラスターを暗号化するには、転送中の暗号化を有効にして新しいクラスターを作成し、アプリケーションのトラフィックをそのクラスターに移動してから、古いクラスターを削除します。詳細については、「Amazon DynamoDB ディベロッパーガイド」の「削除保護の使用」を参照してください。