Amazon DynamoDB コントロール - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DynamoDB コントロール

これらのコントロールは DynamoDB リソースに関連しています。

これらのコントロールは、一部では使用できない場合があります。 AWS リージョン詳細については、「リージョン別のコントロールの可用性」を参照してください。

[DynamoDB.1] DynamoDB テーブルは、需要に応じて容量をオートスケーリングする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ: AWS::DynamoDB::Table

AWS Config ルール: dynamodb-autoscaling-enabled

スケジュールタイプ: 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 有効なカスタム値 Security Hub のデフォルト値

minProvisionedReadCapacity

DynamoDB 自動スケーリング用にプロビジョニングされた読み込みキャパシティユニットの最小数

整数

140000

デフォルト値なし

targetReadUtilization

読み込みキャパシティのターゲット使用率 (%)

整数

2090

デフォルト値なし

minProvisionedWriteCapacity

DynamoDB 自動スケーリング用にプロビジョニングされた書き込みキャパシティユニットの最小数

整数

140000

デフォルト値なし

targetWriteUtilization

書き込みキャパシティのターゲット使用率 (%)

整数

2090

デフォルト値なし

このコントロールは、Amazon DynamoDB テーブルが必要に応じて読み取りおよび書き込み容量をスケーリングできるかどうかをチェックします。テーブルで自動スケーリングが設定されたオンデマンドキャパシティモードまたはプロビジョンモードを使用しない場合、コントロールは失敗します。デフォルトでは、このコントロールは、特定のレベルの読み込みまたは書き込みキャパシティに関係なく、これらのモードのいずれかを設定するだけで済みます。必要に応じて、特定のレベルの読み込みおよび書き込みキャパシティ、またはターゲット使用率を必要とするカスタムパラメータ値を指定できます。

需要に応じて容量をスケーリングすると、スロットリング例外を回避し、アプリケーションの可用性を維持するのに役立ちます。オンデマンドキャパシティモードの DynamoDB テーブルは、DynamoDB スループットのデフォルトテーブルクォータによってのみ制限されます。これらのクォータを増やすには、Aauto SCALING AWS Supportを使用するプロビジョニングモードの.DynamoDB テーブルにサポートチケットを提出し、トラフィックパターンに応じてプロビジョニングされたスループット容量を動的に調整します。DynamoDB リクエストスロットリングの詳細については、「Amazon DynamoDB 開発者ガイド」の「リクエストのスロットリングとバーストキャパシティ」を参照してください。

修正

キャパシティモードで既存テーブルの DynamoDB オートスケーリングを有効にするには、「Amazon DynamoDB 開発者ガイド」の「既存のテーブルでの DynamoDB Auto Scaling の有効化」を参照してください。

[DynamoDB.2] DynamoDB テーブルではリカバリが有効になっている必要があります point-in-time

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ: AWS::DynamoDB::Table

AWS Config ルール : dynamodb-pitr-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon DynamoDB point-in-time テーブルのリカバリ (PITR) が有効になっているかどうかを確認します。

バックアップは、セキュリティインシデントからより迅速に復元するために役立ちます。また、システムの耐障害性を強化します。DynamoDB point-in-time リカバリは DynamoDB テーブルのバックアップを自動化します。偶発的な削除や書き込み操作から回復する時間が短縮されます。PITR を有効にした DynamoDB テーブルは、過去 35 日間の任意の時点に復元できます。

修正

DynamoDB テーブルを特定の時点に復元するには、「Amazon DynamoDB 開発者ガイド」の「DynamoDB テーブルをある時点に復元する」を参照してください。

[DynamoDB.3] DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ: AWS::DynamoDB::Cluster

AWS Config ルール: dax-encryption-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、DAX クラスターが保管中に暗号化されているかどうかをチェックします。

保存中のデータを暗号化すると、認証されていないユーザーがディスクに保存されているデータにアクセスするリスクが軽減されます。 AWS暗号化により、権限のないユーザーがデータにアクセスする能力を制限するために、別の一連のアクセスコントロールが追加されます。例えば、データを読み取る前にデータを復号化するには、API の許可が必要です。

修正

クラスターが作成された後は、保管中の暗号化を有効または無効にすることはできません。保管中の暗号化を有効にするにはクラスターを再作成する必要があります。保管中の暗号化が有効な DAX クラスターを作成する方法の詳細については、「Amazon DynamoDB 開発者ガイド」の「AWS Management Consoleを使用して保管中の暗号化を有効にする」を参照してください。

[DynamoDB.4] DynamoDB テーブルはバックアッププランにある必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > バックアップの有効化

重要度:

リソースタイプ: AWS::DynamoDB::Table

AWS Config ルール:dynamodb-resources-protected-by-backup-plan

スケジュールタイプ: 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

backupVaultLockCheck

trueパラメータがに設定されていてリソースが AWS Backup Vault Lock を使用している場合、PASSEDコントロールは結果を生成します。

ブール値

true 、、または false

デフォルト値なし

このコントロールは、ACTIVE 状態の Amazon DynamoDB テーブルがバックアッププランの対象になっているかどうかを評価します。DynamoDB テーブルがバックアッププランの対象になっていない場合、コントロールは失敗します。backupVaultLockCheckパラメータをに等しく設定した場合true、DynamoDB AWS Backup テーブルがロックされたボールトにバックアップされている場合にのみ制御が渡されます。

AWS Backup はフルマネージド型のバックアップサービスで、データのバックアップを一元化および自動化できます。 AWS のサービスを使用すると AWS Backup、データをバックアップする頻度やそのバックアップを保持する期間など、バックアップ要件を定義するバックアップ計画を作成できます。バックアッププランに DynamoDB テーブルを含めると、意図しない損失や削除からデータを保護できます。

修正

DynamoDB AWS Backup テーブルをバックアッププランに追加するには、『開発者ガイド』の「バックアッププランへのリソースの割り当て」を参照してください。AWS Backup

[DynamoDB.6] DynamoDB テーブルで、削除保護が有効になっている必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

カテゴリ: 保護 > データ保護 > データ削除保護

重要度:

リソースタイプ: AWS::DynamoDB::Table

AWS Config ルール:dynamodb-table-deletion-protection-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon DynamoDB テーブルで削除保護が有効になっているかどうかをチェックします。DynamoDB テーブルで削除保護が有効になっていない場合、コントロールは失敗します。

削除保護プロパティを使用すると、DynamoDB テーブルを誤って削除しないように保護できます。テーブルに対してこのプロパティを有効にすると、管理者が通常のテーブル管理オペレーションを行うときにテーブルが誤って削除されるのを防ぐことができます。これにより、通常業務が中断されるのを防ぐことができます。

修正

DynamoDB テーブルの削除保護を有効にするには、「Amazon DynamoDB 開発者ガイド」の「削除保護の使用」を参照してください。