翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon OpenSearch Service コントロール
これらのコントロールは OpenSearch サービスリソースに関連しています。
これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Opensearch.1] OpenSearch ドメインでは、保管時の暗号化を有効にする必要があります
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-encrypted-at-rest
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 OpenSearch ドメインで encryption-at-rest 設定が有効になっているかどうかをチェックします。保管中の暗号化が有効になっていない場合、チェックは失敗します。
機密データのセキュリティを強化するには、 OpenSearch サービスドメインを保管時に暗号化するように設定する必要があります。保管中のデータの暗号化を設定すると、 は暗号化キー AWS KMS を保存および管理します。暗号化を実行するために、 は 256 ビットキー (AES-256) で Advanced Encryption Standard アルゴリズム AWS KMS を使用します。
保管時の OpenSearch サービス暗号化の詳細については、Amazon Service デベロッパーガイドの「Amazon OpenSearch Service の保管中のデータの暗号化 OpenSearch 」を参照してください。
修正
新規および既存の OpenSearch ドメインの保管時の暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「保管中のデータの暗号化を有効にする」を参照してください。
[Opensearch.2] OpenSearch ドメインはパブリックアクセス可能であってはなりません
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)
カテゴリ: 保護 > セキュアなネットワーク設定 > VPC 内のリソース
重要度: 非常事態
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-in-vpc-only
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 OpenSearch ドメインが VPC 内にあるかどうかをチェックします。このコントロールは、パブリックアクセスの可能性を判断するための VPC サブネットルーティング設定を評価しません。
OpenSearch ドメインがパブリックサブネットにアタッチされていないことを確認する必要があります。「Amazon OpenSearch Service デベロッパーガイド」の「リソースベースのポリシー」を参照してください。また、推奨されるベストプラクティスに従って VPC が確実に設定されていることを確認する必要があります。「Amazon VPC ユーザーガイド」の「VPC のセキュリティのベストプラクティス」を参照してください。
OpenSearch VPC 内にデプロイされた ドメインは、パブリックインターネットを経由することなく、プライベート AWS ネットワーク経由で VPC リソースと通信できます。この設定では、転送中のデータへのアクセスを制限することにより、セキュリティ体制が向上します。VPCs、ネットワーク ACL やセキュリティグループなど、 OpenSearch ドメインへのアクセスを保護するための多数のネットワークコントロールを提供します。Security Hub では、パブリック OpenSearch ドメインを VPCsに移行してこれらのコントロールを利用することをお勧めします。
修正
パブリックエンドポイントを使用してドメインを作成する場合、後で VPC 内にドメインを配置することはできません。代わりに、新規のドメインを作成して、データを移行する必要があります。逆の場合も同様です。VPC 内にドメインを作成する場合、パブリックエンドポイントを持つことはできません。代わりに、別のドメインを作成するか、このコントロールを無効にする必要があります。
手順については、「Amazon OpenSearch Service デベロッパーガイド」の「VPC 内で Amazon Service ドメインを起動する」を参照してください。 OpenSearch
[Opensearch.3] OpenSearch ドメインはノード間で送信されるデータを暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-node-to-node-encryption-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 OpenSearch ドメインで node-to-node 暗号化が有効になっているかどうかをチェックします。ドメインで node-to-node 暗号化が無効になっている場合、このコントロールは失敗します。
HTTPS (TLS) を使用すると、潜在的な攻撃者が または同様の攻撃を使用してネットワークトラフィックを盗聴 person-in-the-middle または操作するのを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。 OpenSearch ドメインの node-to-node 暗号化を有効にすると、クラスター内通信が転送中に暗号化されます。
この設定には、パフォーマンス上のペナルティが発生する可能性があります。このオプションを有効にする前に、パフォーマンスのトレードオフを認識してテストする必要があります。
修正
OpenSearch ドメインで node-to-node 暗号化を有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の node-to-node 「暗号化の有効化」を参照してください。
[Opensearch.4] CloudWatch ログへの OpenSearch ドメインエラーのログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-logs-to-cloudwatch
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
logtype = 'error'(カスタマイズ不可)
このコントロールは、 OpenSearch ドメインがエラーログを CloudWatch ログに送信するように設定されているかどうかをチェックします。ドメインで へのエラーログ記録が有効になっていない場合、このコントロール CloudWatch は失敗します。
OpenSearch ドメインのエラーログを有効にし、保持と応答 CloudWatch のためにログに送信する必要があります。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
修正
ログ発行を有効にするには、Amazon OpenSearch Service デベロッパーガイドの「ログ発行の有効化 (コンソール)」を参照してください。
[Opensearch.5] OpenSearch ドメインでは、監査ログ記録が有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-audit-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
cloudWatchLogsLogGroupArnList(カスタマイズ不可) – Security Hub は、このパラメータを設定しません。監査ログ用に設定する必要がある CloudWatch Logs ロググループのカンマ区切りリスト。
このルールはNON_COMPLIANT、ドメインの CloudWatch ロググループがこのパラメータリストで指定されていない場合に になります OpenSearch。
このコントロールは、 OpenSearch ドメインで監査ログ記録が有効になっているかどうかをチェックします。 OpenSearch ドメインで監査ログ記録が有効になっていない場合、このコントロールは失敗します。
監査ログは高度なカスタマイズが可能です。これにより、認証の成功と失敗、 へのリクエスト、インデックスの変更、受信検索クエリなどOpenSearch、OpenSearch クラスターでのユーザーアクティビティを追跡できます。
修正
監査ログを有効にする手順については、「Amazon OpenSearch Service デベロッパーガイド」の「監査ログの有効化」を参照してください。
[Opensearch.6] OpenSearch ドメインには少なくとも 3 つのデータノードが必要です
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-data-node-fault-tolerance
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 OpenSearch ドメインが少なくとも 3 つのデータノードで構成され、 zoneAwarenessEnabled が であるかどうかをチェックしますtrue。instanceCount が 3 未満または が の場合、 OpenSearch ドメインに対してこのコントロールzoneAwarenessEnabledは失敗しますfalse。
OpenSearch 高可用性と耐障害性を実現するために、ドメインには少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch ドメインをデプロイすると、ノードに障害が発生した場合にクラスターオペレーションが保証されます。
修正
OpenSearch ドメイン内のデータノードの数を変更するには
AWS コンソールにサインインし、https://console.aws.amazon.com/aos/
で Amazon OpenSearch Service コンソールを開きます。 [My domains] (ドメイン) で、編集するドメインの名前を選択し、[Edit] (編集) を選択します。
[Data nodes] (データノード) で、[Number of nodes] (ノード数) を
3以上の数値に設定します。3 つのアベイラビリティーゾーンに展開する場合は、アベイラビリティーゾーン間で均等に分配されるように 3 の倍数に設定します。[送信] を選択します。
[Opensearch.7] OpenSearch ドメインでは、きめ細かなアクセスコントロールを有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6
カテゴリ: 保護 > セキュアなアクセス管理 > 機密性の高い API オペレーションアクションを制限する
重要度: 高
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-access-control-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、 OpenSearch ドメインできめ細かなアクセスコントロールが有効になっているかどうかをチェックします。きめ細かなアクセスコントロールが有効でない場合、このコントロールは失敗します。きめ細かなアクセスコントロールではupdate-domain-config、 OpenSearch パラメータadvanced-security-optionsで を有効にする必要があります。
きめ細かなアクセスコントロールは、Amazon OpenSearch Service 上のデータへのアクセスを制御する追加の方法を提供します。
修正
きめ細かなアクセスコントロールを有効にするには、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon Service でのきめ細かなアクセスコントロール」を参照してください。 OpenSearch
[Opensearch.8] OpenSearch ドメインへの接続は、最新の TLS セキュリティポリシーを使用して暗号化する必要があります
関連する要件: NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)
カテゴリ: 保護 > データ保護 > の暗号化 data-in-transit
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-https-required
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
tlsPolicies: Policy-Min-TLS-1-2-PFS-2023-10(カスタマイズ不可)
このコントロールは、Amazon OpenSearch Service ドメインエンドポイントが最新の TLS セキュリティポリシーを使用するように設定されているかどうかをチェックします。 OpenSearch ドメインエンドポイントがサポートされている最新のポリシーを使用するように設定されていない場合、または HTTPsは失敗します。
HTTPS (TLS) を使用すると、潜在的な攻撃者がネットワークトラフィックを傍受 person-in-the-middle または操作するために または同様の攻撃を使用することを防ぐことができます。HTTPS (TLS) 経由の暗号化された接続のみを許可する必要があります。転送中のデータの暗号化は、パフォーマンスに影響する可能性があります。TLS のパフォーマンスプロファイルと TLS の影響を把握するには、この機能を使用してアプリケーションをテストする必要があります。TLS 1.2 は、以前の TLS バージョンに比べて、いくつかのセキュリティ機能の強化を提供します。
修正
TLS 暗号化を有効にするには、 UpdateDomainConfig API オペレーションを使用します。の値を指定するように DomainEndpointOptionsフィールドを設定しますTLSSecurityPolicy。詳細については、「Amazon OpenSearch Service デベロッパーガイド」の「N ode-to-node 暗号化」を参照してください。
[Opensearch.9] OpenSearch ドメインにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール: tagged-opensearch-domain (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ:
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、Amazon OpenSearch Service ドメインにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ドメインにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ドメインにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。
タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用すると、属性ベースのアクセスコントロール (ABAC) を認証戦略として実装できます。ABAC は、タグに基づいてアクセス許可を定義します。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルには、単一の ABAC ポリシーまたは個別のポリシーセットを作成できます。これらの ABAC ポリシーを設計して、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可できます。詳細については、IAM ユーザーガイドの「 の ABAC とは AWS」を参照してください。
注記
個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS のサービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
OpenSearch サービスドメインにタグを追加するには、「Amazon OpenSearch Service デベロッパーガイド」の「タグの使用」を参照してください。
[Opensearch.10] OpenSearch ドメインには最新のソフトウェア更新がインストールされている必要があります
関連する要件: NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 低
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-update-check
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon OpenSearch Service ドメインに最新のソフトウェア更新がインストールされているかどうかをチェックします。ソフトウェアアップデートが利用可能で、ドメインにインストールされていない場合、コントロールは失敗します。
OpenSearch サービスソフトウェアの更新により、環境で使用できる最新のプラットフォームの修正、更新、機能が提供されます。パッチのインストール up-to-date を継続することで、ドメインのセキュリティと可用性を維持できます。必要なアップデートに関するアクションを実行しない場合、サービスソフトウェアは (通常 2 週間後に) 自動的に更新されます。サービスの中断を最小限に抑えるため、ドメインへのトラフィックが少ない時間帯にアップデートをスケジュールすることをお勧めします。
修正
OpenSearch ドメインのソフトウェア更新をインストールするには、「Amazon OpenSearch Service デベロッパーガイド」の「更新の開始」を参照してください。
[Opensearch.11] OpenSearch ドメインには、少なくとも 3 つの専用プライマリノードが必要です
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2、NIST.800-53.r5 SC-5、NIST.800-53.r5 SC-36、NIST.800-53.r5 SI-13
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ: AWS::OpenSearch::Domain
AWS Config ルール : opensearch-primary-node-fault-tolerance
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: なし
このコントロールは、Amazon OpenSearch Service ドメインに少なくとも 3 つの専用プライマリノードが設定されているかどうかを確認します。ドメインの専用プライマリノードが 3 つ未満の場合、コントロールは失敗します。
OpenSearch サービスは、クラスターの安定性を高めるために専用のプライマリノードを使用します。専用プライマリノードはクラスター管理タスクを実行しますが、データを保持したり、データのアップロードリクエストに応答したりしません。スタンバイでマルチ AZ を使用することをお勧めします。スタンバイでは、各本番 OpenSearch ドメインに 3 つの専用プライマリノードが追加されます。
修正
OpenSearch ドメインのプライマリノードの数を変更するには、「Amazon OpenSearch Service デベロッパーガイド」の「Amazon Service ドメインの作成と管理」を参照してください。 OpenSearch
