As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon Redshift
Esses AWS Security Hub os controles avaliam o serviço e os recursos do Amazon Redshift.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (3), (4) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: crítica
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-cluster-public-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os clusters Amazon Redshift estão acessíveis publicamente. Ele avalia o campo PubliclyAccessible no item de configuração do cluster.
O atributo PubliclyAccessible da configuração do cluster do Amazon Redshift indica se o cluster está acessível publicamente. Quando o cluster é configurado com PubliclyAccessible set totrue, é uma instância voltada para a Internet que tem um DNS nome que pode ser resolvido publicamente, que é resolvido como um endereço IP público.
Quando o cluster não está acessível publicamente, é uma instância interna com um DNS nome que se resolve para um endereço IP privado. A menos que você pretenda que seu cluster seja acessível publicamente, o cluster não deve ser configurado com PubliclyAccessible definido como true.
Correção
Para atualizar um cluster do Amazon Redshift para desativar o acesso público, consulte Modificar um cluster no Guia de gerenciamento do Amazon Redshift. Defina Acessível ao público como Sim.
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster AWS::Redshift::ClusterParameterGroup
AWS Config regra: redshift-require-tls-ssl
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as conexões com os clusters do Amazon Redshift são necessárias para usar criptografia em trânsito. A verificação falhará se o parâmetro de cluster do Amazon Redshift require_SSL não estiver definido como True.
TLSpode ser usado para ajudar a impedir que possíveis invasores usem ataques semelhantes para espionar person-in-the-middle ou manipular o tráfego da rede. Somente conexões criptografadas TLS devem ser permitidas. A criptografia de dados em trânsito pode afetar o desempenho. Você deve testar seu aplicativo com esse recurso para entender o perfil de desempenho e o impacto doTLS.
Correção
Para atualizar um grupo de parâmetros do Amazon Redshift para exigir criptografia, consulte Modificar um grupo de parâmetros no Guia de gerenciamento do Amazon Redshift. Defina require_ssl como verdadeiro.
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Backups ativados
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-backup-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Período mínimo de retenção de snapshot em dias |
Inteiro |
|
|
Esse controle verifica se um cluster do Amazon Redshift tem snapshots automatizados habilitados e um período de retenção maior ou igual ao período de tempo especificado. O controle falhará se os snapshots automatizados não estiverem habilitados para o cluster, ou se o período de retenção for inferior ao período de tempo especificado. A menos que você forneça um valor de parâmetro personalizado para o período de retenção do snapshot, o Security Hub usará um valor padrão de 7 dias.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. O Amazon Redshift faz instantâneos periódicos por padrão. Esse controle verifica se os instantâneos automáticos estão habilitados e retidos por pelo menos sete dias. Para obter mais detalhes sobre os instantâneos automatizados do Amazon Redshift, consulte instantâneos automatizados no Guia de gerenciamento do Amazon Redshift.
Correção
Para atualizar o período de retenção de instantâneos para um cluster do Amazon Redshift, consulte Modificar um cluster no Guia de gerenciamento do Amazon Redshift. Em Backup, defina Retenção de instantâneos para um valor de 7 ou mais.
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-cluster-audit-logging-enabled (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
-
loggingEnabled = true(não personalizável)
Esse controle verifica se um cluster do Amazon Redshift tem log de auditoria habilitado.
O registro em log de auditoria do Amazon Redshift fornece informações adicionais sobre conexões e atividades do usuário em seu cluster. Esses dados podem ser armazenados e protegidos no Amazon S3 e podem ser úteis em auditorias e investigações de segurança. Para obter mais informações, consulte Registros em logo de auditoria de bancos de dados no Guia de gerenciamento do Amazon Redshift.
Correção
Para configurar o registro de auditoria para um cluster do Amazon Redshift, consulte Configurar auditoria usando o console no Guia de gerenciamento do Amazon Redshift.
[Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-cluster-maintenancesettings-check
Tipo de programação: acionado por alterações
Parâmetros:
-
allowVersionUpgrade = true(não personalizável)
Esse controle verifica se as atualizações automáticas de versões principais estão habilitadas para o cluster Amazon Redshift.
A ativação de atualizações automáticas de versões principais garante que as atualizações mais recentes da versão principal dos clusters do Amazon Redshift sejam instaladas durante a janela de manutenção. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
Correção
Para corrigir esse problema a partir do AWS CLI, use o modify-cluster comando Amazon Redshift e defina o --allow-version-upgrade atributo. clustername
aws redshift modify-cluster --cluster-identifierclustername--allow-version-upgrade
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > acesso API privado
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-enhanced-vpc-routing-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon Redshift foi EnhancedVpcRouting ativado.
O VPC roteamento aprimorado força todo COPY o UNLOAD tráfego entre o cluster e os repositórios de dados a passar pelo seu. VPC Em seguida, você pode usar VPC recursos como grupos de segurança e listas de controle de acesso à rede para proteger o tráfego da rede. Você também pode usar os registros VPC de fluxo para monitorar o tráfego da rede.
Correção
Para obter instruções detalhadas de remediação, consulte Como ativar o VPC roteamento aprimorado no Guia de gerenciamento do Amazon Redshift.
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Identificar > Configuração de recursos
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-default-admin-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon Redshift alterou o nome de usuário do administrador de seu valor padrão. Esse controle falhará se o nome de usuário do administrador de um cluster do Redshift estiver definido como awsuser
Ao criar um cluster do Redshift, você deve alterar o nome de usuário do administrador padrão para um valor exclusivo. Os nomes de usuário padrão são de conhecimento público e devem ser alterados na configuração. Alterar os nomes de usuário padrão reduz o risco de acesso não intencional.
Correção
Você não pode alterar o nome de usuário do administrador do seu cluster do Amazon Redshift depois de criá-lo. Para criar um novo cluster com um nome de usuário não padrão, consulte Etapa 1: Criar uma amostra de cluster do Amazon Redshift no Guia de conceitos básicos do Amazon Redshift.
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Identificar > Configuração de recursos
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-default-db-name-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon Redshift alterou o nome do banco de dados de seu valor padrão. Esse controle falhará se o nome do banco de dados de um cluster do Redshift estiver definido como dev
Ao criar um cluster do Redshift, você deve alterar o nome do banco de dados padrão para um valor exclusivo. Os nomes padrão são de conhecimento público e devem ser alterados na configuração. Por exemplo, um nome conhecido poderia levar a um acesso inadvertido se fosse usado em condições IAM políticas.
Correção
Não é possível alterar o nome do banco de dados do seu cluster do Amazon Redshift depois que ele é criado. Para instruções sobre a criação de novo cluster, consulte Conceitos básicos do Amazon Redshift no Guia de conceitos básicos do Amazon Redshift.
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-cluster-kms-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os clusters do Amazon Redshift estão criptografados em repouso. O controle falhará se um cluster do Redshift não for criptografado em repouso ou se a chave de criptografia for diferente da chave fornecida no parâmetro da regra.
No Amazon Redshift, é possível ativar a criptografia de banco de dados para seus clusters para ajudar a proteger os dados em repouso. Quando você ativar a criptografia de um cluster, os blocos de dados e os metadados do sistema serão criptografados para o cluster e os respectivos snapshots. A criptografia de dados em repouso é uma prática recomendada, pois ela adiciona uma camada de gerenciamento de acesso aos seus dados. Criptografar clusters Redshift em repouso reduz o risco de um usuário não autenticado ter acesso aos dados armazenados em disco.
Correção
Para modificar um cluster do Redshift para usar KMS criptografia, consulte Alteração da criptografia do cluster no Guia de gerenciamento do Amazon Redshift.
[Redshift.11] Os clusters do Redshift devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: tagged-redshift-cluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um cluster do Redshift, consulte Como marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::Redshift::EventSubscription
AWS Config regra: tagged-redshift-eventsubscription (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um snapshot de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o snapshot do cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o instantâneo do cluster não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma assinatura de notificação de eventos do Redshift, consulte Como marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::Redshift::ClusterSnapshot
AWS Config regra: tagged-redshift-clustersnapshot (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um snapshot de cluster do Amazon Redshift tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o snapshot do cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o instantâneo do cluster não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um snapshot de cluster do Redshift, consulte Como marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::Redshift::ClusterSubnetGroup
AWS Config regra: tagged-redshift-clustersubnetgroup (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um grupo de sub-redes do cluster Amazon Redshift tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o grupo de sub-redes do cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo de sub-redes do cluster não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um grupo de sub-redes do cluster do Redshift, consulte Como marcar recursos no Amazon Redshift no Guia de gerenciamento do Amazon Redshift.
[Redshift.15] Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster somente de origens restritas
Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança
Severidade: alta
Tipo de recurso: AWS::Redshift::Cluster
AWS Config regra: redshift-unrestricted-port-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um grupo de segurança associado a um cluster do Amazon Redshift tem regras de entrada que permitem acesso à porta do cluster pela Internet (0.0.0.0/0 ou: :/0). O controle falhará se as regras de entrada do grupo de segurança permitirem o acesso à porta do cluster pela Internet.
Permitir acesso de entrada irrestrito à porta de cluster do Redshift (endereço IP com sufixo /0) pode resultar em acesso não autorizado ou incidentes de segurança. Recomendamos aplicar o princípio de acesso com privilégios mínimos ao criar grupos de segurança e configurar regras de entrada.
Correção
Para restringir a entrada na porta do cluster Redshift a origens restritas, consulte Trabalhar com regras de grupos de segurança no Guia do usuário da VPCAmazon. Atualize regras em que o intervalo de portas corresponda à porta do cluster do Redshift e o intervalo de portas IP seja 0.0.0.0/0.
