Amazon DynamoDB 控制 - AWS Security Hub
[DynamoDB 資料表應該會根據需求自動擴展容量[動態 DynamoDB] 資料表應該已啟用復原 point-in-time [動態 B. 3] DynamoDB 加速器 (DAX) 叢集應在靜態時加密備份計劃中應該有 DynamoDB 資料表[動態 B] 應標記動態資料表[動態 DynamoDB] 資料表應該已啟用刪除保護[DynamoDB 加速器叢集在傳輸過程中應加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon DynamoDB 控制

這些控制項與 DynamoDB 資源相關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱 各區域控制項的可用性

[DynamoDB 資料表應該會根據需求自動擴展容量

相關要求:指定的 CP-10,電腦 -53.R5 CP-2(2),指定的是 800-53.R5 CP-6(2),指定的 SC-36,指定的 800-53.R5 SC-5(2),指定的 800-53.R5(2),指定的 800-53.R5 SI-13(5)

分類:復原 > 復原能力 > 高可用性

嚴重性:

資源類型:AWS::DynamoDB::Table

AWS Config 規則:dynamodb-autoscaling-enabled

排程類型:定期

參數:

參數 Description (描述) Type 有效的自訂值 Security Hub 預設值

minProvisionedReadCapacity

DynamoDB auto 擴展的佈建讀取容量單位數下限

Integer

1 設定為 40000

無預設值

targetReadUtilization

讀取容量的目標使用率百分比

Integer

20 設定為 90

無預設值

minProvisionedWriteCapacity

DynamoDB auto 擴展的佈建寫入容量單位數下限

Integer

1 設定為 40000

無預設值

targetWriteUtilization

寫入容量的目標使用率百分比

Integer

20 設定為 90

無預設值

此控制項會檢查 Amazon DynamoDB 表格是否可視需要擴展其讀取和寫入容量。如果表格未使用隨需容量模式或已配置 auto 擴展的佈建模式,則控制項會失敗。根據預設,此控制項只需要設定其中一種模式,而不考慮特定層級的讀取或寫入容量。或者,您可以提供自訂參數值,以要求特定層次的讀取和寫入容量或目標使用率。

隨需求調整容量可避免限制例外狀況,這有助於維持應用程式的可用性。隨需容量模式下的 DynamoDB 表僅受 DynamoDB 輸送量預設表格配額的限制。若要提高這些配額,您可以在佈建模式下使用 AWS Support.DynamoDB 表提交支援票證,並使用 auto 動擴展功能動態調整佈建的輸送量容量,以回應流量模式。如需 DynamoDB 請求節流的詳細資訊,請參閱 Amazon DynamoDB 開發人員指南中的請求節流和爆發容量

修補

若要在容量模式下對現有表格啟用 DynamoDB 自動擴展,請參閱 Amazon DynamoDB 開發人員指南中的在現有表格上啟用 DynamoDB 自動擴展

[動態 DynamoDB] 資料表應該已啟用復原 point-in-time

相關要求:指定電腦 -53.R5 CP-10、指定電源 6 (2)、指定項目 (8) -53.R5 CP-9、N.800-53.R5 SC-5 (2)、日本電子郵件 800-53.R5 SI-12、SI-13 (5)

類別:復原 > 復原 > 啟用備份

嚴重性:

資源類型:AWS::DynamoDB::Table

AWS Config 規則:dynamodb-pitr-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon DynamoDB 表格是否已啟用 point-in-time 復原 (PITR)。

備份可協助您更快速地從安全性事件中復原。它們還可以增強系統的彈性。動 DynamoDB 料庫 point-in-time 復原會自動執行動 DynamoDB 資料表的備份。它減少了從意外刪除或寫入操作中恢復的時間。已啟用 PITR 的 DynamoDB 表格可以還原到過去 35 天內的任何時間點。

修補

若要將 DynamoDB 表格還原到某個時間點,請參閱 Amazon DynamoDB 開發人員指南中的將 DynamoDB 表還原到某個時間點

[動態 B. 3] DynamoDB 加速器 (DAX) 叢集應在靜態時加密

相關要求:電腦 -53.R5 CA-9 (1)、等級 5 厘米 -3 (6)、奈特.SC-13 SC-28 SC-28

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型:AWS::DAX::Cluster

AWS Config 規則:dax-encryption-enabled

排程類型:定期

參數:

此控制項可檢查 Amazon DynamoDB 加速器 (DAX) 叢集是否在靜態時加密。如果 DAX 叢集未在靜態時加密,則控制項會失敗。

靜態資料加密可降低未經驗證的使用者存取儲存在磁碟上的資料的風險。 AWS加密新增了另一組存取控制,以限制未經授權使用者存取資料的能力。例如,在讀取資料之前,需要 API 權限才能解密資料。

修補

建立叢集之後,您無法啟用或停用靜態加密。您必須重新建立叢集,才能啟用靜態加密。如需如何建立已啟用靜態加密的 DAX 叢集的詳細指示,請參閱 Amazon DynamoDB 開發人員指南AWS Management Console中的使用啟用靜態加密

備份計劃中應該有 DynamoDB 資料表

相關要求:CP-10、NIST-53.R5 CP-6、NIST-53.R5 CP-6 (1)、NIST-53.R5 CP-6 (2)、指令碼:800-53.R5 CP-9、指令碼:800-53.R5、SI-12 SI-13

類別:復原 > 復原 > 啟用備份

嚴重性:

資源類型:AWS::DynamoDB::Table

AWS Config 規則:dynamodb-resources-protected-by-backup-plan

排程類型:定期

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

backupVaultLockCheck

如果參數設定為true且資源使用「文件 AWS Backup 庫鎖定」,則控制項會產生PASSED發現結果。

Boolean

truefalse *

無預設值

此控制項會評估ACTIVE狀態中的 Amazon DynamoDB 資料表是否涵蓋在備份計劃中。如果備份計劃未涵蓋 DynamoDB 表格,則控制項會失敗。如果將backupVaultLockCheck參數設定為等於true,則僅當 DynamoDB 表格在 AWS Backup 鎖定的儲存庫中備份時,控制項才會通過。

AWS Backup 是一項全受管備份服務,可協助您集中並自動備份資 AWS 服務料。使用時 AWS Backup,您可以建立定義備份需求的備份計劃,例如備份資料的頻率,以及保留這些備份的時間長度。在備份計劃中包含 DynamoDB 表可協助您保護資料免於意外遺失或刪除。

修補

若要將 DynamoDB 表新增至 AWS Backup 備份計劃,請參閱AWS Backup 開發人員指南中的將資源指派給備份計劃

[動態 B] 應標記動態資料表

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::DynamoDB::Table

AWS Config 規則:tagged-dynamodb-table(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 No default value

此控制項會檢查 Amazon DynamoDB 表格是否具有標籤,其中包含參數中定義的特定金鑰。requiredTagKeys如果資料表沒有任何標籤索引鍵,或是沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤索引鍵是否存在,如果資料表未使用任何索引鍵標記,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤,它包含索引鍵和選用值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。當您使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 做為授權策略,該策略會根據標籤定義權限。您可以將標籤附加到 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或單獨的政策集。您可以設計這些 ABAC 原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱 ABAC 的用途為 AWS何? 在 IAM 使用者指南中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳做法,AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至 DynamoDB 表格,請參閱 Amazon DynamoDB 開發人員指南中的標記資源

[動態 DynamoDB] 資料表應該已啟用刪除保護

相關需求:第八千五卡 -53.R9 (1)、電腦 5 公分 (5 公分)、鎳五公分二 (2)、電子顯示器 -53.R5 公分 (3)、日本電腦 -53.R5 公分 (2)

分類:保護 > 資料保護 > 資料刪除保護

嚴重性:

資源類型:AWS::DynamoDB::Table

AWS Config 規則:dynamodb-table-deletion-protection-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon DynamoDB 資料表是否已啟用刪除保護。如果 DynamoDB 表格未啟用刪除保護,則控制項會失敗。

您可以使用刪除保護屬性保護 DynamoDB 表格免於意外刪除。針對資料表啟用此屬性有助於確保系統管理員在一般資料表管理作業期間,不會意外刪除資料表。這有助於防止您的正常業務運營中斷。

修補

若要為 DynamoDB 表格啟用刪除保護,請參閱 Amazon Dynam oDB 開發人員指南中的使用刪除保護

[DynamoDB 加速器叢集在傳輸過程中應加密

相關要求:電腦 -53.R5 AC-17,尼斯卡 8,電信 800-53.R5,SC-13,鎳。SC-23

分類:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型:AWS::DynamoDB::Table

AWS Config 規則:dax-tls-endpoint-encryption

排程類型:定期

參數:

此控制項可檢查 Amazon DynamoDB 加速器 (DAX) 叢集是否在傳輸過程中加密,且端點加密類型設定為 TLS。如果 DAX 叢集在傳輸過程中未加密,則控制項會失敗。

HTTPS (TLS) 可用來協助防止潛在攻擊者利用 person-in-the-middle 或類似攻擊來竊聽或操控網路流量。您應該只允許透過 TLS 的加密連線存取 DAX 叢集。不過,加密傳輸中的資料可能會影響效能。您應該在開啟加密的情況下測試應用程式,以瞭解效能設定檔和 TLS 的影響。

修補

您無法在建立 DAX 叢集之後變更 TLS 加密設定。若要加密現有的 DAX 叢集,請建立啟用傳輸中加密的新叢集,將應用程式的流量轉移至該叢集,然後刪除舊叢集。如需詳細資訊,請參閱 Amazon DynamoDB 開發人員指南中的使用刪除保護