Kinesis 的 Security Hub 控制項

這些 AWS Security Hub 控制項會評估 Amazon Kinesis 服務和資源。

這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊，請參閱各區域控制項的可用性。

[Kinesis.1] Kinesis 串流應在靜態時加密

相關要求： NIST.800-53.r5 CA-9(一)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1三、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2八、NIST八 NIST.800-53.r5 SC-7 (一)、(十)、

分類:保護 > 資料保護 > 加密 data-at-rest

嚴重性：中

資源類型：AWS::Kinesis::Stream

AWS Config 規則：kinesis-stream-encrypted

排程類型：已觸發變更

參數：無

此控制項可檢查 Kinesis Data Streams 是否已使用伺服器端加密進行靜態加密。如果 Kinesis 串流未使用伺服器端加密進行靜態加密，則此控制項會失敗。

伺服器端加密是 Amazon Kinesis Data Streams 中的一項功能，可在資料處於靜態狀態之前自動加密，方法是使用 AWS KMS key。 資料在寫入 Kinesis 串流儲存層之前會先加密，並在從儲存體擷取資料後解密。因此，您的資料會在 Amazon Kinesis Data Streams 服務中進行靜態加密。

修補

如需為 Kinesis 串流啟用伺服器端加密的相關資訊，請參閱如何開始使用伺服器端加密？ 在 Amazon Kinesis 開發人員指南中。

[運動 .2] Kinesis 流應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::Kinesis::Stream

AWS Config規則:tagged-kinesis-stream(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合的標籤列表 AWS 要求	無預設值

此控制項會檢查 Amazon Kinesis 資料串流是否具有標籤，其中包含參數requiredTagKeys中定義的特定金鑰。如果資料串流沒有任何標籤索引鍵，或者控制項沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，則控制項僅檢查標籤鍵是否存在，如果資料串流未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源，它由一個鍵和一個可選值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色)，以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱用ABAC途 AWS? 在《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。 如需更多標記最佳做法，請參閱標記您的 AWS中的資源 AWS 一般參考.

修補

若要將標籤新增至 Kinesis 資料串流，請參閱 Amazon Kinesis 開發人員指南中的在 Amazon Kinesis Data Streams 中標記您的串流。