本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon DynamoDB 控件
这些控制与 DynamoDB 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-2(2)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::DynamoDB::Table
Amazon Config 规则:dynamodb-autoscaling-enabled
计划类型:定期
参数:
参数 | 描述 | 类型 | 有效的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
|
DynamoDB 自动扩缩的预置读取容量单位的最小数量 |
整数 |
|
无默认值 |
|
读取容量的目标使用率百分比 |
整数 |
|
无默认值 |
|
DynamoDB 自动扩缩的预置写入容量单位的最小数量 |
整数 |
|
无默认值 |
|
写入容量的目标使用率百分比 |
整数 |
|
无默认值 |
此控件检查 Amazon DynamoDB 表是否可以根据需要扩展其读取和写入容量。如果表不使用按需容量模式或配置了自动扩缩的预置模式,则控制失败。默认情况下,此控件只需要配置其中一种模式,而不考虑特定的读取或写入容量级别。或者,您可以提供自定义参数值,以便要求特定的读取和写入容量级别或目标利用率。
按需扩展容量可以避免节流异常,这有助于保持应用程序的可用性。按需容量模式下的 DynamoDB 表仅受 DynamoDB 吞吐量默认表配额的限制。要提高这些配额,您可以在预配置模式下向 Amazon Web Services Support.dynamoDB 表提交支持票证,并自动缩放,根据流量模式动态调整预配置的吞吐容量。有关 DynamoDB 请求节流的更多信息,请参阅《Amazon DynamoDB 开发人员指南》中的请求节流和容量暴增。
修复
要在容量模式下对现有表启用 DynamoDB 自动扩缩,请参阅 Amazon DynamoDB 开发人员指南中的在现有表上启用 DynamoDB 自动扩缩。
[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time
相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)。
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::DynamoDB::Table
Amazon Config 规则:dynamodb-pitr-enabled
计划类型:已触发变更
参数:无
此控件检查是否为亚马逊 DynamoDB 表启用了 point-in-time 恢复 (PITR)。
备份可以帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。DynamoDB 恢复功能可 point-in-time 自动对 DynamoDB 表进行备份。它可以缩短从意外删除或写入操作中恢复的时间。启用 PITR 的 DynamoDB 表可以恢复到过去 35 天内的任何时间点。
修复
要将 DynamoDB 表恢复到某个时间点,请参阅 Amazon DynamoDB 开发人员指南中的将 DynamoDB 表恢复到某个时间点。
[DynamoDB.3] DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。
类别:保护 > 数据保护 > 静态数据加密
严重性:中
资源类型:AWS::DynamoDB::Cluster
Amazon Config 规则:dax-encryption-enabled
计划类型:定期
参数:无
此控件检查 DAX 集群是否进行静态加密。
对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 Amazon加密添加了另一组访问控制,以限制未经授权的用户访问数据的能力。例如,需要 API 权限才能解密数据,然后才能读取数据。
修复
创建集群后,您无法启用或禁用静态加密。您必须重新创建集群才能启用静态加密。有关如何创建启用静态加密的 DAX 集群的详细说明,请参阅 Amazon DynamoDB 开发人员指南中的使用 Amazon Web Services Management Console启用静态加密。
[DynamoDB.4] 备份计划中应有 DynamoDB 表
相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)。
类别:恢复 > 弹性 > 启用备份
严重性:中
资源类型:AWS::DynamoDB::Table
Amazon Config 规则:dynamodb-resources-protected-by-backup-plan
计划类型:定期
参数:
参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
---|---|---|---|---|
|
如果将参数设置为, |
布尔值 |
|
无默认值 |
此控件评估备份计划是否涵盖了处于 ACTIVE
状态的 Amazon DynamoDB 表。如果备份计划不涵盖 DynamoDB 表,则控制失败。如果将backupVaultLockCheck
参数设置为true
,则只有在锁定的文件库中备份 DynamoDB 表时,控制才会通过。 Amazon Backup
Amazon Backup 是一项完全托管的备份服务,可帮助您集中和自动备份数据 Amazon Web Services。使用 Amazon Backup,您可以创建定义备份要求的备份计划,例如备份数据的频率以及保留这些备份的时间。将 DynamoDB 表纳入备份计划可帮助您保护数据免遭意外丢失或删除。
修复
要将 DynamoDB 表添加到 Amazon Backup 备份计划,请参阅开发人员指南中的Amazon Backup 为备份计划分配资源。
[DynamodB.6] DynamoDB 表应启用删除保护
相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)。
类别:保护 > 数据保护 > 数据删除保护
严重性:中
资源类型:AWS::DynamoDB::Table
Amazon Config 规则:dynamodb-table-deletion-protection-enabled
计划类型:已触发变更
参数:无
此控件检查 Amazon DynamoDB 表是否已启用删除保护。如果 DynamoDB 表未启用删除保护,则控制失败。
您可以使用删除保护属性保护 DynamoDB 表免遭意外删除。为表启用此属性有助于确保在管理员执行常规表管理操作期间不会意外删除表。这有助于防止您的常规业务运营受到干扰。
修复
要为 DynamoDB 表启用删除保护,请参阅《Amazon DynamoDB 开发者指南》中的使用删除保护。