本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Kinesis 的 Security Hub CSPM 控件
这些Amazon Security Hub CSPM控制措施用于评估 Amazon Kinesis 服务和资源。
这些控件可能并非全部可用Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[Kinesis.1] Kinesis 直播应在静态状态下进行加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::Kinesis::Stream
Amazon Config 规则:kinesis-stream-encrypted
计划类型:已触发变更
参数:无
此控件检查 Kinesis Data Streams 是否使用服务器端加密进行静态加密。如果 Kinesis 流未使用服务器端加密进行静态加密,则此控制失败。
服务器端加密是 Amazon Kinesis Data Streams 中的一项功能,它使用 Amazon KMS key 在数据静止之前自动对其进行加密。数据在写入 Kinesis 流存储层之前进行加密,并在从存储中检索后进行解密。因此,在 Amazon Kinesis Data Streams 服务中对数据进行静态加密。
修复
有关启用 Kinesis 流的服务器端加密的信息,请参阅 Amazon Kinesis 开发人员指南中的“如何开始使用服务器端加密?”。
[Kinesis.2] 应标记 Kinesis 流
类别:识别 > 清单 > 标记
严重性:低
资源类型:Amazon::Kinesis::Stream
Amazon Config规则:tagged-kinesis-stream(自定义 Security Hub CSPM 规则)
计划类型:已触发变更
参数:
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 Amazon 要求的标签键。 | 无默认值 |
此控件可检查 Amazon Kinesis 数据流是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果数据流没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果数据流未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给Amazon资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和Amazon资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签Amazon Web Services 服务,包括Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon资源添加标签。Amazon Web Services 一般参考
修复
要向 Kinesis 数据流添加标签,请参阅《Amazon Kinesis Developer Guide》中的 Tagging your streams in Amazon Kinesis Data Streams。
[Kinesis.3] Kinesis 流应有足够的数据留存期
严重性:中
资源类型:Amazon::Kinesis::Stream
Amazon Config 规则:kinesis-stream-backup-retention-check
计划类型:已触发变更
参数:
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
|---|---|---|---|---|
minimumBackupRetentionPeriod
|
数据应保留的最少小时数。 | 字符串 | 24 到 8760 | 168 |
此控件可检查 Amazon Kinesis 数据流的数据留存期是否大于或等于指定时间范围。如果数据留存期小于指定时间范围,则此控件将失败。除非您为数据保留期提供自定义参数值,否则 Security Hub CSPM 将使用默认值 168 小时。
在 Kinesis Data Streams 中,数据流是指数据记录的有序序列,可用于执行实时写入和读取。数据记录临时存储在您流的分片中。从添加记录开始,到记录不再可供访问为止的时间段称为保留期。在缩短保留期后,Kinesis Data Streams 几乎会立即使早于新保留期的记录变得不可访问。例如,将保留期从 24 小时更改为 48 小时意味着,在 23 小时 55 分钟之前添加到流中的记录在 24 小时之后仍可用。
修复
要更改 Kinesis Data Streams 的备份保留期,请参阅《Amazon Kinesis Data Streams 开发人员指南》中的更改数据留存期。