Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Relational Database Service 控件

这些控件与 Amazon RDS 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[RDS.1] RDS 快照应为私有

相关要求：PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。

类别：保护 > 安全网络配置

严重性：严重

资源类型：AWS::RDS::DBClusterSnapshot、AWS::RDS::DBSnapshot

Amazon Config 规则：rds-snapshots-public-prohibited

计划类型：已触发变更

参数：无

此控件检查 Amazon RDS 快照是否公有。如果 RDS 快照是公开的，则控制失败。此控件评估 RDS 实例、Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群。

RDS 快照用于备份 RDS 实例上在特定时间点的数据。它们可用于将 RDS 实例还原到之前的状态。

除非有意这样做，否则 RDS 快照不得为公有快照。如果您将未加密的手动快照作为公有快照进行共享，这会使所有 Amazon Web Services 账户均可获得此快照。这可能会导致 RDS 实例意外的数据泄露。

请注意，如果将配置更改为允许公共访问，则该 Amazon Config 规则可能在长达 12 小时内无法检测到更改。在 Amazon Config 规则检测到更改之前，即使配置违反了规则，检查也会通过。

要了解有关共享数据库快照的更多信息，请参阅 Amazon RDS 用户指南中的共享数据库快照。

修复

要从 RDS 快照中删除公共访问权限，请参阅 Amazon RDS 用户指南中的共享快照。对于数据库快照可见性，我们选择私有。

[RDS.2] RDS 数据库实例应禁止公共访问，具体取决于持续时间 PubliclyAccessible Amazon Config

相关要求：PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v3.2.1/7.2.1、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)。

类别：保护 > 安全网络配置

严重性：严重

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-instance-public-access-check

计划类型：已触发变更

参数：无

该控制通过评估实例配置项中的 PubliclyAccessible 字段，以检查是否可以公开访问 Amazon RDS 实例。

Neptune 数据库实例和 Amazon DocumentDB 集群没有 PubliclyAccessible 标志，因此无法进行评估。但是，这种控件仍然可以为这些资源生成调查发现。您可以隐瞒这些结果。

RDS 实例配置中的 PubliclyAccessible 值指示是否可以公开访问数据库实例。如果使用 PubliclyAccessible 配置了数据库实例，则它是一个面向 Internet 的实例并具有可公开解析的 DNS 名称，该名称解析为一个公有 IP 地址。如果无法公开访问数据库实例，则它是一个内部实例并具有解析为私有 IP 地址的 DNS 名称。

除非您希望 RDS 实例可公开访问，否则不应将 RDS 实例配置为 PubliclyAccessible 值。这样做可能会给数据库实例带来不必要的流量。

修复

要移除 RDS 数据库实例的公有访问权限，请参阅 Amazon RDS 用户指南中的修改 Amazon RDS 数据库实例。对于公有访问权限，选择否。

[RDS.3] RDS 数据库实例应启用静态加密

相关要求：CIS Amazon 基金会基准 v1.4.0/2.3.1、nist.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-3 (6)、nist.800-53.r5 SC-13、nist.800-53.r5 SC-28、nist.800-53.r5 SC-28 (1)、nist.800-53.r5 SC-7 (10))，nist.800-53.r5 SI-7 (6)

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-storage-encrypted

计划类型：已触发变更

参数：无

此控件检查 Amazon RDS 数据库实例是否启用了存储加密。

此控件适用于 RDS 数据库实例。但是，它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的调查发现。如果这些结果没有用，那么您可以隐瞒它们。

为了增加 RDS 数据库实例中敏感数据的安全性，您应将 RDS 数据库实例配置为静态加密。要静态加密 RDS DB 数据库实例和快照，请启用 RDS 数据库实例的加密选项。静态加密的数据包括数据库实例的底层存储、自动备份、只读副本和快照。

RDS 加密的数据库实例使用开放的标准 AES-256 加密算法，对托管 RDS 数据库实例的服务器上的数据进行加密。在加密数据后，Amazon RDS 将以透明方式处理访问的身份验证和数据的解密，并且对性能产生的影响最小。您无需修改数据库客户端应用程序来使用加密。

Amazon RDS 加密当前可用于所有数据库引擎和存储类型。Amazon RDS 加密适用于大多数数据库实例类。要了解不支持 Amazon RDS 加密的数据库实例类，请参阅 Amazon RDS 用户指南中的加密 Amazon RDS 资源。

修复

有关在 Amazon RDS 中加密数据库实例的信息，请参阅 Amazon RDS 用户指南中的加密 Amazon RDS 资源。

[RDS.4] RDS 集群快照和数据库快照应进行静态加密

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::RDS::DBClusterSnapshot、 AWS::RDS::DBSnapshot

Amazon Config 规则：rds-snapshot-encrypted

计划类型：已触发变更

参数：无

此控件检查 RDS 数据库快照是否已加密。如果 RDS 数据库快照未加密，则控制失败。

此控件适用于 RDS 数据库实例。但是，它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的快照的调查发现。如果这些结果没有用，那么您可以隐瞒它们。

对静态数据进行加密可降低未经身份验证的用户访问存储在磁盘上的数据的风险。为了增加安全性，RDS 快照中的数据应进行静态加密。

修复

要加密 RDS 快照，请参阅 Amazon RDS 用户指南中的加密 Amazon RDS 资源。加密 RDS 数据库实例时，加密的数据包括实例的底层存储、其自动备份、只读副本和快照。

您只能在创建 RDS 数据库实例时而不是创建该数据库实例之后加密该数据库实例。不过，由于您可以加密未加密快照的副本，因此，您可以高效地为未加密的数据库实例添加加密。也就是说，您可以创建数据库实例快照，然后创建该快照的加密副本。然后，您可以从加密快照还原数据库实例，从而获得原始数据库实例的加密副本。

[RDS.5] RDS 数据库实例应配置多个可用区

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-multi-az-support

计划类型：已触发变更

参数：无

此控件检查是否为 RDS 数据库实例启用了高可用性。

RDS 数据库实例应配置为多个可用区 (AZ)。这样可以确保所存储数据的可用性。多可用区部署允许在可用区可用性出现问题和定期 RDS 维护期间进行自动失效转移。

修复

要在多个可用区中部署数据库实例，请参阅 Amazon RDS 用户指南中的将数据库实例修改为多可用区数据库实例部署。

[RDS.6] 应为 RDS 数据库实例配置增强监控

相关要求：NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。

类别：检测 > 检测服务

严重性：低

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-enhanced-monitoring-enabled

计划类型：已触发变更

参数：

该控件检查是否为 Amazon Relational Database Service（Amazon RDS）数据库实例启用了增强监控。如果没有为实例启用增强监控，则控制失败。如果您为 monitoringInterval 参数提供自定义值，则仅当在按指定间隔收集实例的增强监控指标时，控制才会通过。

在 Amazon RDS 中，增强型监控可以更快地响应底层基础设施的性能变化。这些性能变化可能会导致数据可用性不足。增强监控提供 RDS 数据库实例运行的操作系统的实时指标。实例上安装了代理。与从虚拟机管理程序层相比，代理可以更准确地获取指标。

若您想了解数据库实例上不同进程或线程对 CPU 的使用差异，增强监测指标非常有用。有关更多信息，请参阅《Amazon RDS 用户指南》中的增强监控。

修复

有关为数据库实例启用增强监控的详细说明，请参阅 Amazon RDS 用户指南中的设置和启用增强监控。

[RDS.7] RDS 集群应启用删除保护

相关要求：NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)。

类别：保护 > 数据保护 > 数据删除保护

严重性：低

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-deletion-protection-enabled

计划类型：已触发变更

参数：无

此控件检查 RDS 数据库集群是否已启用删除保护。如果 RDS 数据库集群未启用删除保护，则控制失败。

此控件适用于 RDS 数据库实例。但是，它也可以生成 Aurora 数据库实例、Neptune 数据库实例和 Amazon DocumentDB 集群的调查发现。如果这些结果没有用，那么您可以隐瞒它们。

启用集群删除保护是针对意外数据库删除或未经授权实体删除的额外保护层。

启用删除保护后，RDS 集群将无法被删除。在删除请求成功之前，必须禁用删除保护。

修复

要为 RDS 数据库集群启用删除保护，请参阅 Amazon RDS 用户指南中的使用控制台、CLI 和 API 修改数据库集群。对于删除保护，选择启用删除保护。

[RDS.8] RDS 数据库实例应启用删除保护

相关要求：NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别：保护 > 数据保护 > 数据删除保护

严重性：低

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-instance-deletion-protection-enabled

计划类型：已触发变更

参数：

此控件会检查使用所列数据库引擎之一的 RDS 数据库实例是否启用了删除保护。如果 RDS 数据库实例未启用删除保护，则控制失败。

启用实例删除保护是针对意外数据库删除或未经授权实体删除的额外保护层。

启用删除保护后，RDS 数据库实例无法删除。在删除请求成功之前，必须禁用删除保护。

修复

要对 RDS 数据库实例启用删除保护，请参阅 Amazon RDS 用户指南中的修改 Amazon RDS 数据库实例。对于删除保护，选择启用删除保护。

[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch

相关要求：NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-logging-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon RDS 数据库实例是否配置为将以下日志发布到 Amazon L CloudWatch ogs。如果实例未配置为将以下日志发布到 CloudWatch 日志，则控制失败：

RDS 数据库应启用相关日志。数据库日志记录提供向 RDS 发出的请求的详细记录。数据库日志可以协助安全和访问审计，并可以帮助诊断可用性问题。

修复

要将 RDS 数据库日志发布到 CloudWatch 日志，请参阅 Amazon RDS 用户指南中的指定要发布到 CloudWatch 日志的日志。

[RDS.10] 应为 RDS 实例配置 IAM 身份验证

相关要求：NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6。

类别：保护 > 安全访问管理 > 无密码身份验证

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-instance-iam-authentication-enabled

计划类型：已触发变更

参数：无

此控件检查 RDS 数据库实例是否启用了 IAM 数据库身份验证。如果未为 RDS 数据库实例配置 IAM 身份验证，则控制失败。此控件仅评估具有以下引擎类型的 RDS 实例：mysql、postgres、aurora、aurora-mysql、aurora-postgresql 和 mariadb。RDS 实例还必须处于以下状态之一才能生成调查发现：available、backing-up、storage-optimization 或 storage-full。

IAM 数据库身份验证允许使用身份验证令牌而不是密码对数据库实例进行身份验证。进出数据库的网络流量使用 SSL 加密。有关更多信息，请参阅《Amazon Aurora 用户指南》中的 IAM 数据库身份验证。

修复

要在 RDS 数据库实例上激活 IAM 数据库身份验证，请参阅 Amazon RDS 用户指南中的启用和禁用 IAM 数据库身份验证。

[RDS.11] RDS 实例应启用自动备份

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 启用备份

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：db-instance-backup-enabled

计划类型：已触发变更

参数：

此控件检查 Amazon Relational Database Service 实例是否启用了自动备份以及备份保留期是否大于或等于指定时间范围。只读副本不在评估范围内。如果没有为实例启用备份或保留期小于指定时间范围，则控制失败。除非您为备份保留期提供自定义参数值，否则 Security Hub 将使用默认值即 7 天。

备份可帮助您更快地从安全事件中恢复并增强系统的故障恢复能力。Amazon RDS 使您能够配置每日完整实例卷快照。有关 Amazon RDS 自动备份的更多信息，请参阅《Amazon RDS 用户指南》中的处理备份。

修复

要在 RDS 数据库实例上启用自动备份，请参阅 Amazon RDS 用户指南中的启用自动备份。

[RDS.12] 应为 RDS 集群配置 IAM 身份验证

相关要求：NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6。

类别：保护 > 安全访问管理 > 无密码身份验证

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-iam-authentication-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon RDS 数据库集群是否启用了 IAM 数据库身份验证。

IAM 数据库身份验证允许对数据库实例进行免密码身份验证。身份验证使用身份验证令牌。进出数据库的网络流量使用 SSL 加密。有关更多信息，请参阅《Amazon Aurora 用户指南》中的 IAM 数据库身份验证。

修复

要为数据库集群启用 IAM 身份验证，请参阅 Amazon Aurora 用户指南中的启用和禁用 IAM 数据库身份验证。

[RDS.13] 应启用 RDS 自动次要版本升级

相关要求：NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。

类别：检测 > 漏洞和补丁管理

严重性：高

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-automatic-minor-version-upgrade-enabled

计划类型：已触发变更

参数：无

此控件检查是否为 RDS 数据库实例启用了自动次要版本升级。

启用自动次要版本升级可确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新。这些升级可能包括安全补丁和错误修复。及时安装补丁程序是保护系统安全的重要一步。

修复

要为现有数据库实例启用自动次要版本升级，请参阅 Amazon RDS 用户指南中的修改 Amazon RDS 数据库实例。对于自动次要版本升级，请选择是。

[RDS.14] Amazon Aurora 集群应启用回溯功能

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 启用备份

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：aurora-mysql-backtracking-enabled

计划类型：已触发变更

参数：

此控件检查 Amazon Aurora 集群是否启用了回溯。如果集群未启用回溯，则控制失败。如果您为 BacktrackWindowInHours 参数提供自定义值，则仅当集群在指定的时间长度内被回溯时，控制才会通过。

备份可以帮助您更快地从安全事件中恢复。它们还可以增强系统的弹性。Aurora 回溯可将数据库还原到某个时间点的时间。这样做不需要数据库恢复。

修复

要启用 Aurora 回溯，请参阅《Amazon Aurora 用户指南》中的配置回溯。

请注意，您无法在现有集群上启用回溯功能。相反，您可创建启用回溯功能的克隆。有关 Aurora 回溯限制的更多信息，请参阅回溯概述中的限制列表。

[RDS.15] 应为多个可用区配置 RDS 数据库集群

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-multi-az-enabled

计划类型：已触发变更

参数：无

此控件检查是否为 RDS 数据库集群启用了高可用性。如果 RDS 数据库集群未部署在多个可用区 (AZ) 中，则控制失败。

应为多个可用区配置 RDS 数据库集群，以确保存储数据的可用性。部署到多个可用区允许在出现可用区可用性问题和定期 RDS 维护事件期间进行自动失效转移。

修复

要在多个可用区中部署数据库集群，请参阅 Amazon RDS 用户指南中的将数据库实例修改为多可用区数据库实例部署。

Aurora 全球数据库的修复步骤有所不同。要为 Aurora 全球数据库配置多个可用区，请选择数据库集群。然后，选择操作和添加读取器，并指定多个 AZ。有关更多信息，请参阅 Amazon Aurora 用户指南中的将 Aurora 副本添加到数据库集群。

[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)。

类别：识别 > 清单

严重性：低

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-copy-tags-to-snapshots-enabled（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控制检查 RDS 数据库集群是否配置为在创建快照时将所有标签复制到快照。

IT 资产的识别和清点是治理和安全的一个重要方面。您需要了解所有 RDS 数据库集群的可见性，以便评测其安全状况并对潜在的薄弱环节采取行动。快照的标记方式应与其父级 RDS 数据库集群相同。启用此设置可确保快照继承其父级数据库集群的标签。

修复

要自动将标签复制到 RDS 数据库集群的快照，请参阅 Amazon Aurora 用户指南中的使用控制台、CLI 和 API 修改数据库集群。选择将标签复制到快照。

[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)。

类别：识别 > 清单

严重性：低

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-instance-copy-tags-to-snapshots-enabled（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控制检查 RDS 数据库实例是否配置为在创建快照时将所有标签复制到快照。

IT 资产的识别和清点是治理和安全的一个重要方面。您需要了解所有 RDS 数据库实例，以便评测其安全状况并对潜在的薄弱环节采取行动。快照的标记方式应与其父 RDS 数据库实例相同。启用此设置可确保快照继承其父级数据库实例的标签。

修复

要自动将标签复制到 RDS 数据库实例的快照，请参阅 Amazon RDS 用户指南中的修改 Amazon RDS 数据库实例。选择将标签复制到快照。

[RDS.18] RDS 实例应部署在 VPC 中

相关要求：NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。

类别：保护 > 安全网络配置 > VPC 内的资源

严重性：高

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-deployed-in-vpc（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控件检查是否在 EC2-VPC 上部署了 Amazon RDS 实例。

VPC 提供了许多网络控制来保护对 RDS 资源的访问。这些控制包括 VPC 端点、网络 ACL 和安全组。要利用这些控制，我们建议您在 EC2-VPC 上创建 RDS 实例。

修复

有关将 RDS 实例移至 VPC 的说明，请参阅 Amazon RDS 用户指南中的更新数据库实例的 VPC。

[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅

相关要求：NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。

分类：检测 > 检测服务 > 应用程序监控

严重性：低

资源类型：AWS::RDS::EventSubscription

Amazon Config 规则：rds-cluster-event-notifications-configured（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控件检查数据库集群的现有 Amazon RDS 事件订阅是否为以下源类型和事件类别键值对启用了通知：

DBCluster: ["maintenance","failure"]

如果账户中没有现有活动订阅，则控件通过。

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 Amazon RDS 用户指南中的使用 Amazon RDS 事件通知。

修复

要订阅 RDS 集群事件通知，请参阅 Amazon RDS 用户指南中的订阅 Amazon RDS 事件通知。使用以下值：

[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅

相关要求：NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。

分类：检测 > 检测服务 > 应用程序监控

严重性：低

资源类型：AWS::RDS::EventSubscription

Amazon Config 规则：rds-instance-event-notifications-configured（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控件检查数据库实例的现有 Amazon RDS 事件订阅是否为以下源类型和事件类别键值对启用了通知：

DBInstance: ["maintenance","configuration change","failure"]

如果账户中没有现有活动订阅，则控件通过。

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 Amazon RDS 用户指南中的使用 Amazon RDS 事件通知。

修复

要订阅 RDS 实例事件通知，请参阅 Amazon RDS 用户指南中的订阅 Amazon RDS 事件通知。使用以下值：

[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅

相关要求：NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。

分类：检测 > 检测服务 > 应用程序监控

严重性：低

资源类型：AWS::RDS::EventSubscription

Amazon Config 规则：rds-pg-event-notifications-configured（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控件检查是否存在针对以下源类型、事件类别键值对启用通知的 Amazon RDS 事件订阅。

DBParameterGroup: ["configuration change"]

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 Amazon RDS 用户指南中的使用 Amazon RDS 事件通知。

修复

要订阅 RDS 数据库参数组事件通知，请参阅 Amazon RDS 用户指南中的订阅 Amazon RDS 事件通知。使用以下值：

[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅

相关要求：NIST.800-53.r5 CA-7、NIST.800-53.r5 SI-2。

分类：检测 > 检测服务 > 应用程序监控

严重性：低

资源类型：AWS::RDS::EventSubscription

Amazon Config 规则：rds-sg-event-notifications-configured（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控件检查是否存在针对以下源类型、事件类别键值对启用通知的 Amazon RDS 事件订阅。

DBSecurityGroup: ["configuration change","failure"]

RDS 事件通知使用 Amazon SNS 来通知 RDS 资源的可用性或配置的变化。这些通知允许快速响应。有关 RDS 事件通知的更多信息，请参阅 Amazon RDS 用户指南中的使用 Amazon RDS 事件通知。

修复

要订阅 RDS 实例事件通知，请参阅 Amazon RDS 用户指南中的订阅 Amazon RDS 事件通知。使用以下值：

[RDS.23] RDS 实例不应使用数据库引擎的默认端口

相关要求：NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)。

类别：保护 > 安全网络配置

严重性：低

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-no-default-ports（自定义 Security Hub 规则）

计划类型：已触发变更

参数：无

此控件检查 RDS 集群或实例是否使用数据库引擎默认端口以外的端口。如果 RDS 集群或实例使用默认端口，则控制失败。

如果您使用已知端口部署 RDS 集群或实例，攻击者可以猜测有关集群或实例的信息。攻击者可以将此信息与其他信息结合使用来连接到 RDS 集群或实例，或者获取有关应用程序的其他信息。

变更端口时，还必须更新用于连接到旧端口的现有连接字符串。您还应检查数据库实例的安全组，确保其包含允许在新端口上进行连接的入口规则。

修复

要修改现有 RDS 数据库实例的默认端口，请参阅 Amazon RDS 用户指南中的修改 Amazon RDS 数据库实例。要修改现有 RDS 数据库集群的默认端口，请参阅 Amazon Aurora 用户指南中的使用控制台、CLI 和 API 修改数据库集群。对于数据库端口，将端口值变更为非默认值。

[RDS.24] RDS 数据库集群应使用自定义管理员用户名

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：识别 > 资源配置

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-default-admin-check

计划类型：已触发变更

参数：无

此控件检查 Amazon RDS 数据库集群是否已将管理员用户名从其默认值变更为其他值。该控件不适用于 Neptune (Neptune 数据库) 或 docdb (DocumentDB) 类型的引擎。如果管理员用户名设置为默认值，则此规则将失败。

创建 Amazon RDS 数据库时，应将默认管理员用户名变更为唯一值。默认用户名是众所周知的，应在创建 RDS 数据库期间进行变更。变更默认用户名可以降低意外访问的风险。

修复

要变更与 Amazon RDS 数据库集群关联的管理员用户名，请在创建数据库时创建一个新的 RDS 数据库集群并变更默认管理员用户名。

[RDS.25] RDS 数据库实例应使用自定义管理员用户名

相关要求：NIST.800-53.r5 CA-9(1)，NIST.800-53.r5 CM-2

类别：识别 > 资源配置

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-instance-default-admin-check

计划类型：已触发变更

参数：无

此控件检查您是否变更了 Amazon Relational Database Service (Amazon RDS) 数据库实例的管理用户名，而不是默认值。该控件不适用于 Neptune (Neptune 数据库) 或 docdb (DocumentDB) 类型的引擎。如果将管理用户名设置为默认值，则控制失败。

Amazon RDS 数据库上的默认管理用户名是众所周知的。创建 Amazon RDS 数据库时，应将默认管理用户名变更为唯一值，以降低意外访问的风险。

修复

要变更与 RDS 数据库实例关联的管理用户名，请先创建一个新的 RDS 数据库实例。在创建数据库时变更默认的管理用户名。

[RDS.26] RDS 数据库实例应受备份计划保护

类别：恢复 > 弹性 > 启用备份

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)。

严重性：中

资源类型：AWS::RDS::DBInstance

Amazon Config 规则：rds-resources-protected-by-backup-plan

计划类型：定期

参数：

此控件用于评估备份计划是否涵盖 Amazon RDS 数据库实例。如果备份计划未涵盖 RDS 数据库实例，则控制失败。如果将backupVaultLockCheck参数设置为true，则仅当实例备份到 Amazon Backup 锁定的文件库中时，控制才会通过。

Amazon Backup 是一项完全托管的备份服务，可集中和自动备份数据。 Amazon Web Services使用 Amazon Backup，您可以创建名为备份计划的备份策略。您可以使用这些计划来定义备份要求，例如数据的备份频率以及这些备份的保留时间。将 RDS 数据库实例纳入备份计划可帮助您保护数据免遭意外丢失或删除。

修复

要将 RDS 数据库实例添加到 Amazon Backup 备份计划，请参阅Amazon Backup 开发人员指南中的为备份计划分配资源。

[RDS.27] 应对 RDS 数据库集群进行静态加密

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-encrypted-at-rest

计划类型：已触发变更

参数：无

此控件检查 RDS 数据库集群是否进行静态加密。如果 RDS 数据库集群未进行静态加密，则控制失败。

静态数据指的是存储在持久、非易失性存储介质中的任何数据，无论存储时长如何。加密可帮助您保护此类数据的机密性，降低未经授权的用户访问这些数据的风险。加密 RDS 数据库集群可保护数据和元数据免遭未经授权的访问。它还满足了生产文件系统 data-at-rest 加密的合规性要求。

修复

您可以在创建 RDS 数据库集群时启用静态加密。创建集群后，您将无法变更加密设置。有关更多信息，请参阅 Amazon Aurora 用户指南中的加密 Amazon Aurora 数据库集群。

[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch

相关要求：NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-aurora-mysql-audit-logging-enabled

计划类型：已触发变更

参数：无

此控件检查是否将 Amazon Aurora MySQL 数据库集群配置为向亚马逊日志发布审核 CloudWatch 日志。如果集群未配置为向日志发布审核日志，则控制失败。 CloudWatch

审核日志记录捕获数据库活动的记录，包括登录尝试、数据修改、架构变更和其他可以出于安全性和合规性目的进行审计的事件。当您配置 Aurora MySQL 数据库集群以将审计日志发布到 Amazon CloudWatch 日志中的日志组时，您可以对日志数据进行实时分析。 CloudWatch 日志将日志保留在高度耐用的存储空间中。您还可以在中创建警报和查看指标 CloudWatch。

修复

要将 Aurora MySQL 数据库集群审计日志发布到 CloudWatch 日志，请参阅亚马逊 Aurora 用户指南中的将 Amazon Aurora MySQL CloudWatch 日志发布到亚马逊日志。

[RDS.35] RDS 数据库集群应启用自动次要版本升级

相关要求：NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。

类别：检测 > 漏洞、补丁和版本管理

严重性：中

资源类型：AWS::RDS::DBCluster

Amazon Config 规则：rds-cluster-auto-minor-version-upgrade-enable

计划类型：已触发变更

参数：无

此控件检查是否为 Amazon RDS 多可用区数据库集群启用了自动次要版本升级。如果未为多可用区数据库集群启用自动次要版本升级，则控制失败。

RDS 提供自动次版本升级，以便您可以使 RDS 数据库集群保持最新。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在 RDS 数据库集群上启用自动次要版本升级，当有新版本可用时，集群以及集群中的实例将收到次要版本的自动更新。更新会在维护时段自动应用。

修复

要在多可用区数据库集群上启用自动次要版本升级，请参阅 A mazon RDS 用户指南中的修改多可用区数据库集群。