[RedshiftServerless.1] Amazon Redshift Serverless 工作组应使用增强型 VPC 路由 [RedshiftServerless.2] 连接到 Redshift Serverless 工作组时应需要使用 SSL [RedshiftServerless.3] Redshift Serverless 工作组应禁止公开访问 [RedshiftServerless.4] Redshift Serverless 命名空间应使用客户管理型 Amazon KMS keys进行加密 [RedshiftServerless.5] 命名空间不应使用默认管理员用户名 [RedshiftServerless.6] Redshift Serveress 命名空间应将日志导出到 CloudWatch Logs

适用于 Amazon Redshift Serverless 的 Security Hub 控件

这些 Amazon Security Hub CSPM 控件评估 Amazon Redshift Serverless 服务和资源。这些控件可能并非在所有 Amazon Web Services 区域都可用。有关更多信息，请参阅按地区划分的控件可用性。

[RedshiftServerless.1] Amazon Redshift Serverless 工作组应使用增强型 VPC 路由

类别：保护 > 安全网络配置 > VPC 内的资源

严重性：高

资源类型：AWS::RedshiftServerless::Workgroup

Amazon Config 规则： redshift-serverless-workgroup-routes-within-vpc

计划类型：定期

参数：无

此控件检查是否为 Amazon Redshift Serverless 工作组启用了增强型 VPC 路由。如果为工作组禁用了增强型 VPC 路由，则该控件会失败。

如果为 Amazon Redshift Serverless 工作组禁用了增强型 VPC 路由，则 Amazon Redshift 会通过互联网路由流量，包括至 Amazon 网络内其他服务的流量。如果为工作组启用增强型 VPC 路由，Amazon Redshift 会强制基于 Amazon VPC 服务通过虚拟私有云 (VPC) 路由集群和数据存储库之间的所有 COPY 和 UNLOAD 流量。借助增强型 VPC 路由，您可以使用标准 VPC 功能来控制 Amazon Redshift 集群与其他资源之间的数据流。这包括 VPC 安全组和端点策略、网络访问控制列表 (ACL) 和域名系统 (DNS) 服务器等功能。您还可以使用 VPC 流日志来监控 COPY 和 UNLOAD 流量。

修复

有关增强型 VPC 路由以及如何为工作组启用它的更多信息，请参阅《Amazon Redshift 管理指南》中的使用 Redshift 增强型 VPC 路由控制网络流量。

[RedshiftServerless.2] 连接到 Redshift Serverless 工作组时应需要使用 SSL

类别：保护 > 数据保护 > 传输中数据加密

严重性：中

资源类型：AWS::RedshiftServerless::Workgroup

Amazon Config 规则： redshift-serverless-workgroup-encrypted-in-transit

计划类型：定期

参数：无

此控件检查是否需要连接到 Amazon Redshift Serverless 工作组才能加密传输中数据。如果工作组的 require_ssl 配置参数设置为 false，则该控件会失败。

Amazon Redshift Serverless 工作组是计算资源的集合，它将 RPU、VPC 子网组和安全组等计算资源组合在一起。工作组的属性包括网络和安全设置。这些设置指定是否应要求与工作组的连接使用 SSL 加密传输中数据。

修复

有关更新 Amazon Redshift Serverless 工作组的设置以要求 SSL 连接的信息，请参阅《Amazon Redshift 管理指南》中的连接到 Amazon Redshift Serverless。

[RedshiftServerless.3] Redshift Serverless 工作组应禁止公开访问

类别：保护 > 安全网络配置 > 不公开访问的资源

严重性：高

资源类型：AWS::RedshiftServerless::Workgroup

Amazon Config 规则： redshift-serverless-workgroup-no-public-access

计划类型：定期

参数：无

此控件检查是否为 Amazon Redshift Serverless 工作组禁用了公开访问。它评估 Redshift Serverless 工作组的 publiclyAccessible 属性。如果为工作组启用了公开访问 (true)，则该控件会失败。

Amazon Redshift Serverless 工作组的公开访问 (publiclyAccessible) 设置指定是否可以从公共网络访问该工作组。如果为工作组启用了公开访问 (true)，Amazon Redshift 会创建一个弹性 IP 地址，使得可以从 VPC 外部公开访问该工作组。如果您不希望某个工作组可以公开访问，请为其禁用公开访问。

修复

有关更改 Amazon Redshift Serverless 工作组的公开访问设置的信息，请参阅《Amazon Redshift 管理指南》中的查看工作组的属性。

[RedshiftServerless.4] Redshift Serverless 命名空间应使用客户管理型 Amazon KMS keys进行加密

相关要求： NIST.800-53.r5 AU-9、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-12(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SI-7(6)

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::RedshiftServerless::Namespace

Amazon Config 规则： redshift-serverless-namespace-cmk-encryption

计划类型：定期

参数：

参数	描述	类型	允许的自定义值	Security Hub 默认值
`kmsKeyArns`	要包含在评估中的 Amazon KMS keys 的 Amazon 资源名称 (ARN) 列表。如果 Redshift Serverless 命名空间未使用列表中的 KMS 密钥进行加密，则该控件会生成 `FAILED` 调查发现。	StringList（最多 3 项）	现有 KMS 密钥的 1–3 个 ARN。例如：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`。	无默认值

此控件检查 Amazon Redshift Serverless 命名空间是否使用客户管理型 Amazon KMS key进行静态加密。如果未使用客户管理型 KMS 密钥对 Redshift Serverless 命名空间进行加密，则该控件会失败。您可以选择为控件指定要包含在评估中的 KMS 密钥列表。

在 Amazon Redshift Serverless 中，命名空间定义了数据库对象的逻辑容器。此控件会定期检查命名空间的加密设置是否指定了使用客户管理型 Amazon KMS key而不是 Amazon 管理的 KMS 密钥来加密命名空间中的数据。使用客户管理型 KMS 密钥，您可以完全控制密钥。这包括定义和维护密钥策略、管理授权、轮换加密材料、分配标签、创建别名以及启用和禁用密钥。

修复

有关更新 Amazon Redshift Serverless 命名空间的加密设置和指定客户管理型 Amazon KMS key的信息，请参阅《Amazon Redshift 管理指南》中的更改命名空间的 Amazon KMS key。

[RedshiftServerless.5] 命名空间不应使用默认管理员用户名

类别：识别 > 资源配置

严重性：中

资源类型：AWS::RedshiftServerless::Namespace

Amazon Config 规则： redshift-serverless-default-admin-check

计划类型：定期

参数：

参数	描述	类型	允许的自定义值	Security Hub 默认值
`validAdminUserNames`	Redshift Serverless 命名空间应使用的管理员用户名的列表。如果命名空间使用的管理员用户名不在列表中，则该控件会生成 `FAILED` 调查发现。该列表无法指定默认值 `admin`。	StringList（最多 6 项）	1-6 个适用于 Redshift Serverless 命名空间的有效管理员用户名。	无默认值

此控件检查 Amazon Redshift Serverless 命名空间的管理员用户名是否为默认管理员用户名 admin。如果 Redshift Serverless 命名空间的管理员用户名为 admin，则该控件会失败。您可以选择为控件指定要包含在评估中的管理员用户名列表。

创建 Amazon Redshift Serverless 命名空间时，应为该命名空间指定自定义管理员用户名。默认管理员用户名为公共知识。例如，通过指定自定义管理员用户名，您可以帮助降低命名空间遭受暴力攻击的风险或有效性。

修复

您可以使用 Amazon Redshift Serverless 控制台或 API 更改 Amazon Redshift Serverless 命名空间的管理员用户名。要使用控制台进行更改，请选择命名空间配置，然后在操作菜单上选择编辑管理员凭证。要以编程方式对其进行更改，请使用 UpdateNamespace 操作，或者，如果您使用的是 Amazon CLI，请运行 update-namespace 命令。如果您更改管理员用户名，则必须同时更改管理员密码。

[RedshiftServerless.6] Redshift Serveress 命名空间应将日志导出到 CloudWatch Logs

类别：识别 > 日志记录

严重性：中

资源类型：AWS::RedshiftServerless::Namespace

Amazon Config 规则： redshift-serverless-publish-logs-to-cloudwatch

计划类型：定期

参数：无

此控件检查 Amazon Redshift Serverless 命名空间是否配置为将连接和用户日志导出到 Amazon CloudWatch Logs。如果 Redshift Serverless 命名空间未配置为将日志导出至 CloudWatch Logs，则此控件会失败。

如果您将 Amazon Redshift Serverless 配置为将连接日志 (connectionlog) 和用户日志 (userlog) 数据导出到 Amazon CloudWatch Logs 中的日志组，则可以收集日志记录并将其存储在持久存储中，从而支持安全性、访问以及可用性审查和审计。借助 CloudWatch Logs，您还可以对日志数据进行实时分析，并使用 CloudWatch 创建警报和查看指标。

修复

要将 Amazon Redshift Serverless 命名空间的日志数据导出到 Amazon CloudWatch Logs，必须在命名空间的审计日志记录配置设置中选择相应的日志进行导出。有关更新这些设置的信息，请参阅《Amazon Redshift 管理指南》中的编辑安全性和加密。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon Redshift 控件

Amazon Route 53 控制