【Security Hub修復手順】[DocumentDB.5 ] Amazon DocumentDB では、削除保護が有効になっている必要があります

こんにちは！AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[DocumentDB.5 ] Amazon DocumentDB では、削除保護が有効になっている必要があります

[DocumentDB.5 ] Amazon DocumentDB clusters should have deletion protection enabled

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。
AWS Security Hubの詳細についてはこちらのブログをご覧ください。

https://dev.classmethod.jp/articles/lets-learn-aws-security-hub/

https://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/

対象コントロールの説明

このコントロールは、Amazon DocumentDB クラスターで削除保護が有効になっているかどうかを確認します。クラスターで削除保護が有効になっていない場合、コントロールは失敗します。

クラスターで削除保護が無効になっている場合、偶発的なDB削除に対してDBリソースを保護することができません。
予防的ガードレールとして偶発的なDB削除からリソースを保護したい場合、削除保護の有効化を検討してください。

DBリソースが検証用途で使い捨てする環境である場合、削除保護を無効化しても問題ありませんので当該コントロールを抑止済みに変更してください。

修復手順

1. 対象のリソースの確認方法

1. AWSマネージメントコンソールにログインし、AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「DocumentDB.5」を検索し、タイトルを選択します。
   

2. リソースの欄から失敗しているリソースを確認できます。
   

2. ステークホルダーに確認

1. ステークホルダー(リソースの作成者や管理している部署などの関係者)に以下を確認します。

• 削除保護を有効にしてよいか

3. 削除保護を有効に変更

1. 対象のリソースに対して、[変更]を選択します。
   

2. 「削除保護の有効化」にてチェックボックスを付けて、「続行」を選択します。
   

3. [変更の概要]で削除保護のみ変更になっていることを確認し、[変更をスケジュール]で任意のタイミングを選択し、[変更]を選択します。
   

※予期されないダウンタイムの可能性を喚起するメッセージが表示されますが、削除保護の変更はダウンタイムは発生されません。

5. [設定]タブから削除保護が[有効]になっていることを確認します。
   

6. SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、おつまみ（＠AWS11077）でした！