Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub CSPM-Steuerungen für CloudFormation
Diese Security Hub CSPM-Steuerungen bewerten den AWS CloudFormation Service und die Ressourcen.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[CloudFormation.1] CloudFormation Stacks sollten in Simple Notification Service (SNS) integriert werden
Wichtig
Security Hub CSPM hat diese Kontrolle im April 2024 eingestellt. Weitere Informationen finden Sie unter Änderungsprotokoll für Security Hub CSPM-Steuerelemente.
Verwandte Anforderungen: NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)
Kategorie: Erkennen > Erkennungsdienste > Anwendungsüberwachung
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFormation::Stack
AWS Config-Regel: cloudformation-stack-notification-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob eine Amazon Simple Notification Service-Benachrichtigung in einen CloudFormation Stack integriert ist. Die Kontrolle schlägt für einen CloudFormation Stack fehl, wenn ihm keine SNS-Benachrichtigung zugeordnet ist.
Wenn Sie eine SNS-Benachrichtigung mit Ihrem CloudFormation Stack konfigurieren, können Sie die Beteiligten sofort über alle Ereignisse oder Änderungen informieren, die im Stack auftreten.
Abhilfe
Informationen zur Integration eines CloudFormation Stacks und eines SNS-Themas finden Sie unter Stacks direkt aktualisieren im AWS CloudFormation Benutzerhandbuch.
[CloudFormation.2] CloudFormation Stapel sollten markiert werden
Kategorie: Identifizieren > Inventar > Tagging
Schweregrad: Niedrig
Art der Ressource: AWS::CloudFormation::Stack
AWS ConfigRegel: tagged-cloudformation-stack (benutzerdefinierte Security Hub CSPM-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter:
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
|---|---|---|---|---|
requiredTagKeys
|
Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die AWSAnforderungen erfüllen. | Kein Standardwert |
Dieses Steuerelement prüft, ob ein AWS CloudFormation Stack Tags mit den spezifischen Schlüsseln enthält, die im Parameter requiredTagKeys definiert sind. Das Steuerelement schlägt fehl, wenn der Stack keine Tag-Schlüssel hat oder wenn er nicht alle im Parameter angegebenen Schlüssel enthältrequiredTagKeys. Wenn der Parameter requiredTagKeys nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn der Stack mit keinem Schlüssel gekennzeichnet ist. System-Tags, die automatisch angewendet werden und mit beginnenaws:, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter Wozu dient ABAC? AWS im IAM-Benutzerhandbuch.
Anmerkung
Fügen Sie keine persönlich identifizierbaren Informationen (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglichAWS-Services, darunterAWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter Taggen Ihrer AWS Ressourcen in der. Allgemeine AWS-Referenz
Abhilfe
Informationen zum Hinzufügen von Tags zu einem CloudFormation Stack finden Sie CreateStackin der AWS CloudFormationAPI-Referenz.
[CloudFormation.3] Bei CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Mittel
Art der Ressource: AWS::CloudFormation::Stack
AWS Config-Regel: cloudformation-termination-protection-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für einen AWS CloudFormation Stack der Terminierungsschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Terminierungsschutz für einen CloudFormation Stack nicht aktiviert ist.
CloudFormation hilft dabei, verwandte Ressourcen als eine einzige Einheit zu verwalten, die als Stack bezeichnet wird. Sie können das versehentliche Löschen eines Stacks verhindern, indem Sie den Beendigungsschutz des Stacks aktivieren. Wenn ein Benutzer versucht, einen Stack mit aktiviertem Beendigungsschutz zu löschen, schlägt das Löschen fehl und der Stack – einschließlich seines Status – bleibt unverändert. Sie können den Beendigungsschutz für einen Stapel mit einem beliebigen Status außer DELETE_IN_PROGRESS oder DELETE_COMPLETEeinstellen.
Anmerkung
Wenn Sie den Beendigungsschutz für einen Stack aktivieren oder deaktivieren, wird diese Entscheidung auch an alle verschachtelten Stacks weitergegeben, die zu diesem Stack gehören. Sie können den Beendigungsschutz nicht direkt für einen verschachtelten Stack aktivieren oder deaktivieren. Sie können einen verschachtelten Stack, der zu einem Stack gehört, für den der Terminierungsschutz aktiviert ist, nicht direkt löschen. Wenn neben dem Stack-Namen NESTED angezeigt wird, handelt es sich um einen verschachtelten Stack. Sie können nur den Beendigungsschutz des Root-Stacks ändern, zu dem der verschachtelte Stack gehört.
Abhilfe
Informationen zum Aktivieren des Kündigungsschutzes für einen CloudFormation Stack finden Sie unter CloudFormation Stacks vor dem Löschen schützen im AWS CloudFormationBenutzerhandbuch.
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
Kategorie: Erkennen > Sicheres Zugriffsmanagement
Schweregrad: Mittel
Art der Ressource: AWS::CloudFormation::Stack
AWS Config-Regel: cloudformation-stack-service-role-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob einem AWS CloudFormation Stack eine Servicerolle zugeordnet ist. Das Steuerelement schlägt für einen CloudFormation Stack fehl, wenn ihm keine Servicerolle zugeordnet ist.
Die Verwendung von Servicerollen mit CloudFormation Stacks hilft bei der Implementierung des Zugriffs mit den geringsten Rechten, indem die Berechtigungen zwischen dem Benutzer, der die creates/updates Stapel erstellt, und den Berechtigungen, die für zwei Ressourcen benötigt werden CloudFormation , create/update getrennt werden. Dies reduziert das Risiko einer Eskalation von Rechten und trägt dazu bei, die Sicherheitsgrenzen zwischen verschiedenen betrieblichen Rollen aufrechtzuerhalten.
Anmerkung
Es ist nicht möglich, eine Service-Rolle zu entfernen, die einem Stack zugewiesen ist, nachdem der Stack erstellt wurde. Andere Benutzer, die die Berechtigung haben, Operationen auf diesem Stapel durchzuführen, können diese Rolle verwenden, unabhängig davon, ob diese Benutzer die Berechtigung iam:PassRole haben oder nicht. Wenn die Rolle Berechtigungen umfasst, die der Benutzer nicht haben sollte, können Sie die Berechtigungen eines Benutzers versehentlich weiterleiten. Stellen Sie sicher, dass die Rolle die geringsten Rechte zugesteht.
Abhilfe
Informationen zum Zuordnen einer Servicerolle zu einem CloudFormation Stack finden Sie unter CloudFormation Servicerolle im AWS CloudFormationBenutzerhandbuch.
