Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub CSPM pour CloudFormation
Ces contrôles CSPM du Security Hub évaluent le AWS CloudFormation service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS)
Important
Security Hub CSPM a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter Journal des modifications pour les contrôles CSPM de Security Hub.
Exigences connexes : NIST.800-53.R5 SI-4 (12), NIST.800-53.R5 SI-4 (5)
Catégorie : Détecter > Services de détection > Surveillance des applications
Gravité : Faible
Type de ressource : AWS::CloudFormation::Stack
Règle AWS Config : cloudformation-stack-notification-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une notification Amazon Simple Notification Service est intégrée à une CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucune notification SNS n'y est associée.
La configuration d'une notification SNS avec votre CloudFormation stack permet d'informer immédiatement les parties prenantes de tout événement ou changement survenant dans le stack.
Correction
Pour intégrer une CloudFormation pile et une rubrique SNS, consultez la section Mettre à jour les piles directement dans le guide de l'AWS CloudFormationutilisateur.
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::CloudFormation::Stack
AWS Configrègle : tagged-cloudformation-stack (règle CSPM personnalisée de Security Hub)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWSexigences. | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS CloudFormation pile possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la pile ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la pile n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnesServices AWS, notammentAWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une CloudFormation pile, consultez CreateStackla référence de l'AWS CloudFormationAPI.
[CloudFormation.3] la protection des CloudFormation terminaisons doit être activée pour les piles
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Moyenne
Type de ressource : AWS::CloudFormation::Stack
Règle AWS Config : cloudformation-termination-protection-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection de terminaison est activée sur une AWS CloudFormation pile. Le contrôle échoue si la protection de terminaison n'est pas activée sur une CloudFormation pile.
CloudFormation permet de gérer les ressources connexes en tant qu'unité unique appelée Stack. Vous pouvez empêcher la suppression accidentelle d’une pile en activant la protection contre la résiliation sur la pile. Si un utilisateur tente de supprimer une pile pour laquelle la protection contre la résiliation est activée, la suppression échoue et la pile, et son statut, restent inchangés. Vous pouvez définir la protection contre la résiliation sur une pile ayant n’importe quel status sauf DELETE_IN_PROGRESS ou DELETE_COMPLETE.
Note
L’activation ou la désactivation de la protection pour résilier sur une pile transmet le même choix à toutes les piles imbriquées appartenant à cette pile. Vous ne pouvez pas activer ou désactiver la protection contre la résiliation directement sur une pile imbriquée. Vous ne pouvez pas supprimer directement une pile imbriquée appartenant à une pile pour laquelle la protection de terminaison est activée. Si NESTED s’affiche en regard du nom de la pile, cela signifie que la pile est imbriquée. Dans ce cas, vous pouvez seulement modifier la protection contre la résiliation sur la pile racine à laquelle appartient la pile imbriquée.
Correction
Pour activer la protection contre le licenciement sur une CloudFormation pile, voir Protéger les CloudFormation piles contre la suppression dans le Guide de l'AWS CloudFormationutilisateur.
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
Catégorie : Détecter > Gestion des accès sécurisés
Gravité : Moyenne
Type de ressource : AWS::CloudFormation::Stack
Règle AWS Config : cloudformation-stack-service-role-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un rôle de service est associé à une AWS CloudFormation pile. Le contrôle échoue pour une CloudFormation pile si aucun rôle de service n'y est associé.
L'utilisation de rôles de service avec des CloudFormation piles permet de mettre en œuvre l'accès avec le moindre privilège en séparant les autorisations entre l'utilisateur qui creates/updates cumule les autorisations et les autorisations requises par CloudFormation les create/update ressources. Cela réduit le risque d'augmentation des privilèges et contribue à maintenir les limites de sécurité entre les différents rôles opérationnels.
Note
Un rôle de service attaché à une pile ne peut pas être supprimé après la création de la pile. Les autres utilisateurs disposant des autorisations nécessaires pour effectuer des opérations sur cette pile peuvent utiliser ce rôle, qu’ils disposent ou non de l’autorisation iam:PassRole. Si le rôle comprend des autorisations que l'utilisateur ne devrait pas avoir, vous avez peut-être remonté accidentellement ses autorisations. Vérifiez que le rôle accorde le privilège le plus faible.
Correction
Pour associer un rôle de service à une CloudFormation pile, voir rôle CloudFormation de service dans le Guide de AWS CloudFormation l'utilisateur.
