Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub CSPM pour Amazon SES
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Simple Email Service (Amazon SES).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[SES.1] Les listes de contacts SES doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::SES::ContactList
AWS Config règle : tagged-ses-contactlist (règle CSPM personnalisée de Security Hub)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWS exigences. | Aucune valeur par défaut |
Ce contrôle vérifie si une liste de contacts Amazon SES comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la liste de contacts ne comporte aucune clé de balise ou si elle ne contient pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la liste de contacts n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une liste de contacts Amazon SES, consultez TagResourcele manuel Amazon SES API v2 Reference.
[SES.2] Les ensembles de configuration SES doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::SES::ConfigurationSet
AWS Config règle : tagged-ses-configurationset (règle CSPM personnalisée de Security Hub)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWS exigences. | Aucune valeur par défaut |
Ce contrôle vérifie si un ensemble de configuration Amazon SES comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le jeu de configuration ne comporte aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le jeu de configuration n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un ensemble de configuration Amazon SES, consultez TagResourcele manuel Amazon SES API v2 Reference.
[SES.3] Le protocole TLS doit être activé pour l'envoi d'e-mails dans les ensembles de configuration SES
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::SES::ConfigurationSet
Règle AWS Config : ses-sending-tls-required
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un ensemble de configuration Amazon SES nécessite des connexions TLS. Le contrôle échoue si la politique TLS n'est pas définie sur un ensemble de configuration. 'REQUIRE'
Par défaut, Amazon SES utilise le protocole TLS opportuniste, ce qui signifie que les e-mails peuvent être envoyés non chiffrés s'il est impossible d'établir une connexion TLS avec le serveur de messagerie destinataire. L'application du protocole TLS pour l'envoi d'e-mails garantit que les messages ne sont délivrés que lorsqu'une connexion cryptée sécurisée peut être établie. Cela permet de protéger la confidentialité et l'intégrité du contenu des e-mails lors de leur transmission entre Amazon SES et le serveur de messagerie du destinataire. S'il n'est pas possible d'établir une connexion TLS sécurisée, le message ne sera pas délivré, empêchant ainsi toute exposition potentielle d'informations sensibles.
Note
Bien que le protocole TLS 1.3 soit le mode de livraison par défaut pour Amazon SES, sans l'application des exigences TLS par le biais d'ensembles de configuration, les messages peuvent potentiellement être envoyés en texte brut en cas d'échec d'une connexion TLS. Pour passer ce contrôle, vous devez configurer la politique TLS 'REQUIRE' dans les options de livraison de votre ensemble de configuration SES. Lorsque le protocole TLS est requis, les messages ne sont délivrés que s'il est possible d'établir une connexion TLS avec le serveur de courrier récepteur.
Correction
Pour configurer Amazon SES afin d'exiger des connexions TLS pour un ensemble de configuration, consultez Amazon SES et les protocoles de sécurité dans le manuel du développeur Amazon SES.
