Amazon Connect の Security Hub コントロール - AWS Security Hub
[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Connect の Security Hub コントロール

これらの Security Hub コントロールは、Amazon Connect サービスとリソースを評価します。

これらのコントロールは、一部で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::CustomerProfiles::ObjectType

AWS Config ルール : customerprofiles-object-type-tagged

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredKeyTags 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList (最大 6 項目) AWS 要件を満たす 1~6 個のタグキー。 デフォルト値なし

このコントロールは、Amazon Connect Customer Profiles オブジェクトタイプにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredKeyTags。オブジェクトタイプにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredKeyTags。パラメータが指定されていない場合、コントロールrequiredKeyTagsはタグキーの存在のみをチェックし、オブジェクトタイプにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルであり、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイド「ABAC 認可を持つ属性に基づいてアクセス許可を定義する」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグには AWS のサービス、 を含む多くのユーザーがアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「 リソースのタグ付けとタグエディタユーザーガイド」の「ベストプラクティスと戦略」を参照してください。 AWS

修正

Customer Profiles オブジェクトタイプにタグを追加するには、Amazon Connect 管理者ガイド」の「Amazon Connect のリソースにタグを追加する」を参照してください。 Amazon Connect

[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::Connect::Instance

AWS Config ルール: connect-instance-logging-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Connect インスタンスがフローログを生成して Amazon CloudWatch ロググループに保存するように構成されているかどうかをチェックします。Amazon Connect インスタンスが CloudWatch ロググループにフローログを生成して保存するように設定されていない場合、コントロールは失敗します。

Amazon Connect フローログは、Amazon Connect フローのイベントに関するリアルタイムの詳細を提供します。フローは、Amazon Connect コンタクトセンターでのカスタマーエクスペリエンスを最初から最後まで定義します。デフォルトでは、新しい Amazon Connect インスタンスを作成すると、インスタンスのフローログを保存するために Amazon CloudWatch ロググループが自動的に作成されます。フローログは、フローの分析、エラーの検索、運用メトリクスのモニタリングに役立ちます。フローで発生する可能性のある特定のイベントのアラートを設定することもできます。

修正

Amazon Connect インスタンスのフローログを有効にする方法については、Amazon Connect 管理者ガイド」のAmazon CloudWatch ロググループの Amazon Connect フローログを有効にする」を参照してください。 Amazon Connect