Amazon Connect の Security Hub コントロール - AWS Security Hub
[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります

Amazon Connect の Security Hub コントロール

これらの Security Hub コントロールは、Amazon Connect のサービスとリソースを評価します。

これらのコントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重大度:

リソースタイプ :AWS::CustomerProfiles::ObjectType

AWS Config ルール :customerprofiles-object-type-tagged

スケジュールタイプ: 変更がトリガーされた場合

パラメータ :

パラメータ 説明 タイプ 許可されているカスタム値 Security Hub のデフォルト値
requiredKeyTags 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList (最大 6 項目) AWS 要件を満たす 1~6 個のタグキー。 デフォルト値なし

このコントロールは、Amazon Connect Customer Profiles オブジェクトタイプに、パラメータ requiredKeyTags で定義された特定のキーを持つタグがあるかどうかをチェックします。オブジェクトタイプにタグキーがない場合、またはパラメータ requiredKeyTags で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredKeyTags が指定されていない場合、コントロールはタグキーの存在のみをチェックし、オブジェクトタイプにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは AWS リソースに割り当てることができるラベルで、各タグはキーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール)、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。

注記

タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグは、AWS Billing を含む多くの AWS のサービス からアクセスできます。タグ付けのベストプラクティスの詳細については、「AWS リソースとタグエディタのタグ付けユーザーガイド」の「ベストプラクティスと戦略」を参照してください。

修正

Customer Profiles オブジェクトタイプにタグを追加するには、「Amazon Connect 管理者ガイド」の「Add tags to resources in Amazon Connect」を参照してください。

[Connect.2] Amazon Connect インスタンスでは CloudWatch ログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ :AWS::Connect::Instance

AWS Config ルール: connect-instance-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon Connect インスタンスが、Amazon CloudWatch ロググループにフローログを生成して保存するように構成されているかどうかをチェックします。Amazon Connect インスタンスが CloudWatch ロググループにフローログを生成して保存するように設定されていない場合、コントロールは失敗します。

Amazon Connect フローログは、Amazon Connect フロー内のイベントに関するリアルタイムの詳細を提供します。フローにより、Amazon Connect コンタクトセンターでのカスタマーエクスペリエンスを最初から最後まで定義します。デフォルトでは、新しい Amazon Connect インスタンスを作成すると、Amazon CloudWatch ロググループが自動的に作成され、インスタンスのフローログが保存されます。フローログは、フローの分析、エラーの検索、運用メトリクスのモニタリングに役立ちます。フローで発生する可能性のある特定のイベントのアラートを設定することもできます。

修正

Amazon Connect インスタンスのフローログを有効にする方法については、「Amazon Connect 管理者ガイド」の「Enable Amazon Connect flow logs in an Amazon CloudWatch log group」を参照してください。