翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub CSPM コントロールAWS Private CA

これらのAWS Security Hub CSPMコントロールは、AWS Private Certificate Authority(AWS Private CA) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[PCA.1]AWS Private CAルート認証機関を無効にする必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度: 低

リソースタイプ : AWS::ACMPCA::CertificateAuthority

AWS Config ルール : acm-pca-root-ca-disabled

スケジュールタイプ : 定期的

パラメータ : なし

このコントロールAWS Private CAは、 に無効なルート認証機関 (CA) があるかどうかをチェックします。ルート CA が有効になっている場合、コントロールは失敗します。

を使用するとAWS Private CA、ルート CA と下位 CAs を含む CA 階層を作成できます。特に本番環境では、日常的なタスクでのルート CA の使用を最小限に抑える必要があります。ルート CA は、中間 CA 認定を交付するためにのみ使用する必要があります。これにより、中間 CA がエンドエンティティ証明書を発行する毎日のタスクを実行しながら、ルート CA を害のない方法で保存することができます。

修正

ルート CA を無効にするには、「AWS Private Certificate Authority ユーザーガイド」の「CA ステータスの更新」を参照してください。

[PCA.2]AWSプライベート CA 認証機関にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::ACMPCA::CertificateAuthority

AWS Config ルール : acmpca-certificate-authority-tagged

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、AWSプライベート CA 認証機関にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredKeyTags。認証機関にタグキーがない場合、またはパラメータ requiredKeyTags で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredKeyTags が指定されていない場合、コントロールはタグキーの存在のみをチェックし、認証機関にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。

修正

AWSプライベート CA 機関にタグを追加するには、AWS Private Certificate Authority「 ユーザーガイド」の「プライベート CA のタグを追加する」を参照してください。