翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SNS の Security Hub CSPM コントロール

これらのAWS Security Hub CSPMコントロールは、Amazon Simple Notification Service (Amazon SNS) サービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[SNS.1] SNS トピックは、保管時に を使用して暗号化する必要がありますAWS KMS

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)、NIST.800-171.r2 3.13.11、NIST.800-171.r2 3.13.16

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度: 中

リソースタイプ : AWS::SNS::Topic

AWS Config ルール : sns-encrypted-kms

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon SNS トピックが AWS Key Management Service (AWS KMS) に管理されているキーを使用して保管中に暗号化されているかどうかをチェックします。SNS トピックがサーバー側の暗号化 (SSE) に KMS キーを使用しない場合、コントロールは失敗します。デフォルトでは、SNS はディスク暗号化を使用してメッセージとファイルを保存します。このコントロールに合格するには、代わりに暗号化に KMS キーを使用する必要があります。これにより、セキュリティレイヤーが追加され、アクセスコントロールの柔軟性が向上します。

保管中のデータを暗号化すると、ディスクに保存されているデータが認証されていないユーザーがアクセスするリスクが軽減されますAWS。データを読み取る前にデータを復号化するには、API の許可が必要です。セキュリティを強化するために、SNS トピックを KMS キーで暗号化することをお勧めします。

修正

SNS トピックで SSE を有効にするには、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS トピックのサーバー側の暗号化 (SSE) を有効にする」を参照してください。SSE を使用する前に、トピックの暗号化とメッセージの暗号化と復号を許可するAWS KMS keyようにポリシーを設定する必要があります。詳細については、Amazon Simple Notification Service デベロッパーガイドのAWS KMS「アクセス許可の設定」を参照してください。

[SNS.2] トピックに送信される通知メッセージでは、配信ステータスのログ記録を有効にする必要があります

関連する要件: NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::SNS::Topic

AWS Config ルール : sns-topic-message-delivery-notification-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、エンドポイントの Amazon SNS トピックに送信される通知メッセージの配信ステータスで、ログ記録が有効になっているかどうかをチェックします。メッセージの配信ステータス通知が有効になっていない場合、このコントロールは失敗します。

ログ記録は、サービスの信頼性、可用性、パフォーマンスを維持するための重要な要素です。メッセージの配信ステータスをログ記録することで、以下のようなオペレーション上のインサイトを得ることができます。

修正

トピックの配信ステータスロギングを設定する方法については、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS メッセージ配信ステータス」を参照してください。

[SNS.3] SNS トピックにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::SNS::Topic

AWS Configrule: tagged-sns-topic (カスタム Security Hub CSPM ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon SNS トピックにパラメータ requiredTagKeys で定義された特定のキーを含むタグがあるかどうかをチェックします。トピックにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、トピックにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とはAWS」を参照してください。

修正

SNS トピックにタグを追加するには、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNS トピックタグの設定」を参照してください。

[SNS.4] SNS トピックアクセスポリシーはパブリックアクセスを許可しないでください

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 非常事態

リソースタイプ : AWS::SNS::Topic

AWS Config ルール : sns-topic-no-public-access

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon SNS トピックアクセスポリシーがパブリックアクセスを許可するかどうかを確認します。SNS トピックアクセスポリシーでパブリックアクセスが許可されている場合、このコントロールは失敗します。

特定のトピックに関連付ける Amazon SNS アクセスポリシーにより、そのトピックを操作できるユーザー (トピックにメッセージを発行できるユーザーまたはサブスクライブできるユーザーなど) を制限できます。SNS ポリシーはAWS アカウント、他のユーザー、または独自の 内のユーザーにアクセス権を付与できますAWS アカウント。トピックポリシーの Principal フィールドにワイルドカード (*) を指定し、トピックポリシーを制限する条件がないと、攻撃者によるデータの流出、サービス拒否、またはサービスへの望ましくないメッセージの挿入につながる可能性があります。

修正

SNS トピックのアクセスポリシーを更新するには、「Amazon Simple Notification Service デベロッパーガイド」の「Amazon SNSでのアクセス管理の概要」を参照してください。