翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub CSPM コントロールAWS Transfer Family
これらのAWS Security Hub CSPMコントロールは、AWS Transfer Familyサービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Transfer.1]AWS Transfer Familyワークフローにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Transfer::Workflow
AWS Configrule: tagged-transfer-workflow (カスタム Security Hub CSPM ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 |
No default value
|
このコントロールは、AWS Transfer Familyワークフローにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ワークフローにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ワークフローにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とはAWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグにはAWS のサービス、 を含む多くのユーザーがアクセスできますAWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWSリソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
Transfer Family ワークフローにタグを追加するには (コンソール)
AWS Transfer Familyコンソールを開きます。
ナビゲーションペインで、[Workflows] (ワークフロー) をクリックします。次に、タグ付けするワークフローを選択します。
[タグ管理] を選択してからタグを追加します。
[Transfer.2] Transfer Family サーバーはエンドポイント接続に FTP プロトコルを使用しないでください
関連する要件: NIST.800-53.r5 CM-7、NIST.800-53.r5 IA-5、NIST.800-53.r5 SC-8、PCI DSS v4.0.1/4.2.1
カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化
重要度: 中
リソースタイプ : AWS::Transfer::Server
AWS Config ルール : transfer-family-server-no-ftp
スケジュールタイプ : 定期的
パラメータ : なし
このコントロールは、AWS Transfer Familyサーバーがエンドポイント接続に FTP 以外のプロトコルを使用しているかどうかをチェックします。サーバーがクライアントに FTP プロトコルを使用してサーバーのエンドポイントに接続すると、コントロールは失敗します。
FTP (File Transfer Protocol) は、暗号化されていないチャネルを介してエンドポイント接続を確立し、これらのチャネル経由で送信されたデータは傍受されやすくなります。SFTP (SSH File Transfer Protocol)、FTPS (File Transfer Protocol Secure)、または AS2 (適用可能性ステートメント 2) を使用すると、転送中のデータを暗号化することでセキュリティを強化できます。また、潜在的な攻撃者が中間者攻撃や類似の攻撃を使用してネットワークトラフィックを盗聴または操作するのを防ぐのに役立ちます。
修正
Transfer Family サーバーのプロトコルを変更するには、「AWS Transfer Family ユーザーガイド」の「ファイル転送プロトコルの編集」を参照してください。
[Transfer.3] Transfer Family コネクタでは、ログ記録が有効になっている必要があります
関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::Transfer::Connector
AWS Config ルール : transfer-connector-logging-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS Transfer Familyコネクタに対して Amazon CloudWatch ログ記録が有効になっているかどうかをチェックします。コネクタで CloudWatch ログ記録が有効になっていない場合、このコントロールは失敗します。
Amazon CloudWatch は、 AWSリソースを含む AWS Transfer Familyリソースを可視化するモニタリングおよびオブザーバビリティサービスです。Transfer Family では、CloudWatch は、ワークフローの進行状況と結果に関する統合監査とログ記録を提供します。これには、Transfer Family がワークフロー用に定義するいくつかのメトリクスが含まれます。Transfer Family を設定して、CloudWatch でコネクタイベントを自動的にログ記録できます。これを行うには、コネクタのログ記録ロールを指定します。ログ記録ロールには、IAM ロールと、ロールのアクセス許可を定義するリソースベースの IAM ポリシーを作成します。
修正
Transfer Family コネクタの CloudWatch ログ記録を有効にする方法については、「AWS Transfer Family ユーザーガイド」の「Amazon CloudWatch logging for AWS Transfer Family servers」を参照してください。
[Transfer.4] Transfer Family 契約にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Transfer::Agreement
AWS Config ルール : transfer-agreement-tagged
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredKeyTags |
評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、AWS Transfer Family契約に requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。契約にタグキーがない場合、または requiredKeyTags パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。requiredKeyTags パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、契約にタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、aws: プレフィックスが付きます。
タグは、 AWSリソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWSリソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。
注記
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできますAWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。
修正
AWS Transfer Family契約にタグを追加する方法については、「 リソースのタグ付けとタグエディタユーザーガイド」の「リソースのタグ付け方法AWS」を参照してください。
[Transfer.5] Transfer Family 証明書にはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Transfer::Certificate
AWS Config ルール : transfer-certificate-tagged
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredKeyTags |
評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、AWS Transfer Family証明書に requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。証明書にタグキーがまったくない場合、または requiredKeyTags パラメータで指定されたすべてのキーを持っていない場合、このコントロールは失敗となります。requiredKeyTags パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、証明書にタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、aws: プレフィックスが付きます。
タグは、 AWSリソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWSリソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。
注記
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできますAWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。
修正
AWS Transfer Family証明書にタグを追加する方法については、「 リソースのタグ付けとタグエディタユーザーガイド」の「リソースのタグ付け方法AWS」を参照してください。
[Transfer.6] Transfer Family コネクタにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Transfer::Connector
AWS Config ルール : transfer-connector-tagged
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredKeyTags |
評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、AWS Transfer Familyコネクタに requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。コネクタにタグキーがない場合、または requiredKeyTags パラメータで指定されたすべてのキーがない場合、コントロールは失敗します。requiredKeyTags パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、コネクタにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、aws: プレフィックスが付きます。
タグは、 AWSリソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWSリソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。
注記
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできますAWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。
修正
AWS Transfer Familyコネクタにタグを追加する方法については、「リソースのタグ付け」および「タグエディタユーザーガイド」の「リソースのタグ付け方法AWS」を参照してください。
[Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Transfer::Profile
AWS Config ルール : transfer-profile-tagged
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredKeyTags |
評価されたリソースに割り当てる必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、AWS Transfer Familyプロファイルに requiredKeyTagsパラメータで指定されたタグキーがあるかどうかをチェックします。プロファイルにタグキーがない場合、またはパラメータ requiredKeyTags で指定されたすべてのキーがない場合、コントロールは失敗します。requiredKeyTags パラメータに値を指定しない場合、コントロールはタグキーの存在のみをチェックし、プロファイルにタグキーがない場合に失敗します。このコントロールはシステムタグを無視します。システムタグは自動的に付与され、aws: プレフィックスが付きます。コントロールは、ローカルプロファイルとパートナープロファイルを評価します。
タグは、 AWSリソースを作成して割り当てるラベルです。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグを使用して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。またそれらは、アクションと通知のリソース所有者を追跡するのにも役立ちます。タグを使用して、認可戦略として属性ベースのアクセス制御 (ABAC) を実装することもできます。ABAC 戦略の詳細については、「IAM ユーザーガイド」の「ABAC 認可で属性に基づいてアクセス許可を定義する」を参照してください。タグの詳細については、「 AWSリソースのタグ付け」および「タグエディタユーザーガイド」を参照してください。
注記
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグには多くの からアクセスできますAWS のサービス。それらは、プライベートデータや機密データに使用することを意図していません。
修正
AWS Transfer Familyプロファイルにタグを追加する方法については、「リソースのタグ付け」および「タグエディタユーザーガイド」の「リソースのタグ付け方法AWS」を参照してください。
