As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub para CloudFormation
Esses controles CSPM do Security Hub avaliam o AWS CloudFormation serviço e os recursos.
Esses controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service (SNS)
Importante
O Security Hub CSPM retirou esse controle em abril de 2024. Para obter mais informações, consulte Log de alterações dos controles do CSPM do Security Hub.
Requisitos relacionados: NIST.800-53.r5 SI-4 (12), NIST.800-53.r5 SI-4 (5)
Categoria: Detectar > Serviços de detecção > Monitoramento de aplicativos
Gravidade: baixa
Tipo de recurso: AWS::CloudFormation::Stack
Regra do AWS Config: cloudformation-stack-notification-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma notificação do Amazon Simple Notification Service está integrada a uma pilha do CloudFormation. O controle falhará em uma CloudFormation pilha se nenhuma notificação do SNS estiver associada a ela.
Configurar uma notificação do SNS com sua CloudFormation pilha ajuda a notificar imediatamente as partes interessadas sobre quaisquer eventos ou alterações que ocorram com a pilha.
Correção
Para integrar uma CloudFormation pilha e um tópico do SNS, consulte Atualização de pilhas diretamente no Guia do AWS CloudFormation usuário.
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::CloudFormation::Stack
AWS Configregra: tagged-cloudformation-stack (regra CSPM personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma AWS CloudFormation pilha tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a pilha não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a pilha não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitosServiços da AWS, inclusiveAWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma CloudFormation pilha, consulte CreateStackna Referência da AWS CloudFormation API.
[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Gravidade: média
Tipo de recurso: AWS::CloudFormation::Stack
Regra do AWS Config: cloudformation-termination-protection-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma AWS CloudFormation pilha tem a proteção de encerramento ativada. O controle falhará se a proteção de terminação não estiver ativada em uma CloudFormation pilha.
CloudFormation ajuda a gerenciar recursos relacionados como uma única unidade chamada pilha. É possível impedir que uma pilha seja excluída acidentalmente ativando a proteção contra encerramento na pilha. Se um usuário tentar excluir uma pilha com proteção contra encerramento ativada, a exclusão falhará e a pilha, incluindo o status dela, permanecerá inalterada. Você pode definir a proteção contra encerramento em uma pilha com qualquer status, exceto DELETE_IN_PROGRESS ou DELETE_COMPLETE.
nota
Quando a proteção contra terminação é habilitada ou desabilitada em uma pilha, a mesma opção se estende a todas as pilhas aninhadas pertencentes a ela. Você não pode ativar ou desativar a proteção contra encerramento diretamente em uma pilha aninhada. Você não pode excluir diretamente uma pilha aninhada pertencente a uma pilha que tenha a proteção de encerramento ativada. Se NESTED for exibido ao lado do nome da pilha, a pilha é aninhada. Só é possível alterar a proteção contra encerramento na pilha raiz à qual a pilha aninhada pertence.
Correção
Para ativar a proteção contra encerramento em uma CloudFormation pilha, consulte Proteger CloudFormation pilhas contra exclusão no Guia do AWS CloudFormationusuário.
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
Categoria: Detectar > Gerenciamento de acesso seguro
Gravidade: média
Tipo de recurso: AWS::CloudFormation::Stack
Regra do AWS Config: cloudformation-stack-service-role-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma AWS CloudFormation pilha tem uma função de serviço associada a ela. O controle falhará em uma CloudFormation pilha se nenhuma função de serviço estiver associada a ela.
Usar funções de serviço com CloudFormation pilhas ajuda a implementar o acesso com privilégios mínimos, separando as permissões entre o usuário que creates/updates acumula e as permissões necessárias para os recursos. CloudFormation create/update Isso reduz o risco de escalonamento de privilégios e ajuda a manter os limites de segurança entre as diferentes funções operacionais.
nota
Não é possível remover uma função de serviço associada a uma pilha depois que ela é criada. Outros usuários com permissão para executar operações nessa pilha podem usar esse perfil, independentemente de terem a permissão iam:PassRole ou não. Se o perfil inclui permissões que o usuário não precisa, você pode ampliar involuntariamente as permissões de um usuário. Certifique-se de que o perfil conceda o privilégio mínimo.
Correção
Para associar uma função de serviço a uma CloudFormation pilha, consulte a função CloudFormation de serviço no Guia do AWS CloudFormation usuário.
