Controles do Security Hub para o AWS Identity and Access Management

Esses AWS Security Hub controles do avaliam o serviço e os recursos do AWS Identity and Access Management (IAM). Os controles da podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16, NIST.800-53.r5 AC-2 (1), (15), (7),,, NIST.800-53.r5 AC-2, (10), (2) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (3), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.4 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI NIST.800-53.r5 AC-6 DSS v3.2.1/7.2.1 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: alta

Tipo de recurso: AWS::IAM::Policy

Regra do AWS Config : iam-policy-no-statements-with-admin-access

Tipo de programação: acionado por alterações

Parâmetros:

excludePermissionBoundaryPolicy: true (não personalizável)

Esse controle verifica se a versão padrão das políticas do IAM (também conhecidas como políticas gerenciadas pelo cliente) não tem acesso de administrador com uma instrução que tenha"Effect": "Allow" com "Action": "*" em "Resource": "*". O controle falhará se você tiver políticas do IAM com essa declaração.

O controle apenas verifica as políticas gerenciadas pelo cliente que você criou. Ele não verifica as políticas em linha e AWS gerenciadas pela.

As políticas do IAM definem um conjunto de privilégios concedidos a usuários, grupos ou perfis. Seguindo as recomendações de segurança padrão, AWS recomenda conceder o privilégio mínimo, o que significa conceder apenas as permissões necessárias para executar uma tarefa. Ao fornecer privilégios administrativos completos em vez do conjunto mínimo de permissões que o usuário precisa, você expõe os recursos a ações potencialmente indesejadas.

Em vez de permitir privilégios administrativos completos, determine o que os usuários precisam fazer e crie políticas que permitam que executem apenas aquelas tarefas. É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais conforme necessário. Não comece com permissões que sejam muito flexíveis para depois tentar restringi-las.

Remova as políticas do IAM "Effect": "Allow" que têm uma instrução com "Action": "*" por "Resource": "*".

nota

AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar apenas recursos globais em uma única região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registra recursos globais.

Correção

Para modificar suas políticas do IAM para que elas não permitam privilégios administrativos “*” completos, consulte Editar políticas do IAM no Guia do usuário do IAM.

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.15, AWS CIS Foundations Benchmark v1.2.0/1.16,, NIST.800-53.r5 AC-2 (1),, (15), (7),, (3), NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-2, NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.7, NIST.800-53.r5 AC-3 NIST.800-171.r2 3.3.9 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.13.3, PCI DSS v3.2.1/7.2.1

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : iam-user-no-policies-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se nenhum dos usuários do IAM tem políticas anexadas. O controle falhará se seus usuários do IAM tiverem políticas vinculadas. Em vez disso, os usuários do IAM devem herdar permissões dos grupos ou funções do .

Por padrão, usuários, grupos e funções do IAM não têm acesso aos AWS recursos da. As políticas do IAM são como os privilégios são concedidos aos usuários, aos grupos ou às funções na . Recomendamos que você aplique as políticas do IAM diretamente a grupos e funções, mas não aos usuários. A atribuição de privilégios no nível do grupo ou função reduz a complexidade do gerenciamento de acesso à medida que o número de usuários aumenta. Reduzir a complexidade do gerenciamento de acesso pode, por sua vez, reduzir a oportunidade para uma entidade principal inadvertidamente receber ou manter um número excessivo de privilégios.

nota

AWS Config deve ser habilitado em todas as regiões nas quais você usa o Security Hub. No entanto, a gravação global de recursos pode ser ativada em uma única região. Se você registrar os recursos globais somente em uma região, poderá desabilitar esse controle em todas as regiões, exceto na região em que registrar os recursos globais.

Correção

Para resolver esse problema, crie um grupo do IAM e anexe a política ao grupo. Depois, adicione os usuários ao grupo. A política é aplicada a cada usuário no grupo. Para remover uma política vinculada diretamente a um usuário, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.14, CIS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), (3), (15), PCI DSS AWS v4.0.1/8.3.9, PCI DSS v4.0.1/8.6.3 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : access-keys-rotated

Tipo de programação: Periódico

Parâmetros:

maxAccessKeyAge: 90 (não personalizável)

Esse controle verifica se as chaves de acesso ativas são mudadas em até 90 dias.

É altamente recomendado não gerar e remover todas as chaves de acesso na conta. Em vez disso, a melhor prática recomendada é criar um ou mais perfis do IAM ou usar federação no AWS IAM Identity Center. Você pode usar esses métodos para permitir que seus usuários acessem AWS Management Console e AWS CLI.

Cada abordagem tem os respectivos casos de uso. A federação é geralmente melhor para empresas com um diretório central existente ou que projetam a necessidade de um número maior do que o limite atual de usuários do IAM. Os aplicativos executados fora de um AWS ambiente da precisam de chaves de acesso para acesso programático aos AWS recursos.

Entretanto, se os recursos que precisam de acesso programático forem executados dentro da AWS, a prática recomendada é usar funções do IAM. As funções permitem conceder acesso a recursos sem codificar um ID de chave de acesso e uma chave de acesso secreta na configuração.

Para saber mais sobre como proteger suas chaves de acesso e sua conta, consulte Melhores práticas para gerenciar chaves de AWS acesso no Referência geral da AWS. Consulte também as Diretrizes para proteger a Conta da AWS ao usar o acesso programático.

Caso já tenha uma chave de acesso, o Security Hub recomenda mudar as chaves de acesso a cada 90 dias. A mudança de chaves de acesso reduz a chance de uso de uma chave de acesso associada a uma conta comprometida ou encerrada. Isso também garante que os dados não possam ser acessados com uma chave antiga que pode ter sido perdida, decifrada ou roubada. Sempre atualize os aplicativos após mudar as chaves de acesso.

As chaves de acesso consistem em um ID de chave de acesso e em uma chave de acesso secreta. Elas são usadas para assinar as solicitações programáticas que você faz à AWS. Os usuários precisam de suas próprias chaves de acesso para fazer chamadas programáticas para a a a a a a a AWS partir do AWS CLI, Tools for Windows PowerShell AWS SDKs, o, ou chamadas HTTP diretas usando as operações de API para individuais Serviços da AWS.

Se sua organização usar o AWS IAM Identity Center (IAM Identity Center), os usuários poderão entrar no Active Directory, um diretório integrado do IAM Identity Center, ou em outro IdP conectado ao IAM Identity Center. Eles poderão ser mapeados para um perfil do IAM que permita executar os AWS CLI comandos do ou chamar AWS APIs da sem precisar das chaves de acesso do usuário do. Para saber mais, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.

nota

Correção

Para alternar chaves de acesso com mais de 90 dias, consulte Chaves de acesso rotativas no Guia do usuário do IAM. Siga as instruções para qualquer usuário com uma chave de acesso com idade superior a 90 dias.

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.4, CIS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, AWS PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-root-access-key-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a chave de acesso do usuário raiz está presente.

O usuário raiz é o mais privilegiado em uma Conta da AWS. AWS as chaves de acesso fornecem acesso programático a uma determinada conta.

O Security Hub recomenda remover todas as chaves de acesso associadas à conta raiz. Isso limita os vetores que podem ser usados para comprometer a conta. Além disso, incentiva a criação e o uso de contas baseadas em função que são menos privilegiadas.

Correção

Para excluir a chave de acesso do usuário raiz, consulte Excluir chaves de acesso para o usuário raiz no Guia do usuário do IAM. Para excluir as chaves de acesso do usuário raiz de uma Conta da AWS no AWS GovCloud (US), consulte Excluir chaves de acesso para o usuário raiz da minha AWS GovCloud (US) conta no Guia do AWS GovCloud (US) usuário do.

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.10, CIS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), (1), NIST.800-53.r5 AC-2 (1), (3), AWS NIST.800-53.r5 AC-3 PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : mfa-enabled-for-iam-console-access

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a AWS Multi-Factor Authentication (MFA) da está habilitada para todos os usuários do IAM que usam uma senha do console.

A autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Com a MFA habilitada, quando um usuário fizer login em um AWS site, deverá fornecer seu nome de usuário e senha. Além disso, eles são solicitados a fornecer um código de autenticação de seu dispositivo de AWS MFA.

Recomendamos habilitar a MFA para todas as contas que têm uma senha do console. A MFA foi projetada para fornecer maior segurança para o acesso ao console. O principal de autenticação deve conter um dispositivo que emite uma chave sensível ao tempo e deve ter conhecimento de uma credencial.

nota

Correção

Para aidiconar MPA a usuários do IAM, consulte Usar autenticação multifator (MFA) na AWS no Guia do usuário do IAM.

Estamos oferecendo uma chave de segurança de MFA gratuita para clientes qualificados. Veja se você se qualifica e solicite sua chave gratuita.

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS Foundations Benchmark v1.2.0/1.14, AWS PCI DSS v3.2.1/8.3.1, (1), (15), (1), (2), NIST.800-53.r5 AC-2 (8), PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : root-account-hardware-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a conta da Conta da AWS está habilitada para usar dispositivo de hardware de autenticação multifator (MFA) para fazer login com as credenciais raiz. O controle falhará se a MFA de hardware não estiver habilitada ou se dispositivos virtuais de MFA tiverem permissão para fazer login com as credenciais de usuário raiz.

A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Recomendamos que você use um dispositivo MFA virtual apenas ao mesmo tempo em que aguarda a aprovação da compra do hardware ou a chegada do hardware. Para saber mais, consulte Atribuir um dispositivo de MFA virtual (console) no Guia do usuário do IAM.

nota

O Security Hub avalia esse controle com base na presença das credenciais do usuário raiz (perfil de login) em um. Conta da AWS O controle gera descobertas PASSED nos seguintes casos:

As credenciais do usuário raiz estão presentes na conta e a MFA de hardware está habilitada para o usuário raiz.
As credenciais do usuário raiz não estão presentes na conta.

O controle gera uma FAILED descoberta se as credenciais do usuário raiz estiverem presentes na conta e a MFA de hardware não estiver habilitada para o usuário raiz.

Correção

Para obter informações sobre como habilitar a MFA de hardware para o usuário raiz, consulte Autenticação multifator Usuário raiz da conta da AWS no Guia do usuário do IAM.

Estamos oferecendo uma chave de segurança de MFA gratuita para clientes qualificados. Para determinar se você está qualificado, consulte o Programa de Chave de Segurança da MFA. FAQs

[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.5.2, NIST.800-53.r5 IA-5 NIST.800-171.r2 3.6, NIST.800-171.r2 3.8, PCI DSS v4.0.1/8.8.3.7, PCI DSS v4.0.1/8.3.7

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`RequireUppercaseCharacters`	Exige pelo menos um caractere maiúsculo na senha	Booleano	`true` ou `false`	`true`
`RequireLowercaseCharacters`	Exige pelo menos um caractere minúsculo na senha	Booleano	`true` ou `false`	`true`
`RequireSymbols`	Exige pelo menos um símbolo na senha	Booleano	`true` ou `false`	`true`
`RequireNumbers`	Exige pelo menos um número na senha	Booleano	`true` ou `false`	`true`
`MinimumPasswordLength`	Número mínimo de caracteres na senha	Inteiro	`8` para `128`	`8`
`PasswordReusePrevention`	Número de rotações de senha antes que uma senha antiga possa ser reutilizada	Inteiro	`12` para `24`	Nenhum valor padrão
`MaxPasswordAge`	Número de dias antes da expiração da senha	Inteiro	`1` para `90`	Nenhum valor padrão

Esse controle verifica se a política de senha de conta para usuários do IAM usa configurações fortes. O controle falhará se a política de senha não usar configurações fortes. A menos que você forneça valores de parâmetros personalizados, o Security Hub usará os valores padrão mencionados na tabela anterior. Os parâmetros PasswordReusePrevention e MaxPasswordAge não têm valor padrão, portanto, se você excluir esses parâmetros, o Security Hub ignorará o número de rotações da senha e a idade da senha ao avaliar esse controle.

Usuários do IAM precisam AWS Management Console de senhas para acessar o. Como prática recomendada, o Security Hub recomenda enfaticamente que, em vez de criar usuários do IAM, você use a federação. A federação permite que os usuários usem suas credenciais corporativas existentes para fazer login no AWS Management Console. Use AWS IAM Identity Center (IAM Identity Center) para criar ou federar o usuário e, em seguida, assumir um perfil do IAM em uma conta.

Para saber mais sobre provedores de identidade e federação, consulte Provedores de identidade e federação no Guia do usuário do IAM. Para saber mais sobre o Centro de Identidade do IAM, consulte o Guia do usuário do AWS IAM Identity Center .

Se você precisar usar usuários do IAM, o Security Hub recomenda que você imponha a criação de senhas de usuário fortes. Você pode definir uma política de senha em sua Conta da AWS para especificar os requisitos de complexidade e períodos de alternância obrigatórios para suas senhas. Quando você criar ou alterar uma política de senha, a maioria das configurações de política de senha será aplicada da próxima vez que seus usuários mudarem suas senhas. Algumas das configurações serão aplicadas imediatamente.

Correção

Para atualizar sua política de senha, consulte Configuração de uma política de senha de conta para usuários do IAM no Guia do usuário do IAM.

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.3, (1), NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (3), NIST.800-53.r5 AC-2 (15), (3), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.2 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/8.2.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : iam-user-unused-credentials-check

Tipo de programação: Periódico

Parâmetros:

maxCredentialUsageAge: 90 (não personalizável)

Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 90 dias.

Os usuários do IAM podem acessar AWS recursos da usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

O Security Hub que você remova ou desative todas as credenciais que não foram usadas em 90 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

nota

Correção

Quando você visualiza as informações do usuário no console do IAM, há colunas para Idade da chave de acesso, Idade da senha e Última atividade. Se o valor em qualquer uma dessas colunas for maior do que 90 dias, deixe as credenciais para esses usuários inativas.

Você também pode usar os relatórios de credenciais para monitorar e identificar usuário sem atividade por 90 dias ou mais. Você pode baixar os relatórios de credenciais no formato .csv no console do IAM .csv.

Depois de identificar as contas inativas ou as credenciais não utilizadas, desative-as. Para instruções, consulte Criar, alterar ou excluir uma senha de usuário do IAM (console) no Guia do usuário do IAM.

[IAM.9] A MFA deve estar habilitada para o usuário raiz

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.13, CIS AWS Foundations Benchmark v1.2.0/1.13, (1), (1), (1), (2), (6), ( AWS 8) AWS NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : root-account-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a Multi-Factor Authentication (MFA) da está habilitada para que o usuário raiz do IAM de Conta da AWS uma faça login no. AWS Management Console O controle falhará se a MFA não estiver habilitada para o usuário raiz da conta.

O usuário raiz do IAM de um Conta da AWS tem acesso completo a todos os serviços e recursos da da conta. Se o MFA estiver ativado, o usuário deverá inserir um nome de usuário, uma senha e um código de autenticação do dispositivo de AWS MFA para entrar no. AWS Management Console A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha.

Esse controle gera PASSED descobertas nos seguintes casos:

As credenciais do usuário raiz estão presentes na conta e a MFA está habilitada para o usuário raiz.
As credenciais do usuário raiz não estão presentes na conta.

O controle gera FAILED descobertas se as credenciais do usuário raiz estiverem presentes na conta e o MFA não estiver habilitado para o usuário raiz.

Correção

Para obter informações sobre como habilitar o MFA para o usuário raiz de um Conta da AWS, consulte Autenticação multifator Usuário raiz da conta da AWS no Guia do usuário.AWS Identity and Access Management

[IAM.7] Políticas de senha para usuários do IAM que devem ter configurações fortes

Requisitos relacionados: NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.4 1/8.2.5

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a política da senha da conta para usuários do IAM usa as configurações recomendadas a seguir.

RequireUppercaseCharacters: exige pelo menos um caractere maiúsculo na senha. (Padrão = true)
RequireLowercaseCharacters: exige pelo menos um caractere minúsculo na senha. (Padrão = true)
RequireNumbers: exige pelo menos um número na senha. (Padrão = true)
MinimumPasswordLength: tamanho mínimo da senha. (Padrão = 7 ou mais)
PasswordReusePrevention: número de senhas antes de permitir a reutilização. (Padrão = 4)
MaxPasswordAge— Número de dias antes da expiração da senha. (Padrão = 0)

nota

Em 30 de maio de 2025, o Security Hub removeu esse controle do padrão PCI DSS v4.0.1. O PCI DSS v4.0.1 agora exige que as senhas tenham no mínimo 8 caracteres. Esse controle continua a ser aplicado ao padrão PCI DSS v3.2.1, que tem diferentes requisitos de senha.

Para avaliar as políticas de senha da conta em relação aos requisitos do PCI DSS v4.0.1, você pode usar o controle IAM.7. Esse controle requer que as senhas tenham no mínimo 8 caracteres de extensão. Ele também oferece suporte a valores personalizados para o tamanho da senha e outros parâmetros. O controle IAM.7 faz parte do padrão PCI DSS v4.0.1 no Security Hub.

Correção

Para atualizar sua política de senha para usar a configuração recomendada, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM.

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.5, NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

O CIS recomenda que a política de senhas exija pelo menos uma letra maiúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para alterar sua política de senha,, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Força da senha, selecione Exigir pelo menos uma letra maiúscula do alfabeto latino (A–Z).

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.6, NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres. O CIS recomenda que a política de senhas exija pelo menos uma letra minúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.7, NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

O CIS recomenda que a política de senhas exija pelo menos um símbolo. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Certifique-se de que política de senha do IAM exija pelo menos um número

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.8, NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.5.7, NIST.800-171.r2 3.5.8, PCI DSS v4.0.1/8.3.6

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas usem diferentes conjuntos de caracteres.

O CIS recomenda que a política de senhas exija pelo menos um número. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9, NIST.800-171.r2 3.5.2, AWS NIST.800-171.r2 3.5.9

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha, em parte, impõem requisitos de complexidade de senha. Use políticas de senha do IAM para garantir que as senhas tenham pelo menos um determinado comprimento.

O CIS recomenda que a política de senha exija um comprimento mínimo para senha de 14 caracteres. Definir uma política de complexidade de senha aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para alterar sua política de senha,, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Tamanho mínimo da senha, insira 14 ou um número maior.

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10, NIST.800-171.r2 3.5.2, AWS NIST.800-171.r2 3.5.8, NIST.800-171.r2 3.5.8, NIST.800-171.r2 3.5.9, PCI DSS v4.9, PCI DSS v4.0,1/8.3.7

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o número de senhas a serem lembradas está definido como 24. O controle falhará se o valor não for 24.

As políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário.

O CIS recomenda que a política de senha impeça a reutilização de senhas. Impedir a reutilização de senhas aumenta a resiliência da conta contra tentativas de login forçado.

Correção

Para alterar sua política de senha,, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Impedir a reutilização da senha, digite 24.

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.11, NIST.800-171.r2 3.5.2, NIST.800-171.r2 3.7, NIST.800-171.r2 3.8, PCI DSS v4.0.1/8.3.9, PCI DSS v4.0.1/8.3.9

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-password-policy

Tipo de programação: Periódico

Parâmetros: nenhum

As políticas de senha do IAM podem exigir a mudança ou expiração de senhas após um determinado número de dias.

O CIS recomenda que a política de senha expire senhas após 90 dias ou menos. Reduzir a duração da senha aumenta a resiliência da conta contra tentativas de login forçado. Exigir alterações de senha regulares ajuda nos seguintes cenários:

As senhas podem ser roubadas ou comprometidas sem o seu conhecimento. Isso pode acontecer por meio de um comprometimento do sistema, vulnerabilidade de software ou ameaças internas.
Alguns filtros governamentais e corporativos da Web ou servidores de proxy podem interceptar e registrar o tráfego mesmo se ele for criptografado.
Muitas pessoas usam a mesma senha para muitos sistemas, como trabalho, email e pessoal.
Estações de trabalho do usuário final comprometidas podem ter um registrador de teclas.

Correção

Para alterar sua política de senha,, consulte Como definir uma política de senha de conta para usuários do IAM no Guia do usuário do IAM. Em Ativar a expiração da senha, digite 90 ou um número menor.

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, NIST.800-171.r2 3.1.2, PCI DSS v4.0.1/12.10.3 AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::::Account

Regra do AWS Config : iam-policy-in-use

Tipo de programação: Periódico

Parâmetros:

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (não personalizável)
policyUsageType: ANY (não personalizável)

AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente.

Crie um perfil do IAM para permitir que usuários autorizados gerenciem incidentes com o AWS Support. Ao implementar o privilégio mínimo para controle de acesso, um perfil do IAM exigirá uma política do IAM apropriada para permitir o acesso ao centro de suporte para gerenciar incidentes com o. Suporte

nota

Correção

Para corrigir esse problema, crie um perfil para permitir que usuários autorizados gerenciem incidentes do Suporte .

Para criar o perfil a ser usado para Suporte acesso ao

Abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação do IAM, escolha Perfis e escolha Criar perfil.
Em Tipo de perfil, escolha Outra Conta da AWS.
Para ID da conta, especifique o Conta da AWS ID da Conta da AWS à qual você deseja conceder acesso aos seus recursos.

Se os usuários ou grupos que assumirão essa função estiverem na mesma conta, insira o número da conta local.

nota
O administrador da conta especificada pode conceder permissão para assumir essa função a qualquer usuário do . Para fazer isso, o administrador anexa uma política ao usuário ou grupo que concede permissão para a ação sts:AssumeRole. Nessa política, o recurso deve ser o ARN da função.
Escolha Próximo: Permissões.
Procure a política gerenciada AWSSupportAccess.
Marque a caixa de seleção da política gerenciada AWSSupportAccess.
Escolha Próximo: tags.
(Opcional) Para adicionar metadados à função, anexe tags como pares de chave-valor.

Para obter mais informações sobre o uso de tags no IAM, consulte Marcar usuários e funções do IAM no Guia do usuário do IAM.
Escolha Próximo: revisar.
Em Role name (Nome da função), digite um nome para sua função.

Os nomes de função devem ser exclusivos em sua Conta da AWS. Não diferenciam letras maiúsculas de minúsculas.
(Opcional) Em Descrição do perfil, insira uma descrição para o novo perfil.
Revise a função e selecione Create role (Criar função).

Mostrar mais

Mostrar menos

[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8), NIST.800-171.r2 3.8, NIST.800-171.r2 3.5.3, PCI DSS v4.4.0.1/8.4.2, NIST.800-53.r5 IA-2

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

Regra do AWS Config : iam-user-mfa-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os usuários do IAM têm a autenticação multifator (MFA) habilitada.

nota

Correção

Para adicionar MFA para usuários do IAM, consulte Habilitar dispositivos de MFA para usuários na AWS no Guia do usuário do IAM.

[IAM.20] Evite o uso do usuário raiz

Importante

O Security Hub descontinuou esse controle em abril de 2024. Para obter mais informações, consulte Registro de alterações dos controles CSPM do Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::IAM::User

Regra AWS Config : use-of-root-account-test (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se uma Conta da AWS tem restrições ao uso do usuário raiz. O controle avalia os seguintes recursos:

Amazon Simple Notification Service (Amazon SNS) topics
AWS CloudTrail trilhas
Filtros métricos associados às CloudTrail trilhas
CloudWatch Alarmes da Amazon com base nos filtros

Essa verificação resulta em uma descoberta FAILED se uma ou mais das seguintes afirmações são verdadeiras:

Não há CloudTrail trilhas na conta.
Uma CloudTrail trilha está habilitada, mas não configurada com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação.
Uma CloudTrail trilha está habilitada, mas não associada a um grupo de CloudWatch logs de logs.
O filtro métrico exato prescrito pelo Center for Internet Security (CIS) não é usado. O filtro métrico prescrito é '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.
Não há CloudWatch alarmes com base no filtro métrico na conta.
CloudWatch os alarmes configurados para enviar notificação ao tópico do SNS associado não são acionados com base na condição do alarme.
O tópico do SNS não está em conformidade com as restrições de envio de uma mensagem para um tópico do SNS.
O tópico do SNS não tem pelo menos um assinante.

Essa verificação resulta em um status de controle NO_DATA se uma ou mais das seguintes afirmações forem verdadeiras:

Um trilha multirregional é baseada em uma região diferente. O Security Hub só pode gerar descobertas na região em que a trilha está baseada.
Uma trilha multirregional pertence a uma conta diferente. O Security Hub só pode gerar descobertas para a conta proprietária da trilha.

Essa verificação resulta em um status de controle WARNING se uma ou mais das seguintes afirmações forem verdadeiras:

A conta atual não é proprietária do tópico do SNS mencionado no CloudWatch alarme.
A conta atual não tem acesso ao tópico do SNS ao invocar a API do SNS ListSubscriptionsByTopic.

nota

Recomendamos usar trilhas organizacionais para registrar eventos de logs de várias contas em uma organização. Por padrão, as trilhas da organização são trilhas multirregionais e só podem ser gerenciadas pela conta AWS Organizations de gerenciamento de ou pela conta de administrador CloudTrail delegado. O uso de uma trilha organizacional resulta em um status de controle de NO_DATA aos controles avaliados nas contas dos membros da organização. Nas contas dos membros, o Security Hub só gera descobertas para recursos de propriedade dos membros. As descobertas relacionadas às trilhas da organização são geradas na conta do proprietário do recurso. Você pode ver essas descobertas em sua conta de administrador delegado do Security Hub usando a agregação entre regiões.

Como uma melhor prática, use as credenciais raiz somente quando necessário para realizar tarefas de gerenciamento de serviços e da conta. Aplique as políticas do IAM diretamente a grupos e perfis, mas não aos usuários. Para obter instruções sobre como configurar um administrador para uso diário, consulte Criar seu primeiro usuário administrador e grupo de administradores do IAM no Guia do usuário do IAM.

Correção

As etapas para corrigir esse problema incluem a configuração de um tópico do Amazon SNS, CloudTrail uma trilha de, um filtro métrico e um alarme para o filtro métrico.

Para criar um tópico do Amazon SNS

Abra o console do Amazon SNS em https://console.aws.amazon.com/sns/ v3/home.
Crie um tópico do Amazon SNS que receba todos os alarmes de CIS.

Crie pelo menos um assinante para o tópico. Para obter mais informações, consulte Conceitos básicos do Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.

Configure uma ativa CloudTrail que se aplique a todas as regiões. Para fazer isso, siga as etapas de correção em [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação.

Anote o nome do grupo de CloudWatch logs de logs que você associa à CloudTrail trilha. Crie filtros de métricas para o grupo de logs.

Por fim, crie o filtro métrico e o alarme.

Para criar um filtro e um alarme de métrica

Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.
No painel de navegação, escolha Grupos de logs.
Marque a caixa de seleção do grupo de CloudWatch registros de registros que está associado à CloudTrail trilha que você criou.
Em Ações, escolha Criar filtro de métrica.
Em Definir padrão, faça o seguinte:
1. Copie o seguinte padrão e cole-o no campo Filter Pattern (Padrão de filtro).
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Escolha Próximo.
Em Atribuir métrica, faça o seguinte:
1. Em Nome do filtro, insira um nome para o filtro de métricas.
2. Em Namespace da métrica, digite LogMetrics.
  
  Se você usar o mesmo namespace para todos os seus filtros de métricas de log do CIS, todas as métricas do CIS Benchmark serão agrupadas.
3. Em Nome da métrica, insira um nome para a nova métrica. Lembre-se do nome da métrica. Você precisará selecionar a métrica ao criar o alarme.
4. Em Metric Value (Valor de métrica), insira 1.
5. Escolha Próximo.
Em Revisar e criar, verifique as informações que você forneceu para o novo filtro de métrica. Escolha Criar filtro de métrica.
No painel de navegação, escolha Grupos de log e, em seguida, escolha o filtro que você criou em Filtros métricos.
Marque a caixa de seleção do filtro. Selecione Criar alarme.
Em Especificar métrica e condições, faça o seguinte.
1. Na seção Condições, em Tipo de limite, escolha Estático.
2. Para Definir a condição de alarme, escolha Maior/igual.
3. Em Definir o valor do limite, insira 1.
4. Escolha Próximo.
Em Configurar ações, faça o seguinte:
1. Em Gatilho do estado do alarme, escolha Em alarme.
2. Em Select an SNS topic (Selecionar um tópico do SNS), escolha Select an existing SNS topic (Selecionar um tópico do SNS existente).
3. Em Enviar notificação para, insira o nome do tópico do SNS que você criou no procedimento anterior.
4. Escolha Próximo.
Em Adicionar uma descrição, insira um Nome e uma Descrição para o alarme, como CIS-1.1-RootAccountUsage. Escolha Próximo.
Em Visualizar e criar, revise a configuração do alarme. Escolha Criar alarme.

Mostrar mais

Mostrar menos

[IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1),, (15), (7),,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-6 (3), NIST.800-53.r5 AC-3 NIST.800-171.r2 3.1.1 NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.2, NIST.800-53.r5 AC-6 NIST.800-171.r2 3.1.5, NIST.800-171.r2 3.1.7, NIST.800-171.r2 3.3.8, Nist.iST.ISt.800-171.r2 3.3.9, NIST.800-171.r2 3.13.3, NIST.800-171.r2 3.13.4

Categoria: Detectar > Gerenciamento de acesso seguro

Severidade: baixa

Tipo de recurso: AWS::IAM::Policy

Regra do AWS Config : iam-policy-no-statements-with-full-access

Tipo de programação: acionado por alterações

Parâmetros:

excludePermissionBoundaryPolicy: True (não personalizável)

Esse controle verifica se as políticas baseadas em identidade do IAM que você cria têm instruções Allow que usam o caractere curinga * para conceder permissões para todas as ações em qualquer serviço. O controle falhará se alguma declaração de política incluir "Effect": "Allow" com "Action": "Service:*".

Por exemplo, a declaração a seguir em uma política resulta em uma descoberta malsucedida.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

O controle também falhará se você usar "Effect": "Allow" com "NotAction": "service:*". Nesse caso, o NotAction elemento fornece acesso a todas as ações em uma AWS service (Serviço da AWS), exceto para as ações especificadas emNotAction.

Esse controle se aplica somente às políticas do IAM gerenciadas pelo cliente. Ela não se aplica às políticas do IAM que são gerenciadas pela AWS.

Ao atribuir permissões à Serviços da AWS, é importante definir o escopo das ações permitidas do IAM em suas políticas do IAM. Você deve restringir as ações do IAM somente às ações necessárias. Isso ajuda você a provisionar permissões com privilégios mínimos. Políticas excessivamente permissivas podem levar ao aumento de privilégios se as políticas estiverem vinculadas a uma entidade principal do IAM que talvez não exija a permissão.

Em alguns casos, você pode desejar permitir ações do IAM com um prefixo semelhante, como DescribeFlowLogs e DescribeAvailabilityZones. Nesses casos autorizados, você pode adicionar um curinga com sufixo ao prefixo comum. Por exemplo, .ec2:Describe*

Esse controle passa se você usar uma ação prefixada do IAM com um caractere curinga com sufixo. Por exemplo, a declaração a seguir em uma política resulta em uma descoberta aprovada.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Ao agrupar ações relacionadas do IAM dessa forma, você também pode evitar exceder os limites de tamanho da política do IAM.

nota

Correção

Para corrigir esse problema, atualize suas políticas do IAM para que elas não permitam privilégios administrativos “*” completos. Para obter mais informações sobre como editar uma política do IAM, consulte Editar políticas do IAM no Guia do usuário do IAM.

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

Requisitos relacionados: CIS Foundations Benchmark v3.0.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.12, NIST.800-171.r2 3.1.2 AWS

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::IAM::User

AWS Config regra: iam-user-unused-credentials-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se seus usuários do IAM têm senhas ou chaves de acesso ativas que não foram usadas por 45 dias. Para isso, ele verifica se o maxCredentialUsageAge parâmetro da AWS Config regra é igual a 45 ou mais.

Os usuários podem acessar AWS recursos da usando diferentes tipos de credenciais, como senhas ou chaves de acesso.

O CIS recomenda que você remova ou desative todas as credenciais que não foram usadas em 45 dias ou mais. Desabilitar ou remover credenciais desnecessárias reduz a possibilidade de uso de credenciais associadas a uma conta comprometida ou abandonada.

A AWS Config regra para esse controle usa as operações de GenerateCredentialReportAPI GetCredentialReporte, que são atualizadas somente a cada quatro horas. As alterações feitas nos usuários do IAM podem levar até quatro horas para ficarem visíveis para esse controle.

nota

Correção

Você também pode usar os relatórios de credenciais para monitorar e identificar as contas de usuário sem atividade por 90 dias ou mais. Você pode baixar os relatórios de credenciais no formato .csv no console do IAM .csv.

[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config Regra: tagged-accessanalyzer-analyzer (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList (máximo de 6 itens)	1 a 6 chaves de tag que atendem aos requisitos AWS .	`No default value`

Esse controle verifica se um analisador gerenciado pelo AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o analisador não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o analisador não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso da e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags a entidades do IAM (usuários ou perfis) e a AWS recursos da. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para a AWS? no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um analisador, consulteTagResource na AWS IAM Access Analyzer API Reference.

[IAM.24] Os perfis do IAM devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::IAM::Role

AWS Config Regra: tagged-iam-role (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList (máximo de 6 itens)	1 a 6 chaves de tag que atendem aos requisitos AWS .	`No default value`

Esse controle verifica se um perfil do AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o perfil não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o perfil não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um perfil do IAM, consulte Tags para recursos do IAM no Guia do usuário do IAM.

[IAM.25] Os usuários do IAM devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::IAM::User

AWS Config Regra: tagged-iam-user (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList (máximo de 6 itens)	1 a 6 chaves de tag que atendem aos requisitos AWS .	`No default value`

Esse controle verifica se um usuário do AWS Identity and Access Management (IAM) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o usuário não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o usuário não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um usuário do IAM, consulte Tags para recursos do IAM no Guia do usuário do IAM.

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.19

Categoria: Identificação > Conformidade

Severidade: média

Tipo de recurso: AWS::IAM::ServerCertificate

AWS Config regra: iam-server-certificate-expiration-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se um certificado de SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS servidor ativo não foi removido.

Para habilitar conexões HTTPS com o seu site ou aplicação na AWS, você precisa de um certificado de servidor SSL/TLS. Você pode usar o IAM ou o AWS Certificate Manager (ACM) para armazenar e implantar certificados de servidor. Use o IAM como um gerenciador de certificados apenas quando precisar oferecer suporte a conexões HTTPS em uma Região da AWS que não é compatível com o ACM. O IAM criptografa com segurança suas chaves privadas e armazena a versão criptografada no armazenamento de certificado SSL do IAM. O IAM oferece suporte à implantação de certificados de servidor em todas as regiões, mas você deve obter seu certificado de um provedor externo para usar com AWS a. Você não pode carregar um certificado do ACM no IAM. Além disso, não pode gerenciar certificados no console do IAM. A remoção de certificados SSL/TLS expirados elimina o risco de que um certificado inválido seja implantado acidentalmente em um recurso, o que pode prejudicar a credibilidade da aplicação ou do site subjacente.

Correção

Para remover um certificado de servidor do IAM, consulte Gerenciar certificados de servidor no IAM no Guia do usuário do IAM.

[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.22

Categoria: Proteger > Gerenciamento de acesso seguro > políticas do IAM seguras

Severidade: média

Tipo de recurso: AWS::IAM::Role, AWS::IAM::User, AWS::IAM::Group

AWS Config regra: iam-policy-blacklisted-check

Tipo de programação: acionado por alterações

Parâmetros:

“policyArns”: “arn: aws:iam: :aws:” policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Esse controle verifica se uma identidade do IAM (usuário, perfil ou grupo) tem a política AWS AWSCloudShellFullAccess gerenciada anexada. O controle falhará se uma identidade do IAM tiver a política AWSCloudShellFullAccessanexada.

AWS CloudShell O oferece uma maneira conveniente de executar comandos CLI nos. Serviços da AWS A política AWS gerenciada AWSCloudShellFullAccess fornece total acesso à CloudShell, o que permite o upload e o download de arquivos entre o sistema local do usuário e o CloudShell ambiente. No CloudShell ambiente, um usuário tem permissões de sudo e pode acessar a Internet. Como resultado, anexar essa política gerenciada a uma identidade do IAM permite que ela instale software de transferência de arquivos e mova dados de servidores CloudShell de Internet externos. Recomendamos seguir o princípio do privilégio mínimo e anexar permissões mais restritas às suas identidades do IAM.

Correção

Para desanexar a política AWSCloudShellFullAccess de uma identidade do IAM, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do IAM.

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.20

Categoria: Detectar > Serviços de detecção > Monitoramento de uso privilegiado

Severidade: alta

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regra: iam-external-access-analyzer-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se uma Conta da AWS tem um analisador de acesso externo do IAM Access Analyzer habilitado. O controle falhará se a conta não tiver um analisador de acesso externo habilitado na Região da AWS atualmente selecionada.

Os analisadores de acesso externo do IAM Access Analyzer ajudam a identificar recursos, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM, que são compartilhados com uma entidade externa. Isso ajuda a evitar o acesso não pretendido aos recursos e dados. O IAM Access Analyzer é regional e deve ser habilitado em cada região. Para identificar recursos compartilhados com entidades externas, um analisador de acesso usa raciocínio baseado em lógica para analisar políticas baseadas nos recursos do seu ambiente. AWS Ao criar um analisador de acessos externos, você pode criá-lo e habilitá-lo para toda a sua organização ou para contas individuais.

nota

Se uma conta fizer parte de uma organização em AWS Organizations, esse controle não considera os analisadores de acesso externo que especificam a organização como a zona de confiança e estão habilitados para a organização na região atual. Se sua organização usa esse tipo de configuração, considere desativar esse controle para contas de membros individuais em sua organização na região.

Correção

Para obter informações sobre como habilitar um analisador de acesso externo em uma região específica, consulte Introdução ao IAM Access Analyzer no Guia do usuário do IAM. Você deve habilitar um analisador em cada região na qual deseja monitorar o acesso aos recursos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

GuardDuty Controles da Amazon

Controles do Amazon Inspector