本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub CSPM 控制項AWS AppSync
這些 Security Hub CSPM 控制項會評估 AWS AppSync服務和資源。
這些控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【AppSync.1]AWS AppSyncAPI 快取應靜態加密
類別:保護 > 資料保護 > data-at-rest加密
嚴重性:中
資源類型: AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-cache-ct-encryption-at-rest
排程類型:已觸發變更
參數:無
此控制項會檢查 AWS AppSyncAPI 快取是否靜態加密。如果 API 快取未靜態加密,則控制項會失敗。
靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性,進而降低未經授權的使用者可存取資料的風險。
修補
您無法在啟用 AWS AppSyncAPI 的快取之後變更加密設定。反之,您必須刪除快取,並在啟用加密的情況下重新建立快取。如需詳細資訊,請參閱《 AWS AppSync開發人員指南》中的快取加密。
【AppSync.2]AWS AppSync 應該啟用欄位層級記錄
相關要求:PCI DSS v4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-logging-enabled
排程類型:已觸發變更
參數:
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
|
|
欄位記錄層級 |
列舉 |
|
|
此控制項會檢查 AWS AppSyncAPI 是否已開啟欄位層級記錄。如果欄位解析程式日誌層級設定為無,則控制項會失敗。除非您提供自訂參數值來指出應該啟用特定日誌類型,否則如果欄位解析程式日誌層級為 ERROR或 ,Security Hub CSPM 會產生傳遞的問題清單ALL。
您可以使用記錄和指標來識別、故障診斷和最佳化您的 GraphQL 查詢。開啟 forAWS AppSyncGraphQL 記錄可協助您取得 API 請求和回應的詳細資訊、識別和回應問題,以及遵守法規要求。
修補
若要開啟 的記錄AWS AppSync,請參閱《 AWS AppSync開發人員指南》中的設定和組態。
【AppSync.4]AWS AppSyncGraphQL APIs應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::AppSync::GraphQLApi
AWS Configrule:tagged-appsync-graphqlapi(自訂 Security Hub CSPM 規則)
排程類型:已觸發變更
參數:
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1-6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS AppSyncGraphQL API 是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果 GraphQL API 沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果 GraphQL API 未標記任何索引鍵,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。
標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的什麼是 ABACAWS?。
注意
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考。
修補
若要將標籤新增至 AWS AppSyncGraphQL API,請參閱《 AWS AppSyncAPI 參考TagResource》中的 。
【AppSync.5]AWS AppSyncGraphQL APIs不應使用 API 金鑰進行身分驗證
相關需求:NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理 > 無密碼身分驗證
嚴重性:高
資源類型: AWS::AppSync::GraphQLApi
AWS Config 規則:appsync-authorization-check
排程類型:已觸發變更
參數:
AllowedAuthorizationTypes:AWS_LAMBDA,AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS(不可自訂)
此控制項會檢查您的應用程式是否使用 API 金鑰與 AWS AppSyncGraphQL API 互動。如果使用 API 金鑰驗證 AWS AppSyncGraphQL API,則控制項會失敗。
API 金鑰是應用程式中的硬式編碼值,會在您建立未經驗證的 GraphQL 端點時由AWS AppSync服務產生。如果此 API 金鑰遭到入侵,您的端點容易受到意外存取的影響。除非您支援可公開存取的應用程式或網站,否則我們不建議使用 API 金鑰進行身分驗證。
修補
若要設定AWS AppSyncGraphQL API 的授權選項,請參閱《 AWS AppSync開發人員指南》中的授權和身分驗證。
【AppSync.6]AWS AppSyncAPI 快取應在傳輸中加密
類別:保護 > 資料保護 > data-in-transit加密
嚴重性:中
資源類型: AWS::AppSync::ApiCache
AWS Config 規則:appsync-cache-ct-encryption-in-transit
排程類型:已觸發變更
參數:無
此控制項會檢查 AWS AppSyncAPI 快取是否在傳輸中加密。如果 API 快取未在傳輸中加密,則控制項會失敗。
傳輸中的資料是指從一個位置移動到另一個位置的資料,例如叢集中的節點之間,或叢集與您的應用程式之間。資料可能會在網際網路或私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。
修補
您無法在啟用 AWS AppSyncAPI 的快取之後變更加密設定。反之,您必須刪除快取,並在啟用加密的情況下重新建立快取。如需詳細資訊,請參閱《 AWS AppSync開發人員指南》中的快取加密。
