本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub CSPM 控制項AWS 私有 CA
這些AWS Security Hub CSPM控制項會評估 AWS 私有憑證授權單位(AWS 私有 CA) 服務和資源。
這些控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【PCA.1】應停用AWS 私有 CA根憑證授權單位
相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
類別:保護 > 安全網路組態
嚴重性:低
資源類型: AWS::ACMPCA::CertificateAuthority
AWS Config 規則:acm-pca-root-ca-disabled
排程類型:定期
參數:無
此控制項會檢查 AWS 私有 CA是否有已停用的根憑證授權單位 (CA)。如果啟用根 CA,則控制項會失敗。
您可以使用 AWS 私有 CA建立包含根 CA 和次級 CA CAs階層。您應該盡量減少將根 CA 用於日常任務,尤其是在生產環境中。根 CA 應僅用於為中繼 CAs發行憑證。這可以讓您透過不會造成損害的方式存放根 CA,並讓中繼 CA 執行發行終端實體憑證的日常任務。
修補
若要停用根 CA,請參閱AWS 私有憑證授權單位《 使用者指南》中的更新 CA 狀態。
【PCA.2】應標記AWS私有 CA 憑證授權單位
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::ACMPCA::CertificateAuthority
AWS Config 規則:acmpca-certificate-authority-tagged
排程類型:已觸發變更
參數:
| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredKeyTags
|
評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS私有 CA 憑證授權機構是否具有具有參數 中定義之特定金鑰的標籤requiredKeyTags。如果憑證授權機構沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredKeyTags。如果requiredKeyTags未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果憑證授權單位未標記任何金鑰,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。
標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的根據具有 ABAC 授權的屬性定義許可。
注意
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《標記AWS資源和標籤編輯器使用者指南》中的最佳實務和策略。
修補
若要將標籤新增至AWS私有 CA 授權機構,請參閱AWS 私有憑證授權單位《 使用者指南》中的為您的私有 CA 新增標籤。
