本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Step Functions 的 Security Hub CSPM 控制項
這些AWS Security Hub CSPM控制項會評估 AWS Step Functions服務和資源。
這些控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【StepFunctions.1] Step Functions 狀態機器應該已開啟記錄
相關要求:PCI DSS v4.0.1/10.4.2
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::StepFunctions::StateMachine
AWS Config 規則:step-functions-state-machine-logging-enabled
排程類型:已觸發變更
參數:
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
|
|
最低記錄層級 |
列舉 |
|
無預設值 |
此控制項會檢查AWS Step Functions狀態機器是否已開啟記錄。如果狀態機器未開啟記錄,則控制項會失敗。如果您為 logLevel 參數提供自訂值,則只有在狀態機器已開啟指定的記錄層級時,控制項才會通過。
監控可協助您維護 Step Functions 的可靠性、可用性和效能。您應該從使用的 收集盡可能多AWS 服務的監控資料,以便更輕鬆地偵錯多點失敗。為您的 Step Functions 狀態機器定義記錄組態可讓您追蹤 Amazon CloudWatch Logs 中的執行歷史記錄和結果。或者,您只能追蹤錯誤或嚴重事件。
修補
若要開啟 Step Functions 狀態機器的記錄,請參閱《 AWS Step Functions開發人員指南》中的設定記錄。
【StepFunctions.2] 應標記 Step Functions 活動
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::StepFunctions::Activity
AWS Configrule:tagged-stepfunctions-activity(自訂 Security Hub CSPM 規則)
排程類型:已觸發變更
參數:
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS要求的標籤金鑰。 | 無預設值 |
此控制項會檢查AWS Step Functions活動是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果活動沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果活動未標記任何索引鍵,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。
標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的什麼是 ABACAWS?。
注意
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考。
修補
若要將標籤新增至 Step Functions 活動,請參閱《 AWS Step Functions開發人員指南》中的 Step Functions 中的標記。
