

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Weitere Security Hub-Steuerelemente in Accelerate
<a name="acc-other-controls"></a>

Die folgenden Kompensationssteuerungen sind in Accelerate verfügbar.

**Topics**
+ [Lambda.3 — Lambda-Funktionen sollten sich in einer VPC befinden](#acc-lambda3-control)
+ [S3.17 — S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys](#acc-s317-control)
+ [KMS.2 — IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen](#acc-kms2-control)
+ [S3.9 — Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein](#acc-s39-control)
+ [EC2.6 — Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs](#acc-ec26-control)

## Lambda.3 — Lambda-Funktionen sollten sich in einer VPC befinden
<a name="acc-lambda3-control"></a>

*Ressourcen:*
+ AMSAlarmManagerDeploymentHandler
+ AMSAlarmManagerOrphanedAlarmCleanup
+ AMSAlarmManagerRemediation
+ AMSAlarmManagerReporting
+ AMSAlarmManagerTriggerEvaluation
+ AMSAlarmManagerValidation
+ AMSConfigExtensionDeploymentHandler
+ AMSConfigFSXExtension
+ AMSConfigOutpostExtension
+ AMSConfigSyntheticCanaryExtension

Die von AMS bereitgestellten AWS Lambda Funktionen kommunizieren nicht mit Ressourcen in Ihren Konten. Daher benötigen sie keine dedizierten Elastic Network Interfaces (ENIs) oder VPC-Platzierung. Die Bereitstellung dieser Funktionen außerhalb einer VPC reduziert die Kosten und verbessert die Bereitstellungsgeschwindigkeit. Dieser Ansatz bringt keine Sicherheitsbedenken für die ressourceninterne Kommunikation mit sich. Da diese Lambda-Funktionen unabhängig voneinander arbeiten und nicht auf VPC-basierte Ressourcen zugreifen, erhöht die VPC-Bereitstellung unnötige Komplexität und Kosten, ohne zusätzliche Sicherheitsvorteile zu bieten.

## S3.17 — S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
<a name="acc-s317-control"></a>

*Ressourcen:*
+ <account\_id>arn:aws:s3: ::ams-a -alarmmanager- <region>

Die vom AMS Alarm Manager-System verwendeten Amazon Simple Storage Service-Buckets verwenden von Amazon verwaltete Verschlüsselungsschlüssel (SSE-S3) anstelle von kundenverwalteten KMS-Schlüsseln (SSE-KMS). Für die Implementierung von kundenverwalteten Schlüsseln müssen Sie AMS im Rahmen von Schlüsselrichtlinien ausdrückliche Berechtigungen zur Verwendung Ihrer KMS-Schlüssel gewähren. Dies bringt zusätzliche betriebliche Komplexität und Risiken mit sich. Die Verwendung dieser Steuerung bietet eine starke Verschlüsselung im Ruhezustand und vermeidet gleichzeitig zusätzliche Kosten und betriebliche Komplexität für Sie.

Wenn Sie wichtige Richtlinien ändern, Schlüssel unsachgemäß rotieren oder Ihre Schlüssel versehentlich löschen oder deaktivieren, schlägt die AMS-Überwachung sofort fehl. Diese Abhängigkeit von der vom Kunden verwalteten Schlüsselverfügbarkeit beeinträchtigt die kritische Überwachungs- und Alarminfrastruktur von AMS. Dies könnte möglicherweise die Echtzeitüberwachungsfunktionen, die Alarmzustellung, die Reaktion auf Vorfälle und die Sichtbarkeit des Dienstzustands beeinträchtigen. Von Amazon verwaltete Verschlüsselungsschlüssel verschlüsseln automatisch Daten im Ruhezustand, ohne dass Sie Schlüsselrichtlinien, Rotationspläne oder Zugriffsberechtigungen verwalten müssen. Diese Implementierung erfüllt die Verschlüsselungsanforderungen und gewährleistet gleichzeitig die Kosteneffizienz und den einfachen Betrieb der verwalteten AMS Infrastruktur.

*Ressourcen:*
+ <account\_id><region>arn:aws:s3: ::ams-a -cloudtrail-log- -audit

Der AWS CloudTrail Audit-Logging-Bucket kann aufgrund von Diensteinschränkungen keine Verschlüsselung verwenden AWS KMS . AWS In S3-Buckets, die als Ziele für die Protokollierung des Serverzugriffs dienen, darf die KMS-Schlüsselverschlüsselung nicht aktiviert sein. Weitere Informationen finden Sie unter [Konfiguration der Standardverschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) und [Problembehandlung bei der Serverzugriffsprotokollierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/troubleshooting-server-access-logging.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Die Aktivierung der AWS KMS Verschlüsselung für die Protokollierung von Ziel-Buckets kann zu Protokollierungsfehlern und Betriebsproblemen führen. Dieser Bucket verwendet stattdessen die von Amazon S3 verwaltete Verschlüsselung (SSE-S3). Dies ermöglicht Verschlüsselung im Ruhezustand und gewährleistet gleichzeitig die Kompatibilität mit der S3-Serverzugriffsprotokollierungsfunktion.

## KMS.2 — IAM-Prinzipale sollten keine IAM-Inline-Richtlinien haben, die Entschlüsselungsaktionen für alle KMS-Schlüssel zulassen
<a name="acc-kms2-control"></a>

*Ressourcen:*
+ KMS-Schlüssel: alias/ams/patchreporting

Die Inline-Richtlinie enthält „Resource“: ["\*"] in einer KMS-Schlüsselrichtlinie. Dabei handelt es sich um eine ressourcenbasierte Richtlinie, die an einen bestimmten KMS-Schlüssel (ams\_ssm\_inventory\_bucket\_kms\_key) angehängt ist. Wichtige Richtlinien sind von Natur aus auf den einzelnen Schlüssel beschränkt, und die Verwendung von \* im Resource-Element ist üblich, da der Geltungsbereich der Richtlinie bereits durch den Schlüssel selbst eingeschränkt ist. AWS *Weitere Informationen finden Sie unter [Erstellen einer Schlüsselrichtlinie und [Standardschlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) im Entwicklerhandbuch.AWS KMS keys * Diese Konfiguration stellt kein Sicherheitsrisiko dar, da der Zugriff auf einen einzigen KMS-Schlüssel beschränkt ist, nicht auf alle Schlüssel im Konto.

## S3.9 — Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
<a name="acc-s39-control"></a>

*Ressourcen:*
+ ams-config-recorder-bucket<account\_id>- Prüfung

Diese S3-Buckets sind Ziel-Buckets für die Zugriffsprotokollierung für AWS Config Recorder-Buckets. S3 rät davon ab, die Zugriffsprotokollierung für diese Buckets einzurichten, da dies zu endlosen Protokollierungsschleifen führen würde, was die Kosten unnötig in die Höhe treibt. AWS Security Hub empfiehlt stattdessen, dass bei Ressourcen in diesem Szenario die Ergebnisse unterdrückt werden.

*Abhilfe*:

Sie sollten dieses Ergebnis für diese betroffenen Buckets unterdrücken, da die Ergebnisse nicht nützlich sind. Wenn Sie die Ergebnisse nicht unterdrücken möchten, können Sie optional die Selbstprotokollierung für den Bucket konfigurieren. Die Selbstprotokollierung birgt das Risiko, dass die Protokollierung möglicherweise entfernt wird, wenn AMS den Bucket aktualisiert.

## EC2.6 — Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
<a name="acc-ec26-control"></a>

*Ressourcen:*
+ Standard-VPC bei Kontoerstellung

Standardmäßig aktiviert AMS keine VPC-Flow-Protokolle für die Standard-VPC.

*Abhilfe*:

Sie können die Steuerung selbst korrigieren, indem Sie den `ams:managed=true` Tag-Schlüssel/Wert hinzufügen, den Status der Konfigurationsregel löschen und die Auswertung der Regel erneut ausführen. Die Komponente zur automatischen Behebung von AMS aktiviert VPC Flow Logs auf der VPC.